ComboFix 10-08-22.07 - Administrator 2010-08-23 23:33:50.4.1 - x86 MINIMAL Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.511.417 [GMT 2:00] Uruchomiony z: c:\documents and settings\DOMOWY\Pulpit\logi\ComboFix.exe Użyto następujących komend :: c:\documents and settings\DOMOWY\Pulpit\logi\cfscript.txt FILE :: "c:\windows\system32\drivers\kbxrr.sys" "c:\windows\system32\drivers\mxuhbaqh.sys" . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\2008.exe c:\documents and settings\DOMOWY\Dane aplikacji\{1R86IJ4Q-WHI0-QC4H-8FTN-9A2652YS} c:\documents and settings\DOMOWY\Dane aplikacji\{1R86IJ4Q-WHI0-QC4H-8FTN-9A2652YS}\ntuser.cpl c:\documents and settings\DOMOWY\Dane aplikacji\{H3QR9S90-S0MH-DFS5-6CQW-H79I45QT} c:\documents and settings\DOMOWY\Dane aplikacji\{H3QR9S90-S0MH-DFS5-6CQW-H79I45QT}\ntuser.cpl c:\documents and settings\DOMOWY\Dane aplikacji\{XNYU4L5G-8V69-4XS9-92XB-H215XM11} c:\documents and settings\DOMOWY\Dane aplikacji\{XNYU4L5G-8V69-4XS9-92XB-H215XM11}\ntuser.cpl c:\documents and settings\DOMOWY\Dane aplikacji\Extensions c:\documents and settings\DOMOWY\Dane aplikacji\Extensions\std.dat c:\documents and settings\DOMOWY\Dane aplikacji\Extensions\uac.exe c:\windows\svc2.exe c:\windows\system32\drivers\kbxrr.sys c:\windows\system32\drivers\mxuhbaqh.sys -- Poprzednie uruchomienie -- Zainfekowana kopia c:\windows\system32\userinit.exe została znaleziona. Problem naprawiono Plik odzyskano z - c:\windows\system32\dllcache\userinit.exe c:\windows\system32\drivers\ndis.sys . . . jest zainfekowany!! Zainfekowana kopia c:\windows\system32\drivers\cdrom.sys została znaleziona. Problem naprawiono Plik odzyskano z - c:\system volume information\_restore{91D1CDD0-D074-4DFD-9485-54D76C9E163D}\RP72\A0039394.sys c:\windows\system32\grpconv.exe . . . brak pliku!! Zainfekowana kopia c:\windows\system32\DRIVERS\mouclass.sys została znaleziona. Problem naprawiono Plik odzyskano z - Kitty had a snack :p -- Poprzednie uruchomienie -- Zainfekowana kopia c:\windows\system32\userinit.exe została znaleziona. Problem naprawiono Plik odzyskano z - c:\windows\system32\dllcache\userinit.exe c:\windows\system32\drivers\ndis.sys . . . jest zainfekowany!! Zainfekowana kopia c:\windows\system32\drivers\cdrom.sys została znaleziona. Problem naprawiono Plik odzyskano z - c:\system volume information\_restore{91D1CDD0-D074-4DFD-9485-54D76C9E163D}\RP72\A0039394.sys c:\windows\system32\grpconv.exe . . . brak pliku!! -------- Zainfekowana kopia c:\windows\system32\userinit.exe została znaleziona. Problem naprawiono Plik odzyskano z - c:\windows\system32\dllcache\userinit.exe -- Poprzednie uruchomienie -- Zainfekowana kopia c:\windows\system32\userinit.exe została znaleziona. Problem naprawiono Plik odzyskano z - c:\windows\system32\dllcache\userinit.exe c:\windows\system32\drivers\ndis.sys . . . jest zainfekowany!! Zainfekowana kopia c:\windows\system32\drivers\cdrom.sys została znaleziona. Problem naprawiono Plik odzyskano z - c:\system volume information\_restore{91D1CDD0-D074-4DFD-9485-54D76C9E163D}\RP72\A0039394.sys c:\windows\system32\grpconv.exe . . . brak pliku!! Zainfekowana kopia c:\windows\system32\DRIVERS\mouclass.sys została znaleziona. Problem naprawiono Plik odzyskano z - Kitty had a snack :p -- Poprzednie uruchomienie -- Zainfekowana kopia c:\windows\system32\userinit.exe została znaleziona. Problem naprawiono Plik odzyskano z - c:\windows\system32\dllcache\userinit.exe c:\windows\system32\drivers\ndis.sys . . . jest