Badzio utworzono 24 maja 2009 utworzono 24 maja 2009 Prosilbym o sprawdzenie tych logow pod katem svchost.exe bo mam z nim problem Log z Combofixa ComboFix 09-05-22.07 - Pacjent 2009-05-23 13:13.1 - NTFSx86Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.767.470 [GMT 2:00]Uruchomiony z: c:\cioci\czarek\ComboFix.exeAV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))).c:\documents and settings\Pacjent\Dane aplikacji\BITSc:\documents and settings\Pacjent\Dane aplikacji\BITS\BITS.inic:\documents and settings\Pacjent\Dane aplikacji\BITS\DHTTable.datc:\documents and settings\Pacjent\Dane aplikacji\BITS\ProxyList.inic:\program files\myglobalsearchc:\program files\myglobalsearch\bar\1.bin\M9FFXTBR.JARc:\program files\myglobalsearch\bar\1.bin\M9FFXTBR.MANIFESTc:\program files\myglobalsearch\bar\1.bin\M9NTSTBR.JARc:\program files\myglobalsearch\bar\1.bin\M9NTSTBR.MANIFESTc:\program files\myglobalsearch\bar\1.bin\M9PLUGIN.DLLc:\program files\myglobalsearch\bar\1.bin\MGSBAR.DLLc:\program files\myglobalsearch\bar\1.bin\NPMYGLSH.DLLc:\program files\myglobalsearch\bar\Cache\[u]0[/u]00282A3c:\program files\myglobalsearch\bar\Cache\[u]0[/u]02F5167.binc:\program files\myglobalsearch\bar\Cache\[u]0[/u]02FBD9E.binc:\program files\myglobalsearch\bar\Cache\[u]0[/u]02FD7FC.binc:\program files\myglobalsearch\bar\Cache\files.inic:\program files\myglobalsearch\bar\History\searchc:\program files\myglobalsearch\bar\Settings\prevcfg.htm.((((((((((((((((((((((((( Pliki utworzone od 2009-04-23 do 2009-05-23 ))))))))))))))))))))))))))))))).2009-05-21 12:44 . 2009-05-21 12:44 -------- d-s---w c:\windows\system32\config\systemprofile\UserData2009-05-20 16:04 . 2009-05-20 16:04 -------- d-----w c:\documents and settings\Pacjent\Ustawienia lokalne\Dane aplikacji\Identities2009-05-19 13:05 . 2009-05-14 17:39 2051864 ----a-w c:\documents and settings\All Users\Dane aplikacji\avg8\update\backup\avgcorex.dll2009-05-19 13:05 . 2009-05-14 17:39 424472 ----a-w c:\documents and settings\All Users\Dane aplikacji\avg8\update\backup\avgwdwsc.dll2009-05-19 13:05 . 2009-05-14 17:39 3288344 ----a-w c:\documents and settings\All Users\Dane aplikacji\avg8\update\backup\setup.exe2009-05-19 13:05 . 2009-05-14 17:39 354584 ----a-w c:\documents and settings\All Users\Dane aplikacji\avg8\update\backup\avgxch32.dll2009-05-19 13:05 . 2009-05-14 17:39 312088 ----a-w c:\documents and settings\All Users\Dane aplikacji\avg8\update\backup\avglngx.dll2009-05-19 13:05 . 2009-05-14 17:39 177432 ----a-w c:\documents and settings\All Users\Dane aplikacji\avg8\update\backup\avgmail.dll2009-05-19 13:05 . 2009-05-14 17:39 486168 ----a-w c:\documents and settings\All Users\Dane aplikacji\avg8\update\backup\avgrsx.exe2009-05-19 12:58 . 2009-05-14 17:39 755992 ----a-w c:\documents and settings\All Users\Dane aplikacji\avg8\update\backup\avginet.dll2009-05-19 12:58 . 2009-05-14 17:39 1437464 ----a-w c:\documents and settings\All Users\Dane aplikacji\avg8\update\backup\avgupd.dll2009-05-16 12:14 . 2009-05-16 12:14 -------- d-----w c:\documents and settings\Pacjent\Ustawienia lokalne\Dane aplikacji\Help2009-05-15 15:56 . 2009-05-14 17:39 2302232 ----a-w c:\documents and settings\All Users\Dane aplikacji\avg8\update\backup\avguiadv.dll2009-05-15 15:56 . 2009-05-14 17:39 3399960 ----a-w c:\documents and settings\All Users\Dane aplikacji\avg8\update\backup\avgui.exe2009-05-14 17:47 . 