Problemy po użyciu combofixa

[Walkerowy]

Zacznijmy od początku. Mój instynkt dostrzegł zainfekowanie komputera, hmm więc długo nie czekając uruchomiłem ComboFix'a.exe, lecz teraz po przeczytaniu wielu lektur wiem, że samodzielnie nie powinienem tego robić. Ale do rzeczy. Combofix skasował kilka plików(instynkt nie zawiódł), oto log z tejże operacji: http://wklej.org/id/444237/

 

Kolejno sprawdziłem runscanner'em.exe czy już wszystko ok, skasowałem wpisy z rejestru do brakujacych plikow no i chcialem usunac qoobox, ale... tu pojawil sie problem, bo nie mogę usunąć folderu backenv. Hmm... użyłem jeszcze raz combofixa(combofix nie był na pulpicie) no i uruchomiłem kompa ponownie i nie usunąłem backenv. W trybie awaryjnym to samo.

Do całego zgłoszenia zgłaszam logi:

OTL LOG : http://wklej.org/id/444195/

EXTRAS from OTL: http://wklej.org/id/444196/

RSIT LOG: http://wklej.org/id/444198/

info from RSIT: http://wklej.org/id/444200/

SilentRunners LOG: http://wklej.org/id/444207/

 

Pozdrawiam Walkerowy

 

EDIT: a jak już tu jestem to ktoś łaskawy mógłby mi wreszcie pomóc zoptymalizować tego netbooka, z góry dziękuje i przyznaje się z pokorą, że nie korzystałem z żadnego antywirusa. W tej chwili mam avasta.

[picasso]

Komentarze do logów:

 

1. Log z OTL robiony na cudzych ustawieniach z innego forum.

 

2. Zamiast bezsensownie powielać typy logów (OTL / RSIT i Silent Runners to "jeden typ") należy pokazać raporty obowiązkowe w tym dziale tzn. jeden ogólny lokalizacji systemowych (OTL) + log pod kątem aktywności rootkit (GMER). Żaden z prezentowanych tu logów nie jest specjalizowany na rootkity i nie zastąpi loga z GMER.

 

3. ComboFix (czyli to dotyczy i GMER) został uruchomiony w złym środowisku, podczas czynnej emulacji napędów wirtualnych - w tle pracuje sterownik SPTD. Jest przecież ogłoszenie: KLIK.

 

4. W żadnym logu nie ma śladów infekcji.

 

----> Są tylko szczątki po którymś pasku narzędziowym (bez znaczenia):

 

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}"
[2010-12-11 23:38:47 | 000,000,863 | ---- | M] () -- C:\Documents and Settings\Walker\Dane aplikacji\Mozilla\Firefox\Profiles\8cw6fb9h.default\searchplugins\conduit.xml

 

W pasku adresów Firefox wklep about:config, wyszukaj wartość browser.search.defaulturl i wypróżnij ją. Zaś ten plik conduit.xml skasuj z dysku.

 

----> Poza tym te programy wymagają aktualizacji:

 

Internet Explorer (Version = 6.0.2900.5512)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.1 - Polish
"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)

 

Combofix skasował kilka plików(instynkt nie zawiódł), oto log z tejże operacji:

To nie jest log z tej operacji. To już ente uruchomienie ComboFix i nie ma żadnych śladów kasacji plików. Proszę pokazać log z usuwania ComboFixNumer.txt (z Qoobox) lub wyciąg listy skasowanych plików ComboFix-quarantined-files.txt (z Qoobox). O ile jeszcze je masz.... Co do Twojego instynktu to pozwól, że poddam to w wątpliwość. Nie wiadomo co zostało usunięte, a wszystko musi być ocenione, gdyż ComboFix nie zawsze kasuje pliki, które powinny być usuwane.

 

chcialem usunac qoobox, ale... tu pojawil sie problem, bo nie mogę usunąć folderu backenv. Hmm... użyłem jeszcze raz combofixa(combofix nie był na pulpicie) no i uruchomiłem kompa ponownie i nie usunąłem backenv. W trybie awaryjnym to samo.

W taki sposób się nie usuwa ComboFixa, a Qoobox to nie jest jedyny składnik który zostawia na dysku. ComboFix musi być odinstalowany w sposób dla siebie prawidłowy. Tzn. w Start > Uruchom > należy wywołać proces deinstalacji komendą:

 

"c:\documents and settings\Walker\Pulpit\Pobieranie\ComboFix.exe" /uninstall

 

(jeśli ComboFix jest teraz w innej ścieżce, dopasuj)

 

pomóc zoptymalizować tego netbooka

 

A co się dzieje?

 

 

 

.

[Walkerowy]

Picasso, ślicznie dziękuję. Twoja wiedza mnie onieśmiela. Muszę Cię niestety zmartwić, bo posłużyłem się radami z innego forum czego już teraz żałuje, bo netbook nie chciał się uruchomić... W tej chwili jestem po recovery i instaluje programy, które zostały usunięte podczas recovery. W tej chwili nie skorzystam z Twoich pomocy, ale jak tylko coś się wydarzy to będę już wiedział do kogo się zwrócić. Pozdrawiam

[picasso]

posłużyłem się radami z innego forum czego już teraz żałuje, bo netbook nie chciał się uruchomić...

