Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Prosze o sprawdzenie loga
22 Sty 2010, 22:23
ComboFix 10-01-21.08 - mariusz 2010-01-22 21:19:54.1.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.3583.2848 [GMT 1:00]
Uruchomiony z: c:\documents and settings\mariusz\Moje dokumenty\Pobieranie\ComboFix.exe
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\ieuinit.inf
.
((((((((((((((((((((((((( Pliki utworzone od 2009-12-22 do 2010-01-22 )))))))))))))))))))))))))))))))
.
2010-01-22 12:07 . 2010-01-22 12:07 -------- d-----w- c:\documents and settings\monika.DOM-497FD488F79\Ustawienia lokalne\Dane aplikacji\Identities
2010-01-21 19:19 . 2010-01-21 19:20 -------- d-----w- c:\documents and settings\mariusz\Ustawienia lokalne\Dane aplikacji\Adobe
2010-01-21 19:19 . 2010-01-21 19:19 -------- d-----w- c:\program files\Common Files\Adobe
2010-01-20 15:47 . 2010-01-22 19:56 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\skypePM
2010-01-20 15:47 . 2010-01-20 15:47 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-01-20 15:41 . 2010-01-22 19:57 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\Skype
2010-01-20 15:40 . 2010-01-20 15:40 -------- d-----w- c:\program files\Common Files\Skype
2010-01-20 15:39 . 2010-01-20 15:40 -------- d-----r- c:\program files\Skype
2010-01-20 15:39 . 2010-01-20 15:39 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Skype
2010-01-20 09:19 . 2010-01-20 09:19 -------- d-----w- c:\documents and settings\monika.DOM-497FD488F79\Ustawienia lokalne\Dane aplikacji\cache
2010-01-20 09:18 . 2010-01-20 09:18 -------- d-----w- c:\documents and settings\monika.DOM-497FD488F79\Dane aplikacji\Gadu-Gadu 10
2010-01-19 21:29 . 2010-01-19 21:29 -------- d-----w- c:\documents and settings\monika.DOM-497FD488F79\Ustawienia lokalne\Dane aplikacji\Mozilla
2010-01-19 21:23 . 2010-01-19 21:23 -------- d-s---w- c:\documents and settings\monika.DOM-497FD488F79\UserData
2010-01-19 18:59 . 2004-08-03 22:08 26496 -c--a-w- c:\windows\system32\dllcache\usbstor.sys
2010-01-19 18:59 . 2004-08-03 22:08 31616 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2010-01-19 18:59 . 2004-08-03 22:08 31616 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2010-01-19 15:10 . 2010-01-19 15:10 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\Tibia
2010-01-19 14:38 . 2010-01-19 14:38 -------- d-----w- c:\documents and settings\mariusz\Ustawienia lokalne\Dane aplikacji\cache
2010-01-19 14:38 . 2010-01-22 19:56 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\ipla
2010-01-19 14:38 . 2010-01-19 14:38 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ipla
2010-01-19 14:37 . 2010-01-19 14:38 -------- d-----w- c:\program files\ipla
2010-01-19 14:37 . 2010-01-19 14:37 348160 ----a-w- c:\windows\system32\Msvcr71.dll
2010-01-19 14:37 . 2010-01-19 14:37 1700352 ----a-w- c:\windows\system32\gdiplus.dll
2010-01-19 14:37 . 2010-01-19 14:37 1060864 ----a-w- c:\windows\system32\mfc71.dll
2010-01-19 14:33 . 2010-01-19 14:39 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\Gadu-Gadu 10
2010-01-19 14:24 . 2010-01-19 14:24 0 ----a-w- c:\windows\nsreg.dat
2010-01-19 14:24 . 2010-01-19 14:24 -------- d-----w- c:\documents and settings\mariusz\Ustawienia lokalne\Dane aplikacji\Mozilla
2010-01-19 14:19 . 2010-01-19 14:19 -------- d-s---w- c:\documents and settings\mariusz\UserData
2010-01-16 14:59 . 2010-01-16 09:20 -------- d--h--w- c:\documents and settings\monika\Ustawienia lokalne
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-19 15:30 . 2010-01-16 08:45 15600 ----a-w- c:\windows\gdrv.sys
2010-01-18 11:04 . 2010-01-18 11:04 12328 ----a-w- c:\documents and settings\monika.DOM-497FD488F79\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2010-01-18 11:04 . 2010-01-18 11:04 -------- d-----w- c:\documents and settings\monika.DOM-497FD488F79\Dane aplikacji\ATI
2010-01-16 09:11 . 2001-10-26 17:15 74450 ----a-w- c:\windows\system32\perfc015.dat
2010-01-16 09:11 . 2001-10-26 17:15 448348 ----a-w- c:\windows\system32\perfh015.dat
2010-01-16 09:05 . 2010-01-16 08:30 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-01-16 08:53 . 2010-01-16 08:53 -------- d-----w- c:\program files\Realtek
2010-01-16 08:53 . 2010-01-16 08:38 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-16 08:53 . 2010-01-16 08:53 315392 ----a-w- c:\windows\HideWin.exe
2010-01-16 08:52 . 2010-01-16 08:52 -------- d-----w- c:\program files\DIFX
2010-01-16 08:47 . 2010-01-16 08:47 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\InstallShield
2010-01-16 08:45 . 2010-01-16 08:45 12328 ----a-w- c:\documents and settings\mariusz\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2010-01-16 08:45 . 2010-01-16 08:45 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\ATI
2010-01-16 08:45 . 2010-01-16 08:45 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ATI
2010-01-16 08:44 . 2010-01-16 08:44 0 ----a-w- c:\windows\ativpsrm.bin
2010-01-16 08:43 . 2010-01-16 08:38 -------- d-----w- c:\program files\ATI Technologies
2010-01-16 08:41 . 2010-01-16 08:37 -------- d-----w- c:\program files\Common Files\InstallShield
