ComboFix 11-02-11.02 - prac 2011-02-12 17:06:29.3.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.3.1250.48.1045.18.1015.732 [GMT 1:00] Uruchomiony z: c:\documents and settings\prac\Pulpit\ComboFix.exe Użyto następujących komend :: c:\documents and settings\prac\Pulpit\CFScript.txt.txt FILE :: "c:\windows\system32\xtlmz.dll" . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\xtlmz.dll . ((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NMINDEXINGSERVICE -------\Legacy_WINVNC -------\Legacy_XDUPP -------\Service_NMIndexingService -------\Service_winvnc -------\Service_xdupp ((((((((((((((((((((((((( Pliki utworzone od 2011-01-12 do 2011-02-12 ))))))))))))))))))))))))))))))) . Nie utworzono żadnych nowych plików w tym okresie . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-12-15 15:45 . 2010-12-15 15:23 98392 ----a-w- c:\windows\system32\drivers\SBREDrv.sys 2010-12-03 09:05 . 2010-12-15 15:24 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Zolte karteczki"="c:\program files\Zolte karteczki\zkart.exe" [2010-02-05 1110528] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RTHDCPL"="RTHDCPL.EXE" [2007-07-05 16380416] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-10-05 98304] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-10-05 114688] "Persistence"="c:\windows\system32\igfxpers.exe" [2006-10-05 94208] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\RealVNC\\VNC4\\winvnc4.exe"= "c:\\WINDOWS\\system32\\sessmgr.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "5903:TCP"= 5903:TCP:vnc R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2010-12-15 64288] R1 NmPar;MosChip PCI Parallel Port;c:\windows\system32\drivers\NmPar.sys [2008-09-03 76416] R1 nmserial;MosChip PCI Serial Port;c:\windows\system32\drivers\NmSerial.sys [2008-09-03 62080] R2 port_nt;port_nt;c:\windows\system32\drivers\port_nt.sys [2008-05-28 3608] . . ------- Skan uzupełniający ------- . uStart Page = hxxp://www.onet.pl/ mStart Page = about:blank IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000 TCP: {EC4A183A-E48E-4637-ADE2-DF6F67873E09} = 192.168.0.1,194.204.152.34 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2011-02-12 17:10 Windows 5.1.2600 Dodatek Service Pack 3 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe" [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] @Denied: (A 2) (Everyone) @="IFlashBroker4" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > 'explorer.exe'(2172) c:\program files\RealVNC\VNC4\wm_hooks.dll . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\windows\system32\wdfmgr.exe c:\program files\RealVNC\VNC4\WinVNC4.exe c:\windows\RTHDCPL.EXE . ************************************************************************** . Czas ukończenia: 2011-02-12 17:12:42 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2011-02-12 16:12 ComboFix2.txt 2011-02-11 14:52 Przed: 148 435 480 576 bajtów wolnych Po: 148 411 850 752 bajtów wolnych - - End Of File - - 9D4B25152AE0DD91EA2E0263BAD6746B