 

Pro forma pokaż co to była za operacja.

[Walkerowy]

BTW: mój netbook nie jest wyposażony w cd/dvd więc u mnie służy tylko recovery do ratowania systemu.

 

A to skrypt, po którym nie chciał się uruchomić netbook:

:Processes

killallprocesses

 

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme)

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}"

[2010-12-11 23:38:47 | 000,000,863 | ---- | M] () -- C:\Documents and Settings\Walker\Dane aplikacji\Mozilla\Firefox\Profiles\8cw6fb9h.default\searchplugins\conduit.xml

@Alternate Data Stream - 143 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Temp:B623B5B8

@Alternate Data Stream - 130 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Temp:4CF61E54

@Alternate Data Stream - 130 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Temp:478FEFC3

@Alternate Data Stream - 124 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Temp:41099CE9

 

:Files

$RECYCLE.BIN /alldrives

RECYCLER /alldrives

C:\Documents and Settings\All Users\Dane aplikacji\*.tmp

C:\WINDOWS\System32\*.tmp

C:\WINDOWS\*.tmp

C:\WINDOWS\tasks\*.job

 

:Commands

[emptytemp]

[start explorer]

[Reboot]

A teraz wrzucam logi z gmera i z OTL po zrobieniu Recovery.

OTL.txt :

OTL logfile created on: 2010-12-26 11:04:34 - Run 1

OTL by OldTimer - Version 3.2.17.1 Folder = D:\Programy\Czyszczenie

Windows XP Home Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.5512)

Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

 

1 013,00 Mb Total Physical Memory | 536,00 Mb Available Physical Memory | 53,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 86,00% Paging File free

Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 40,32 Gb Total Space | 14,93 Gb Free Space | 37,02% Space Free | Partition Type: NTFS

Drive D: | 98,72 Gb Total Space | 62,78 Gb Free Space | 63,59% Space Free | Partition Type: NTFS

 

Computer Name: MICHAL | User Name: Walker | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 

========== Processes (SafeList) ==========

 

PRC - [2010-12-25 21:54:25 | 000,395,640 | ---- | M] (BitTorrent, Inc.) -- D:\Programy\utorrent\uTorrent.exe

PRC - [2010-10-28 20:05:31 | 000,575,488 | ---- | M] (OldTimer Tools) -- D:\Programy\Czyszczenie\OTL.exe

PRC - [2010-09-15 00:08:56 | 000,910,296 | ---- | M] (Mozilla Corporation) -- D:\Programy\Mozilla Firefox\firefox.exe

PRC - [2010-09-07 17:12:02 | 002,838,912 | ---- | M] (AVAST Software) -- D:\Programy\avast\AvastUI.exe

PRC - [2010-09-07 17:11:59 | 000,040,384 | ---- | M] (AVAST Software) -- D:\Programy\avast\AvastSvc.exe

PRC - [2010-05-20 12:43:26 | 000,847,360 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe

PRC - [2010-03-25 19:44:26 | 001,891,720 | ---- | M] (ELAN Microelectronics Corp.) -- C:\Program Files\Elantech\ETDCtrl.exe

PRC - [2010-03-24 04:12:58 | 001,599,880 | ---- | M] (ELAN Microelectronics Corp.) -- C:\Program Files\Elantech\ETDCtrlHelper.exe

PRC - [2010-02-11 07:22:38 | 000,374,784 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Program Files\Samsung\EasySpeedUpManager\EasySpeedUpManager.exe

PRC - [2010-01-19 10:34:48 | 002,201,192 | ---- | M] (SEC) -- C:\Program Files\Samsung\Samsung Recovery Solution 4\WCScheduler.exe

PRC - [2009-12-22 06:47:08 | 000,172,056 | ---- | M] (Intel Corporation) -- C:\WINDOWS\system32\igfxext.exe

PRC - [2009-08-06 18:23:56 | 000,066,792 | ---- | M] (SRS Labs, Inc.) -- C:\Program Files\SRS Labs\SRS WOW XT and TSXT\SRS_PostInstaller.exe

PRC - [2008-04-15 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe

 

 

========== Modules (SafeList) ==========

 

MOD - [2010-10-28 20:05:31 | 000,575,488 | ---- | M] (OldTimer Tools) -- D:\Programy\Czyszczenie\OTL.exe

MOD - [2010-08-23 17:12:53 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll

MOD - [2010-02-11 23:14:38 | 000,271,752 | ---- | M] (ELAN Microelectronics Corp.) -- C:\Program Files\Elantech\ETDApix.dll

 

 

========== Win32 Services (SafeList) ==========

 

SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\System32\appmgmts.dll -- (AppMgmt)

SRV - [2010-09-07 17:11:59 | 000,040,384 | ---- | M] (AVAST Software) [On_Demand | Running] -- D:\Programy\avast\AvastSvc.exe -- (avast! Web Scanner)