2010-01-16 08:40 . 2010-01-16 08:40 9158 ----a-r- c:\documents and settings\mariusz\Dane aplikacji\Microsoft\Installer\{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}\ARPPRODUCTICON.exe
2010-01-16 08:40 . 2010-01-16 08:40 -------- d-----w- c:\program files\Common Files\ATI Technologies
2010-01-16 08:31 . 2010-01-16 08:31 -------- d-----w- c:\program files\microsoft frontpage
2010-01-16 08:29 . 2010-01-16 08:29 -------- d-----w- c:\program files\Usługi online
2010-01-16 08:27 . 2010-01-16 08:27 21856 ----a-w- c:\windows\system32\emptyregdb.dat
2009-12-21 13:47 . 2009-12-21 13:47 37376 ----a-w- c:\documents and settings\mariusz\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll
2009-12-21 13:47 . 2009-12-21 13:47 11776 ----a-w- c:\documents and settings\mariusz\Dane aplikacji\Gadu-Gadu 10\_userdata\npgg.2.dll
2004-08-03 22:44 . 2004-08-03 22:44 162155 --sha-r- c:\windows\system32\ximjun.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu 10"="d:\program files\Gadu-Gadu 10\gg.exe" [2010-01-20 12067432]
"IPLA!"="c:\program files\ipla\ipla.exe" [2009-12-23 14100888]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-10-09 25623336]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Program Files\\Gadu-Gadu 10\\gg.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7911:TCP"= 7911:TCP:vcymlrz
S2 lwuhgjq;Support Installer;c:\windows\system32\svchost.exe -k netsvcs [2004-08-03 14336]
--- Inne Usługi/Sterowniki w Pamięci ---
*NewlyCreated* - LWUHGJQ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
lwuhgjq
.
.
------- Skan uzupełniający -------
.
FF - ProfilePath - c:\documents and settings\mariusz\Dane aplikacji\Mozilla\Firefox\Profiles\h88lmegh.default\
FF - component: d:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\documents and settings\mariusz\Dane aplikacji\Gadu-Gadu 10\_userdata\npgg.2.dll
FF - plugin: d:\program files\Adobe\Reader 9.0\Reader\browser\nppdf32.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-22 21:21
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lwuhgjq]
"ServiceDll"="c:\windows\system32\ximjun.dll"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(696)
c:\windows\system32\Ati2evxx.dll
.
Czas ukończenia: 2010-01-22 21:21:37
ComboFix-quarantined-files.txt 2010-01-22 20:21
Przed: 16 421 482 496 bajtów wolnych
Po: 16 532 410 368 bajtów wolnych
WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer
- - End Of File - - 877BBEF721459C7E37F534D9090428D4
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.3583.2848 [GMT 1:00]
Uruchomiony z: c:\documents and settings\mariusz\Moje dokumenty\Pobieranie\ComboFix.exe
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\ieuinit.inf
.
((((((((((((((((((((((((( Pliki utworzone od 2009-12-22 do 2010-01-22 )))))))))))))))))))))))))))))))
.
2010-01-22 12:07 . 2010-01-22 12:07 -------- d-----w- c:\documents and settings\monika.DOM-497FD488F79\Ustawienia lokalne\Dane aplikacji\Identities
2010-01-21 19:19 . 2010-01-21 19:20 -------- d-----w- c:\documents and settings\mariusz\Ustawienia lokalne\Dane aplikacji\Adobe
2010-01-21 19:19 . 2010-01-21 19:19 -------- d-----w- c:\program files\Common Files\Adobe
2010-01-20 15:47 . 2010-01-22 19:56 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\skypePM
2010-01-20 15:47 . 2010-01-20 15:47 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-01-20 15:41 . 2010-01-22 19:57 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\Skype
2010-01-20 15:40 . 2010-01-20 15:40 -------- d-----w- c:\program files\Common Files\Skype
2010-01-20 15:39 . 2010-01-20 15:40 -------- d-----r- c:\program files\Skype
2010-01-20 15:39 . 2010-01-20 15:39 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Skype
2010-01-20 09:19 . 2010-01-20 09:19 -------- d-----w- c:\documents and settings\monika.DOM-497FD488F79\Ustawienia lokalne\Dane aplikacji\cache
2010-01-20 09:18 . 2010-01-20 09:18 -------- d-----w- c:\documents and settings\monika.DOM-497FD488F79\Dane aplikacji\Gadu-Gadu 10
2010-01-19 21:29 . 2010-01-19 21:29 -------- d-----w- c:\documents and settings\monika.DOM-497FD488F79\Ustawienia lokalne\Dane aplikacji\Mozilla
2010-01-19 21:23 . 2010-01-19 21:23 -------- d-s---w- c:\documents and settings\monika.DOM-497FD488F79\UserData
2010-01-19 18:59 . 2004-08-03 22:08 26496 -c--a-w- c:\windows\system32\dllcache\usbstor.sys
2010-01-19 18:59 . 2004-08-03 22:08 31616 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2010-01-19 18:59 . 2004-08-03 22:08 31616 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2010-01-19 15:10 . 2010-01-19 15:10 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\Tibia
2010-01-19 14:38 . 2010-01-19 14:38 -------- d-----w- c:\documents and settings\mariusz\Ustawienia lokalne\Dane aplikacji\cache
2010-01-19 14:38 . 2010-01-22 19:56 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\ipla
2010-01-19 14:38 . 2010-01-19 14:38 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ipla
2010-01-19 14:37 . 2010-01-19 14:38 -------- d-----w- c:\program files\ipla
