ComboFix 11-11-13.01 - wiesia 2011-11-13 11:12:37.1.2 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1250.48.1045.18.1023.520 [GMT 1:00] Uruchomiony z: d:\pobrane pliki\ComboFix.exe AV: ESET NOD32 Antivirus 3.0 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0} FW: COMODO Firewall *Enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B} * Utworzono nowy punkt przywracania . . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . . c:\documents and settings\wiesia\Dane aplikacji\PriceGong c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\1.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\a.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\b.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\c.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\d.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\e.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\f.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\g.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\h.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\i.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\J.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\k.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\l.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\m.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\mru.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\n.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\o.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\p.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\q.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\r.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\s.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\t.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\u.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\v.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\w.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\x.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\y.xml c:\documents and settings\wiesia\Dane aplikacji\PriceGong\Data\z.xml c:\windows\system32\WinSys.exe . . ((((((((((((((((((((((((( Pliki utworzone od 2011-10-13 do 2011-11-13 ))))))))))))))))))))))))))))))) . . 2011-11-03 16:43 . 2011-11-03 16:47 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Comodo 2011-11-03 16:43 . 2011-11-03 16:43 -------- d-----w- c:\program files\COMODO 2011-11-03 16:43 . 2011-11-03 16:43 1060864 ----a-w- c:\windows\system32\mfc71.dll 2011-11-03 16:42 . 2011-11-03 16:43 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Comodo Downloader 2011-10-19 13:43 . 2011-10-19 13:43 -------- d-----w- c:\windows\system32\wbem\Repository . . . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2011-10-21 15:36 . 2004-08-04 12:00 361600 ----a-w- c:\windows\system32\drivers\tcpip.sys 2011-10-10 14:22 . 2010-10-06 12:09 692736 ----a-w- c:\windows\system32\inetcomm.dll 2011-10-07 17:48 . 2011-10-07 17:48 97760 ----a-w- c:\windows\system32\drivers\inspect.sys 2011-10-07 17:48 . 2011-10-07 17:48 492768 ----a-w- c:\windows\system32\drivers\cmdGuard.sys 2011-10-07 17:48 . 2011-10-07 17:48 31704 ----a-w- c:\windows\system32\drivers\cmdhlp.sys 2011-10-07 17:48 . 2011-10-07 17:48 18056 ----a-w- c:\windows\system32\drivers\cmderd.sys 2011-10-07 17:47 . 2011-10-07 17:47 33984 ----a-w- c:\windows\system32\cmdcsr.dll 2011-10-07 17:47 . 2011-10-07 17:47 300200 ----a-w- c:\windows\system32\guard32.dll 2011-09-28 07:06 . 2004-08-04 12:00 602624 ----a-w- c:\windows\system32\crypt32.dll 2011-09-26 09:41 . 2008-07-29 18:59 614400 ----a-w- c:\windows\system32\uiautomationcore.dll 2011-09-26 09:41 . 2004-08-04 12:00 23040 ----a-w- c:\windows\system32\oleaccrc.dll 2011-09-26 09:41 . 2004-08-04 12:00 220160 ----a-w- c:\windows\system32\oleacc.dll 2011-09-13 16:25 . 2011-09-13 16:25 376832 ----a-w- c:\windows\system32\AegisI5Installer.exe 2011-09-06 14:10 . 2004-08-04 12:00 1859200 ----a-w- c:\windows\system32\win32k.sys 2011-08-31 15:00 . 2011-01-16 09:39 22216 ----a-w- c:\windows\system32\drivers\mbam.sys 2011-08-22 23:40 . 2004-08-04 12:00 916480 ----a-w- c:\windows\system32\wininet.dll 2011-08-22 23:40 . 2004-08-04 12:00 43520 ----a-w- c:\windows\system32\licmgr10.dll 2011-08-22 23:40 . 2004-08-04 12:00 1469440 ------w- c:\windows\system32\inetcpl.cpl 2011-08-22 11:58 . 2004-08-04 12:00 385024 ------w- c:\windows\system32\html.iec 2011-08-17 13:49 . 2004-08-04 12:00 138496 ----a-w- c:\windows\system32\drivers\afd.sys 2011-02-09 12:53 . 2011-02-09 12:53 883488 ----a-w- c:\program files\chromeinstall-6u23.exe . . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "uTorrent"="d:\program files\uTorrent\uTorrent.exe" [2010-12-12 395640] "H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-10-07 1461080] "COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2011-10-20 2497352] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=c:\windows\system32\guard32.dll . [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CLPSLS] @="Service" . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "d:\\Program Files\\uTorrent\\uTorrent.exe"= "c:\\Program Files\\Skype\\Phone\\Skype.exe"= "c:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"= "c:\\WINDOWS\\system32\\mmc.exe"= "d:\\nero\\Nero ShowTime\\ShowTime.exe"= "c:\\WINDOWS\\system32\\sessmgr.exe"= "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"= . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) "AllowInboundRouterRequest"= 1 (0x1) . R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [2011-10-07 492768] R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [2011-10-07 31704] R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2008-10-24 35168] R2 CLPSLS;COMODO livePCsupport Service;c:\program files\COMODO\COMODO GeekBuddy\CLPSLS.exe [2011-05-26 154424] R2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2008-10-24 472280] S1 networx;networx;c:\windows\system32\drivers\networx.sys --> c:\windows\system32\drivers\networx.sys [?] S2 gupdate;Usługa Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-12-03 135664] S3 gupdatem;Usługa Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-12-03 135664] S3 MatSvc;Microsoft Automated Troubleshooting Service;c:\program files\Microsoft Fix it Center\Matsvc.exe [2011-06-13 267568] . Zawartość folderu 'Zaplanowane zadania' . 2011-11-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-12-03 16:41] . 2011-11-06 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-12-03 16:41] . 2011-11-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1454471165-682003330-1004Core.job - c:\documents and settings\wiesia\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2011-02-07 17:00] . 2011-11-06 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1454471165-682003330-1004UA.job - c:\documents and settings\wiesia\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2011-02-07 17:00] . 2011-11-13 c:\windows\Tasks\User_Feed_Synchronization-{D41D7E2B-6AF9-4C83-9224-5E667D758CC1}.job - c:\windows\system32\msfeedssync.exe [2009-03-08 02:31] . . ------- Skan uzupełniający ------- . uStart Page = hxxp://www.google.pl/ uInternet Connection Wizard,ShellNext = iexplore uSearchURL,(Default) = hxxp://www.google.com/search?q=%s TCP: Interfaces\{2C60B6AE-1466-42E9-A99E-0BDA4BD5D107}: NameServer = 194.204.159.1,194.204.152.34 FF - ProfilePath - c:\documents and settings\wiesia\Dane aplikacji\Mozilla\Firefox\Profiles\jl7ir6s6.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/ FF - prefs.js: network.proxy.type - 4 FF - user.js: browser.blink_allowed - true FF - user.js: network.prefetch-next - true FF - user.js: nglayout.initialpaint.delay - 50 FF - user.js: layout.spellcheckDefault - 1 FF - user.js: browser.search.openintab - false FF - user.js: browser.tabs.closeButtons - 1 FF - user.js: browser.tabs.opentabfor.middleclick - true FF - user.js: browser.tabs.tabMinWidth - 100 . - - - - USUNIĘTO PUSTE WPISY - - - - . Toolbar-{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - (no file) Toolbar-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) Toolbar-Locked - (no file) WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) WebBrowser-{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - (no file) . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2011-11-13 11:16 Windows 5.1.2600 Dodatek Service Pack 3 NTFS . detected NTDLL code modification: ZwClose . skanowanie ukrytych procesów ... . skanowanie ukrytych wpisów autostartu ... . skanowanie ukrytych plików ... . skanowanie pomyślnie ukończone ukryte pliki: 0 . ************************************************************************** . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- . [HKEY_USERS\S-1-5-21-343818398-1454471165-682003330-1004\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- . - - - - - - - > 'winlogon.exe'(728) c:\windows\system32\guard32.dll . - - - - - - - > 'lsass.exe'(784) c:\windows\system32\guard32.dll . - - - - - - - > 'csrss.exe'(700) c:\windows\system32\cmdcsr.dll . Czas ukończenia: 2011-11-13 11:18:17 ComboFix-quarantined-files.txt 2011-11-13 10:18 . Przed: 16 706 224 128 bajtów wolnych Po: 16 864 866 304 bajtów wolnych . WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect . - - End Of File - - 894F188F61141C582BC4257B7772AFCC