SRV - [2010-09-07 17:11:59 | 000,040,384 | ---- | M] (AVAST Software) [Auto | Running] -- D:\Programy\avast\AvastSvc.exe -- (avast! Antivirus)

SRV - [2009-08-06 18:23:56 | 000,066,792 | ---- | M] (SRS Labs, Inc.) [Auto | Running] -- C:\Program Files\SRS Labs\SRS WOW XT and TSXT\SRS_PostInstaller.exe -- (SRS_WOWXT_Service)

 

 

========== Driver Services (SafeList) ==========

 

DRV - [2010-09-07 16:52:03 | 000,165,584 | ---- | M] (AVAST Software) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\aswSP.sys -- (aswSP)

DRV - [2010-09-07 16:47:46 | 000,023,376 | ---- | M] (AVAST Software) [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\aswRdr.sys -- (aswRdr)

DRV - [2010-09-07 16:47:19 | 000,100,176 | ---- | M] (AVAST Software) [File_System | Auto | Running] -- C:\WINDOWS\System32\drivers\aswmon2.sys -- (aswMon2)

DRV - [2010-09-07 16:47:07 | 000,017,744 | ---- | M] (AVAST Software) [File_System | Auto | Running] -- C:\WINDOWS\System32\drivers\aswFsBlk.sys -- (aswFsBlk)

DRV - [2010-09-07 16:46:51 | 000,028,880 | ---- | M] (AVAST Software) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\aavmker4.sys -- (Aavmker4)

DRV - [2010-07-28 14:56:20 | 002,699,264 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BCMWL5.SYS -- (BCM43XX)

DRV - [2010-04-14 21:41:12 | 000,051,752 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB)

DRV - [2010-04-01 00:25:36 | 000,109,056 | ---- | M] (ELAN Microelectronics Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ETD.sys -- (ETD)

DRV - [2010-03-31 17:20:20 | 000,911,400 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL)

DRV - [2010-03-31 08:27:18 | 000,019,840 | ---- | M] (Samsung) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\SUE_PD.sys -- (SUEPD)

DRV - [2010-03-18 00:40:12 | 005,878,304 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)

DRV - [2010-01-14 22:53:18 | 000,037,160 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btport.sys -- (BTDriver)

DRV - [2009-11-18 23:13:04 | 000,556,200 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btaudio.sys -- (btaudio)

DRV - [2009-11-18 23:12:56 | 000,118,440 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\btwdndis.sys -- (BTWDNDIS)

DRV - [2009-11-18 15:17:00 | 001,395,800 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)

DRV - [2009-11-18 15:16:00 | 001,691,480 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)

DRV - [2009-11-11 18:55:46 | 001,751,424 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\igxpmp32.sys -- (ialm)

DRV - [2009-09-28 10:22:00 | 000,298,752 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\yk51x86.sys -- (yukonwxp)

DRV - [2009-07-31 17:59:14 | 000,227,496 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SRS_PremiumSound_i386.sys -- (SRS_PremiumSound_Service)

DRV - [2009-07-01 10:50:00 | 000,237,952 | ---- | M] (Vimicro Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VMC33F.sys -- (VMC33F)

DRV - [2008-04-15 13:00:00 | 000,144,384 | ---- | M] (Windows ® Server 2003 DDK provider) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\hdaudbus.sys -- (HDAudBus)

DRV - [2005-10-27 05:18:05 | 000,004,300 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\MEMIO.SYS -- (DOSMEMIO)

 

 

========== Standard Registry (SafeList) ==========

 

 

========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

 

 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

 

IE - HKU\S-1-5-21-152598387-3023877159-1122697960-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

========== FireFox ==========

 

FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20

 

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Components: D:\Programy\Mozilla Firefox\components [2010-10-18 11:06:36 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.10\extensions\\Plugins: D:\Programy\Mozilla Firefox\plugins [2010-12-26 11:02:23 | 000,000,000 | ---D | M]

 

[2010-10-18 11:06:41 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Walker\Dane aplikacji\Mozilla\Extensions

[2010-12-25 16:10:58 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Walker\Dane aplikacji\Mozilla\Firefox\Profiles\8cw6fb9h.default\extensions

[2010-12-25 16:10:57 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Documents and Settings\Walker\Dane aplikacji\Mozilla\Firefox\Profiles\8cw6fb9h.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}

 

O1 HOSTS File: ([2008-04-15 13:00:00 | 000,000,742 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1 localhost

O4 - HKLM..\Run: [Adobe Reader Speed Launcher] D:\Programy\adobe\Reader\Reader\Reader_sl.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [avast5] D:\Programy\avast\avastUI.exe (AVAST Software)

O4 - HKLM..\Run: [DMHotKey] C:\Program Files\Samsung\Easy Display Manager\DMLoader.exe (SAMSUNG Electronics)

O4 - HKLM..\Run: [EasySpeedUpManager] C:\Program Files\Samsung\EasySpeedUpManager\EasySpeedUpManager.exe (Samsung Electronics Co., Ltd.)