2010-01-19 14:37 . 2010-01-19 14:37 348160 ----a-w- c:\windows\system32\Msvcr71.dll
2010-01-19 14:37 . 2010-01-19 14:37 1700352 ----a-w- c:\windows\system32\gdiplus.dll
2010-01-19 14:37 . 2010-01-19 14:37 1060864 ----a-w- c:\windows\system32\mfc71.dll
2010-01-19 14:33 . 2010-01-19 14:39 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\Gadu-Gadu 10
2010-01-19 14:24 . 2010-01-19 14:24 0 ----a-w- c:\windows\nsreg.dat
2010-01-19 14:24 . 2010-01-19 14:24 -------- d-----w- c:\documents and settings\mariusz\Ustawienia lokalne\Dane aplikacji\Mozilla
2010-01-19 14:19 . 2010-01-19 14:19 -------- d-s---w- c:\documents and settings\mariusz\UserData
2010-01-16 14:59 . 2010-01-16 09:20 -------- d--h--w- c:\documents and settings\monika\Ustawienia lokalne
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-19 15:30 . 2010-01-16 08:45 15600 ----a-w- c:\windows\gdrv.sys
2010-01-18 11:04 . 2010-01-18 11:04 12328 ----a-w- c:\documents and settings\monika.DOM-497FD488F79\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2010-01-18 11:04 . 2010-01-18 11:04 -------- d-----w- c:\documents and settings\monika.DOM-497FD488F79\Dane aplikacji\ATI
2010-01-16 09:11 . 2001-10-26 17:15 74450 ----a-w- c:\windows\system32\perfc015.dat
2010-01-16 09:11 . 2001-10-26 17:15 448348 ----a-w- c:\windows\system32\perfh015.dat
2010-01-16 09:05 . 2010-01-16 08:30 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-01-16 08:53 . 2010-01-16 08:53 -------- d-----w- c:\program files\Realtek
2010-01-16 08:53 . 2010-01-16 08:38 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-16 08:53 . 2010-01-16 08:53 315392 ----a-w- c:\windows\HideWin.exe
2010-01-16 08:52 . 2010-01-16 08:52 -------- d-----w- c:\program files\DIFX
2010-01-16 08:47 . 2010-01-16 08:47 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\InstallShield
2010-01-16 08:45 . 2010-01-16 08:45 12328 ----a-w- c:\documents and settings\mariusz\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2010-01-16 08:45 . 2010-01-16 08:45 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\ATI
2010-01-16 08:45 . 2010-01-16 08:45 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ATI
2010-01-16 08:44 . 2010-01-16 08:44 0 ----a-w- c:\windows\ativpsrm.bin
2010-01-16 08:43 . 2010-01-16 08:38 -------- d-----w- c:\program files\ATI Technologies
2010-01-16 08:41 . 2010-01-16 08:37 -------- d-----w- c:\program files\Common Files\InstallShield
2010-01-16 08:40 . 2010-01-16 08:40 9158 ----a-r- c:\documents and settings\mariusz\Dane aplikacji\Microsoft\Installer\{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}\ARPPRODUCTICON.exe
2010-01-16 08:40 . 2010-01-16 08:40 -------- d-----w- c:\program files\Common Files\ATI Technologies
2010-01-16 08:31 . 2010-01-16 08:31 -------- d-----w- c:\program files\microsoft frontpage
2010-01-16 08:29 . 2010-01-16 08:29 -------- d-----w- c:\program files\Usługi online
2010-01-16 08:27 . 2010-01-16 08:27 21856 ----a-w- c:\windows\system32\emptyregdb.dat
2009-12-21 13:47 . 2009-12-21 13:47 37376 ----a-w- c:\documents and settings\mariusz\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll
2009-12-21 13:47 . 2009-12-21 13:47 11776 ----a-w- c:\documents and settings\mariusz\Dane aplikacji\Gadu-Gadu 10\_userdata\npgg.2.dll
2004-08-03 22:44 . 2004-08-03 22:44 162155 --sha-r- c:\windows\system32\ximjun.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu 10"="d:\program files\Gadu-Gadu 10\gg.exe" [2010-01-20 12067432]
"IPLA!"="c:\program files\ipla\ipla.exe" [2009-12-23 14100888]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-10-09 25623336]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-08-01 61440]
"RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416]
"Adobe Reader Speed Launcher"="d:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Program Files\\Gadu-Gadu 10\\gg.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7911:TCP"= 7911:TCP:vcymlrz
S2 lwuhgjq;Support Installer;c:\windows\system32\svchost.exe -k netsvcs [2004-08-03 14336]
--- Inne Usługi/Sterowniki w Pamięci ---
*NewlyCreated* - LWUHGJQ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
lwuhgjq
.
.
------- Skan uzupełniający -------
.
FF - ProfilePath - c:\documents and settings\mariusz\Dane aplikacji\Mozilla\Firefox\Profiles\h88lmegh.default\
FF - component: d:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\documents and settings\mariusz\Dane aplikacji\Gadu-Gadu 10\_userdata\npgg.2.dll
FF - plugin: d:\program files\Adobe\Reader 9.0\Reader\browser\nppdf32.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-22 21:21
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lwuhgjq]
"ServiceDll"="c:\windows\system32\ximjun.dll"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(696)
c:\windows\system32\Ati2evxx.dll
.
Czas ukończenia: 2010-01-22 21:21:37
ComboFix-quarantined-files.txt 2010-01-22 20:21
Przed: 16 421 482 496 bajtów wolnych
Po: 16 532 410 368 bajtów wolnych
WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer
- - End Of File - - 877BBEF721459C7E37F534D9090428D4
Re: Prosze o sprawdzenie loga
22 Sty 2010, 23:12
I znowu Cię Conficker dopadł.