2009-05-22 11:23 -------- d--h--w C:\$AVG8.VAULT$2009-05-14 17:41 . 2009-05-22 12:08 -------- d-----w c:\windows\system32\config\systemprofile\Dane aplikacji\AVGTOOLBAR2009-05-14 17:39 . 2009-05-14 17:39 11952 ----a-w c:\windows\system32\avgrsstx.dll2009-05-14 17:39 . 2009-05-14 17:39 108552 ----a-w c:\windows\system32\drivers\avgtdix.sys2009-05-14 17:39 . 2009-05-14 17:39 325896 ----a-w c:\windows\system32\drivers\avgldx86.sys2009-05-14 17:39 . 2009-05-14 17:39 27784 ----a-w c:\windows\system32\drivers\avgmfx86.sys2009-05-14 17:39 . 2009-05-22 08:58 -------- d-----w c:\windows\system32\drivers\Avg2009-05-14 17:39 . 2009-05-14 17:39 -------- d-----w c:\program files\AVG2009-05-14 17:39 . 2009-05-15 15:52 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\avg82009-05-14 14:04 . 2009-05-14 14:04 -------- d-----w c:\documents and settings\Pacjent\Dane aplikacji\AVGTOOLBAR2009-05-11 15:42 . 2009-05-11 15:43 -------- d-----w c:\documents and settings\Pacjent\Ustawienia lokalne\Dane aplikacji\Adobe2009-05-11 15:39 . 2009-05-11 15:39 -------- d-----w c:\program files\Common Files\Adobe2009-05-11 14:54 . 2005-06-24 16:36 39036 ----a-w c:\windows\system32\drivers\lgusbmodem.sys2009-05-11 14:54 . 2005-05-26 09:01 38144 ----a-w c:\windows\system32\drivers\lgusbdiag.sys2009-05-11 14:54 . 2005-05-26 09:01 21344 ----a-w c:\windows\system32\drivers\lgusbbus.sys2009-05-11 14:43 . 2009-05-11 14:43 -------- d-----w c:\program files\LG Electronics2009-05-11 14:33 . 2009-05-11 14:55 -------- d--h--w C:\LGFolder2009-05-11 14:33 . 2009-05-11 14:33 -------- d-----w c:\documents and settings\Pacjent\Dane aplikacji\LG Electronics2009-05-11 14:32 . 2009-05-11 14:55 -------- d-----w c:\program files\LG PC Suite2009-05-09 12:45 . 2009-05-09 12:45 -------- d-----w c:\documents and settings\Pacjent\.jpi_cache2009-05-09 12:45 . 2009-05-09 12:45 -------- d-----w c:\documents and settings\Pacjent\.java2009-05-06 18:43 . 2009-05-21 13:00 138512 ----a-w c:\windows\system32\drivers\PnkBstrK.sys2009-05-06 18:43 . 2009-05-21 13:00 201440 ----a-w c:\windows\system32\PnkBstrB.exe2009-05-06 18:43 . 2009-05-06 18:43 66872 ----a-w c:\windows\system32\PnkBstrA.exe2009-05-05 17:40 . 2009-05-05 17:47 -------- d-----w c:\program files\SopCast2009-05-05 10:40 . 2009-05-05 10:40 -------- d-----w c:\documents and settings\Pacjent\Dane aplikacji\DivX2009-05-05 10:40 . 2009-05-05 10:40 -------- d-----w c:\documents and settings\Pacjent\Dane aplikacji\Media Player Classic2009-05-05 10:39 . 2004-08-03 21:08 26496 -c--a-w c:\windows\system32\dllcache\usbstor.sys2009-05-04 16:54 . 2009-05-04 20:15 116476 ----a-w c:\windows\system32\drivers\f7196dad.sys2009-05-04 07:08 . 2009-05-23 11:16 102140 ----a-w c:\windows\system32\drivers\d77ad102.sys2009-05-03 16:45 . 2009-05-14 16:52 -------- d-----w c:\documents and settings\Pacjent\Dane aplikacji\Nowe Gadu-Gadu2009-05-03 16:38 . 2009-05-13 13:18 -------- d-----w c:\program files\Nowe Gadu-Gadu2009-05-03 15:07 . 2009-05-23 11:16 118268 ----a-w c:\windows\system32\drivers\e3c8ec41.sys2009-05-03 09:19 . 2009-05-14 15:46 0 ----a-w c:\windows\system32\drivers\c33a6631.sys2009-05-02 22:49 . 2009-05-23 11:16 106620 ----a-w c:\windows\system32\drivers\6ae6ba0.sys2009-05-02 12:12 . 2005-09-01 10:03 5888 ------w c:\windows\system32\drivers\imagedrv.sys2009-05-02 12:12 . 