Przypadkowe uruchomienie ComboFix'a

[cinderella]

Witam!

 

Jestem niedoświadczonym użytkownikiem programu ComboFix - nie wiem kiedy i dlaczego znalazł się on na moim komputerze - i niewiele myśląc, uruchomiłam go, by zobaczyć "co to jest" ..

I teraz niepokoję się, że coś mógł on zrobić z moim systemem

Zauważyłam , że w trakcie skanowania, usunął on folder PolicyDefinitions ... nie wiem, czy to dobrze - czy źle..

 

W każdym razie, będę wdzięczna za pomoc w przeanalizowaniu Loga, który został wygenerowany już "po".

 

Z góry bardzo Wszystkim dziękuję!

Pozdrawiam!

 

ComboFix 13-04-24.03 - Kinia 2014-04-12 21:58:01.1.4 - x64

Microsoft Windows 7 Home Premium 6.1.7601.1.1250.48.1045.18.3882.1676 [GMT 2:00]

Uruchomiony z: d:\dokumenty\instalki\ComboFix.exe

AV: Norton Internet Security *Disabled/Updated* {63DF5164-9100-186D-2187-8DC619EFD8BF}

FW: Norton Internet Security *Disabled* {5BE4D041-DB6F-1935-0AD8-24F3E73C9FC4}

SP: Norton Internet Security *Disabled/Updated* {D8BEB080-B73A-17E3-1B37-B6B462689202}

SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\windows\PolicyDefinitions

c:\windows\PolicyDefinitions\DeviceRedirection.admx

c:\windows\PolicyDefinitions\en-US\InetRes.adml

c:\windows\PolicyDefinitions\EnhancedStorage.admx

c:\windows\PolicyDefinitions\es-ES\InetRes.adml

c:\windows\PolicyDefinitions\inetres.admx

c:\windows\PolicyDefinitions\NCSI.admx

c:\windows\PolicyDefinitions\pl-PL\DeviceRedirection.adml

c:\windows\PolicyDefinitions\pl-PL\EnhancedStorage.adml

c:\windows\PolicyDefinitions\pl-PL\InetRes.adml

c:\windows\PolicyDefinitions\pl-PL\NCSI.adml

c:\windows\PolicyDefinitions\pl-PL\RacWmiProv.adml

c:\windows\PolicyDefinitions\pl-PL\ReAgent.adml

c:\windows\PolicyDefinitions\pl-PL\sdiageng.adml

c:\windows\PolicyDefinitions\pl-PL\sdiagschd.adml

c:\windows\PolicyDefinitions\pl-PL\Search.adml

c:\windows\PolicyDefinitions\pl-PL\WindowsMediaDRM.adml

c:\windows\PolicyDefinitions\pl-PL\WindowsMediaPlayer.adml

c:\windows\PolicyDefinitions\pt-PT\InetRes.adml

c:\windows\PolicyDefinitions\RacWmiProv.admx

c:\windows\PolicyDefinitions\ReAgent.admx

c:\windows\PolicyDefinitions\sdiageng.admx

c:\windows\PolicyDefinitions\sdiagschd.admx

c:\windows\PolicyDefinitions\Search.admx

c:\windows\PolicyDefinitions\WindowsMediaDRM.admx

c:\windows\PolicyDefinitions\WindowsMediaPlayer.admx

.

.

((((((((((((((((((((((((( Pliki utworzone od 2014-03-12 do 2014-04-12 )))))))))))))))))))))))))))))))

.

.

2014-04-12 20:08 . 2014-04-12 20:08 -------- d-----w- c:\users\UpdatusUser\AppData\Local\temp

2014-04-12 20:08 . 2014-04-12 20:08 -------- d-----w- c:\users\Default\AppData\Local\temp

2014-04-12 10:59 . 2014-04-12 10:59 -------- d-----w- c:\users\Default\AppData\Local\Microsoft Help

2014-04-12 09:47 . 2013-06-03 04:13 455680 ----a-w- c:\windows\system32\drivers\ewusbwwan.sys

2014-04-12 09:47 . 2013-05-28 09:36 245760 ----a-w- c:\windows\system32\drivers\ew_juwwanecm.sys

