Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
prosze o spr loga
29 Sty 2009, 22:06
ComboFix 09-01-21.04 - admin 2009-01-29 20:14:37.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.2038.841 [GMT 1:00]
Uruchomiony z: c:\documents and settings\admin\Pulpit\ComboFix.exe
.
((((((((((((((((((((((((( Pliki utworzone od 2008-12-28 do 2009-01-29 )))))))))))))))))))))))))))))))
.
2010-10-06 19:53 . 2008-07-09 04:05 129,520 --------- c:\windows\system32\pxafs.dll
2010-10-06 19:53 . 2008-07-09 04:05 120,568 --------- c:\windows\system32\pxcpyi64.exe
2010-10-06 19:53 . 2008-07-09 04:05 118,256 --------- c:\windows\system32\pxinsi64.exe
2009-11-25 19:00 . 2001-06-12 23:02 50,688 --a------ c:\windows\system32\DR_MX_BUTTON_CONTROLL.OCX
2009-11-25 19:00 . 2001-07-13 02:22 49,152 --a------ c:\windows\system32\DR_BUTTON_CONTROLL.OCX
2009-11-25 19:00 . 2001-07-13 02:00 32,768 --a------ c:\windows\system32\HPROP.OCX
2009-11-25 19:00 . 2001-04-25 22:33 18,944 --a------ c:\windows\system32\BEVELBOX.OCX
2009-11-25 18:53 . 1997-01-16 00:00 71,680 --a------ c:\windows\ST5UNST.EXE
2009-01-22 18:19 . 2009-01-22 18:58 <DIR> d-------- c:\documents and settings\TEMP\Gadu-Gadu
2009-01-22 18:11 . 2009-01-29 20:19 <DIR> d--h----- c:\documents and settings\TEMP\Ustawienia lokalne
2009-01-22 18:11 . 2009-01-22 18:13 <DIR> dr------- c:\documents and settings\TEMP\Ulubione
2009-01-22 18:11 . 2006-08-11 20:40 <DIR> d--h----- c:\documents and settings\TEMP\Szablony
2009-01-22 18:11 . 2009-01-23 16:35 <DIR> d-------- c:\documents and settings\TEMP\Pulpit
2009-01-22 18:11 . 2009-01-22 18:13 <DIR> dr------- c:\documents and settings\TEMP\Moje dokumenty
2009-01-22 18:11 . 2006-08-11 22:34 <DIR> dr------- c:\documents and settings\TEMP\Menu Start
2009-01-22 18:11 . 2009-01-22 18:59 <DIR> dr-h----- c:\documents and settings\TEMP\Dane aplikacji
2009-01-22 18:11 . 2009-01-22 18:19 <DIR> d-------- c:\documents and settings\TEMP
2009-01-19 11:13 . 2009-01-19 12:39 <DIR> d-------- c:\program files\kED
2009-01-15 19:55 . 2009-01-15 19:53 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-15 16:53 . 2009-01-15 16:53 <DIR> d-------- c:\windows\system32\IOSUBSYS
2009-01-15 15:55 . 2009-01-15 15:55 <DIR> d--hs---- C:\found.001
2009-01-14 22:41 . 2009-01-14 22:41 <DIR> d-------- c:\documents and settings\admin\Dane aplikacji\Gzegzolka XP
2009-01-09 09:23 . 2009-01-15 18:17 664 --a------ c:\windows\system32\d3d9caps.dat
2009-01-07 09:03 . 2009-01-16 17:06 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\ipla
2009-01-07 09:03 . 2009-01-16 17:06 <DIR> d-------- c:\documents and settings\admin\Dane aplikacji\ipla
2009-01-07 09:00 . 2009-01-07 09:00 1,700,352 --a------ c:\windows\system32\gdiplus.dll
2009-01-05 23:33 . 2009-01-05 23:33 3,751,995 --a------ c:\windows\system32\GPhotos.scr
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-29 18:59 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\PrevxCSI
2009-01-29 16:56 26,808 ----a-w c:\windows\system32\drivers\pxark.sys
2009-01-28 12:41 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\VMware
2009-01-28 12:17 --------- d-----w c:\program files\Java
2009-01-27 14:14 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2009-01-26 06:37 --------- d-----w c:\documents and settings\LocalService\Dane aplikacji\VMware
2009-01-25 10:14 --------- d---a-w c:\documents and settings\All Users\Dane aplikacji\TEMP
2009-01-15 15:51 --------- d-----w c:\program files\Google
2009-01-15 14:04 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-12-22 19:47 --------- d-----w c:\program files\MySQL-Front
2008-12-22 16:40 --------- d-----w c:\documents and settings\admin\Dane aplikacji\MySQL-Front
