Zawartość
Nie podano
Mam taki problem, wczoraj zrobiłem formata.
Dzisiaj na Facebooku koleżanka wysłała mi link, kliknąłem, pobrałem i włączyłem, nic się nie włączyło a plik znikł.
Po chwili firewall zapytał czy może plik "Csrss.exe" mógł otrzymać dostęp, zaznaczyłem nie i go zablokowałem. Ale nadal wysyła coś, ale firewall blokuje. Co lepsze ten plik jest w C:/Windows, nie C:/Windows/system32. Więc wskazuje na wirusa, ale jak wchodzę do tego folderu to go nie ma. W menadżerze zadań miałem 2 pliki Csrss.exe, ale ten z C:/Windows zablokowałem przy autostarcie CCleanerem. Avast mi tego pliku nie wykrył jako wirusa, przeskanowałem 2 razy kompa i nic. (raz przy rozruchu). W awaryjnym w C:/Windows też nie ma tego pliku . A, ważne też jest to że nie moge wejść na strone avasta, microsoftu i innych stron służących bezpieczeństwu, nawet na skanery online nie da się wejść!
Jak myślicie co to może być? Może mi pomożecie "coś" z tym zrobić (żebym mógł wejść na te strony)? Nawet nie moge zrobić logów z HJ bo nie moge ściągnąć bo ta strona też nie działa. Pozdrawiam i czekam na pomoc.
A i dodam ten plik, niech mi ktoś go sprawdzi czy to wir i jaki jeśli możecie.
http://www.megaupload.com/?d=JD8514U8Udało się zrobić logi z ComboFixa
ComboFix 11-07-25.03 - Damianek 11-07-26 2:46.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.502.194 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Damianek\Moje dokumenty\Downloads\ComboFix.exe
AV: avast! antivirus 4.7.1001 [VPS 000747-3] *Disabled/Outdated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!
.
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\csrss.exe
c:\windows\system32\Cache
.
.
((((((((((((((((((((((((( Pliki utworzone od 2011-06-26 do 2011-07-26 )))))))))))))))))))))))))))))))
.
.
.
.
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\atapi.sys
[-] 2004-08-03 20:59 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . [------] . . c:\windows\system32\drivers\atapi.sys
[7] 2004-08-03 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\system32\ReinstallBackups\0005\DriverFiles\i386\atapi.sys
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DF925EF3-7A87-44E4-9CAF-8D7B280BF616}]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-01-22 118784]
"LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2002-12-02 32768]
"HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2003-01-09 57418]
"CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2002-10-23 163840]
"Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2003-01-09 53248]
"Ashampoo FireWall"="c:\program files\Ashampoo\Ashampoo FireWall\FireWall.exe" [2007-04-05 3251800]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]
.
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Kalendarz XP.lnk - c:\program files\Kalendarz XP\Kalendarz.exe [2011-7-25 882176]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07 932288 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2010-09-23 02:47 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALLUpdate]
2011-02-07 23:44 1362944 ----a-w- c:\program files\ALLPlayer\ALLUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2004-08-03 22:55 1667584 ------w- c:\program files\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-04-08 10:59 254696 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Gadu-Gadu 10\\gg.exe"=
"c:\\Documents and Settings\\Damianek\\Moje dokumenty\\Downloads\\facebook-pic00023434023402.exe"= c:\\windows\\csrss.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8848:TCP"= 8848:TCP:tbtfh
.
R0 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [11-07-25 22:50 160640]
R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [11-07-25 22:50 5248]
R2 Iprip;Odbiornik RIP;c:\windows\System32\svchost.exe -k netsvcs [04-08-04 00:44 14336]
S1 mailKmd;mailKmd; [x]
S2 nhsveuo;Update Boot;c:\windows\system32\svchost.exe -k netsvcs [04-08-04 00:44 14336]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
nhsveuo
.
Zawartość folderu 'Zaplanowane zadania'
.
2011-07-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-839522115-746137067-1343024091-1005Core.job
- c:\documents and settings\Damianek\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2011-07-24 23:03]
.
2011-07-25 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-839522115-746137067-1343024091-1005UA.job
- c:\documents and settings\Damianek\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2011-07-24 23:03]
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://
LSP: c:\program files\Ashampoo\Ashampoo FireWall\spi.dll
TCP: DhcpNameServer = 10.0.10.1 10.0.10.2
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-07-26 02:50
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
.
skanowanie ukrytych procesów ...
.
c:\program files\Ashampoo\Ashampoo FireWall\FireWall.exe [3232] 0x81572208
.
skanowanie ukrytych wpisów autostartu ...
.
skanowanie ukrytych plików ...
.
skanowanie pomyślnie ukończone
ukryte pliki: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASFWHide]
"ImagePath"="\??\c:\docume~1\Damianek\USTAWI~1\Temp\ASFWHide"
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nhsveuo]
"ServiceDll"="c:\windows\system32\jisggs.dll"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
.
- - - - - - - > 'lsass.exe'(760)
c:\program files\Ashampoo\Ashampoo FireWall\spi.dll
.
Czas ukończenia: 2011-07-26 02:52:28
ComboFix-quarantined-files.txt 2011-07-26 00:52
.
Przed: 27 911 057 408 bajtów wolnych
Po: 27 881 140 224 bajtów wolnych
.
- - End Of File - - 8FE717EDF22C9D8B4FCD40F14E8EC48ACzy wszystko jest dobrze?
Z góry baaaardzo dziękuje.