Wklej do notatnika:
Plik
zapisz jako CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
Wklej do notatnika:
- Kod:
File::
c:\windows\system32\ximjun.dll
Driver::
lwuhgjq
Netsvc::
lwuhgjq
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\lwuhgjq]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"7911:TCP"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"=-
"RTHDCPL"=-
"Adobe Reader Speed Launcher"=-
"Adobe ARM"=-
Plik
zapisz jako CFScript.txtPrzeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
Re: Prosze o sprawdzenie loga
22 Sty 2010, 23:34
dzieki reput
Re: Prosze o sprawdzenie loga
22 Sty 2010, 23:52
Podaj log z usuwania.
Re: Prosze o sprawdzenie loga
22 Sty 2010, 23:54
sprawa jest taka ze sciagnelem nortona ,norton usunal Confickera a gdy przesuwam plik txd na ikone combo to pojawia mi sie okno zainstalowania combofixa ?
Re: Prosze o sprawdzenie loga
22 Sty 2010, 23:57
No Combofix powinien się uruchomić. Pozwól mu pracować, a potem podaj powstały log.
Re: Prosze o sprawdzenie loga
23 Sty 2010, 00:02
ComboFix 10-01-21.08 - mariusz 2010-01-22 22:59:39.5.2 - x86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.3583.2883 [GMT 1:00]
Uruchomiony z: c:\documents and settings\mariusz\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\mariusz\Pulpit\CFScript.txt.txt
AV: Norton AntiVirus *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FILE ::
"c:\windows\system32\ximjun.dll"
.
((((((((((((((((((((((((( Pliki utworzone od 2009-12-22 do 2010-01-22 )))))))))))))))))))))))))))))))
.
2010-01-22 21:13 . 2009-08-29 09:00 84912 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\VirusDefs\20100122.007\NAVENG.SYS
2010-01-22 21:13 . 2009-08-29 09:00 177520 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\VirusDefs\20100122.007\NAVENG32.DLL
2010-01-22 21:13 . 2009-08-29 09:00 1647984 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\VirusDefs\20100122.007\NAVEX32A.DLL
2010-01-22 21:13 . 2009-08-29 09:00 1323568 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\VirusDefs\20100122.007\NAVEX15.SYS
2010-01-22 21:13 . 2010-01-22 21:13 2747440 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\VirusDefs\20100122.007\CCERASER.DLL
2010-01-22 21:13 . 2010-01-22 21:13 259440 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\VirusDefs\20100122.007\ECMSVR32.DLL
2010-01-22 21:13 . 2009-08-29 09:00 371248 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\VirusDefs\20100122.007\EECTRL.SYS
2010-01-22 21:13 . 2009-08-29 09:00 102448 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\VirusDefs\20100122.007\ERASER.SYS
2010-01-22 20:50 . 2010-01-22 20:50 -------- d-----w- c:\windows\system32\drivers\NAV
2010-01-22 20:50 . 2010-01-22 20:50 -------- d-----w- c:\program files\Windows Sidebar
2010-01-22 20:50 . 2010-01-22 20:51 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Norton
2010-01-22 20:50 . 2010-01-22 20:50 -------- d-----w- c:\program files\Norton AntiVirus
2010-01-22 20:50 . 2010-01-22 20:50 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\NortonInstaller
2010-01-22 20:50 . 2010-01-22 20:50 -------- d-----w- c:\program files\NortonInstaller
2010-01-22 12:07 . 2010-01-22 12:07 -------- d-----w- c:\documents and settings\monika.DOM-497FD488F79\Ustawienia lokalne\Dane aplikacji\Identities
2010-01-21 19:19 . 2010-01-21 19:20 -------- d-----w- c:\documents and settings\mariusz\Ustawienia lokalne\Dane aplikacji\Adobe
2010-01-21 19:19 . 2010-01-21 19:19 -------- d-----w- c:\program files\Common Files\Adobe
2010-01-20 15:47 . 2010-01-22 19:56 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\skypePM
2010-01-20 15:47 . 2010-01-20 15:47 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-01-20 15:41 . 2010-01-22 21:47 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\Skype
2010-01-20 15:40 . 2010-01-20 15:40 -------- d-----w- c:\program files\Common Files\Skype
2010-01-20 15:39 . 2010-01-20 15:40 -------- d-----r- c:\program files\Skype
2010-01-20 15:39 . 2010-01-20 15:39 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Skype
2010-01-20 09:19 . 2010-01-20 09:19 -------- d-----w- c:\documents and settings\monika.DOM-497FD488F79\Ustawienia lokalne\Dane aplikacji\cache
2010-01-20 09:18 . 2010-01-20 09:18 -------- d-----w- c:\documents and settings\monika.DOM-497FD488F79\Dane aplikacji\Gadu-Gadu 10
2010-01-19 21:29 . 2010-01-19 21:29 -------- d-----w- c:\documents and settings\monika.DOM-497FD488F79\Ustawienia lokalne\Dane aplikacji\Mozilla
2010-01-19 21:23 . 2010-01-19 21:23 -------- d-s---w- c:\documents and settings\monika.DOM-497FD488F79\UserData
2010-01-19 18:59 . 2004-08-03 22:08 26496 -c--a-w- c:\windows\system32\dllcache\usbstor.sys
2010-01-19 18:59 . 2004-08-03 22:08 31616 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2010-01-19 18:59 . 2004-08-03 22:08 31616 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2010-01-19 15:10 . 2010-01-19 15:10 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\Tibia
2010-01-19 14:38 . 2010-01-19 14:38 -------- d-----w- c:\documents and settings\mariusz\Ustawienia lokalne\Dane aplikacji\cache
2010-01-19 14:38 . 2010-01-22 21:42 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\ipla
2010-01-19 14:38 . 2010-01-19 14:38 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ipla
2010-01-19 14:37 . 2010-01-19 14:38 -------- d-----w- c:\program files\ipla
2010-01-19 14:37 . 2010-01-19 14:37 348160 ----a-w- c:\windows\system32\Msvcr71.dll
2010-01-19 14:37 . 2010-01-19 14:37 1700352 ----a-w- c:\windows\system32\gdiplus.dll
2010-01-19 14:37 . 2010-01-19 14:37 1060864 ----a-w- c:\windows\system32\mfc71.dll
2010-01-19 14:33 . 2010-01-19 14:39 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\Gadu-Gadu 10