2014-04-12 09:47 . 2013-03-04 08:32 91648 ----a-w- c:\windows\system32\drivers\ew_jubusenum.sys

2014-04-12 09:47 . 2013-03-04 08:32 77312 ----a-w- c:\windows\system32\drivers\ew_jucdcecm.sys

2014-04-12 09:47 . 2013-03-04 08:32 30720 ----a-w- c:\windows\system32\drivers\ew_juextctrl.sys

2014-04-12 09:47 . 2013-03-04 08:32 110592 ----a-w- c:\windows\system32\drivers\ew_jucdcacm.sys

2014-04-12 09:47 . 2013-03-04 08:21 226048 ----a-w- c:\windows\system32\drivers\ewusbmdm.sys

2014-04-12 09:47 . 2013-01-25 01:16 109568 ----a-w- c:\windows\system32\drivers\ew_hwusbdev.sys

2014-04-12 09:47 . 2012-12-22 01:46 14976 ----a-w- c:\windows\system32\drivers\ew_usbenumfilter.sys

2014-04-12 09:47 . 2010-10-08 08:59 32768 ----a-w- c:\windows\system32\drivers\ewdcsc.sys

2014-04-12 09:47 . 2010-09-26 10:09 22016 ----a-w- c:\windows\system32\drivers\ew_hwupgrade.sys

2014-04-12 09:47 . 2010-08-05 23:43 1001472 ----a-w- c:\windows\system32\drivers\mod7700.sys

2014-04-10 23:41 . 2014-04-10 23:41 0 ----a-w- c:\windows\SysWow64\shoFC68.tmp

2014-04-10 23:40 . 2014-04-10 23:40 -------- d-----w- c:\program files (x86)\Microsoft CAPICOM 2.1.0.2

2014-04-10 21:38 . 2014-04-10 21:38 -------- d-----w- c:\users\Kinguń\AppData\Roaming\TeamViewer

2014-04-10 12:51 . 2014-04-10 12:52 -------- d-----w- c:\users\Kinguń\AppData\Roaming\Outlook AutoConfig

2014-04-10 09:28 . 2014-04-10 09:28 -------- d-----w- c:\users\Kinguń\AppData\Local\Mozilla

2014-04-09 11:37 . 2014-04-09 11:37 -------- d-----w- c:\users\Public\CyberLink

2014-04-09 08:31 . 2014-04-12 11:01 -------- d-----w- c:\program files (x86)\Microsoft Works

2014-04-09 08:24 . 2014-04-09 08:24 -------- d-----w- c:\program files (x86)\Microsoft Visual Studio 8

2014-04-09 08:23 . 2014-04-09 08:30 -------- d-----w- c:\windows\SHELLNEW

2014-04-09 08:23 . 2014-04-09 08:23 -------- d-----w- c:\users\Kinguń\AppData\Local\Microsoft Help

2014-04-09 08:23 . 2014-04-12 11:04 -------- d-----w- c:\programdata\Microsoft Help

2014-04-09 08:23 . 2014-04-09 08:23 -------- d-----r- C:\MSOCache

2014-03-18 11:52 . 2014-03-18 11:52 -------- d-s---w- c:\users\Kinguń\GG dysk

2014-03-18 11:51 . 2014-03-18 14:37 -------- d-----w- c:\users\Kinguń\AppData\Local\GG

2014-03-18 11:51 . 2014-03-18 14:41 -------- d-----w- c:\users\Kinguń\AppData\Roaming\GG

2014-03-18 11:51 . 2014-03-18 11:51 -------- d-----w- c:\programdata\GG

.

.