zainfekowany!! Zainfekowana kopia c:\windows\system32\drivers\cdrom.sys została znaleziona. Problem naprawiono Plik odzyskano z - c:\system volume information\_restore{91D1CDD0-D074-4DFD-9485-54D76C9E163D}\RP72\A0039394.sys c:\windows\system32\grpconv.exe . . . brak pliku!! -------- Zainfekowana kopia c:\windows\system32\userinit.exe została znaleziona. Problem naprawiono Plik odzyskano z - c:\windows\system32\dllcache\userinit.exe -------- Zainfekowana kopia c:\windows\system32\userinit.exe została znaleziona. Problem naprawiono Plik odzyskano z - c:\windows\system32\dllcache\userinit.exe -------- Zainfekowana kopia c:\windows\system32\userinit.exe została znaleziona. Problem naprawiono Plik odzyskano z - c:\windows\system32\dllcache\userinit.exe Zainfekowana kopia c:\windows\system32\drivers\cdrom.sys została znaleziona. Problem naprawiono Plik odzyskano z - c:\system volume information\_restore{91D1CDD0-D074-4DFD-9485-54D76C9E163D}\RP72\A0039394.sys c:\windows\system32\grpconv.exe . . . brak pliku!! c:\windows\system32\grpconv.exe . . . brak pliku!! . --------------- FCopy --------------- c:\ndis1.sys --> c:\windows\system32\dllcache\ndis.sys c:\ndis1.sys --> c:\windows\system32\drivers\ndis.sys c:\aec1.sys --> c:\windows\system32\dllcache\aec.sys c:\aec1.sys --> c:\windows\system32\drivers\aec.sys . ((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_KBXRR -------\Legacy_MXUHBAQH -------\Service_kbxrr -------\Service_mxuhbaqh ((((((((((((((((((((((((( Pliki utworzone od 2010-07-23 do 2010-08-23 ))))))))))))))))))))))))))))))) . 2010-08-23 21:24 . 2010-08-23 21:31 -------- d-----w- c:\windows\LastGood.Tmp 2010-08-23 20:58 . 2004-08-03 22:14 182912 ------w- C:\ndis1.sys 2010-08-23 20:58 . 2004-08-03 21:39 142464 ------w- C:\aec1.sys 2010-08-23 20:20 . 2010-08-23 20:20 -------- d-----w- c:\documents and settings\DOMOWY\Ustawienia lokalne\Dane aplikacji\GHISLER 2010-08-23 16:30 . 2010-08-23 16:30 -------- d-----w- c:\program files\IrfanView 2010-08-23 16:19 . 2010-08-23 16:19 -------- d-----w- C:\UsbFix 2010-08-22 18:54 . 2010-08-22 18:54 -------- d-----w- c:\documents and settings\DOMOWY\DoctorWeb 2010-08-22 17:32 . 2010-08-22 17:32 -------- d-sh--w- c:\documents and settings\Administrator\PrivacIE 2010-07-26 14:09 . 2010-07-26 14:09 -------- d-sh--w- c:\documents and settings\LocalService\PrivacIE 2010-07-26 14:09 . 2010-07-26 14:09 -------- d-----r- c:\documents and settings\LocalService\Ulubione 2010-07-26 13:27 . 2010-07-26 13:27 -------- d-----w- c:\windows\system32\LogFiles . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-08-23 19:37 . 2009-11-14 13:58 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\CyberLink 2010-07-30 18:44 . 2010-07-30 18:44 16 ----a-w- c:\documents and settings\NetworkService\Dane aplikacji\mbsvil.dat 2010-07-27 19:06 . 2010-07-27 19:06 12 ----a-w- c:\windows\system32\config\systemprofile\Dane aplikacji\mbsvil.dat 2010-07-27 14:59 . 2010-07-27 14:59 16 ----a-w- c:\documents and settings\LocalService\Dane aplikacji\mbsvil.dat 2010-07-18 18:09 . 2009-11-14 14:50 -------- d-----w- c:\program files\English Translator 3 2010-07-09 14:11 . 2010-07-09 14:11 -------- d-----w- c:\program files\Pierwsza Pomoc Demo 2010-06-23 15:22 . 2010-06-23 15:22 501936 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Google\Google Toolbar\Update\gtbD.tmp.exe 2010-05-29 11:58 . 2010-05-29 11:58 177 ----a-w- C:\backup.reg . ------- Sigcheck ------- [-] 2008-04-14 . 2A5B37D520508BE6570A3EA79695F5B5 . 