2008-12-21 20:05 --------- d-----w c:\documents and settings\admin\Dane aplikacji\Skype
2008-12-11 11:57 333,184 ----a-w c:\windows\system32\drivers\srv.sys
2008-06-27 14:55 14,290 ----a-w c:\program files\settings.dat
2007-10-12 12:11 48,232 ----a-w c:\documents and settings\admin\Dane aplikacji\GDIPFONTCACHEV1.DAT
2006-08-16 17:47 21,290,704 -c--a-w c:\program files\AdbeRdr708_en_US.exe
2006-08-15 07:03 149,389 ----a-w c:\program files\kurs_php_UnderPL.org.zip
2006-08-11 21:04 10,269,480 -c--a-w c:\program files\Onet-SkypeSetup.exe
2006-08-11 20:39 3,891,190 -c--a-w c:\program files\gg71.exe
2006-07-10 10:24 5,227,896 -c--a-w c:\program files\Firefox Setup 1.5.0.4.exe
2006-07-10 08:04 10,380,799 -c--a-w c:\program files\JAlbum-install.exe
2006-03-14 23:06 1,821,008 -c--a-w c:\program files\instmsiw.exe
2006-03-14 23:06 1,707,856 -c--a-w c:\program files\instmsia.exe
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu"="c:\documents and settings\All Users\Dokumenty\Gadu-Gadu\gg.exe" [2007-05-10 2111176]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY" [X]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-01-23 126976]
"epm-dm"="c:\acer\epm\epm-dm.exe" [2005-06-01 192512]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-02-04 102490]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-01-23 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-15 136600]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 c:\windows\SOUNDMAN.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\TP-LINK
TL-WN322G Wireless Utility.lnk - c:\program files\TP-LINK\TL-WN322G Wireless Utility\ZDWlan.exe [2008-12-07 491520]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updatemgr]
-ra------ 2006-03-30 15:45 313472 c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"OracleServiceORCL"=2 (0x2)
"OracleOraDb10g_home2TNSListener"=2 (0x2)
"OracleOraDb10g_home2iSQL*Plus"=2 (0x2)
"OracleoraclHTTPServer"=2 (0x2)
"OracleoraclClientCache80"=3 (0x3)
"OracleDBConsoleorcl"=2 (0x2)
"Oracle WebDb Listener"=2 (0x2)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"=c:\program files\Winamp\winampa.exe
"vmware-tray"=d:\vmware workstation\vmware-tray.exe
"VMware hqtray"="d:\vmware workstation\hqtray.exe"
"NeroFilterCheck"=c:\program files\Common Files\Nero\Lib\NeroCheck.exe
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"EPM-DM"=c:\acer\epm\epm-dm.exe
"ACU"="c:\program files\Atheros\ACU.exe" -nogui
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"\\\\BARNABA\\acer (c)\\Program Files\\eMule\\emule.exe"=
"c:\\usr\\apache\\Apache.exe"=
"c:\\usr\\SMTP Server\\localsrv.exe"=
"c:\\Program Files\\Macromedia\\Dreamweaver 8\\Dreamweaver.exe"=
"c:\\Program Files\\TC PowerPack\\TOTALCMD.EXE"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Documents and Settings\\All Users\\Dokumenty\\Gadu-Gadu\\gg.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8461:TCP"= 8461:TCP:GoD High Port
"8462:TCP"= 8462:TCP:GoD Low Port
R3 zd1211bu(tp-link);TL-WN322G Wireless USB Adapter Driver(TP-LINK);c:\windows\system32\drivers\ZD1211BU.sys [2008-09-21 500736]
R4 CSIScanner;CSIScanner;c:\program files\PrevxCSI\prevxcsi.exe [2008-11-14 927288]
R4 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2006-08-11 4096]
R4 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2006-08-11 78208]
R4 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys [2005-01-14 4010]
S?0 pxark;pxark;c:\windows\system32\drivers\pxark.sys [2008-11-14 26808]
S1 47973f2a;47973f2a;c:\windows\system32\drivers\47973f2a.sys [2008-08-30 0]
S3 cpuz129;cpuz129;\??\c:\docume~1\admin\USTAWI~1\Temp\cpuz_x32.sys --> c:\docume~1\admin\USTAWI~1\Temp\cpuz_x32.sys [?]
