ComboFix 12-01-13.05 - admin 2012-01-13 23:19:52.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.767.570 [GMT 1:00] Uruchomiony z: c:\documents and settings\admin\Pulpit\ComboFix.exe AV: Kaspersky Anti-Virus *Disabled/Outdated* {2C4D4BC6-0793-4956-A9F9-E252435469C0} . UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! . . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . . c:\documents and settings\admin\Ustawienia lokalne\Dane aplikacji\49fecd8e\U\00000001.@ c:\documents and settings\admin\Ustawienia lokalne\Dane aplikacji\49fecd8e\U\000000c0.@ c:\documents and settings\admin\Ustawienia lokalne\Dane aplikacji\49fecd8e\U\000000cb.@ c:\documents and settings\admin\Ustawienia lokalne\Dane aplikacji\49fecd8e\U\000000cf.@ c:\documents and settings\admin\Ustawienia lokalne\Dane aplikacji\49fecd8e\U\80000000.@ c:\documents and settings\admin\Ustawienia lokalne\Dane aplikacji\49fecd8e\U\800000c0.@ c:\documents and settings\admin\Ustawienia lokalne\Dane aplikacji\49fecd8e\U\800000cb.@ c:\documents and settings\admin\Ustawienia lokalne\Dane aplikacji\49fecd8e\U\800000cf.@ c:\documents and settings\admin\Ustawienia lokalne\Dane aplikacji\49fecd8e\X c:\documents and settings\admin\WINDOWS c:\windows\$NtUninstallKB31631$ c:\windows\$NtUninstallKB31631$\1241435534\@ c:\windows\$NtUninstallKB31631$\1241435534\L\ziudplxi c:\windows\$NtUninstallKB31631$\1241435534\loader.tlb c:\windows\$NtUninstallKB31631$\1241435534\U\@00000001 c:\windows\$NtUninstallKB31631$\1241435534\U\@000000c0 c:\windows\$NtUninstallKB31631$\1241435534\U\@000000cb c:\windows\$NtUninstallKB31631$\1241435534\U\@000000cf c:\windows\$NtUninstallKB31631$\1241435534\U\@80000000 c:\windows\$NtUninstallKB31631$\1241435534\U\@800000c0 c:\windows\$NtUninstallKB31631$\1241435534\U\@800000cb c:\windows\$NtUninstallKB31631$\1241435534\U\@800000cf c:\windows\$NtUninstallKB31631$\3648194817 c:\windows\system32\mqdmmdm.dll . Zainfekowana kopia c:\windows\system32\drivers\mrxsmb.sys została znaleziona. Problem naprawiono Plik odzyskano z - The cat found it :) . ((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))) . . -------\Legacy_USBMN1X1 -------\Service_USBMN1X1 . . ((((((((((((((((((((((((( Pliki utworzone od 2011-12-13 do 2012-01-13 ))))))))))))))))))))))))))))))) . . 2012-01-09 11:28 . 2012-01-09 11:28 -------- d-----w- C:\NVIDIA . . . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-01-13 22:04 . 2002-09-28 22:00 188544 ----a-w- c:\windows\system32\drivers\acpi.sys 2012-01-13 17:49 . 2008-01-29 16:29 33808 ----a-w- c:\windows\system32\drivers\klbg.sys . . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480] "nwiz"="nwiz.exe" [2006-10-22 1622016] "GNConfig"="c:\program files\Gigabyte\Gigabyte GN-WP01GT Wireless PCI Adapter\GNConfig.exe" [2005-06-03 348160] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-01-03 37296] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712] "AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2012-01-13 208616] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] . c:\documents and settings\admin\Menu Start\Programy\Autostart\ Windows Updater.exe [2009-7-28 26788] . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM] 2012-01-02 09:07 843712 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2012-01-03 21:51 37296 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2010-05-14 10:44 248552 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe . [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "d:\\Program Files\\K2T\\WTW\\wtw.exe"= "d:\\Program Files\\Steam\\Steam.exe"= "d:\\Program Files\\uTorrent\\uTorrent.exe"= "d:\\Program Files\\Opera\\opera.exe"= "d:\\Program Files\\Steam\\steamapps\\callousnes\\half-life\\hl.exe"= . R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808] R2 MBAMService;MBAMService;d:\program files\MAM\mbamservice.exe [2012-01-06 652872] R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592] R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-01-06 20464] S2 gupdate;Usługa Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2012-01-07 136176] S3 gupdatem;Usługa Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2012-01-07 136176] . HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs USBMN1X1 . Zawartość folderu 'Zaplanowane zadania' . 2012-01-13 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2012-01-07 21:52] . 2012-01-13 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2012-01-07 21:52] . . ------- Skan uzupełniający ------- . TCP: Interfaces\{B30B3E70-F333-4B97-921B-34C5E9553BAA}: NameServer = 8.8.8.8,208.67.222.222,208.67.220.220 DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab FF - ProfilePath - c:\documents and settings\admin\Dane aplikacji\Mozilla\Firefox\Profiles\5kfkxjpz.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/ . - - - - USUNIĘTO PUSTE WPISY - - - - . SafeBoot-82850595.sys . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2012-01-13 23:35 Windows 5.1.2600 Dodatek Service Pack 3 NTFS . skanowanie ukrytych procesów ... . skanowanie ukrytych wpisów autostartu ... . skanowanie ukrytych plików ... . skanowanie pomyślnie ukończone ukryte pliki: 0 . ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- . - - - - - - - > 'winlogon.exe'(836) c:\windows\System32\athgina.dll c:\windows\System32\athcfg11.dll c:\windows\System32\athcfg11Res.dll . - - - - - - - > 'explorer.exe'(3228) c:\windows\system32\ieframe.dll c:\windows\system32\webcheck.dll . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\windows\System32\acs.exe c:\program files\Java\jre6\bin\jqs.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\wscntfy.exe c:\windows\System32\wbem\wmiapsrv.exe c:\documents and settings\admin\Menu Start\Programy\Autostart\Windows Updater.exe . ************************************************************************** . Czas ukończenia: 2012-01-13 23:38:29 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2012-01-13 22:38 . Przed: 12 305 821 696 bajtów wolnych Po: 12 453 085 184 bajtów wolnych . - - End Of File - - 1559C7E8FF257D53F5C163F66DE1B75E