O4 - HKLM..\Run: [EasySpeedUpManager2] C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager2.exe (Samsung Electronics)

O4 - HKLM..\Run: [ETDWare] C:\Program Files\Elantech\ETDCtrl.exe (ELAN Microelectronics Corp.)

O4 - HKLM..\Run: [samsungWInClon] C:\Program Files\Samsung\Samsung Recovery Solution 4\WCScheduler.exe (SEC)

O4 - HKLM..\Run: [sUPBackground] C:\Program Files\Samsung\Samsung Update Plus\SUPBackGround.exe ()

O4 - HKU\S-1-5-21-152598387-3023877159-1122697960-1005..\Run: [batteryLifeExtender] C:\Program Files\Samsung\BatteryLifeExtender\BatteryLifeExtender.exe (Samsung Electronics. Co. Ltd.)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-21-152598387-3023877159-1122697960-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 221

O7 - HKU\S-1-5-21-152598387-3023877159-1122697960-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1

O8 - Extra context menu item: Wyślij do interfejsu Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()

O8 - Extra context menu item: Wyślij do urządzenia &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()

O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()

O9 - Extra 'Tools' menuitem : @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)

O16 - DPF: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab (Java Plug-in 1.6.0_23)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1

O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)

O24 - Desktop Components:0 (Moja bieżąca strona główna) - About:Home

O24 - Desktop WallPaper: C:\Documents and Settings\Walker\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp

O24 - Desktop BackupWallPaper: C:\Documents and Settings\Walker\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2010-08-25 11:05:19 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O33 - MountPoints2\{2683d866-b044-11df-8b4e-002454713d32}\Shell - "" = AutoRun

O33 - MountPoints2\{2683d866-b044-11df-8b4e-002454713d32}\Shell\AutoRun\command - "" = D:\SoftwareMedia51.exe -- File not found

O34 - HKLM BootExecute: (autocheck autochk *) - File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 

========== Files/Folders - Created Within 30 Days ==========

 

[2010-12-26 11:02:38 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Java

[2010-12-26 11:02:23 | 000,157,472 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaws.exe

[2010-12-26 11:02:23 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\javaw.exe

[2010-12-26 11:02:23 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\WINDOWS\System32\java.exe

[2010-12-26 01:04:38 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData

[2010-12-25 23:01:40 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Adobe

[2010-12-25 22:24:32 | 000,446,464 | ---- | C] (eHelp Corporation.) -- C:\WINDOWS\System32\HHActiveX.dll

[2010-12-25 22:24:28 | 000,000,000 | ---D | C] -- C:\Program Files\PSCAD421Eval

[2010-12-25 22:17:06 | 000,000,000 | ---D | C] -- C:\Program Files\trend micro

[2010-12-25 22:13:23 | 000,000,000 | RH-D | C] -- C:\Documents and Settings\Walker\Recent

[2010-12-25 16:55:20 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Walker\Dane aplikacji\uTorrent

[2010-12-25 16:54:27 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Walker\Dane aplikacji\.purple

[2010-12-25 16:50:40 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Walker\Moje dokumenty\Walkerowy

[2010-12-25 16:50:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Walker\Moje dokumenty\strona

[2010-12-25 16:48:29 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Walker\Dane aplikacji\Runscanner.net

[2010-12-25 16:18:28 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Walker\Moje dokumenty\Pobieranie

[2010-12-25 16:17:46 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Walker\Pulpit\Pobieranie

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 

========== Files - Modified Within 30 Days ==========

 

[2010-12-26 10:40:02 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2010-12-26 10:40:00 | 1062,514,688 | -HS- | M] () -- C:\hiberfil.sys

[2010-12-25 23:57:48 | 000,005,632 | ---- | M] () -- C:\Documents and Settings\Walker\Ustawienia lokalne\Dane aplikacji\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010-12-25 23:05:59 | 000,000,027 | ---- | M] () -- C:\WINDOWS\lmgrd.ini

[2010-12-25 22:05:58 | 000,001,065 | ---- | M] () -- C:\WINDOWS\winamp.ini

[2010-12-25 16:56:06 | 000,000,509 | ---- | M] () -- C:\Documents and Settings\All Users\Pulpit\µTorrent.lnk

[2010-12-25 16:20:51 | 000,210,488 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2010-12-25 16:16:58 | 000,002,635 | ---- | M] () -- C:\WINDOWS\System32\CONFIG.NT

[2010-12-25 16:12:28 | 000,000,233 | RHS- | M] () -- C:\boot.ini

[2010-12-25 16:02:04 | 000,492,228 | ---- | M] () -- C:\WINDOWS\System32\perfh015.dat

[2010-12-25 16:02:04 | 000,433,778 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2010-12-25 16:02:04 | 000,085,058 | ---- | M] () -- C:\WINDOWS\System32\perfc015.dat

[2010-12-25 16:02:04 | 000,068,542 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[2010-12-25 14:52:40 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2010-12-23 19:22:05 | 000,000,976 | ---- | M] () -- C:\Documents and Settings\Walker\Moje dokumenty\index.html