2005-09-01 10:03 127488 ------w c:\windows\system32\drivers\imagesrv.sys2009-05-02 12:12 . 2004-07-09 07:43 364544 ------w c:\windows\system32\TwnLib4.dll2009-05-02 12:12 . 2000-06-26 09:45 106496 ----a-w c:\windows\system32\TwnLib20.dll2009-05-02 12:12 . 2004-07-26 15:16 476320 ------w c:\windows\system32\ImagXpr7.dll2009-05-02 12:12 . 2004-07-26 15:16 471040 ------w c:\windows\system32\ImagXRA7.dll2009-05-02 12:12 . 2004-07-26 15:16 262144 ------w c:\windows\system32\ImagXR7.dll2009-05-02 12:12 . 2004-07-26 15:16 1568768 ------w c:\windows\system32\ImagX7.dll2009-05-02 12:12 . 2009-05-02 12:12 -------- d-----w c:\program files\Common Files\Ahead2009-05-02 12:12 . 2006-01-12 14:40 155648 ----a-w c:\windows\system32\NeroCheck.exe2009-05-02 11:57 . 2009-05-23 11:16 95868 ----a-w c:\windows\system32\drivers\75c23590.sys2009-04-29 22:45 . 2009-04-29 22:45 -------- d-----w c:\program files\uTorrent2009-04-29 22:45 . 2009-05-23 11:05 -------- d-----w c:\documents and settings\Pacjent\Dane aplikacji\uTorrent2009-04-29 15:02 . 2009-05-21 12:47 -------- d-----w c:\documents and settings\Pacjent\Dane aplikacji\GanymedeNet2009-04-29 15:01 . 2009-05-20 18:48 -------- d-----w c:\program files\Ganymede2009-04-29 13:59 . 2009-04-29 13:59 -------- d-----w c:\documents and settings\Pacjent\Ustawienia lokalne\Dane aplikacji\gamefreedom.pl2009-04-29 11:13 . 2009-04-29 14:11 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Symantec2009-04-29 11:12 . 2009-04-29 14:14 -------- d-----w c:\program files\Common Files\Symantec Shared2009-04-29 11:05 . 2009-04-29 11:11 16608 ----a-w c:\windows\gdrv.sys2009-04-29 10:55 . 2003-10-16 16:07 32768 ----a-w c:\windows\system32\WooDial2000.dll2009-04-29 10:55 . 2004-03-02 07:24 127065 ----a-w c:\windows\system32\drivers\adiusbaw.sys2009-04-29 10:55 . 2002-05-09 14:12 155648 ----a-w c:\windows\system32\adadix32.dll2009-04-29 10:55 . 2001-07-27 12:25 127456 ----a-w c:\windows\system32\ipdetect.exe2009-04-29 10:55 . 2004-06-28 09:59 114688 ----a-w c:\windows\system32\unaddrv.exe2009-04-29 10:55 . 2004-03-02 07:26 50007 ----a-w c:\windows\system32\drivers\adildr.sys2009-04-29 10:55 . 2002-11-15 10:33 126976 ----a-w c:\windows\system32\coclassfast.dll2009-04-29 10:55 . 2001-02-09 06:43 4981 ----a-w c:\windows\system32\adadix2k.dll2009-04-29 10:55 . 2001-02-08 07:05 46892 ----a-w c:\windows\system32\adadix16.dll2009-04-29 10:55 . 2001-05-24 15:24 22395 ----a-w c:\windows\system32\drivers\fpga.bin2009-04-29 10:54 . 2009-04-29 10:54 -------- d-----w c:\program files\SAGEM2009-04-29 10:54 . 2009-04-29 10:54 -------- d-----w c:\program files\Java2009-04-29 10:54 . 2002-11-01 18:15 41068 ------w c:\windows\system32\ActPanel.dll2009-04-29 10:53 . 2009-05-23 11:13 -------- d-----w c:\program files\Neostrada TP2009-04-29 10:53 . 2009-04-29 10:53 -------- d-sh--w c:\windows\ftpcache2009-04-29 05:14 . 2009-04-29 05:14 -------- d-----w c:\documents and settings\Pacjent\Dane aplikacji\DAEMON Tools2009-04-29 05:14 . 2009-04-29 05:14 -------- d-----w c:\documents and settings\Pacjent\Dane aplikacji\DAEMON Tools Pro2009-04-29 05:13 . 2009-04-29 05:13 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\DAEMON Tools Lite2009-04-29 05:13 . 2009-04-29 05:13 -------- d-----w c:\program files\DAEMON Tools Toolbar.