2010-01-19 14:24 . 2010-01-19 14:24 0 ----a-w- c:\windows\nsreg.dat
2010-01-19 14:24 . 2010-01-19 14:24 -------- d-----w- c:\documents and settings\mariusz\Ustawienia lokalne\Dane aplikacji\Mozilla
2010-01-19 14:19 . 2010-01-19 14:19 -------- d-s---w- c:\documents and settings\mariusz\UserData
2010-01-16 14:59 . 2010-01-16 09:20 -------- d--h--w- c:\documents and settings\monika\Ustawienia lokalne
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-22 20:51 . 2010-01-22 20:51 -------- d-----w- c:\program files\Common Files\Symantec Shared
2010-01-22 20:51 . 2010-01-22 20:51 805 ----a-w- c:\windows\system32\drivers\SYMEVENT.INF
2010-01-22 20:51 . 2010-01-22 20:51 7443 ----a-w- c:\windows\system32\drivers\SYMEVENT.CAT
2010-01-22 20:51 . 2010-01-22 20:51 60808 ----a-w- c:\windows\system32\S32EVNT1.DLL
2010-01-22 20:51 . 2010-01-22 20:51 124976 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS
2010-01-22 20:51 . 2010-01-22 20:51 -------- d-----w- c:\program files\Symantec
2010-01-19 15:30 . 2010-01-16 08:45 15600 ----a-w- c:\windows\gdrv.sys
2010-01-18 11:04 . 2010-01-18 11:04 12328 ----a-w- c:\documents and settings\monika.DOM-497FD488F79\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2010-01-18 11:04 . 2010-01-18 11:04 -------- d-----w- c:\documents and settings\monika.DOM-497FD488F79\Dane aplikacji\ATI
2010-01-16 09:11 . 2001-10-26 17:15 74450 ----a-w- c:\windows\system32\perfc015.dat
2010-01-16 09:11 . 2001-10-26 17:15 448348 ----a-w- c:\windows\system32\perfh015.dat
2010-01-16 09:05 . 2010-01-16 08:30 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-01-16 08:53 . 2010-01-16 08:53 -------- d-----w- c:\program files\Realtek
2010-01-16 08:53 . 2010-01-16 08:38 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-16 08:53 . 2010-01-16 08:53 315392 ----a-w- c:\windows\HideWin.exe
2010-01-16 08:52 . 2010-01-16 08:52 -------- d-----w- c:\program files\DIFX
2010-01-16 08:47 . 2010-01-16 08:47 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\InstallShield
2010-01-16 08:45 . 2010-01-16 08:45 12328 ----a-w- c:\documents and settings\mariusz\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2010-01-16 08:45 . 2010-01-16 08:45 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\ATI
2010-01-16 08:45 . 2010-01-16 08:45 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ATI
2010-01-16 08:44 . 2010-01-16 08:44 0 ----a-w- c:\windows\ativpsrm.bin
2010-01-16 08:43 . 2010-01-16 08:38 -------- d-----w- c:\program files\ATI Technologies
2010-01-16 08:41 . 2010-01-16 08:37 -------- d-----w- c:\program files\Common Files\InstallShield
2010-01-16 08:40 . 2010-01-16 08:40 9158 ----a-r- c:\documents and settings\mariusz\Dane aplikacji\Microsoft\Installer\{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}\ARPPRODUCTICON.exe
2010-01-16 08:40 . 2010-01-16 08:40 -------- d-----w- c:\program files\Common Files\ATI Technologies
2010-01-16 08:31 . 2010-01-16 08:31 -------- d-----w- c:\program files\microsoft frontpage
2010-01-16 08:29 . 2010-01-16 08:29 -------- d-----w- c:\program files\Usługi online
2010-01-16 08:27 . 2010-01-16 08:27 21856 ----a-w- c:\windows\system32\emptyregdb.dat
2009-12-21 13:47 . 2009-12-21 13:47 37376 ----a-w- c:\documents and settings\mariusz\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll
2009-12-21 13:47 . 2009-12-21 13:47 11776 ----a-w- c:\documents and settings\mariusz\Dane aplikacji\Gadu-Gadu 10\_userdata\npgg.2.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-01-22_20.21.12 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-01-22 21:43 . 2010-01-22 21:43 16384 c:\windows\temp\Perflib_Perfdata_4f4.dat
+ 2010-01-22 20:51 . 2009-08-30 00:16 43696 c:\windows\system32\drivers\NAV\1100000.088\srtspx.sys
+ 2010-01-22 20:51 . 2009-08-30 00:17 338480 c:\windows\system32\drivers\NAV\1100000.088\symtdiv.sys
+ 2010-01-22 20:51 . 2009-08-30 00:17 361392 c:\windows\system32\drivers\NAV\1100000.088\symtdi.sys
+ 2010-01-22 20:51 . 2009-08-30 00:17 169008 c:\windows\system32\drivers\NAV\1100000.088\SymEFA.sys
+ 2010-01-22 20:51 . 2009-08-30 00:17 328752 c:\windows\system32\drivers\NAV\1100000.088\SymDS.sys
+ 2010-01-22 20:51 . 2009-08-30 00:16 325168 c:\windows\system32\drivers\NAV\1100000.088\srtsp.sys
+ 2010-01-22 20:51 . 2009-08-30 00:16 114736 c:\windows\system32\drivers\NAV\1100000.088\Ironx86.sys
+ 2010-01-22 20:51 . 2009-08-24 22:50 501888 c:\windows\system32\drivers\NAV\1100000.088\ccHPx86.sys
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu 10"="d:\program files\Gadu-Gadu 10\gg.exe" [2010-01-20 12067432]
"IPLA!"="c:\program files\ipla\ipla.exe" [2009-12-23 14100888]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-10-09 25623336]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Program Files\\Gadu-Gadu 10\\gg.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NAV\1100000.088\SymDS.sys [2010-01-22 328752]
R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NAV\1100000.088\SymEFA.sys [2010-01-22 169008]
R1 BHDrvx86;BHDrvx86;c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\BASHDefs\20090829.001\BHDrvx86.sys [2010-01-22 506928]
R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NAV\1100000.088\ccHPx86.sys [2010-01-22 501888]
R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NAV\1100000.088\Ironx86.sys [2010-01-22 114736]
R2 NAV;Norton AntiVirus;c:\program files\Norton AntiVirus\Engine\17.0.0.136\ccSvcHst.exe [2010-01-22 126392]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2010-01-22 102448]
R3 IDSxpx86;IDSxpx86;c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\IPSDefs\20090828.002\IDSxpx86.sys [2010-01-22 329080]
.