S3 PCANDIS5_RETWIFI;PCANDIS5_RETWIFI Protocol Driver;\??\c:\progra~1\EEYEDI~1\RETINA~1\PCANDIS5_RETWIFI.SYS --> c:\progra~1\EEYEDI~1\RETINA~1\PCANDIS5_RETWIFI.SYS [?]
S3 PCANDIS5_WIFISCAN.SYS;PCANDIS5_WIFISCAN.SYS;\??\c:\program files\eEye Digital Security\Retina Wireless Scanner\PCANDIS5_WIFISCAN.SYS --> c:\program files\eEye Digital Security\Retina Wireless Scanner\PCANDIS5_WIFISCAN.SYS [?]
S3 POWERKEY;POWERKEY;\??\c:\program files\Launch Manager\POWERKEY.sys --> c:\program files\Launch Manager\POWERKEY.sys [?]
S4 OracleJobSchedulerORCL;OracleJobSchedulerORCL;c:\oracle\product\10.2.0\db_2\Bin\extjob.exe ORCL --> c:\oracle\product\10.2.0\db_2\Bin\extjob.exe ORCL [?]
S4 OracleoraclClientCache80;OracleoraclClientCache80;d:\oracle\bin\ONRSD80.EXE [1999-11-23 101136]
S4 OracleoraclHTTPServer;OracleoraclHTTPServer;d:\oracle\Apache\Apache\Apache.exe --> d:\oracle\Apache\Apache\Apache.exe [?]
S4 OracleOraDb10g_home2iSQL*Plus;OracleOraDb10g_home2iSQL*Plus;c:\oracle\product\10.2.0\db_2\bin\isqlplussvc.exe --> c:\oracle\product\10.2.0\db_2\bin\isqlplussvc.exe [?]
S4 OracleOraDb10g_home2TNSListener;OracleOraDb10g_home2TNSListener;c:\oracle\product\10.2.0\db_2\BIN\TNSLSNR --> c:\oracle\product\10.2.0\db_2\BIN\TNSLSNR [?]
S4 OracleServiceORCL;OracleServiceORCL;c:\oracle\product\10.2.0\db_2\bin\ORACLE.EXE ORCL --> c:\oracle\product\10.2.0\db_2\bin\ORACLE.EXE ORCL [?]
--- Inne Usługi/Sterowniki w Pamięci ---
*Deregistered* - hcmon
*Deregistered* - VMnetBridge
*Deregistered* - VMnetuserif
*Deregistered* - vmx86
*Deregistered* - vstor2
*Deregistered* - vstor2-ws60
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://google.pl/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\ipk8jqj8.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-29 20:20:25
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\controlset005\Services\MySql]
"ImagePath"="c:/usr/mysql/bin/mysqld-max.exe"
[HKEY_LOCAL_MACHINE\System\controlset005\Services\MySql]
"ImagePath"="c:/usr/mysql/bin/mysqld-max.exe"
[HKEY_LOCAL_MACHINE\System\controlset005\Services\OracleOraDb10g_home2TNSListener]
"ImagePath"="c:\oracle\product\10.2.0\db_2\BIN\TNSLSNR "
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(776)
c:\windows\System32\BCMLogon.dll
c:\windows\system32\igfxsrvc.dll
c:\windows\system32\hccutils.DLL
.
Czas ukończenia: 2009-01-29 20:26:38
ComboFix-quarantined-files.txt 2009-01-29 19:25:56
Przed: 711,094,272 bajtów wolnych
Po: 744,792,064 bajtów wolnych
Current=5 Default=5 Failed=4 LastKnownGood=2 Sets=1,2,3,4,5,6
181 --- E O F --- 2009-01-16 08:07:29
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.2038.841 [GMT 1:00]
Uruchomiony z: c:\documents and settings\admin\Pulpit\ComboFix.exe
.
((((((((((((((((((((((((( Pliki utworzone od 2008-12-28 do 2009-01-29 )))))))))))))))))))))))))))))))
.