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-05-15 15:54 . 2009-04-28 19:35 -------- d--h--w c:\program files\InstallShield Installation Information2009-05-11 14:32 . 2001-10-26 16:15 74450 ----a-w c:\windows\system32\perfc015.dat2009-05-11 14:32 . 2001-10-26 16:15 448348 ----a-w c:\windows\system32\perfh015.dat2009-05-06 22:59 . 2009-04-28 19:22 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat2009-05-05 08:11 . 2009-04-28 21:06 102400 ----a-w c:\windows\DUMPaeae.tmp2009-05-05 08:06 . 2009-04-28 21:06 102400 ----a-w c:\windows\DUMPb40d.tmp2009-05-05 05:22 . 2009-04-28 21:06 102400 ----a-w c:\windows\DUMPc4d6.tmp2009-05-02 12:11 . 2004-08-03 21:14 212480 ----a-w c:\windows\system32\drivers\ndis.sys2009-05-02 11:46 . 2009-04-28 20:43 -------- d-----w c:\documents and settings\Pacjent\Dane aplikacji\DAEMON Tools Lite2009-04-29 10:55 . 2009-04-29 10:55 23 ----a-w c:\windows\system32\drivers\adidsl.cfg2009-04-28 20:43 . 2009-04-28 20:43 717296 ----a-w c:\windows\system32\drivers\sptd.sys2009-04-28 20:41 . 2009-04-28 20:41 0 ----a-w c:\windows\nsreg.dat2009-04-28 20:35 . 2009-04-28 20:35 -------- d-----w c:\program files\Windows Media Connect 22009-04-28 20:00 . 2009-04-28 19:51 18240 ----a-w c:\documents and settings\Pacjent\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-04-28 19:55 . 2009-04-28 19:55 -------- d-----w c:\program files\Microsoft.NET2009-04-28 19:51 . 2009-04-28 19:51 -------- d-----w c:\documents and settings\Pacjent\Dane aplikacji\ATI2009-04-28 19:51 . 2009-04-28 19:51 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\ATI2009-04-28 19:50 . 2009-04-28 19:50 0 ----a-w c:\windows\ativpsrm.bin2009-04-28 19:48 . 2009-04-28 19:40 -------- d-----w c:\program files\ATI Technologies2009-04-28 19:46 . 2009-04-28 19:35 -------- d-----w c:\program files\Common Files\InstallShield2009-04-28 19:46 . 2009-04-28 19:46 9158 ----a-r c:\documents and settings\Pacjent\Dane aplikacji\Microsoft\Installer\{89DE67AD-08B8-4699-A55D-CA5C0AF82BF3}\ARPPRODUCTICON.exe2009-04-28 19:46 . 2009-04-28 19:46 -------- d-----w c:\program files\Common Files\ATI Technologies2009-04-28 19:36 . 2009-04-28 19:36 -------- d-----w c:\program files\Realtek Sound Manager2009-04-28 19:36 . 2009-04-28 19:36 -------- d-----w c:\program files\AvRack2009-04-28 19:24 . 2009-04-28 19:24 -------- d-----w c:\program files\microsoft frontpage2009-04-28 19:22 . 2009-04-28 19:22 -------- d-----w c:\program files\Usługi online2009-04-28 19:20 . 2009-04-28 19:20 21856 ----a-w c:\windows\system32\emptyregdb.dat.------- Sigcheck -------[-] 2009-05-02 12:11 212480 !MD5: COULD NOT OPEN FILE ! c:\windows\system32\dllcache\ndis.sys[-] 2009-05-02 12:11 212480 74D4A0FA4AAFA47BF90526E8B1D178FD c:\windows\system32\drivers\ndis.sys.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-05-14 1947928][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]c:\documents and settings\All Users\Menu Start\Programy\Autostart\DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2009-4-29 962661][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]2009-05-14 17:39 11952 ----a-w c:\windows\system32\avgrsstx.dll[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]"DisableMonitoring"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]"DisableMonitoring"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]"DisableMonitoring"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="c:\\Program