ComboFix 13-03-31.01 - Rodiyna 2013-03-31 23:02:57.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.511.142 [GMT 2:00] Uruchomiony z: c:\documents and settings\Rodiyna\Pulpit\ComboFix.exe Użyto następujących komend :: c:\documents and settings\Rodiyna\Pulpit\CFScript.txt AV: mks_vir 2005 *Disabled/Outdated* {163C25B5-5987-428D-9426-9C29A96444AB} . UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! . FILE :: "c:\windows\1200575633\csrss.exe" . . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . . c:\documents and settings\fd\WINDOWS c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\sLT.exf c:\documents and settings\Rodiyna\__0005524f.lnk c:\documents and settings\Rodiyna\Dane aplikacji\6A83C7 c:\documents and settings\Rodiyna\Dane aplikacji\6A83C7\6A83C7.exe c:\documents and settings\Rodiyna\Dane aplikacji\coinutil.dll c:\documents and settings\Rodiyna\Dane aplikacji\data.dat c:\documents and settings\Rodiyna\Dane aplikacji\dclogs c:\documents and settings\Rodiyna\Dane aplikacji\dclogs\2013-03-18-2.dc c:\documents and settings\Rodiyna\Dane aplikacji\FlashPlayer\notepad.exe c:\documents and settings\Rodiyna\Dane aplikacji\miner.dll c:\documents and settings\Rodiyna\Dane aplikacji\Rnda9OonB7Vs.bak c:\documents and settings\Rodiyna\Dane aplikacji\sqlite.jar c:\documents and settings\Rodiyna\Dane aplikacji\temp.bin c:\documents and settings\Rodiyna\Dane aplikacji\usft_ext.dll c:\documents and settings\Rodiyna\Moje dokumenty\Prawko2012.tmp c:\documents and settings\Rodiyna\spoolsv.exe C:\System.bin c:\windows\1200575633 c:\windows\1200575633\$000000.tmp c:\windows\136513766 c:\windows\136513766\winlogon.exe c:\windows\assembly\GAC\Desktop.ini c:\windows\IsUn0415.exe c:\windows\system32\$000000.tmp c:\windows\system32\6to4svc.exe c:\windows\system32\aaaamon.exe c:\windows\system32\acctres.exe c:\windows\system32\acledit.exe c:\windows\system32\aclui.exe c:\windows\system32\activeds.exe c:\windows\system32\actxprxy.exe c:\windows\system32\admparse.exe c:\windows\system32\adptif.exe c:\windows\system32\adsldp.exe c:\windows\system32\adsldpc.exe c:\windows\system32\adsmsext.exe c:\windows\system32\adsnds.exe c:\windows\system32\adsnt.exe c:\windows\system32\adsnw.exe c:\windows\system32\advapi32.exe c:\windows\system32\alrsvc.exe c:\windows\system32\apphelp.exe c:\windows\system32\appmgmts.exe c:\windows\system32\appmgr.exe c:\windows\system32\atkctrs.exe c:\windows\system32\audiodev.nls c:\windows\system32\autodisc.exe c:\windows\system32\basesrv.exe c:\windows\system32\browseui.exe c:\windows\system32\camocx.exe c:\windows\system32\capesnpn.exe c:\windows\system32\cfgmgr32.exe c:\windows\system32\d3dxof.nls c:\windows\system32\muzapp.exe c:\windows\system32\SET1A7.tmp c:\windows\system32\SET1B3.tmp c:\windows\unin0415.exe c:\windows\wininit.ini . . ((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))) . . -------\Legacy_ANTIVIRUS32 -------\Service_Antivirus32 . . ((((((((((((((((((((((((( Pliki utworzone od 2013-02-28 do 2013-03-31 ))))))))))))))))))))))))))))))) . . 2013-03-31 07:41 . 2013-03-31 07:48 -------- d-----w- c:\documents and settings\Rodiyna\Dane aplikacji\Tibiacast 2013-03-31 07:41 . 2013-03-31 07:41 -------- d-----w- c:\program files\Tibiacast 2013-03-31 07:40 . 2013-03-31 07:40 -------- d-----w- c:\program files\tibiacast_3_1_2 2013-03-30 07:11 . 2013-03-31 15:27 -------- d-----w- c:\windows\-1890816854 2013-03-29 20:13 . 2013-03-29 20:13 73432 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2013-03-29 20:13 . 2013-03-29 20:13 693976 ----a-w- c:\windows\system32\FlashPlayerApp.exe 2013-03-29 20:04 . 2013-03-29 20:04 -------- d-----w- c:\program files\Trend Micro 2013-03-29 18:12 . 2013-03-29 18:12 718848 ----a-w- c:\windows\system32\browselc.exe 2013-03-29 17:32 . 2013-03-30 13:28 -------- d-sh--w- c:\program files\Common Files\Default Media Player.