ComboFix 13-10-04.02 - Admin 2013-10-07 19:38:40.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.0.1250.48.1045.18.767.508 [GMT 2:00] Uruchomiony z: c:\documents and settings\Admin\Pulpit\ComboFix.exe . . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . . Zainfekowana kopia c:\windows\system32\qmgr.dll została znaleziona. Problem naprawiono Plik odzyskano z - c:\system volume information\_restore{1F4C9799-92C7-4B5A-ACC7-BCEEC67D71E0}\RP7\A0001984.dll . c:\windows\system32\drivers\usbehci.sys . . . brak pliku!! . . ((((((((((((((((((((((((( Pliki utworzone od 2013-09-07 do 2013-10-07 ))))))))))))))))))))))))))))))) . . 2013-10-07 16:25 . 2013-10-07 16:25 -------- d-----w- c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\FilesFrog Update Checker 2013-10-05 19:04 . 2013-10-05 19:04 -------- d-----w- c:\documents and settings\Admin\Dane aplikacji\dvdcss 2013-10-05 14:55 . 2013-10-05 19:24 -------- d-----w- c:\documents and settings\Admin\Dane aplikacji\vlc 2013-10-04 20:00 . 2013-10-04 20:00 -------- d-----w- c:\windows\nview 2013-09-27 19:24 . 2013-09-27 19:24 -------- d-----w- c:\windows\system32\CatRoot_bak 2013-09-27 17:32 . 2013-10-07 17:19 -------- d-----w- c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\Panda Software 2013-09-27 17:31 . 2013-09-27 17:31 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\sentinel 2013-09-27 17:12 . 2013-10-07 17:19 -------- d-----w- c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\Panda Software 2013-09-27 17:10 . 2013-10-07 17:20 -------- d-----w- c:\program files\Common Files\InstallShield 2013-09-27 17:09 . 2013-10-07 17:21 -------- d-----w- c:\program files\Common Files\Panda Software 2013-09-27 16:18 . 2001-08-17 20:03 21760 -c--a-w- c:\windows\system32\dllcache\usbstor.sys 2013-09-27 15:59 . 2013-09-27 15:59 -------- d-s---w- c:\windows\system32\Microsoft 2013-09-27 15:59 . 2013-09-27 15:59 -------- d-----w- c:\documents and settings\Admin\Dane aplikacji\DigitalSite 2013-09-27 15:56 . 2013-09-27 15:56 -------- d-----w- c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\Babylon 2013-09-27 15:56 . 2013-09-27 15:56 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Babylon 2013-09-27 15:56 . 2013-09-27 15:56 -------- d-----w- c:\documents and settings\Admin\Dane aplikacji\Babylon 2013-09-27 15:10 . 2013-09-27 15:10 -------- d-s---w- c:\documents and settings\Admin\UserData 2013-09-27 14:53 . 2013-09-27 14:53 -------- d-----w- c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\Help 2013-09-27 11:32 . 2013-09-27 11:32 -------- d-----w- c:\windows\system32\wbem\Repository 2013-09-22 17:18 . 2001-10-26 17:29 21504 ----a-w- c:\documents and settings\LocalService\Dane aplikacji\Microsoft\UPnP Device Host\upnphost\udhisapi.dll 2013-09-20 16:26 . 2013-09-27 18:38 -------- d-----w- c:\documents and settings\Admin\Dane aplikacji\MSN6 2013-09-20 16:26 . 2013-09-20 16:26 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\MSN6 2013-09-20 16:16 . 2001-10-26 15:29 19456 -c--a-w- c:\windows\system32\dllcache\hidserv.dll 2013-09-20 16:16 . 2001-10-26 15:29 19456 ----a-w- c:\windows\system32\hidserv.dll 2013-09-20 16:16 . 2001-10-26 14:48 14080 -c--a-w- c:\windows\system32\dllcache\kbdhid.sys 2013-09-20 16:16 . 2001-10-26 14:48 14080 ----a-w- c:\windows\system32\drivers\kbdhid.sys 2013-09-20 16:16 . 2001-08-17 20:03 24960 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys 2013-09-20 16:16 . 2001-08-17 20:03 24960 ----a-w- c:\windows\system32\drivers\usbccgp.sys . . . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . . . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SDP"="c:\documents and settings\Admin\Ustawienia lokalne\Dane aplikacji\FilesFrog Update Checker\update_checker.exe" [2013-01-31 201808] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="NvQTwk" [X] "nwiz"="nwiz.exe" [2002-05-03 364544] . [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-10-26 13312] . . . ------- Skan uzupełniający ------- . IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm TCP: DhcpNameServer = 192.168.0.1 TCP: Interfaces\{3DC43DB8-1744-4911-8B33-66EE1F377318}: NameServer = 195.222.112.2,195.222.112.3 TCP: Interfaces\{5BA26253-D2BB-4435-AD34-82282F56AF96}: NameServer = 195.222.112.2,195.222.112.3 . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2013-10-07 19:44 Windows 5.1.2600 NTFS . skanowanie ukrytych procesów ... . skanowanie ukrytych wpisów autostartu ... . skanowanie ukrytych plików ... . skanowanie pomyślnie ukończone ukryte pliki: 0 . ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- . - - - - - - - > 'winlogon.exe'(512) c:\windows\SYSTEM32\ODBC32.dll . - - - - - - - > 'lsass.exe'(576) c:\windows\system32\mswsock.dll c:\windows\System32\wshtcpip.dll c:\windows\System32\dssenh.dll . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\windows\SYSTEM32\logonui.exe c:\windows\System32\nvsvc32.exe . ************************************************************************** . Czas ukończenia: 2013-10-07 19:47:07 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2013-10-07 17:47 . Przed: 14 190 297 088 bajtów wolnych Po: 14 755 819 520 bajtów wolnych . WinXP_PL_PRO_BF.EXE [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect . - - End Of File - - 61B2303E76AA9B39ABEBB0B444C58ECD 32052574BF9F325AE309ABC7BFD04460