Files\\uTorrent\\uTorrent.exe"="d:\\Programy\\FlashGet universal\\FlashGet.exe"="c:\\Program Files\\AVG\\AVG8\\avgupd.exe"="c:\\Program Files\\AVG\\AVG8\\avgnsx.exe"=R1 avgldx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-05-14 325896]R1 avgtdix;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-05-14 108552]R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-05-14 298776]S1 c33a6631;c33a6631;c:\windows\system32\drivers\c33a6631.sys [2009-05-03 0].- - - - USUNIĘTO PUSTE WPISY - - - -Notify-__c0057d0 - c:\windows\system32\__c0057D0.datNotify-ewioen - ewioen.dllSafeBoot-procexp90.sys.------- Skan uzupełniający -------.uStart Page = hxxp://www.neostrada.plIE: &download all by flashget - d:\programy\FlashGet universal\ComDlls\Bhoall.htmIE: &download by flashget - d:\programy\FlashGet universal\ComDlls\Bholink.htmIE: &pobierz wszystko przez flashget - d:\programy\FlashGet universal\ComDlls\Bhoall.htmIE: &pobrane przez flashget - d:\programy\FlashGet universal\ComDlls\Bholink.htmIE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000IE: { - c:\program files\Messenger\msmsgs.exeFF - ProfilePath - c:\documents and settings\Pacjent\Dane aplikacji\Mozilla\Firefox\Profiles\x4m22ku5.default\FF - prefs.js: browser.startup.homepage - www.onet.plFF - component: c:\program files\AVG\AVG8\Firefox\components\avgssff.dllFF - component: c:\program files\AVG\AVG8\ToolbarFF\components\vmAVGConnector.dllFF - plugin: c:\program files\Java\j2re1.4.0_03\bin\NPJava11.dllFF - plugin: c:\program files\Java\j2re1.4.0_03\bin\NPJava12.dllFF - plugin: c:\program files\Java\j2re1.4.0_03\bin\NPJava13.dllFF - plugin: c:\program files\Java\j2re1.4.0_03\bin\NPJava32.dllFF - plugin: c:\program files\Java\j2re1.4.0_03\bin\NPJPI140_03.dllFF - plugin: c:\program files\Java\j2re1.4.0_03\bin\NPOJI610.dllFF - plugin: d:\kodeki\DivX\DivX Player\npDivxPlayerPlugin.dllFF - plugin: d:\kodeki\DivX\DivX Web Player\npdivx32.dllFF - plugin: d:\kodeki\Real Alternative\browser\plugins\nppl3260.dllFF - plugin: d:\kodeki\Real Alternative\browser\plugins\nprpjplug.dllFF - plugin: d:\programy\Firefox\plugins\np-mswmp.dllFF - plugin: d:\programy\Firefox\plugins\npganymedenet.dllFF - plugin: d:\programy\Firefox\plugins\NPJava11.dllFF - plugin: d:\programy\Firefox\plugins\NPJava12.dllFF - plugin: d:\programy\Firefox\plugins\NPJava13.dllFF - plugin: d:\programy\Firefox\plugins\NPJava32.dllFF - plugin: d:\programy\Firefox\plugins\NPJPI140_03.dllFF - plugin: d:\programy\Firefox\plugins\NPMyGlSh.dllFF - plugin: d:\programy\Firefox\plugins\NPOJI610.dll.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-05-23 13:16Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************[HKEY_LOCAL_MACHINE\System\controlset003\Services\6ae6ba0]"ImagePath"="\SystemRoot\System32\drivers\6ae6ba0.sys"[HKEY_LOCAL_MACHINE\System\controlset003\Services\75c23590]"ImagePath"="\SystemRoot\System32\drivers\75c23590.sys"--[HKEY_LOCAL_MACHINE\System\controlset003\Services\d77ad102]"ImagePath"="\SystemRoot\System32\drivers\d77ad102.sys"--[HKEY_LOCAL_MACHINE\System\controlset003\Services\e3c8ec41]"ImagePath"="\SystemRoot\System32\drivers\e3c8ec41.sys".