Problem z Live Security Platinum

[Yelley]

Witam!

Mam taki problem, a mianowicie moj PC jest stary i wolny lecz nie posiadam innego by kozystac w domu.

Uzywam go tylko i wylacznie do grania w bezplatne gry sciagane tylko z oficialnych stron lecz nie tylko ja z niego kozystam a i moj brat. I ty mamy problem jest on nieuswiadomiony oczychajacych niebezpieczenstwach w internecie takch jak virusy Itp. wiec wylacza anty-virusa i sciaga co popadnie. Dzis wlaczajac ko0mputer uruchomil sie sam Jakis tam scaner "platinium" odrazu zauwazylem ze to musi byc jakis robaczek wyszukalem na tym forum podobny problem i uzylem ComboFix by to usunac ... chyba sie udalo bo juz nic nie wyskakuje Lecz chcial bym miec pewnosc i tu zwracam sie do was ludzi ktorzy sie na tym znaj prosze o pomoc w pelnym zeskanowaniu komputera i ewentualnym usunieciem bledow

Z gory dzieki wam

 

Dolaczam raport z ComboFix :

 

ComboFix 12-07-27.03 - Administrator 2012-07-29 7:38.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.447.8 [GMT 2:00]

Uruchomiony z: d:\pobieranie\ComboFix.exe

FW: ActiveArmor Firewall *Disabled* {EDC10449-64D1-46c7-A59A-EC20D662F26D}

.

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

C:\data

c:\documents and settings\Administrator\Menu Start\Programy\Live Security Platinum

c:\documents and settings\Administrator\Menu Start\Programy\Live Security Platinum\Live Security Platinum.lnk

c:\documents and settings\All Users\Dane aplikacji\6F63A5A82B17D9790000035C81CB3EF3

c:\documents and settings\All Users\Dane aplikacji\6F63A5A82B17D9790000035C81CB3EF3\6F63A5A82B17D9790000035C81CB3EF3

c:\documents and settings\All Users\Dane aplikacji\6F63A5A82B17D9790000035C81CB3EF3\6F63A5A82B17D9790000035C81CB3EF3.exe

c:\documents and settings\All Users\Dane aplikacji\6F63A5A82B17D9790000035C81CB3EF3\6F63A5A82B17D9790000035C81CB3EF3.ico

c:\windows\msmqinst.log

c:\windows\system32\ReadMe.txt

.

.

((((((((((((((((((((((((( Pliki utworzone od 2012-06-28 do 2012-07-29 )))))))))))))))))))))))))))))))

.

.

2012-07-29 05:08 . 2012-07-29 05:08 -------- d-----w- c:\program files\Common Files\Windows Live

2012-07-22 18:32 . 2012-07-22 18:32 -------- d-----w- c:\program files\Microsoft Silverlight

2012-07-22 07:53 . 2006-02-04 01:50 4682 ----a-w- c:\windows\system32\npptNT2.sys

2012-07-22 07:53 . 2006-02-04 01:50 5174 ----a-w- c:\windows\system32\nppt9x.vxd

2012-07-14 14:04 . 2012-07-14 14:04 -------- d-----w- c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Help

2012-07-12 21:17 . 2011-03-28 19:51 4323256 ----a-w- c:\windows\system32\GameMon.des

2012-07-12 21:17 . 2012-07-12 21:17 -------- d-----w- c:\program files\Common Files\INCA Shared

2012-07-12 20:22 . 2012-07-12 20:22 -------- d-----w- c:\documents and settings\Administrator\Dane aplikacji\InstallShield

2012-07-04 09:49 . 2012-07-04 09:49 -------- d-----w- c:\documents and settings\Administrator\.thumbnails

2012-07-04 09:32 . 2012-07-04 09:32 -------- d-----w- c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\fontconfig

2012-07-04 09:32 . 2012-07-12 15:01 -------- d-----w- c:\documents and settings\Administrator\.gimp-2.8

2012-07-04 09:32 . 2012-07-04 09:32 -------- d-----w- c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\gegl-0.2

2012-07-04 09:27 . 2012-07-04 09:31 -------- d-----w- c:\program files\GIMP 2

2012-07-03 05:10 . 2012-07-03 05:10 -------- d-----w- c:\documents and settings\Administrator\Dane aplikacji\.minecraft

2012-07-02 13:57 . 2012-07-02 13:57 33824 ----a-w- c:\windows\system32\drivers\oreans32.sys

2012-06-30 09:43 . 2012-06-30 09:43 -------- d-----w- c:\documents and settings\Administrator\Dane aplikacji\Media Player Classic

2012-06-30 06:14 . 2012-07-05 13:40 -------- d-----w- c:\documents and settings\Administrator\Dane aplikacji\IMVU

.