[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 

========== Files Created - No Company Name ==========

 

[2010-12-25 23:05:59 | 000,000,027 | ---- | C] () -- C:\WINDOWS\lmgrd.ini

[2010-12-25 17:19:03 | 000,001,065 | ---- | C] () -- C:\WINDOWS\winamp.ini

[2010-12-25 17:14:08 | 1062,514,688 | -HS- | C] () -- C:\hiberfil.sys

[2010-12-25 16:56:06 | 000,000,509 | ---- | C] () -- C:\Documents and Settings\All Users\Pulpit\µTorrent.lnk

[2010-12-08 21:44:37 | 000,000,976 | ---- | C] () -- C:\Documents and Settings\Walker\Moje dokumenty\index.html

[2010-10-18 12:16:12 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Walker\Dane aplikacji\wklnhst.dat

[2010-10-18 11:23:15 | 000,108,032 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll

[2010-10-17 18:05:20 | 000,005,632 | ---- | C] () -- C:\Documents and Settings\Walker\Ustawienia lokalne\Dane aplikacji\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010-08-25 19:15:23 | 000,000,432 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini

[2010-08-25 14:33:47 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini

[2010-08-25 12:57:43 | 000,004,293 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI

[2010-08-25 11:13:16 | 000,000,002 | ---- | C] () -- C:\WINDOWS\HotFixList.ini

[2010-08-25 11:11:18 | 000,227,496 | R--- | C] () -- C:\WINDOWS\System32\drivers\SRS_PremiumSound_i386.sys

[2010-08-25 11:08:36 | 000,004,300 | ---- | C] () -- C:\WINDOWS\System32\MEMIO.SYS

[2010-04-12 11:33:12 | 002,860,384 | ---- | C] () -- C:\WINDOWS\System32\btwicons.dll

[2009-09-28 10:22:00 | 000,298,752 | ---- | C] () -- C:\WINDOWS\System32\drivers\yk51x86.sys

[2001-11-14 12:56:00 | 001,802,240 | ---- | C] () -- C:\WINDOWS\System32\lcppn21.dll

 

========== LOP Check ==========

 

[2010-10-18 09:27:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software

[2010-10-18 11:15:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\PlayFirst

[2010-08-25 11:55:31 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\SAMSUNG

[2010-10-18 11:16:38 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Temp

[2010-12-26 00:51:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\WinClon

[2010-08-25 11:12:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\WLAN

[2010-10-18 11:18:04 | 000,000,000 | -HSD | M] -- C:\Documents and Settings\Walker\Dane aplikacji\.#

[2010-12-26 01:31:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Walker\Dane aplikacji\.purple

[2010-10-18 11:28:51 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Walker\Dane aplikacji\OpenOffice.org

[2010-10-18 11:15:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Walker\Dane aplikacji\PlayFirst

[2010-12-25 16:52:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Walker\Dane aplikacji\Runscanner.net

[2010-12-26 11:07:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Walker\Dane aplikacji\uTorrent

 

========== Purity Check ==========

 

 

 

========== Alternate Data Streams ==========

 

@Alternate Data Stream - 143 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Temp:B623B5B8

@Alternate Data Stream - 130 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Temp:4CF61E54

@Alternate Data Stream - 130 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Temp:478FEFC3

@Alternate Data Stream - 124 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Temp:41099CE9

 

< End of report >

Extras.txt :

OTL Extras logfile created on: 2010-12-26 11:04:34 - Run 1

OTL by OldTimer - Version 3.2.17.1 Folder = D:\Programy\Czyszczenie

Windows XP Home Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.5512)

Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

 

1 013,00 Mb Total Physical Memory | 536,00 Mb Available Physical Memory | 53,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 86,00% Paging File free

Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 40,32 Gb Total Space | 14,93 Gb Free Space | 37,02% Space Free | Partition Type: NTFS

Drive D: | 98,72 Gb Total Space | 62,78 Gb Free Space | 63,59% Space Free | Partition Type: NTFS

 

Computer Name: MICHAL | User Name: Walker | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 

========== Extra Registry (SafeList) ==========

 

 

========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

 

[HKEY_USERS\S-1-5-21-152598387-3023877159-1122697960-1005\SOFTWARE\Classes\<extension>]

.html [@ = FirefoxHTML] -- D:\Programy\Mozilla Firefox\firefox.exe (Mozilla Corporation)

 

========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

exefile [open] -- "%1" %*

htmlfile [edit] -- Reg Error: Key error.