.
------- Skan uzupełniający -------
.
FF - ProfilePath - c:\documents and settings\mariusz\Dane aplikacji\Mozilla\Firefox\Profiles\h88lmegh.default\
FF - component: c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\IPSFFPlgn\components\IPSFFPl.dll
FF - component: d:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\documents and settings\mariusz\Dane aplikacji\Gadu-Gadu 10\_userdata\npgg.2.dll
FF - plugin: d:\program files\Adobe\Reader 9.0\Reader\browser\nppdf32.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-22 23:01
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NAV]
"ImagePath"="\"c:\program files\Norton AntiVirus\Engine\17.0.0.136\ccSvcHst.exe\" /s \"NAV\" /m \"c:\program files\Norton AntiVirus\Engine\17.0.0.136\diMaster.dll\" /prefetch:1"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(720)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(204)
c:\windows\system32\msi.dll
.
Czas ukończenia: 2010-01-22 23:01:39
ComboFix-quarantined-files.txt 2010-01-22 22:01
ComboFix2.txt 2010-01-22 21:49
Przed: 16 244 834 304 bajtów wolnych
Po: 16 237 359 104 bajtów wolnych
- - End Of File - - D17FA38CB67C8F28B0733493129FD5EE
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.3583.2883 [GMT 1:00]
Uruchomiony z: c:\documents and settings\mariusz\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\mariusz\Pulpit\CFScript.txt.txt
AV: Norton AntiVirus *On-access scanning enabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}
FILE ::
"c:\windows\system32\ximjun.dll"
.
((((((((((((((((((((((((( Pliki utworzone od 2009-12-22 do 2010-01-22 )))))))))))))))))))))))))))))))
.
2010-01-22 21:13 . 2009-08-29 09:00 84912 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\VirusDefs\20100122.007\NAVENG.SYS
2010-01-22 21:13 . 2009-08-29 09:00 177520 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\VirusDefs\20100122.007\NAVENG32.DLL
2010-01-22 21:13 . 2009-08-29 09:00 1647984 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\VirusDefs\20100122.007\NAVEX32A.DLL
2010-01-22 21:13 . 2009-08-29 09:00 1323568 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\VirusDefs\20100122.007\NAVEX15.SYS
2010-01-22 21:13 . 2010-01-22 21:13 2747440 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\VirusDefs\20100122.007\CCERASER.DLL
2010-01-22 21:13 . 2010-01-22 21:13 259440 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\VirusDefs\20100122.007\ECMSVR32.DLL
2010-01-22 21:13 . 2009-08-29 09:00 371248 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\VirusDefs\20100122.007\EECTRL.SYS
2010-01-22 21:13 . 2009-08-29 09:00 102448 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\VirusDefs\20100122.007\ERASER.SYS
2010-01-22 20:50 . 2010-01-22 20:50 -------- d-----w- c:\windows\system32\drivers\NAV
2010-01-22 20:50 . 2010-01-22 20:50 -------- d-----w- c:\program files\Windows Sidebar
2010-01-22 20:50 . 2010-01-22 20:51 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Norton
2010-01-22 20:50 . 2010-01-22 20:50 -------- d-----w- c:\program files\Norton AntiVirus
2010-01-22 20:50 . 2010-01-22 20:50 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\NortonInstaller
2010-01-22 20:50 . 2010-01-22 20:50 -------- d-----w- c:\program files\NortonInstaller
2010-01-22 12:07 . 2010-01-22 12:07 -------- d-----w- c:\documents and settings\monika.DOM-497FD488F79\Ustawienia lokalne\Dane aplikacji\Identities
2010-01-21 19:19 . 2010-01-21 19:20 -------- d-----w- c:\documents and settings\mariusz\Ustawienia lokalne\Dane aplikacji\Adobe
2010-01-21 19:19 . 2010-01-21 19:19 -------- d-----w- c:\program files\Common Files\Adobe
2010-01-20 15:47 . 2010-01-22 19:56 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\skypePM
2010-01-20 15:47 . 2010-01-20 15:47 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-01-20 15:41 . 2010-01-22 21:47 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\Skype
2010-01-20 15:40 . 2010-01-20 15:40 -------- d-----w- c:\program files\Common Files\Skype
2010-01-20 15:39 . 2010-01-20 15:40 -------- d-----r- c:\program files\Skype
2010-01-20 15:39 . 2010-01-20 15:39 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Skype
2010-01-20 09:19 . 2010-01-20 09:19 -------- d-----w- c:\documents and settings\monika.DOM-497FD488F79\Ustawienia lokalne\Dane aplikacji\cache
2010-01-20 09:18 . 2010-01-20 09:18 -------- d-----w- c:\documents and settings\monika.DOM-497FD488F79\Dane aplikacji\Gadu-Gadu 10
2010-01-19 21:29 . 2010-01-19 21:29 -------- d-----w- c:\documents and settings\monika.DOM-497FD488F79\Ustawienia lokalne\Dane aplikacji\Mozilla
2010-01-19 21:23 . 2010-01-19 21:23 -------- d-s---w- c:\documents and settings\monika.DOM-497FD488F79\UserData
