ComboFix 12-08-17.03 - Właściciel 12-08-19 8:40.2.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.1015.391 [GMT 2:00] Uruchomiony z: c:\documents and settings\W-aťciciel\Pulpit\ComboFix.exe Użyto następujących komend :: c:\documents and settings\W-aťciciel\Pulpit\CFScript.txt * Utworzono nowy punkt przywracania . UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! . . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . . c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\_ctypes.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\_elementtree.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\_hashlib.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\_socket.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\_ssl.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\pyexpat.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\pysqlite2._sqlite.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\python26.dll c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\pythoncom26.dll c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\PyWinTypes26.dll c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\select.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\unicodedata.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\win32api.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\win32com.shell.shell.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\win32crypt.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\win32event.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\win32file.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\win32inet.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\win32pdh.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\win32process.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\windows._cacheinvalidation.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\wx._controls_.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\wx._core_.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\wx._gdi_.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\wx._html2.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\wx._misc_.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\wx._windows_.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\wx._wizard.pyd c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\wxbase293u_net_vc.dll c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\wxbase293u_vc.dll c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\wxmsw293u_adv_vc.dll c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\wxmsw293u_core_vc.dll c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\wxmsw293u_html_vc.dll c:\docume~1\WACICI~1\USTAWI~1\Temp\_MEI12362\wxmsw293u_webview_vc.dll c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\_ctypes.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\_elementtree.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\_hashlib.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\_socket.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\_ssl.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\pyexpat.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\pysqlite2._sqlite.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\python26.dll c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\pythoncom26.dll c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\PyWinTypes26.dll c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\select.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\unicodedata.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\win32api.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\win32com.shell.shell.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\win32crypt.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\win32event.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\win32file.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\win32inet.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\win32pdh.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\win32process.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\windows._cacheinvalidation.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\wx._controls_.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\wx._core_.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\wx._gdi_.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\wx._html2.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\wx._misc_.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\wx._windows_.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\wx._wizard.pyd c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\wxbase293u_net_vc.dll c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\wxbase293u_vc.dll c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\wxmsw293u_adv_vc.dll c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\wxmsw293u_core_vc.dll c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\wxmsw293u_html_vc.dll c:\documents and settings\Właściciel\Ustawienia lokalne\Temp\_MEI12362\wxmsw293u_webview_vc.dll c:\windows\Web\ddid c:\windows\Web\ddnm c:\windows\Web\ddsn . . ((((((((((((((((((((((((( Pliki utworzone od 2012-07-19 do 2012-08-19 ))))))))))))))))))))))))))))))) . . 2012-08-18 11:52 . 2012-08-18 17:29 -------- d-----w- C:\UsbFix 2012-08-18 06:58 . 2012-08-18 06:58 -------- d-----w- c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla 2012-08-18 06:40 . 2012-08-18 06:40 -------- d-----w- C:\_OTL 2012-08-17 21:28 . 2012-08-17 21:28 -------- d-----w- c:\documents and settings\Właściciel\Dane aplikacji\Malwarebytes 2012-08-17 21:28 . 2012-08-17 21:28 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Malwarebytes 2012-08-17 21:27 . 2012-08-17 21:28 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2012-08-17 21:27 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys . . . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-08-18 16:50 . 2010-11-03 10:02 477240 ----a-w- c:\windows\system32\drivers\sptd.sys 2012-07-18 20:15 . 2012-05-28 20:24 136672 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll . . ((((((((((((((((((((((((((((( SnapShot@2012-08-18_17.14.37 ))))))))))))))))))))))))))))))))))))))))) . + 2012-08-19 06:55 . 2012-08-19 06:55 16384 c:\windows\temp\Perflib_Perfdata_6d0.dat . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveBlacklistedOverlay] @="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}" [HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42}] 2012-07-20 13:17 556376 ----a-w- c:\program files\Google\Drive\googledrivesync32.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSharedOverlay] @="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}" [HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43}] 2012-07-20 13:17 556376 ----a-w- c:\program files\Google\Drive\googledrivesync32.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSyncedOverlay] @="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40}" [HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40}] 2012-07-20 13:17 556376 ----a-w- c:\program files\Google\Drive\googledrivesync32.dll . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GDriveSyncingOverlay] @="{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}" [HKEY_CLASSES_ROOT\CLSID\{81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41}] 2012-07-20 13:17 556376 ----a-w- c:\program files\Google\Drive\googledrivesync32.dll . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gadu-Gadu 10"="c:\program files\Gadu-Gadu 10\gg.exe" [2010-07-07 12382816] "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-02-13 486856] "H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 1289000] "Badoo Desktop"="c:\documents and settings\All Users\Dane aplikacji\Badoo\Badoo Desktop\1.6.48.1082\Badoo.Desktop.exe" [2011-10-05 1051760] "GoogleDriveSync"="c:\program files\Google\Drive\googledrivesync.exe" [2012-07-20 12218904] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-10-08 98304] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-10-08 114688] "Persistence"="c:\windows\system32\igfxpers.exe" [2006-10-08 94208] "RTHDCPL"="RTHDCPL.EXE" [2008-06-13 16871936] "SoundMan"="SOUNDMAN.EXE" [2006-07-21 86016] "AlcWzrd"="ALCWZRD.EXE" [2006-05-04 2808832] "AsusTray"="c:\program files\EeePC\ACPI\AsTray.exe" [2008-06-03 98304] "AsusACPIServer"="c:\program files\EeePC\ACPI\AsAcpiSvr.exe" [2008-06-03 479232] "AsusEPCMonitor"="c:\program files\EeePC\ACPI\AsEPCMon.exe" [2008-05-20 94208] "Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 528384] "APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2012-05-30 59280] "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696] "AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2012-02-23 59240] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2012-04-18 421888] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-06-07 421776] . [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk] path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup . [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Synchronizer.lnk] path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Synchronizer.lnk backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu] 2008-03-20 10:04 2127296 ----a-w- c:\program files\Gadu-Gadu\gg.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] 2010-05-13 14:12 26192168 ----a-r- c:\program files\Skype\Phone\Skype.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] 2007-05-14 22:22 35328 ----a-w- c:\program files\Winamp\winampa.exe . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"= "c:\\Program Files\\Gadu-Gadu 10\\gg.exe"= "c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\Program Files\\Bonjour\\mDNSResponder.exe"= "c:\\Program Files\\Skype\\Phone\\Skype.exe"= "c:\\Program Files\\Common Files\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"= "c:\\Program Files\\iTunes\\iTunes.exe"= . [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service . R0 sptd;sptd;\SystemRoot\\SystemRoot\System32\Drivers\sptd.sys --> \SystemRoot\\SystemRoot\System32\Drivers\sptd.sys [?] S2 gupdate;Usługa Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [10-09-19 17:14 135664] S3 gupdatem;Usługa Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [10-09-19 17:14 135664] S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [12-05-28 22:24 113120] S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?] . Zawartość folderu 'Zaplanowane zadania' . 2012-08-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-09-19 15:13] . 2012-08-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-09-19 15:13] . . ------- Skan uzupełniający ------- . uStart Page = mStart Page = hxxp://www.google.com uInternet Settings,ProxyOverride = *.local IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200 IE: E&ksport do programu Microsoft Excel - d:\office\OFFICE11\EXCEL.EXE/3000 TCP: DhcpNameServer = 194.204.159.1 195.117.171.10 FF - ProfilePath - c:\documents and settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\9zzs1u01.default\ FF - prefs.js: browser.search.selectedEngine - FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/ . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2012-08-19 08:55 Windows 5.1.2600 Dodatek Service Pack 2 NTFS . skanowanie ukrytych procesów ... . skanowanie ukrytych wpisów autostartu ... . skanowanie ukrytych plików ... . skanowanie pomyślnie ukończone ukryte pliki: 0 . ************************************************************************** . [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc] "ImagePath"="c:\windows\system32\GameMon.des -service" . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- . - - - - - - - > 'explorer.exe'(2096) c:\program files\Google\Drive\googledrivesync32.dll . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe c:\program files\Bonjour\mDNSResponder.exe c:\program files\Java\jre6\bin\jqs.exe c:\windows\system32\wdfmgr.exe c:\windows\system32\wscntfy.exe c:\windows\system32\wbem\wmiapsrv.exe c:\windows\RTHDCPL.EXE c:\windows\SOUNDMAN.EXE c:\windows\system32\igfxsrvc.exe c:\windows\system32\igfxext.exe c:\progra~1\MICROS~4\rapimgr.exe c:\program files\iPod\bin\iPodService.exe c:\program files\Common Files\Teleca Shared\Generic.exe . ************************************************************************** . Czas ukończenia: 2012-08-19 08:59:52 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2012-08-19 06:59 ComboFix2.txt 2012-08-18 17:19 . Przed: 5 799 337 984 bajtów wolnych Po: 5 768 167 424 bajtów wolnych . - - End Of File - - 6A1602A6A4AC8641BC969F34DCFF6828