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Directory [Winamp.Bookmark] -- "D:\Programy\Winamp\Winamp.exe" /BOOKMARK "%1" (Nullsoft)

Directory [Winamp.Enqueue] -- "D:\Programy\Winamp\Winamp.exe" /ADD "%1" (Nullsoft)

Directory [Winamp.Play] -- "D:\Programy\Winamp\Winamp.exe" "%1" (Nullsoft)

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 

========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusDisableNotify" = 1

"FirewallDisableNotify" = 1

"UpdatesDisableNotify" = 1

"AntiVirusOverride" = 1

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 

========== System Restore Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

"DisableSR" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]

"Start" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]

"Start" = 2

 

========== Firewall Settings ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]

"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004

"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005

"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001

"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 1

"DoNotAllowExceptions" = 0

"DisableNotifications" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007

"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008

"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004

"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005

"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001

"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

"80:TCP" = 80:TCP:*:Enabled:80

 

========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"D:\Programy\utorrent\uTorrent.exe" = D:\Programy\utorrent\uTorrent.exe:*:Enabled:µTorrent -- (BitTorrent, Inc.)

"C:\Program Files\PSCAD421Eval\bin\win\PSCAD.exe" = C:\Program Files\PSCAD421Eval\bin\win\PSCAD.exe:*:Enabled:PSCAD -- (Manitoba HVDC Research Centre)

 

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{145DE957-0679-4A2A-BB5C-1D3E9808FAB2}" = Samsung Recovery Solution 4

"{17283B95-21A8-4996-97DA-547A48DB266F}" = Easy Display Manager

"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

"{1FBEBAAF-A363-458D-8D26-9F61AC98ACC3}" = SRS WOW XT and TSXT

"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 23

"{350C9415-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{421E0F86-B87D-11D8-8496-0050BAC22C49}" = PSCAD 4.2.1 Student/Trial Edition

"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater

"{56B64431-0409-11D5-8481-0050BAC22C49}" = EGCS 1.1.1 (GNU Fortran)

"{6F730513-8688-4C3C-90A3-6B9792CE2EF3}" = Samsung Battery Manager

"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser and SDK

"{71A51BED-E7D3-11DB-A386-005056C00008}" = WebCam SCB-0340N

"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable

"{74A579FB-EB06-497D-B194-01590D6FE51A}" = BatteryLifeExtender

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{8E106A57-A17E-431D-B48F-175E42EB9F74}" = imagine digital freedom - Samsung

"{92D50865-FC60-4EA8-BA7A-5581B0D13EFB}" = ChargeableUSB

"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting

"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2

"{A5C8BFF2-0044-4500-8BB5-BEB0D2335885}" = REALTEK PCIE Wireless LAN Software

"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish

"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation

"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2

"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1

"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2

"{D3F2FAA5-FEC4-42AA-9ABA-1F763919A2B5}" = Samsung Update Plus

"{EF367AA4-070B-493C-9575-85BE59D789C9}" = Easy SpeedUp Manager

"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard

"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver

"{F48BE301-EC78-4686-B580-EE4934558798}" = WIDCOMM Bluetooth Software

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"avast5" = avast! Free Antivirus

"CCleaner" = CCleaner

"Defraggler" = Defraggler

"Elantech" = ETDWare PS/2-x86 7.0.7.0_WHQL

"EVEREST Ultimate Edition_is1" = EVEREST Ultimate Edition v5.50

"ffdshow_is1" = ffdshow v1.1.3611 [2010-10-06]

"HDMI" = Intel® Graphics Media Accelerator Driver

"Karta sieciowa Broadcom 802.11" = Karta sieciowa Broadcom 802.11

"Marvell Miniport Driver" = Marvell Miniport Driver

"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1

"Mozilla Firefox (3.6.10)" = Mozilla Firefox (3.6.10)

"Pidgin" = Pidgin

"uTorrent" = µTorrent

"Winamp" = Winamp (remove only)

"WinRAR archiver" = Archiwizator WinRAR

"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0

 

========== Last 10 Event Log Errors ==========

 

[ Application Events ]

Error - 2010-10-20 07:29:55 | Computer Name = MICHAL | Source = PerfNet | ID = 2004

Description = Nie można otworzyć usługi Server. Dane wydajności usługi Server nie

zostaną zwrócone. Zwrócony kod stanu to dane DWORD 0.

 

Error - 2010-10-20 07:40:45 | Computer Name = MICHAL | Source = PerfNet | ID = 2004

Description = Nie można otworzyć usługi Server. Dane wydajności usługi Server nie

zostaną zwrócone. Zwrócony kod stanu to dane DWORD 0.

 

Error - 2010-12-25 09:52:45 | Computer Name = MICHAL | Source = PerfNet | ID = 2004

Description = Nie można otworzyć usługi Server. Dane wydajności usługi Server nie

zostaną zwrócone. Zwrócony kod stanu to dane DWORD 0.

 

Error - 2010-12-25 11:21:08 | Computer Name = MICHAL | Source = PerfNet | ID = 2004

Description = Nie można otworzyć usługi Server. Dane wydajności usługi Server nie

zostaną zwrócone. Zwrócony kod stanu to dane DWORD 0.

 

Error - 2010-12-25 12:14:17 | Computer Name = MICHAL | Source = PerfNet | ID = 2004

Description = Nie można otworzyć usługi Server. Dane wydajności usługi Server nie

zostaną zwrócone. Zwrócony kod stanu to dane DWORD 0.