--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'winlogon.exe'(596)c:\windows\system32\Ati2evxx.dll.Czas ukończenia: 2009-05-23 13:17ComboFix-quarantined-files.txt 2009-05-23 11:17Przed: 4 609 556 480 bajtów wolnychPo: 7 092 203 520 bajtów wolnychCurrent=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4253 Log z HiJackThis Logfile of Trend Micro HijackThis v2.0.2Scan saved at 21:29:24, on 2009-05-23Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\Ati2evxx.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.EXEC:\PROGRA~1\AVG\AVG8\avgwdsvc.exeC:\WINDOWS\system32\PnkBstrA.exeC:\PROGRA~1\AVG\AVG8\avgtray.exeC:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeC:\PROGRA~1\AVG\AVG8\avgrsx.exeC:\PROGRA~1\AVG\AVG8\avgnsx.exeC:\WINDOWS\system32\wscntfy.exeC:\Program Files\Neostrada TP\NeostradaTP.exeC:\Program Files\Neostrada TP\ComComp.exeC:\Program Files\Neostrada TP\Watch.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\drwtsn32.exeC:\WINDOWS\system32\drwtsn32.exeC:\cioci\czarek\hijack\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.plR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaO3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLLO3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (file missing)O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exeO4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exeO8 - Extra context menu item: &download all by flashget - D:\Programy\FlashGet universal\ComDlls\Bhoall.htmO8 - Extra context menu item: &download by flashget - D:\Programy\FlashGet universal\ComDlls\Bholink.htmO8 - Extra context menu item: &pobierz wszystko przez flashget - D:\Programy\FlashGet universal\ComDlls\Bhoall.htmO8 - Extra context menu item: &pobrane przez flashget - D:\Programy\FlashGet universal\ComDlls\Bholink.htmO8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO11 - Options group: [searching] Wyszukaj przy użyciu paska adresuO17 - HKLM\System\CCS\Services\Tcpip\..\{19289A1C-9111-4D0D-806F-485913BBD274}: NameServer = 194.204.159.1 217.98.63.164O17 - HKLM\System\CS3\Services\Tcpip\..\{19289A1C-9111-4D0D-806F-485913BBD274}: NameServer = 194.204.159.1 217.98.63.164O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dllO20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dllO20 - Winlogon Notify: ewioen - ewioen.dll (file missing)O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exeO23 - Service: Usługa inteligentnego transferu w tle (BITS) - Unknown owner - C:\WINDOWS\O23 - Service: PnkBstrA (pnkbstra) - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exeO23 - Service: Aktualizacje automatyczne (wuauserv) - Unknown owner - C:\WINDOWS\--End of file - 4377 bytes
Gość komentarz 24 maja 2009 komentarz 24 maja 2009 Użyj programu Malwarebytes' Anti-Malware i daj z niego raport. .
Badzio komentarz 24 maja 2009 Autor komentarz 24 maja 2009 log z malware Malwarebytes' Anti-Malware 1.36Wersja bazy definicji: 2174Windows 5.1.2600 Dodatek Service Pack 22009-05-24 16:04:20mbam-log-2009-05-24 (16-04-16).txtTyp skanowania: Pełne skanowanie (C:\|D:\|)Przeskanowane obiekty: 106219Upłynęło: 35 minute(s), 32 second(s)Zainfekowane procesy w pamięci: 0Zainfekowane moduły pamięci: 0Zainfekowane klucze rejestru: 15Zainfekowane wartości rejestru: 1Zainfekowane pliki rejestru: 0Zainfekowane foldery: 0Zainfekowane pliki: 13Zainfekowane procesy w pamięci:(Nie wykryto groźnych plików)Zainfekowane moduły pamięci:(Nie