ComboFix 10-08-24.07 - Administrator 2010-08-24 23:58:30.8.1 - x86 MINIMAL Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.511.301 [GMT 2:00] Uruchomiony z: c:\documents and settings\DOMOWY\Pulpit\logi\ComboFix.exe . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\2008.exe c:\windows\svc2.exe -- Poprzednie uruchomienie -- Zainfekowana kopia c:\windows\system32\drivers\cdrom.sys została znaleziona. Problem naprawiono Plik odzyskano z - Kitty had a snack :p Zainfekowana kopia c:\windows\system32\userinit.exe została znaleziona. Problem naprawiono Plik odzyskano z - c:\windows\system32\dllcache\userinit.exe -- Poprzednie uruchomienie -- Zainfekowana kopia c:\windows\system32\drivers\cdrom.sys została znaleziona. Problem naprawiono Plik odzyskano z - Kitty had a snack :p Zainfekowana kopia c:\windows\system32\userinit.exe została znaleziona. Problem naprawiono Plik odzyskano z - c:\windows\system32\dllcache\userinit.exe -------- Zainfekowana kopia c:\windows\system32\userinit.exe została znaleziona. Problem naprawiono Plik odzyskano z - c:\windows\system32\dllcache\userinit.exe -- Poprzednie uruchomienie -- Zainfekowana kopia c:\windows\system32\drivers\cdrom.sys została znaleziona. Problem naprawiono Plik odzyskano z - Kitty had a snack :p Zainfekowana kopia c:\windows\system32\userinit.exe została znaleziona. Problem naprawiono Plik odzyskano z - c:\windows\system32\dllcache\userinit.exe -- Poprzednie uruchomienie -- Zainfekowana kopia c:\windows\system32\drivers\cdrom.sys została znaleziona. Problem naprawiono Plik odzyskano z - Kitty had a snack :p Zainfekowana kopia c:\windows\system32\userinit.exe została znaleziona. Problem naprawiono Plik odzyskano z - c:\windows\system32\dllcache\userinit.exe -------- Zainfekowana kopia c:\windows\system32\userinit.exe została znaleziona. Problem naprawiono Plik odzyskano z - c:\windows\system32\dllcache\userinit.exe -------- Zainfekowana kopia c:\windows\system32\userinit.exe została znaleziona. Problem naprawiono Plik odzyskano z - c:\windows\system32\dllcache\userinit.exe -------- Zainfekowana kopia c:\windows\system32\userinit.exe została znaleziona. Problem naprawiono Plik odzyskano z - c:\windows\system32\dllcache\userinit.exe . ((((((((((((((((((((((((( Pliki utworzone od 2010-07-24 do 2010-08-24 ))))))))))))))))))))))))))))))) . 2010-08-24 08:22 . 2010-08-24 08:22 -------- d-----w- C:\_OTL 2010-08-24 08:20 . 2010-08-24 08:19 39424 -c--a-w- c:\windows\system32\dllcache\grpconv.exe 2010-08-24 08:20 . 2010-08-24 08:19 39424 ----a-w- c:\windows\system32\grpconv.exe 2010-08-23 20:58 . 2004-08-03 22:14 182912 ------w- C:\ndis1.sys 2010-08-23 20:58 . 2004-08-03 21:39 142464 ------w- C:\aec1.sys 2010-08-23 20:20 . 2010-08-23 20:20 -------- d-----w- c:\documents and settings\DOMOWY\Ustawienia lokalne\Dane aplikacji\GHISLER 2010-08-23 16:30 . 2010-08-23 16:30 -------- d-----w- c:\program files\IrfanView 2010-08-23 16:19 . 2010-08-23 16:19 -------- d-----w- C:\UsbFix 2010-08-22 18:54 . 2010-08-22 18:54 -------- d-----w- c:\documents and settings\DOMOWY\DoctorWeb 2010-08-22 17:32 . 2010-08-22 17:32 -------- d-sh--w- c:\documents and settings\Administrator\PrivacIE 2010-07-26 14:09 . 2010-07-26 14:09 -------- d-sh--w- c:\documents and settings\LocalService\PrivacIE 2010-07-26 14:09 . 2010-07-26 14:09 -------- d-----r- c:\documents and settings\LocalService\Ulubione 2010-07-26 13:27 . 2010-07-26 13:27 -------- d-----w- c:\windows\system32\LogFiles . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-08-23 19:37 . 2009-11-14 13:58 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\CyberLink 2010-07-30 18:44 . 2010-07-30 18:44 16 ----a-w- c:\documents and settings\NetworkService\Dane aplikacji\mbsvil.dat 2010-07-27 19:06 . 2010-07-27 19:06 12 ----a-w- c:\windows\system32\config\systemprofile\Dane aplikacji\mbsvil.dat 2010-07-27 14:59 . 2010-07-27 14:59 16 ----a-w- c:\documents and settings\LocalService\Dane aplikacji\mbsvil.dat 2010-07-18 18:09 . 2009-11-14 14:50 -------- d-----w- c:\program files\English Translator 3 2010-07-09 14:11 . 2010-07-09 14:11 -------- d-----w- c:\program files\Pierwsza Pomoc Demo 2010-06-23 15:22 . 2010-06-23 15:22 501936 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Google\Google Toolbar\Update\gtbD.tmp.exe 2010-05-29 11:58 . 2010-05-29 11:58 177 ----a-w- C:\backup.reg . ------- Sigcheck ------- [-] 2008-04-14 . 2A5B37D520508BE6570A3EA79695F5B5 . 26624 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\userinit.exe [-] 2004-08-03 21:44 . 7F9C2B6661488BD6BD483DD4CE0C8B46 . 25088 . . [------] . . c:\windows\system32\userinit.exe [7] 2004-08-03 . BD768099B4C44AA631728CB74EB54396 . 25088 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\userinit.exe [-] 2008-04-14 . A9ED600F08A92143253C10EDB5651ECF . 1571840 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\sfcfiles.dll [-] 2008-02-23 . 44A87287F63395AE9E7950D266A73160 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360] Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"= "c:\\Program Files\\Gadu-Gadu\\gg.exe"= "c:\\totalcmd\\TOTALCMD.EXE"= "c:\\Program Files\\Samsung\\Samsung New PC Studio\\npsasvr.exe"= "c:\\Program Files\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"= "c:\\Program Files\\Opera\\opera.exe"= S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2010-03-20 233472] S2 gupdate;Usługa Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-08 135664] S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\fsusbexdisk.sys [2010-03-20 36608] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . Zawartość folderu 'Zaplanowane zadania' 2010-08-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-08 13:18] 2010-08-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-08 13:18] . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-08-25 00:03 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- [HKEY_USERS\S-1-5-21-1659004503-343818398-725345543-500\Software\Microsoft\Internet Explorer\User Preferences] @Denied: (2) (Administrator) "88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,df,77,9b,6d,5b,de,fb,4d,80,50,b1,\ "2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15, d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,df,77,9b,6d,5b,de,fb,4d,80,50,b1,\ . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > 'explorer.exe'(1784) c:\windows\system32\ieframe.dll . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\program files\Internet Explorer\IEXPLORE.EXE c:\program files\Internet Explorer\IEXPLORE.EXE . ************************************************************************** . Czas ukończenia: 2010-08-25 00:05:21 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2010-08-24 22:05 ComboFix2.txt 2010-08-23 21:41 Przed: 11 299 491 840 bajtów wolnych Po: 11 292 278 784 bajtów wolnych - - End Of File - - DE5AEC49C3E3694A7C9A85EBC25E3162