 

Error - 2010-12-25 12:32:22 | Computer Name = MICHAL | Source = PerfNet | ID = 2004

Description = Nie można otworzyć usługi Server. Dane wydajności usługi Server nie

zostaną zwrócone. Zwrócony kod stanu to dane DWORD 0.

 

Error - 2010-12-25 17:11:31 | Computer Name = MICHAL | Source = MsiInstaller | ID = 11905

Description = Produkt: Adobe Reader 9.4.0 - Polish -- Błąd 1905.Wyrejestrowanie

modułu D:\Programy\adobe reader\Reader\authplay.dll nie powiodło się HRESULT -2147220472.

Skontaktuj się z obsługą personelu.

 

Error - 2010-12-25 17:14:47 | Computer Name = MICHAL | Source = PerfNet | ID = 2004

Description = Nie można otworzyć usługi Server. Dane wydajności usługi Server nie

zostaną zwrócone. Zwrócony kod stanu to dane DWORD 0.

 

Error - 2010-12-25 17:30:33 | Computer Name = MICHAL | Source = PerfNet | ID = 2004

Description = Nie można otworzyć usługi Server. Dane wydajności usługi Server nie

zostaną zwrócone. Zwrócony kod stanu to dane DWORD 0.

 

Error - 2010-12-26 05:40:09 | Computer Name = MICHAL | Source = PerfNet | ID = 2004

Description = Nie można otworzyć usługi Server. Dane wydajności usługi Server nie

zostaną zwrócone. Zwrócony kod stanu to dane DWORD 0.

 

[ System Events ]

Error - 2010-10-19 09:34:35 | Computer Name = MICHAL | Source = Windows Update Agent | ID = 20

Description = Instalacja nie powiodła się: system Windows nie mógł zainstalować

następującej aktualizacji, ponieważ wystąpił błąd 0x800706ba: Aktualizacja zabezpieczeń

systemu Windows XP (KB981349).

 

Error - 2010-10-19 09:34:35 | Computer Name = MICHAL | Source = Windows Update Agent | ID = 20

Description = Instalacja nie powiodła się: system Windows nie mógł zainstalować

następującej aktualizacji, ponieważ wystąpił błąd 0x800706ba: Aktualizacja dla systemu

Windows XP (KB951978).

 

Error - 2010-10-19 09:34:35 | Computer Name = MICHAL | Source = Windows Update Agent | ID = 20

Description = Instalacja nie powiodła się: system Windows nie mógł zainstalować

następującej aktualizacji, ponieważ wystąpił błąd 0x800706ba: Aktualizacja systemu

Windows XP (KB970430).

 

Error - 2010-10-19 09:34:35 | Computer Name = MICHAL | Source = Windows Update Agent | ID = 20

Description = Instalacja nie powiodła się: system Windows nie mógł zainstalować

następującej aktualizacji, ponieważ wystąpił błąd 0x800706ba: Aktualizacja dla systemu

Windows XP (KB2345886).

 

Error - 2010-12-25 11:52:55 | Computer Name = MICHAL | Source = DCOM | ID = 10000

Description = Nie można uruchomić serwera DCOM: {98D9A6F1-4696-4B5E-A2E8-36B3F9C1E12C}.

Błąd:

"%3"

wystąpił

podczas uruchamiania tego polecenia: "D:\Programy\adobe reader\Reader\AcroRd32Info.exe"

/PDFShell -Embedding

 

Error - 2010-12-25 11:52:55 | Computer Name = MICHAL | Source = DCOM | ID = 10000

Description = Nie można uruchomić serwera DCOM: {98D9A6F1-4696-4B5E-A2E8-36B3F9C1E12C}.

Błąd:

"%3"

wystąpił

podczas uruchamiania tego polecenia: "D:\Programy\adobe reader\Reader\AcroRd32Info.exe"

/PDFShell -Embedding

 

Error - 2010-12-25 12:13:10 | Computer Name = MICHAL | Source = DCOM | ID = 10005

Description = Model DCOM odebrał błąd "%1084" podczas próby uruchomienia usługi

netman z argumentami "" w celu uruchomienia serwera: {BA126AE5-2166-11D1-B1D0-00805FC1270E}

 

Error - 2010-12-25 12:13:11 | Computer Name = MICHAL | Source = DCOM | ID = 10005

Description = Model DCOM odebrał błąd "%1084" podczas próby uruchomienia usługi

StiSvc z argumentami "" w celu uruchomienia serwera: {A1F4E726-8CF1-11D1-BF92-0060081ED811}

 

Error - 2010-12-25 12:13:18 | Computer Name = MICHAL | Source = DCOM | ID = 10005

Description = Model DCOM odebrał błąd "%1084" podczas próby uruchomienia usługi

EventSystem z argumentami "" w celu uruchomienia serwera: {1BE1F766-5536-11D1-B726-00C04FB926AF}

 

Error - 2010-12-25 12:13:36 | Computer Name = MICHAL | Source = DCOM | ID = 10005