{2227A280-3AEA-1069-A2DE-08002B30309D} 2013-03-29 17:31 . 2013-03-29 17:31 718848 ----a-w- c:\windows\system32\Audio3D.exe 2013-03-29 16:05 . 2013-03-29 16:05 -------- d-----w- c:\program files\Mozilla Maintenance Service 2013-03-25 16:22 . 2013-03-25 16:22 75264 ----a-w- c:\windows\system32\avmeter.exe 2013-03-25 15:51 . 2013-03-25 15:51 13824 ----a-w- c:\windows\system32\UgcafhagRixs.dll 2013-03-25 15:48 . 2013-03-25 15:48 250930 ----a-w- c:\windows\system32\advpack.exe 2013-03-25 14:53 . 2013-03-25 14:53 250930 ----a-w- c:\windows\system32\avicap.exe 2013-03-25 13:12 . 2013-03-25 13:12 -------- d-----w- c:\windows\system32\pl-PL 2013-03-24 20:26 . 2013-03-24 20:26 236695 ----a-w- c:\windows\system32\batmeter.exe 2013-03-24 20:00 . 2013-03-24 20:02 -------- d-----w- c:\program files\Tibia 2013-03-24 15:43 . 2013-03-28 12:30 -------- d-sh--w- c:\program files\Common Files\894fy894yt98.{2227A280-3AEA-1069-A2DE-08002B30309D} 2013-03-24 15:37 . 2013-03-24 15:37 297472 ----a-w- c:\windows\system32\asferror.exe 2013-03-24 11:08 . 2013-03-25 16:56 -------- d-s---w- c:\documents and settings\Rodiyna\UserData 2013-03-24 11:02 . 2013-03-24 11:03 -------- d-----w- c:\program files\CCleaner 2013-03-24 10:57 . 2013-03-24 10:57 -------- d-----w- c:\documents and settings\Rodiyna\Ustawienia lokalne\Dane aplikacji\Temp 2013-03-24 10:13 . 2013-03-24 10:13 -------- d-----w- c:\documents and settings\Rodiyna\Ustawienia lokalne\Dane aplikacji\Mozilla 2013-03-23 07:26 . 2013-03-23 07:30 33623191 ----a-w- c:\program files\tibia983.exe 2013-03-22 19:48 . 2013-03-23 07:17 -------- d-----w- c:\windows\SxsCaPendDel 2013-03-20 19:31 . 2013-03-31 21:11 -------- d-----w- c:\documents and settings\Rodiyna\Dane aplikacji\FlashPlayer 2013-03-20 19:18 . 2013-03-20 19:18 101888 ----a-w- c:\windows\system32\audiosrv.exe 2013-03-18 20:59 . 2013-03-18 20:59 93696 ----a-w- c:\windows\system32\avtapi.exe 2013-03-18 20:57 . 2013-03-20 19:31 2000 ----a-w- c:\windows\system32\a3d.exe 2013-03-18 20:50 . 2013-03-18 20:50 80896 ----a-w- c:\windows\system32\asycfilt.exe 2013-03-18 20:44 . 2013-03-18 20:45 1070591 ----a-w- c:\windows\system32\apcups.exe 2013-03-18 20:37 . 2013-03-18 20:37 1070591 ----a-w- c:\windows\system32\atl.exe 2013-03-18 20:35 . 2013-03-18 20:35 1070591 ----a-w- c:\windows\system32\amstream.exe 2013-03-18 19:43 . 2013-03-18 19:43 297472 ----a-w- c:\windows\system32\d3dxof.exe 2013-03-18 19:36 . 2013-03-18 19:41 1143394 ----a-w- c:\windows\system32\avicap32.exe 2013-03-18 19:22 . 2013-03-18 19:22 598094 ----a-w- c:\windows\system32\avifil32.exe 2013-03-18 19:21 . 2013-03-18 20:30 0 ---ha-w- c:\documents and settings\Rodiyna\Dane aplikacji\winsvcns.sys 2013-03-18 19:05 . 2013-03-18 19:05 -------- d-sh--r- c:\documents and settings\Rodiyna\S-100-4902-8593-5693 2013-03-18 19:03 . 2013-03-18 19:02 297472 ----a-w- c:\windows\system32\ccfgnt.exe 2013-03-18 18:55 . 2013-03-18 18:55 598094 ----a-w- c:\windows\system32\atmfd.exe 2013-03-18 18:47 . 2013-03-18 18:47 297472 ----a-w- c:\windows\system32\bitsprx3.exe . . . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2013-03-31 17:24 . 2011-06-10 22:11 18 ----a-w- c:\program files\Common Files\userInit.dll 2013-03-04 08:07 . 2012-09-12 18:07 632656 ----a-w- c:\windows\system32\msvcr80.dll 2013-03-04 08:07 . 2012-09-12 18:07 554832 ----a-w- c:\windows\system32\msvcp80.dll 2013-03-04 08:07 . 2012-09-12 18:07 479232 ----a-w- c:\windows\system32\msvcm80.dll 2013-03-04 08:07 . 2012-09-12 18:07 773968 ----a-w- c:\windows\system32\msvcr100.dll 2013-03-04 08:07 . 2012-09-12 18:07 421200 ----a-w- c:\windows\system32\msvcp100.dll 2013-02-19 18:49 . 2013-02-19 18:49 165423 ----a-w- c:\windows\system32\drivers\qstr.sys 2011-06-10 18:32 . 2011-06-10 18:32 27958 ----a-w- c:\program files\Common Files\logonInit.dll 2013-03-07 14:30 . 