2010-01-19 18:59 . 2004-08-03 22:08 26496 -c--a-w- c:\windows\system32\dllcache\usbstor.sys
2010-01-19 18:59 . 2004-08-03 22:08 31616 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys
2010-01-19 18:59 . 2004-08-03 22:08 31616 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2010-01-19 15:10 . 2010-01-19 15:10 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\Tibia
2010-01-19 14:38 . 2010-01-19 14:38 -------- d-----w- c:\documents and settings\mariusz\Ustawienia lokalne\Dane aplikacji\cache
2010-01-19 14:38 . 2010-01-22 21:42 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\ipla
2010-01-19 14:38 . 2010-01-19 14:38 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ipla
2010-01-19 14:37 . 2010-01-19 14:38 -------- d-----w- c:\program files\ipla
2010-01-19 14:37 . 2010-01-19 14:37 348160 ----a-w- c:\windows\system32\Msvcr71.dll
2010-01-19 14:37 . 2010-01-19 14:37 1700352 ----a-w- c:\windows\system32\gdiplus.dll
2010-01-19 14:37 . 2010-01-19 14:37 1060864 ----a-w- c:\windows\system32\mfc71.dll
2010-01-19 14:33 . 2010-01-19 14:39 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\Gadu-Gadu 10
2010-01-19 14:24 . 2010-01-19 14:24 0 ----a-w- c:\windows\nsreg.dat
2010-01-19 14:24 . 2010-01-19 14:24 -------- d-----w- c:\documents and settings\mariusz\Ustawienia lokalne\Dane aplikacji\Mozilla
2010-01-19 14:19 . 2010-01-19 14:19 -------- d-s---w- c:\documents and settings\mariusz\UserData
2010-01-16 14:59 . 2010-01-16 09:20 -------- d--h--w- c:\documents and settings\monika\Ustawienia lokalne
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-22 20:51 . 2010-01-22 20:51 -------- d-----w- c:\program files\Common Files\Symantec Shared
2010-01-22 20:51 . 2010-01-22 20:51 805 ----a-w- c:\windows\system32\drivers\SYMEVENT.INF
2010-01-22 20:51 . 2010-01-22 20:51 7443 ----a-w- c:\windows\system32\drivers\SYMEVENT.CAT
2010-01-22 20:51 . 2010-01-22 20:51 60808 ----a-w- c:\windows\system32\S32EVNT1.DLL
2010-01-22 20:51 . 2010-01-22 20:51 124976 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS
2010-01-22 20:51 . 2010-01-22 20:51 -------- d-----w- c:\program files\Symantec
2010-01-19 15:30 . 2010-01-16 08:45 15600 ----a-w- c:\windows\gdrv.sys
2010-01-18 11:04 . 2010-01-18 11:04 12328 ----a-w- c:\documents and settings\monika.DOM-497FD488F79\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2010-01-18 11:04 . 2010-01-18 11:04 -------- d-----w- c:\documents and settings\monika.DOM-497FD488F79\Dane aplikacji\ATI
2010-01-16 09:11 . 2001-10-26 17:15 74450 ----a-w- c:\windows\system32\perfc015.dat
2010-01-16 09:11 . 2001-10-26 17:15 448348 ----a-w- c:\windows\system32\perfh015.dat
2010-01-16 09:05 . 2010-01-16 08:30 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-01-16 08:53 . 2010-01-16 08:53 -------- d-----w- c:\program files\Realtek
2010-01-16 08:53 . 2010-01-16 08:38 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-16 08:53 . 2010-01-16 08:53 315392 ----a-w- c:\windows\HideWin.exe
2010-01-16 08:52 . 2010-01-16 08:52 -------- d-----w- c:\program files\DIFX
2010-01-16 08:47 . 2010-01-16 08:47 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\InstallShield
2010-01-16 08:45 . 2010-01-16 08:45 12328 ----a-w- c:\documents and settings\mariusz\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2010-01-16 08:45 . 2010-01-16 08:45 -------- d-----w- c:\documents and settings\mariusz\Dane aplikacji\ATI
2010-01-16 08:45 . 2010-01-16 08:45 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ATI
2010-01-16 08:44 . 2010-01-16 08:44 0 ----a-w- c:\windows\ativpsrm.bin
2010-01-16 08:43 . 2010-01-16 08:38 -------- d-----w- c:\program files\ATI Technologies
2010-01-16 08:41 . 2010-01-16 08:37 -------- d-----w- c:\program files\Common Files\InstallShield
2010-01-16 08:40 . 2010-01-16 08:40 9158 ----a-r- c:\documents and settings\mariusz\Dane aplikacji\Microsoft\Installer\{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}\ARPPRODUCTICON.exe
2010-01-16 08:40 . 2010-01-16 08:40 -------- d-----w- c:\program files\Common Files\ATI Technologies
2010-01-16 08:31 . 2010-01-16 08:31 -------- d-----w- c:\program files\microsoft frontpage
2010-01-16 08:29 . 2010-01-16 08:29 -------- d-----w- c:\program files\Usługi online
2010-01-16 08:27 . 2010-01-16 08:27 21856 ----a-w- c:\windows\system32\emptyregdb.dat
2009-12-21 13:47 . 2009-12-21 13:47 37376 ----a-w- c:\documents and settings\mariusz\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll
2009-12-21 13:47 . 2009-12-21 13:47 11776 ----a-w- c:\documents and settings\mariusz\Dane aplikacji\Gadu-Gadu 10\_userdata\npgg.2.dll
.