2010-10-06 19:53 . 2008-07-09 04:05 129,520 --------- c:\windows\system32\pxafs.dll
2010-10-06 19:53 . 2008-07-09 04:05 120,568 --------- c:\windows\system32\pxcpyi64.exe
2010-10-06 19:53 . 2008-07-09 04:05 118,256 --------- c:\windows\system32\pxinsi64.exe
2009-11-25 19:00 . 2001-06-12 23:02 50,688 --a------ c:\windows\system32\DR_MX_BUTTON_CONTROLL.OCX
2009-11-25 19:00 . 2001-07-13 02:22 49,152 --a------ c:\windows\system32\DR_BUTTON_CONTROLL.OCX
2009-11-25 19:00 . 2001-07-13 02:00 32,768 --a------ c:\windows\system32\HPROP.OCX
2009-11-25 19:00 . 2001-04-25 22:33 18,944 --a------ c:\windows\system32\BEVELBOX.OCX
2009-11-25 18:53 . 1997-01-16 00:00 71,680 --a------ c:\windows\ST5UNST.EXE
2009-01-22 18:19 . 2009-01-22 18:58 <DIR> d-------- c:\documents and settings\TEMP\Gadu-Gadu
2009-01-22 18:11 . 2009-01-29 20:19 <DIR> d--h----- c:\documents and settings\TEMP\Ustawienia lokalne
2009-01-22 18:11 . 2009-01-22 18:13 <DIR> dr------- c:\documents and settings\TEMP\Ulubione
2009-01-22 18:11 . 2006-08-11 20:40 <DIR> d--h----- c:\documents and settings\TEMP\Szablony
2009-01-22 18:11 . 2009-01-23 16:35 <DIR> d-------- c:\documents and settings\TEMP\Pulpit
2009-01-22 18:11 . 2009-01-22 18:13 <DIR> dr------- c:\documents and settings\TEMP\Moje dokumenty
2009-01-22 18:11 . 2006-08-11 22:34 <DIR> dr------- c:\documents and settings\TEMP\Menu Start
2009-01-22 18:11 . 2009-01-22 18:59 <DIR> dr-h----- c:\documents and settings\TEMP\Dane aplikacji
2009-01-22 18:11 . 2009-01-22 18:19 <DIR> d-------- c:\documents and settings\TEMP
2009-01-19 11:13 . 2009-01-19 12:39 <DIR> d-------- c:\program files\kED
2009-01-15 19:55 . 2009-01-15 19:53 410,984 --a------ c:\windows\system32\deploytk.dll
2009-01-15 16:53 . 2009-01-15 16:53 <DIR> d-------- c:\windows\system32\IOSUBSYS
2009-01-15 15:55 . 2009-01-15 15:55 <DIR> d--hs---- C:\found.001
2009-01-14 22:41 . 2009-01-14 22:41 <DIR> d-------- c:\documents and settings\admin\Dane aplikacji\Gzegzolka XP
2009-01-09 09:23 . 2009-01-15 18:17 664 --a------ c:\windows\system32\d3d9caps.dat
2009-01-07 09:03 . 2009-01-16 17:06 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\ipla
2009-01-07 09:03 . 2009-01-16 17:06 <DIR> d-------- c:\documents and settings\admin\Dane aplikacji\ipla
2009-01-07 09:00 . 2009-01-07 09:00 1,700,352 --a------ c:\windows\system32\gdiplus.dll
2009-01-05 23:33 . 2009-01-05 23:33 3,751,995 --a------ c:\windows\system32\GPhotos.scr
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-29 18:59 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\PrevxCSI
2009-01-29 16:56 26,808 ----a-w c:\windows\system32\drivers\pxark.sys
2009-01-28 12:41 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\VMware
2009-01-28 12:17 --------- d-----w c:\program files\Java
2009-01-27 14:14 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2009-01-26 06:37 --------- d-----w c:\documents and settings\LocalService\Dane aplikacji\VMware
2009-01-25 10:14 --------- d---a-w c:\documents and settings\All Users\Dane aplikacji\TEMP
2009-01-15 15:51 --------- d-----w c:\program files\Google
2009-01-15 14:04 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-12-22 19:47 --------- d-----w c:\program files\MySQL-Front
2008-12-22 16:40 --------- d-----w c:\documents and settings\admin\Dane aplikacji\MySQL-Front
2008-12-21 20:05 --------- d-----w c:\documents and settings\admin\Dane aplikacji\Skype
2008-12-11 11:57 333,184 ----a-w c:\windows\system32\drivers\srv.sys
2008-06-27 14:55 14,290 ----a-w c:\program files\settings.dat