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2014-04-10 23:37 . 2014-01-13 01:57 90655440 ----a-w- c:\windows\system32\MRT.exe

2014-03-04 09:17 . 2014-04-10 10:45 44032 ----a-w- c:\windows\apppatch\acwow64.dll

2014-02-07 01:23 . 2014-03-13 00:21 3156480 ----a-w- c:\windows\system32\win32k.sys

2014-02-04 02:32 . 2014-03-13 00:21 624128 ----a-w- c:\windows\system32\qedit.dll

2014-02-04 02:04 . 2014-03-13 00:21 509440 ----a-w- c:\windows\SysWow64\qedit.dll

2014-01-30 14:32 . 2014-01-30 14:32 98304 ----a-w- c:\windows\SysWow64\CmdLineExt.dll

2014-01-29 12:34 . 2014-01-29 12:34 95648 ----a-w- c:\windows\SysWow64\WindowsAccessBridge-32.dll

2014-01-29 12:34 . 2014-01-29 12:34 866720 ----a-w- c:\windows\SysWow64\npDeployJava1.dll

2014-01-29 12:34 . 2014-01-29 12:34 788896 ----a-w- c:\windows\SysWow64\deployJava1.dll

2014-01-29 11:49 . 2014-01-29 11:49 971680 ----a-w- c:\windows\system32\deployJava1.dll

2014-01-29 11:49 . 2014-01-29 11:49 311200 ----a-w- c:\windows\system32\javaws.exe

2014-01-29 11:49 . 2014-01-29 11:49 1092512 ----a-w- c:\windows\system32\npDeployJava1.dll

2014-01-29 11:49 . 2014-01-29 11:49 188832 ----a-w- c:\windows\system32\javaw.exe

2014-01-29 11:49 . 2014-01-29 11:49 108448 ----a-w- c:\windows\system32\WindowsAccessBridge-64.dll

2014-01-29 11:49 . 2014-01-29 11:49 188320 ----a-w- c:\windows\system32\java.exe

2014-01-29 02:32 . 2014-03-13 00:21 484864 ----a-w- c:\windows\system32\wer.dll

2014-01-29 02:06 . 2014-03-13 00:21 381440 ----a-w- c:\windows\SysWow64\wer.dll

2014-01-28 02:32 . 2014-03-13 00:21 228864 ----a-w- c:\windows\system32\wwansvc.dll

2014-01-14 20:29 . 2009-08-18 03:49 564632 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\wlidui.dll

2014-01-14 20:29 . 2009-08-18 02:24 22240 ----a-w- c:\programdata\Microsoft\IdentityCRL\production\ppcrlconfig600.dll

2014-01-14 16:29 . 2009-07-14 02:36 175616 ----a-w- c:\windows\system32\msclmd.dll

2014-01-14 16:29 . 2009-07-14 02:36 152576 ----a-w- c:\windows\SysWow64\msclmd.dll

2014-01-13 03:09 . 2014-01-13 03:09 86528 ----a-w- c:\windows\SysWow64\iesysprep.dll

2014-01-13 03:09 . 2014-01-13 03:09 76800 ----a-w- c:\windows\SysWow64\SetIEInstalledDate.exe

2014-01-13 03:09 . 2014-01-13 03:09 48640 ----a-w- c:\windows\SysWow64\mshtmler.dll

2014-01-13 03:09 . 2014-01-13 03:09 161792 ----a-w- c:\windows\SysWow64\msls31.dll

2014-01-13 03:09 . 2014-01-13 03:09 110592 ----a-w- c:\windows\SysWow64\IEAdvpack.dll

2014-01-13 03:09 . 2014-01-13 03:09 74752 ----a-w- c:\windows\SysWow64\iesetup.dll

2014-01-13 03:09 . 2014-01-13 03:09 63488 ----a-w- c:\windows\SysWow64\tdc.ocx

2014-01-13 03:09 . 2014-01-13 03:09 367104 ----a-w- c:\windows\SysWow64\html.iec

2014-01-13 03:09 . 2014-01-13 03:09 23552 ----a-w- c:\windows\SysWow64\licmgr10.dll

2014-01-13 03:09 . 2014-01-13 03:09 152064 ----a-w- c:\windows\SysWow64\wextract.exe

2014-01-13 03:09 . 2014-01-13 03:09 150528 ----a-w- c:\windows\SysWow64\iexpress.exe

2014-01-13 03:09 . 2014-01-13 03:09 35840 ----a-w- c:\windows\SysWow64\imgutil.dll

2014-01-13 03:09 . 2014-01-13 03:09 222208 ----a-w- c:\windows\system32\msls31.dll