((((((((((((((((((((((((((((( SnapShot@2010-01-22_20.21.12 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-01-22 21:43 . 2010-01-22 21:43 16384 c:\windows\temp\Perflib_Perfdata_4f4.dat
+ 2010-01-22 20:51 . 2009-08-30 00:16 43696 c:\windows\system32\drivers\NAV\1100000.088\srtspx.sys
+ 2010-01-22 20:51 . 2009-08-30 00:17 338480 c:\windows\system32\drivers\NAV\1100000.088\symtdiv.sys
+ 2010-01-22 20:51 . 2009-08-30 00:17 361392 c:\windows\system32\drivers\NAV\1100000.088\symtdi.sys
+ 2010-01-22 20:51 . 2009-08-30 00:17 169008 c:\windows\system32\drivers\NAV\1100000.088\SymEFA.sys
+ 2010-01-22 20:51 . 2009-08-30 00:17 328752 c:\windows\system32\drivers\NAV\1100000.088\SymDS.sys
+ 2010-01-22 20:51 . 2009-08-30 00:16 325168 c:\windows\system32\drivers\NAV\1100000.088\srtsp.sys
+ 2010-01-22 20:51 . 2009-08-30 00:16 114736 c:\windows\system32\drivers\NAV\1100000.088\Ironx86.sys
+ 2010-01-22 20:51 . 2009-08-24 22:50 501888 c:\windows\system32\drivers\NAV\1100000.088\ccHPx86.sys
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu 10"="d:\program files\Gadu-Gadu 10\gg.exe" [2010-01-20 12067432]
"IPLA!"="c:\program files\ipla\ipla.exe" [2009-12-23 14100888]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2009-10-09 25623336]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Program Files\\Gadu-Gadu 10\\gg.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NAV\1100000.088\SymDS.sys [2010-01-22 328752]
R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NAV\1100000.088\SymEFA.sys [2010-01-22 169008]
R1 BHDrvx86;BHDrvx86;c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\BASHDefs\20090829.001\BHDrvx86.sys [2010-01-22 506928]
R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NAV\1100000.088\ccHPx86.sys [2010-01-22 501888]
R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NAV\1100000.088\Ironx86.sys [2010-01-22 114736]
R2 NAV;Norton AntiVirus;c:\program files\Norton AntiVirus\Engine\17.0.0.136\ccSvcHst.exe [2010-01-22 126392]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2010-01-22 102448]
R3 IDSxpx86;IDSxpx86;c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\Definitions\IPSDefs\20090828.002\IDSxpx86.sys [2010-01-22 329080]
.
.
------- Skan uzupełniający -------
.
FF - ProfilePath - c:\documents and settings\mariusz\Dane aplikacji\Mozilla\Firefox\Profiles\h88lmegh.default\
FF - component: c:\documents and settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NAV_17.0.0.136\IPSFFPlgn\components\IPSFFPl.dll
FF - component: d:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - plugin: c:\documents and settings\mariusz\Dane aplikacji\Gadu-Gadu 10\_userdata\npgg.2.dll
FF - plugin: d:\program files\Adobe\Reader 9.0\Reader\browser\nppdf32.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-22 23:01
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NAV]
"ImagePath"="\"c:\program files\Norton AntiVirus\Engine\17.0.0.136\ccSvcHst.exe\" /s \"NAV\" /m \"c:\program files\Norton AntiVirus\Engine\17.0.0.136\diMaster.dll\" /prefetch:1"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(720)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(204)
c:\windows\system32\msi.dll
.
Czas ukończenia: 2010-01-22 23:01:39
ComboFix-quarantined-files.txt 2010-01-22 22:01
ComboFix2.txt 2010-01-22 21:49
Przed: 16 244 834 304 bajtów wolnych
Po: 16 237 359 104 bajtów wolnych
- - End Of File - - D17FA38CB67C8F28B0733493129FD5EE
Re: Prosze o sprawdzenie loga
23 Sty 2010, 00:39
Ok, teraz czysto.
Pobierz OTC uruchom i kliknij CleanUp
Przeczyść dysk oraz rejestr CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja
Wykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie wylecz/usuń i daj raport (Plik Zapisz Listę Raportu)
Zamknij robaczywe porty za pomocą WWDC
Zainstaluj tą łatkę http://www.microsoft.com/downloads/deta ... 67b73d6a03
Zainstaluj SP3 https://www.instalki.pl/download/programy/windows/dodatki/aktualizacje/windows-xp-service-pack-3/
Pobierz OTC uruchom i kliknij CleanUp
Przeczyść dysk oraz rejestr CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach
InstrukcjaWykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie wylecz/usuń i daj raport (Plik
Zapisz Listę Raportu)Zamknij robaczywe porty za pomocą WWDC
Zainstaluj tą łatkę
http://www.microsoft.com/downloads/deta ... 67b73d6a03Zainstaluj SP3
https://www.instalki.pl/download/programy/windows/dodatki/aktualizacje/windows-xp-service-pack-3/