2007-10-12 12:11 48,232 ----a-w c:\documents and settings\admin\Dane aplikacji\GDIPFONTCACHEV1.DAT
2006-08-16 17:47 21,290,704 -c--a-w c:\program files\AdbeRdr708_en_US.exe
2006-08-15 07:03 149,389 ----a-w c:\program files\kurs_php_UnderPL.org.zip
2006-08-11 21:04 10,269,480 -c--a-w c:\program files\Onet-SkypeSetup.exe
2006-08-11 20:39 3,891,190 -c--a-w c:\program files\gg71.exe
2006-07-10 10:24 5,227,896 -c--a-w c:\program files\Firefox Setup 1.5.0.4.exe
2006-07-10 08:04 10,380,799 -c--a-w c:\program files\JAlbum-install.exe
2006-03-14 23:06 1,821,008 -c--a-w c:\program files\instmsiw.exe
2006-03-14 23:06 1,707,856 -c--a-w c:\program files\instmsia.exe
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu"="c:\documents and settings\All Users\Dokumenty\Gadu-Gadu\gg.exe" [2007-05-10 2111176]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY" [X]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-01-23 126976]
"epm-dm"="c:\acer\epm\epm-dm.exe" [2005-06-01 192512]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-02-04 102490]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-01-23 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-01-15 136600]
"SoundMan"="SOUNDMAN.EXE" [2005-04-15 c:\windows\SOUNDMAN.EXE]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\TP-LINK
TL-WN322G Wireless Utility.lnk - c:\program files\TP-LINK\TL-WN322G Wireless Utility\ZDWlan.exe [2008-12-07 491520]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updatemgr]
-ra------ 2006-03-30 15:45 313472 c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"OracleServiceORCL"=2 (0x2)
"OracleOraDb10g_home2TNSListener"=2 (0x2)
"OracleOraDb10g_home2iSQL*Plus"=2 (0x2)
"OracleoraclHTTPServer"=2 (0x2)
"OracleoraclClientCache80"=3 (0x3)
"OracleDBConsoleorcl"=2 (0x2)
"Oracle WebDb Listener"=2 (0x2)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"=c:\program files\Winamp\winampa.exe
"vmware-tray"=d:\vmware workstation\vmware-tray.exe
"VMware hqtray"="d:\vmware workstation\hqtray.exe"
"NeroFilterCheck"=c:\program files\Common Files\Nero\Lib\NeroCheck.exe
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"EPM-DM"=c:\acer\epm\epm-dm.exe
"ACU"="c:\program files\Atheros\ACU.exe" -nogui
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"\\\\BARNABA\\acer (c)\\Program Files\\eMule\\emule.exe"=
"c:\\usr\\apache\\Apache.exe"=
"c:\\usr\\SMTP Server\\localsrv.exe"=
"c:\\Program Files\\Macromedia\\Dreamweaver 8\\Dreamweaver.exe"=
"c:\\Program Files\\TC PowerPack\\TOTALCMD.EXE"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Documents and Settings\\All Users\\Dokumenty\\Gadu-Gadu\\gg.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8461:TCP"= 8461:TCP:GoD High Port
"8462:TCP"= 8462:TCP:GoD Low Port
R3 zd1211bu(tp-link);TL-WN322G Wireless USB Adapter Driver(TP-LINK);c:\windows\system32\drivers\ZD1211BU.sys [2008-09-21 500736]
R4 CSIScanner;CSIScanner;c:\program files\PrevxCSI\prevxcsi.exe [2008-11-14 927288]
R4 EpmPsd;Acer EPM Power Scheme Driver;c:\windows\system32\drivers\epm-psd.sys [2006-08-11 4096]
R4 EpmShd;Acer EPM System Hardware Driver;c:\windows\system32\drivers\epm-shd.sys [2006-08-11 78208]
R4 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys [2005-01-14 4010]
S?0 pxark;pxark;c:\windows\system32\drivers\pxark.sys [2008-11-14 26808]
S1 47973f2a;47973f2a;c:\windows\system32\drivers\47973f2a.sys [2008-08-30 0]
S3 cpuz129;cpuz129;\??\c:\docume~1\admin\USTAWI~1\Temp\cpuz_x32.sys --> c:\docume~1\admin\USTAWI~1\Temp\cpuz_x32.sys [?]