2014-01-13 03:09 . 2014-01-13 03:09 11776 ----a-w- c:\windows\SysWow64\mshta.exe

2014-01-13 03:09 . 2014-01-13 03:09 101888 ----a-w- c:\windows\SysWow64\admparse.dll

2014-01-13 03:08 . 2014-01-13 03:08 65024 ----a-w- c:\windows\system32\pngfilt.dll

2014-01-13 03:08 . 2014-01-13 03:08 267776 ----a-w- c:\windows\system32\ieaksie.dll

2014-01-13 03:08 . 2014-01-13 03:08 197120 ----a-w- c:\windows\system32\msrating.dll

2014-01-13 03:08 . 2014-01-13 03:08 163840 ----a-w- c:\windows\system32\ieakui.dll

2014-01-13 03:08 . 2014-01-13 03:08 149504 ----a-w- c:\windows\system32\occache.dll

2014-01-13 03:08 . 2014-01-13 03:08 12288 ----a-w- c:\windows\system32\mshta.exe

2014-01-13 03:08 . 2014-01-13 03:08 114176 ----a-w- c:\windows\system32\admparse.dll

2014-01-13 03:08 . 2014-01-13 03:08 91648 ----a-w- c:\windows\system32\SetIEInstalledDate.exe

2014-01-13 03:08 . 2014-01-13 03:08 89088 ----a-w- c:\windows\system32\ie4uinit.exe

2014-01-13 03:08 . 2014-01-13 03:08 85504 ----a-w- c:\windows\system32\iesetup.dll

2014-01-13 03:08 . 2014-01-13 03:08 82432 ----a-w- c:\windows\system32\icardie.dll

2014-01-13 03:08 . 2014-01-13 03:08 76800 ----a-w- c:\windows\system32\tdc.ocx

2014-01-13 03:08 . 2014-01-13 03:08 55296 ----a-w- c:\windows\system32\msfeedsbs.dll

2014-01-13 03:08 . 2014-01-13 03:08 534528 ----a-w- c:\windows\system32\ieapfltr.dll

2014-01-13 03:08 . 2014-01-13 03:08 49664 ----a-w- c:\windows\system32\imgutil.dll

2014-01-13 03:08 . 2014-01-13 03:08 48640 ----a-w- c:\windows\system32\mshtmler.dll

2014-01-13 03:08 . 2014-01-13 03:08 452608 ----a-w- c:\windows\system32\dxtmsft.dll

2014-01-13 03:08 . 2014-01-13 03:08 448512 ----a-w- c:\windows\system32\html.iec

2014-01-13 03:08 . 2014-01-13 03:08 403248 ----a-w- c:\windows\system32\iedkcs32.dll

2014-01-13 03:08 . 2014-01-13 03:08 39936 ----a-w- c:\windows\system32\iernonce.dll

2014-01-13 03:08 . 2014-01-13 03:08 3695416 ----a-w- c:\windows\system32\ieapfltr.dat

2014-01-13 03:08 . 2014-01-13 03:08 282112 ----a-w- c:\windows\system32\dxtrans.dll

2014-01-13 03:08 . 2014-01-13 03:08 160256 ----a-w- c:\windows\system32\ieakeng.dll

2014-01-13 03:08 . 2014-01-13 03:08 145920 ----a-w- c:\windows\system32\iepeers.dll

2014-01-13 03:08 . 2014-01-13 03:08 135168 ----a-w- c:\windows\system32\IEAdvpack.dll

2014-01-13 03:08 . 2014-01-13 03:08 111616 ----a-w- c:\windows\system32\iesysprep.dll

2014-01-13 03:08 . 2014-01-13 03:08 10752 ----a-w- c:\windows\system32\msfeedssync.exe

2014-01-13 03:08 . 2014-01-13 03:08 30720 ----a-w- c:\windows\system32\licmgr10.dll

2014-01-13 03:08 . 2014-01-13 03:08 249344 ----a-w- c:\windows\system32\webcheck.dll

2014-01-13 03:08 . 2014-01-13 03:08 165888 ----a-w- c:\windows\system32\iexpress.exe

2014-01-13 03:08 . 2014-01-13 03:08 160256 ----a-w- c:\windows\system32\wextract.exe