2013-03-29 16:05 263064 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll . . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360] . [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "TaskbarNoNotification"= 1 (0x1) . [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, UgcafhagRixs.dll . [HKLM\~\startupfolder\C:^Documents and Settings^Rodiyna^Menu Start^Programy^Autostart^PaExt9YuRqI9.lnk] backup=c:\windows\pss\PaExt9YuRqI9.lnkStartup . [HKLM\~\startupfolder\C:^Documents and Settings^Rodiyna^Menu Start^Programy^Autostart^Rnda9OonB7Vs.lnk] backup=c:\windows\pss\Rnda9OonB7Vs.lnkStartup HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Update . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "MozillaMaintenance"=3 (0x3) . [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= . S2 3259;3259;\??\c:\docume~1\Rodiyna\USTAWI~1\Temp\3259.sys --> c:\docume~1\Rodiyna\USTAWI~1\Temp\3259.sys [?] S3 extrem.sys;extrem;\??\c:\docume~1\Rodiyna\USTAWI~1\Temp\extrem.sys --> c:\docume~1\Rodiyna\USTAWI~1\Temp\extrem.sys [?] S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [2009-10-27 36608] . --- Inne Usługi/Sterowniki w Pamięci --- . *NewlyCreated* - BITS *NewlyCreated* - WUAUSERV . Zawartość folderu 'Zaplanowane zadania' . 2013-03-31 c:\windows\Tasks\Adobe Flash Player Updater.job - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-03-29 20:13] . 2013-03-31 c:\windows\Tasks\At1.job - c:\program files\HP\HP Deskjet Ink Adv 2060 K110\Bin\HPCustPartic.exe [2010-11-16 19:12] . 2013-03-31 c:\windows\Tasks\At2.job - c:\program files\HP\HP Deskjet Ink Adv 2060 K110\Bin\HPCustPartic.exe [2010-11-16 19:12] . 2013-03-30 c:\windows\Tasks\At3.job - c:\program files\HP\HP Deskjet Ink Adv 2060 K110\Bin\HPCustPartic.exe [2010-11-16 19:12] . 2013-03-31 c:\windows\Tasks\At4.job - c:\program files\HP\HP Deskjet Ink Adv 2060 K110\Bin\HPCustPartic.exe [2010-11-16 19:12] . . ------- Skan uzupełniający ------- . uSearchURL,(Default) = hxxp://www.google.com/keyword/%s Trusted Zone: com.pl\mks TCP: DhcpNameServer = 192.168.1.20 FF - ProfilePath - c:\documents and settings\Rodiyna\Dane aplikacji\Mozilla\Firefox\Profiles\4p4hazdj.default\ FF - ExtSQL: 2013-03-29 17:28; {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}; c:\documents and settings\Rodiyna\Dane aplikacji\Mozilla\Firefox\Profiles\4p4hazdj.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi . - - - - USUNIĘTO PUSTE WPISY - - - - . URLSearchHooks-{57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - (no file) Notify-LogonInit - logonInit.dll MSConfigStartUp-*1200575633 - c:\windows\1200575633\csrss.exe AddRemove-Adobe Photoshop 7.0 CE - c:\windows\ISUN0415.EXE . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2013-03-31 23:15 Windows 5.1.2600 Dodatek Service Pack 2 NTFS . skanowanie ukrytych procesów ... . skanowanie ukrytych wpisów autostartu ... . skanowanie ukrytych plików ... . . c:\windows\system32\drivers\osmuas1.sys 367104 bytes executable . skanowanie pomyślnie ukończone ukryte pliki: 1 . ************************************************************************** . [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\osmuas1] "ImagePath"="\??\c:\windows\SYSTEM32\DRIVERS\osmuas1.sys" . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- . - - - - - - - > 'explorer.exe'(3484) c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\windows\system32\LEXBCES.EXE c:\windows\system32\LEXPPS.EXE c:\windows\system32\PnkBstrA.exe c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe c:\windows\system32\wscntfy.exe . ************************************************************************** . Czas ukończenia: 2013-03-31 23:20:16 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2013-03-31 21:19 . Przed: 10 294 943 744 bajtów wolnych Po: 10 882 605 056 bajtów wolnych . - - End Of File - - 2AD52C192D3AF50F38D79C05EA640212