wykryto groźnych plików)Zainfekowane klucze rejestru:HKEY_CLASSES_ROOT\myglobalsearchbar.settingsplugin (Adware.MyWebSearch) -> No action taken.HKEY_CLASSES_ROOT\myglobalsearchbar.settingsplugin.1 (Adware.MyWebSearch) -> No action taken.HKEY_CLASSES_ROOT\myglobalsearchbar.toolbarplugin (Adware.MyWebSearch) -> No action taken.HKEY_CLASSES_ROOT\myglobalsearchbar.toolbarplugin.1 (Adware.MyWebSearch) -> No action taken.HKEY_CLASSES_ROOT\Interface\{37b85a2a-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.HKEY_CLASSES_ROOT\Interface\{37b85a2c-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.HKEY_CLASSES_ROOT\CLSID\{014da6c9-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> No action taken.HKEY_CLASSES_ROOT\CLSID\{37b85a21-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.HKEY_CLASSES_ROOT\CLSID\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.HKEY_CLASSES_ROOT\CLSID\{ef281620-a3a3-4f08-874f-d68cfc9b7945} (Adware.MyWebSearch) -> No action taken.HKEY_CLASSES_ROOT\Typelib\{37b85a20-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{37b85a21-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch (Adware.BookedSpace) -> No action taken.HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken.Zainfekowane wartości rejestru:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> No action taken.Zainfekowane pliki rejestru:(Nie wykryto groźnych plików)Zainfekowane foldery:(Nie wykryto groźnych plików)Zainfekowane pliki:C:\System Volume Information\_restore{EEB5249F-FCE4-417A-9CCC-27DDCF8C55BB}\RP36\A0012342.exe (Trojan.Downloader) -> No action taken.C:\System Volume Information\_restore{EEB5249F-FCE4-417A-9CCC-27DDCF8C55BB}\RP36\A0012352.exe (Trojan.Dropper) -> No action taken.C:\System Volume Information\_restore{EEB5249F-FCE4-417A-9CCC-27DDCF8C55BB}\RP36\A0012353.exe (Trojan.Downloader) -> No action taken.C:\System Volume Information\_restore{EEB5249F-FCE4-417A-9CCC-27DDCF8C55BB}\RP36\A0012354.exe (Trojan.Downloader) -> No action taken.C:\System Volume Information\_restore{EEB5249F-FCE4-417A-9CCC-27DDCF8C55BB}\RP36\A0012356.exe (Trojan.Downloader) -> No action taken.C:\System Volume Information\_restore{EEB5249F-FCE4-417A-9CCC-27DDCF8C55BB}\RP36\A0012357.exe (Trojan.Downloader) -> No action taken.C:\System Volume Information\_restore{EEB5249F-FCE4-417A-9CCC-27DDCF8C55BB}\RP36\A0012359.exe (Trojan.Dropper) -> No action taken.C:\System Volume Information\_restore{EEB5249F-FCE4-417A-9CCC-27DDCF8C55BB}\RP36\A0012360.exe (Trojan.Agent) -> No action taken.C:\System Volume Information\_restore{EEB5249F-FCE4-417A-9CCC-27DDCF8C55BB}\RP36\A0012361.exe (Trojan.Agent) -> No action taken.C:\System Volume Information\_restore{EEB5249F-FCE4-417A-9CCC-27DDCF8C55BB}\RP36\A0012362.exe (Trojan.Agent) -> No action taken.C:\System Volume Information\_restore{EEB5249F-FCE4-417A-9CCC-27DDCF8C55BB}\RP36\A0012364.sys (Rootkit.Rustok) -> No action taken.C:\System Volume Information\_restore{EEB5249F-FCE4-417A-9CCC-27DDCF8C55BB}\RP36\A0012366.exe (Trojan.Downloader) -> No action taken.C:\System Volume Information\_restore{EEB5249F-FCE4-417A-9CCC-27DDCF8C55BB}\RP36\A0012367.exe (Trojan.Agent) -> No action taken.
Badzio komentarz 24 maja 2009 Autor komentarz 24 maja 2009 usunalem wczesniej, ale przeskanuje jeszcze raz.
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.