Description = Model DCOM odebrał błąd "%1084" podczas próby uruchomienia usługi

EventSystem z argumentami "" w celu uruchomienia serwera: {1BE1F766-5536-11D1-B726-00C04FB926AF}

 

 

< End of report >

PS: Log z gmera jest w trakcie generacji

 

EDIT: Log z gmera:

GMER 1.0.15.15530 - http://www.gmer.net

Rootkit scan 2010-12-26 11:37:20

Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 Hitachi_HTS545016B9A300 rev.PBBOC66G

Running: pe04zk7l.exe; Driver: C:\DOCUME~1\Walker\USTAWI~1\Temp\uwtdypow.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwClose [0xA9E7BCF0]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateKey [0xA9E7BBAC]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDeleteKey [0xA9E7C160]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDeleteValueKey [0xA9E7C08A]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwDuplicateObject [0xA9E7B782]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenKey [0xA9E7BC86]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenProcess [0xA9E7B6C2]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwOpenThread [0xA9E7B726]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwQueryValueKey [0xA9E7BDA6]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwRenameKey [0xA9E7C22E]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwRestoreKey [0xA9E7BD66]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwSetValueKey [0xA9E7BEE6]

 

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateProcessEx [0xA9E88BAE]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwCreateSection [0xA9E889D2]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ZwLoadDriver [0xA9E88B0C]

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) NtCreateSection

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObInsertObject

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software) ObMakeTemporaryObject

 

---- Kernel code sections - GMER 1.0.15 ----

 

PAGE ntkrnlpa.exe!ZwLoadDriver 8058413A 7 Bytes JMP A9E88B10 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)

PAGE ntkrnlpa.exe!NtCreateSection 805AB38E 7 Bytes JMP A9E889D6 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)

PAGE ntkrnlpa.exe!ObMakeTemporaryObject 805BC502 5 Bytes JMP A9E845D4 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)

PAGE ntkrnlpa.exe!ObInsertObject 805C2F86 5 Bytes JMP A9E85FFA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)

PAGE ntkrnlpa.exe!ZwCreateProcessEx 805D1134 7 Bytes JMP A9E88BB2 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)

 

---- User code sections - GMER 1.0.15 ----

 

.text D:\Programy\avast\AvastSvc.exe[1664] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 4 Bytes [C2, 04, 00, 90] {RET 0x4; NOP }

 

---- Devices - GMER 1.0.15 ----

 

Device aswSP.SYS (avast! self protection module/AVAST Software)

Device Ntfs.sys (NT File System Driver/Microsoft Corporation)

 

AttachedDevice \Driver\Tcpip \Device\Tcp aswRdr.SYS (avast! TDI RDR Driver/AVAST Software)

 

Device mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)

 

---- EOF - GMER 1.0.15 ----

PS: obawiam się, że avast nie chciał się kompletnie wyłączyć, dlatego jeśli GMER nie wykonał prawidłowego badania to prosze mnie upomnieć i pomoc w wylaczeniu avasta. :]

[picasso]

Jak mniemam nie ma tu żadnych problemów? Wykonaj jeszcze aktualizację do stanu Internet Explorer 8. To ma wagę dla bezpieczeństwa systemu, komponent jest silnie zintegrowany z Windows. Nie ma znaczenia, że z niego nie korzystasz "ręcznie" (system i programy używają silnik IE bez Twojej interwencji).

 

A to skrypt, po którym nie chciał się uruchomić netbook

 

W skrypcie tym jako takim nie ma błędu, który prowadzi do niestartującego systemu. Jeśli po tym skrypcie przestał startować system, stało się coś innego i był to niefortunny zbieg okoliczności. Ten restart systemu musiał być w jakiś sposób nieprawidłowy. Ale są tu owszem dziwne działania:

 

1. Zestaw w :Commands nie jest prawidłowy (skoro jest [emtyptemp] automatycznie resetujący system, reszta nie ma sensu).

 

2. Usuwanie plików *.tmp:

 

C:\Documents and Settings\All Users\Dane aplikacji\*.tmp
C:\WINDOWS\System32\*.tmp
C:\WINDOWS\*.tmp

Z wyjątkiem pierwszej, dwie pozostałe bez sensu. Komenda [emptytemp] już uwzględnia usuwanie luźnych plików *.tmp. Typowy odczyt z tej komendy co jest przetwarzane:

 

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 483 bytes
RecycleBin emptied: 0 bytes

3. Nie wiadomo też co u licha mieli na myśli dając usuwanie wszystkich plików Harmonogramu: C:\WINDOWS\tasks\*.job. Jakie podstawy były do tego kroku. Tym bardziej, że niedomyślny skan i tak miał zwrot zero zablokowanych:

 

 

 

 

.

[Walkerowy]

Ok w takim razie, czy po tych skanach mogę wykonać pełną kopię zapasową dysku C:?

[picasso]

Ok w takim razie, czy po tych skanach mogę wykonać pełną kopię zapasową dysku C:?

 

Nie widzę przeciwskazań. W końcu to już jest system zrzucony przez Recovery i tylko uzupełniony o oprogramowanie wtórne.