26624 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\userinit.exe [-] 2004-08-03 21:44 . 7F9C2B6661488BD6BD483DD4CE0C8B46 . 25088 . . [------] . . c:\windows\system32\userinit.exe [7] 2004-08-03 . BD768099B4C44AA631728CB74EB54396 . 25088 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\userinit.exe [-] 2008-04-14 . A9ED600F08A92143253C10EDB5651ECF . 1571840 . . [5.1.2600.5512] . . c:\windows\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\sfcfiles.dll [-] 2008-02-23 . 44A87287F63395AE9E7950D266A73160 . 1548288 . . [5.1.2600.2180] . . c:\windows\system32\sfcfiles.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-02-07 39408] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360] "efffggsys"="tuvuro.dll" [BU] [HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run] "wa0ub"="c:\docume~1\DOMOWY\USTAWI~1\Temp\u2lj.exe" [BU] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360] Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"= "c:\\Program Files\\Gadu-Gadu\\gg.exe"= "c:\\totalcmd\\TOTALCMD.EXE"= "c:\\Program Files\\Samsung\\Samsung New PC Studio\\npsasvr.exe"= "c:\\Program Files\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"= "c:\\Program Files\\Opera\\opera.exe"= R2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2010-03-20 233472] S?2 gupdate;Usługa Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-08 135664] S4 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\fsusbexdisk.sys [2010-03-20 36608] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . Zawartość folderu 'Zaplanowane zadania' 2010-08-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-08 13:18] 2010-08-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-02-08 13:18] . . ------- Skan uzupełniający ------- . uStart Page = wyborcza.pl/0,0.html?p=027 uSearchAssistant = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 IE: Funkcja Google Sidewiki - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html . - - - - USUNIĘTO PUSTE WPISY - - - - ShellIconOverlayIdentifiers-{96AFBE69-C3B0-4b00-8578-D933D2896EE2} - (no file) HKCU-Run-NetLog2 - c:\windows\svc2.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-08-23 23:40 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0xF870B11B]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> CLASSPNP.SYS @ 0xf859afc3 \Driver\ACPI -> ACPI.sys @ 0xf84eccb8 \Driver\atapi -> atapi.sys @ 0xf847e7b4 IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0084 \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a0084 NDIS: NVIDIA nForce MCP Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xf8373ba0 PacketIndicateHandler -> NDIS.sys @ 0xf8380b21 SendHandler -> NDIS.sys @ 0xf835e87b user & kernel MBR OK copy of MBR has been found in sector 5 ! ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > 'explorer.exe'(2188) c:\windows\system32\ieframe.dll c:\windows\system32\webcheck.dll . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\program files\Internet Explorer\IEXPLORE.EXE c:\program files\Internet Explorer\IEXPLORE.EXE c:\windows\system32\Ati2evxx.exe c:\windows\system32\ati2sgag.exe c:\program files\Common Files\Microsoft Shared\VS7Debug\mdm.exe . ************************************************************************** . Czas ukończenia: 2010-08-23 23:41:02 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2010-08-23 21:40 Przed: 11 342 409 728 bajtów wolnych Po: 10 803 548 160 bajtów wolnych - - End Of File - - 113626E315408DC808A7C16B4EE8151C