.

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-07-17 15:51 . 2012-05-03 15:16 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2012-07-17 15:51 . 2012-05-03 15:16 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe

2012-06-03 16:03 . 2012-06-03 16:03 9728 ----a-w- c:\windows\system32\UnInstall Jurassic Park 3.exe

2012-05-10 13:05 . 2012-05-10 13:05 86016 ----a-w- c:\windows\SoundMan.exe

2012-05-10 13:05 . 2012-05-10 13:05 2879488 ----a-w- c:\windows\SkyTel.exe

2012-05-10 13:05 . 2012-05-10 13:05 364544 ----a-w- c:\windows\RtlUpd.exe

2012-05-10 13:05 . 2012-05-10 13:05 266240 ----a-w- c:\windows\system32\RTSndMgr.Cpl

2012-05-10 13:05 . 2012-05-10 13:05 9709568 ----a-w- c:\windows\RTLCPL.exe

2012-05-10 13:05 . 2012-05-10 13:06 143360 ----a-w- c:\windows\system32\RtlCPAPI.dll

2012-05-10 13:05 . 2012-05-10 13:05 4356608 ----a-w- c:\windows\system32\drivers\RtkHDAud.Sys

2012-05-10 13:05 . 2012-05-10 13:05 16049664 ----a-w- c:\windows\RTHDCPL.exe

2012-05-10 13:05 . 2012-05-10 13:05 2158592 ----a-w- c:\windows\MicCal.exe

2012-05-10 13:05 . 2012-05-10 13:05 299008 ----a-w- c:\windows\system32\ALSndMgr.Cpl

2012-05-10 13:05 . 2012-05-10 13:05 69632 ----a-w- c:\windows\Alcmtr.exe

2012-05-10 13:05 . 2012-05-10 13:05 2808832 ----a-w- c:\windows\alcwzrd.exe

2012-05-10 13:05 . 2012-05-10 13:05 487424 ----a-w- c:\windows\RtlExUpd.dll

2012-05-10 13:05 . 2012-05-10 13:06 49152 ----a-w- c:\windows\system32\ChCfg.exe

2012-05-03 15:13 . 2012-05-03 15:13 73728 ----a-w- c:\windows\system32\javacpl.cpl

2012-05-03 15:13 . 2012-05-03 15:13 476960 ----a-w- c:\windows\system32\npdeployJava1.dll

2012-05-03 15:13 . 2012-05-03 15:13 472864 ----a-w- c:\windows\system32\deployJava1.dll

.

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[-] 2008-05-08 . ACCF5A9A1FFAA490F33DBA1C632B95E1 . 361344 . . [5.1.2600.5512] . . c:\windows\system32\drivers\tcpip.sys

.

[-] 2008-05-08 . 9F02C1CF7C3100E4AEA7DD8B6A86A01B . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

.

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2012-06-04 130904]

.

[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]

[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]

[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]

[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]

.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]

2012-06-04 14:12 1310040 ----a-w- c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2012-06-04 1310040]

.

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]

[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]

[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]

[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]

.

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\program files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2012-06-04 1310040]

.

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]

[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar.1]

[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]

[HKEY_CLASSES_ROOT\SWEETIE.IEToolbar]

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AQQ"="d:\pobier~1\WapSter\WAPSTE~1\AQQ.exe" [2012-02-24 10441728]

"Skype"="c:\program files\Skype\Phone\Skype.exe" [2012-05-03 17355912]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]

"RTHDCPL"="RTHDCPL.EXE" [2012-05-10 16049664]

"SkyTel"="SkyTel.EXE" [2012-05-10 2879488]

"WinampAgent"="d:\pobieranie\Winamp\winampa.exe" [2011-12-09 74752]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-31 7634944]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

.