S3 PCANDIS5_RETWIFI;PCANDIS5_RETWIFI Protocol Driver;\??\c:\progra~1\EEYEDI~1\RETINA~1\PCANDIS5_RETWIFI.SYS --> c:\progra~1\EEYEDI~1\RETINA~1\PCANDIS5_RETWIFI.SYS [?]
S3 PCANDIS5_WIFISCAN.SYS;PCANDIS5_WIFISCAN.SYS;\??\c:\program files\eEye Digital Security\Retina Wireless Scanner\PCANDIS5_WIFISCAN.SYS --> c:\program files\eEye Digital Security\Retina Wireless Scanner\PCANDIS5_WIFISCAN.SYS [?]
S3 POWERKEY;POWERKEY;\??\c:\program files\Launch Manager\POWERKEY.sys --> c:\program files\Launch Manager\POWERKEY.sys [?]
S4 OracleJobSchedulerORCL;OracleJobSchedulerORCL;c:\oracle\product\10.2.0\db_2\Bin\extjob.exe ORCL --> c:\oracle\product\10.2.0\db_2\Bin\extjob.exe ORCL [?]
S4 OracleoraclClientCache80;OracleoraclClientCache80;d:\oracle\bin\ONRSD80.EXE [1999-11-23 101136]
S4 OracleoraclHTTPServer;OracleoraclHTTPServer;d:\oracle\Apache\Apache\Apache.exe --> d:\oracle\Apache\Apache\Apache.exe [?]
S4 OracleOraDb10g_home2iSQL*Plus;OracleOraDb10g_home2iSQL*Plus;c:\oracle\product\10.2.0\db_2\bin\isqlplussvc.exe --> c:\oracle\product\10.2.0\db_2\bin\isqlplussvc.exe [?]
S4 OracleOraDb10g_home2TNSListener;OracleOraDb10g_home2TNSListener;c:\oracle\product\10.2.0\db_2\BIN\TNSLSNR --> c:\oracle\product\10.2.0\db_2\BIN\TNSLSNR [?]
S4 OracleServiceORCL;OracleServiceORCL;c:\oracle\product\10.2.0\db_2\bin\ORACLE.EXE ORCL --> c:\oracle\product\10.2.0\db_2\bin\ORACLE.EXE ORCL [?]
--- Inne Usługi/Sterowniki w Pamięci ---
*Deregistered* - hcmon
*Deregistered* - VMnetBridge
*Deregistered* - VMnetuserif
*Deregistered* - vmx86
*Deregistered* - vstor2
*Deregistered* - vstor2-ws60
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://google.pl/
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\ipk8jqj8.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-29 20:20:25
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\controlset005\Services\MySql]
"ImagePath"="c:/usr/mysql/bin/mysqld-max.exe"
[HKEY_LOCAL_MACHINE\System\controlset005\Services\MySql]
"ImagePath"="c:/usr/mysql/bin/mysqld-max.exe"
[HKEY_LOCAL_MACHINE\System\controlset005\Services\OracleOraDb10g_home2TNSListener]
"ImagePath"="c:\oracle\product\10.2.0\db_2\BIN\TNSLSNR "
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(776)
c:\windows\System32\BCMLogon.dll
c:\windows\system32\igfxsrvc.dll
c:\windows\system32\hccutils.DLL
.
Czas ukończenia: 2009-01-29 20:26:38
ComboFix-quarantined-files.txt 2009-01-29 19:25:56
Przed: 711,094,272 bajtów wolnych
Po: 744,792,064 bajtów wolnych
Current=5 Default=5 Failed=4 LastKnownGood=2 Sets=1,2,3,4,5,6
181 --- E O F --- 2009-01-16 08:07:29
Re: prosze o spr loga
01 Lut 2009, 19:11
Pobierz Malwarebytes' Anti-Malware Uruchom pełne skanowanie. Jeżeli coś znajdzie, to usuń. Następnie daj log na forum.
Przeskanuj system programem SDFix i daj raport z niego. Instrukcja
viewtopic.php?f=22&t=13967
Logi dajesz na wklej.org lub wklej.eu a w poście podajesz tylko link.
Po tym daj nowy log z Combofixa.
Przeskanuj system programem SDFix i daj raport z niego. Instrukcja
viewtopic.php?f=22&t=13967Logi dajesz na wklej.org lub wklej.eu a w poście podajesz tylko link.
Po tym daj nowy log z Combofixa.