[HKLM\~\startupfolder\C:^Documents and Settings^Administrator^Menu Start^Programy^Autostart^IMVU.lnk]

path=c:\documents and settings\Administrator\Menu Start\Programy\Autostart\IMVU.lnk

backup=c:\windows\pss\IMVU.lnkStartup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2012-01-02 08:07 843712 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2012-03-27 12:41 37296 ----a-w- d:\pobieranie\Adobe\Reader 9.0\Reader\reader_sl.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

2012-05-10 13:05 69632 ----a-w- c:\windows\Alcmtr.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

2008-04-14 20:51 1695232 ------w- c:\program files\Messenger\msmsgs.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

2006-10-31 12:35 7634944 ----a-w- c:\windows\system32\nvcpl.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

2006-10-31 12:35 86016 ----a-w- c:\windows\system32\nvmctray.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

2006-10-31 12:35 1622016 ----a-w- c:\windows\system32\nwiz.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"TapiSrv"=3 (0x3)

"SharedAccess"=2 (0x2)

"Browser"=3 (0x3)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

.

R1 oreans32;oreans32;c:\windows\system32\drivers\oreans32.sys [2012-07-02 33824]

S2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [2012-05-03 158856]

S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [2012-06-20 113120]

S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

.

.

------- Skan uzupełniający -------

.

uStart Page = about:blank

mStart Page = about:blank

IE: {{d9288080-1baa-4bc4-9cf8-a92d743db949} - c:\documents and settings\Administrator\Menu Start\Programy\IMVU\Run IMVU.lnk

TCP: DhcpNameServer = 195.177.196.14 195.177.196.4 195.177.196.10

FF - ProfilePath - c:\documents and settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ws4065b6.default\

FF - prefs.js: browser.startup.homepage - Google.pl

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2012-07-29 07:44

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

.

skanowanie ukrytych procesów ...

.

skanowanie ukrytych wpisów autostartu ...

.

skanowanie ukrytych plików ...

.

skanowanie pomyślnie ukończone

ukryte pliki: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]

"ImagePath"="c:\windows\system32\GameMon.des -service"

.

Czas ukończenia: 2012-07-29 07:45:22

ComboFix-quarantined-files.txt 2012-07-29 05:45

.

Przed: 10 625 966 080 bajtów wolnych

Po: 10 694 848 512 bajtów wolnych

.

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

.

- - End Of File - - 8CCF1C1D89E01AC5EDEE780184F55897

[Landuss]

Po pierwsze logi wklejamy opcją ZAŁĄCZNIKI a nie do posta. Po drugie nie używamy ComboFix na własną rękę co jest wyraźnie napisane w temacie przyklejonym na forum.

 

Zacznij od wykonanai raportów z OTL + Gmer

[Yelley]

Okej będę pamiętał

http://wklej.org/id/800108/ - to jest extras.txt

http://wklej.org/id/800110/ - a to jest OTL.txt

 

Miałem zrobić jeszcze z Gmer ale gdy włączyłem ten program i zacząłem skanować nagle komputer mi zgasł jakby coś mu prąd odcięło xD Spróbuje jeszcze raz ale na razie daję to.

[Landuss]

ComboFix właściwie usunął co trzeba. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Odinstaluj Internet Explorer Toolbar 4.6 by SweetPacks oraz usuń z dysku ten plik C:\WINDOWS\System\yljncsuj.mfb

 

3. Opróżnij przywracanie systemu: KLIK

 

4. Zaktualizuj wymienione programy do najnowszych wersji:

 

Internet Explorer (Version = 7.0.5730.13)

"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish

 

Szczegóły aktualizacyjne: KLIK

 

5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[Yelley]

http://wklej.org/id/800252/ - a oto rap z Gmer

[Landuss]

Ale po co? ja nie prosiłem o Gmer. Log jest czysty. Wykonałeś powyższe zalecenia? Jeśli tak to temat zostanie zamkniety.

[Yelley]

Po pierwsze logi wklejamy opcją ZAŁĄCZNIKI a nie do posta. Po drugie nie używamy ComboFix na własną rękę co jest wyraźnie napisane w temacie przyklejonym na forum.

 

Zacznij od wykonanai raportów z OTL + Gmer

 

Nie prosiłeś ??

tak wykonałem dzięki za pomoc