2014-01-13 03:08 . 2014-01-13 03:08 103936 ----a-w- c:\windows\system32\inseng.dll

2014-01-13 02:39 . 2014-01-12 23:32 174200 ----a-w- c:\windows\system32\drivers\SYMEVENT64x86.SYS

2013-05-24 14:36 . 2013-05-24 14:36 149816 ----a-w- c:\program files (x86)\uninst.exe

2013-05-24 14:03 . 2013-05-24 14:03 6154008 ----a-w- c:\program files (x86)\CCleaner64.exe

2013-05-24 14:03 . 2013-05-24 14:03 3591960 ----a-w- c:\program files (x86)\CCleaner.exe

.

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Mobile Partner"="c:\program files (x86)\PLAY Web partner\PLAY Web partner" [X]

"ALLUpdate"="c:\program files (x86)\ALLPlayer\ALLUpdate.exe" [2014-01-29 3000704]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

"RIMBBLaunchAgent.exe"="c:\program files (x86)\Common Files\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe" [2013-09-09 443408]

"RIM PeerManager"="c:\program files (x86)\Common Files\Research In Motion\Tunnel Manager\PeerManager.exe" [2013-11-28 4465152]

"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2013-03-12 253816]

"GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Bluetooth.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2010-7-21 1132320]

CodecPackUpdateChecker.lnk - c:\windows\SysWOW64\C2MP\UpdateChecker.exe [2013-8-29 48200]

SRS Premium Sound.lnk - c:\windows\Installer\{340BE65B-7621-4B0B-B0F9-DBCCD8D70887}\NewShortcut5_21C7B668029A47458B27645FE6E4A715.exe [2010-9-1 156952]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 5 (0x5)

"ConsentPromptBehaviorUser"= 3 (0x3)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]

"LoadAppInit_DLLs"=1 (0x1)

"AppInit_DLLs"=c:\windows\SysWOW64\nvinit.dll

.

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]

"mixer2"=wdmaud.drv

.

R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2013-09-11 124088]

R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2013-10-23 172192]

R3 ew_hwusbdev;Huawei MobileBroadband USB PNP Device;c:\windows\system32\DRIVERS\ew_hwusbdev.sys [2013-01-25 109568]

R3 Impcd;Impcd;c:\windows\system32\DRIVERS\Impcd.sys [2010-02-27 158976]

R3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2009-06-10 187392]

R3 Samsung UPD Service;Samsung UPD Service;c:\windows\System32\SUPDSvc.exe [2010-08-09 166704]

R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-20 59392]

R3 usbrndis6;Karta USB RNDIS6;c:\windows\system32\DRIVERS\usb80236.sys [2013-02-12 19968]

R3 WatAdminSvc;Usługa Technologie aktywacji systemu Windows;c:\windows\system32\Wat\WatAdminSvc.exe [2014-01-13 1255736]

S0 nvpciflt;nvpciflt;c:\windows\system32\DRIVERS\nvpciflt.sys [2011-01-17 25960]

S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2014-01-13 834544]

S0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NISx64\1207020.003\SYMDS64.SYS [2011-01-27 450680]

S0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NISx64\1207020.003\SYMEFA64.SYS [2011-03-15 912504]

S1 BHDrvx64;BHDrvx64;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.0.0.128\Definitions\BASHDefs\20140319.001\BHDrvx64.sys [2014-03-19 1525976]

S1 IDSVia64;IDSVia64;c:\programdata\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.0.0.128\Definitions\IPSDefs\20140411.001\IDSvia64.sys [2014-03-24 525016]

S1 SABI;SAMSUNG Kernel Driver For Windows 7;c:\windows\system32\Drivers\SABI.sys [2009-05-28 13824]

S1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NISx64\1207020.003\Ironx64.SYS [2011-01-27 171128]

S1 SymNetS;Symantec Network Security WFP Driver;c:\windows\System32\Drivers\NISx64\1207020.003\SYMNETS.SYS [2011-04-21 386168]

S2 cvhsvc;Client Virtualization Handler;c:\program files (x86)\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE [2013-04-22 822504]

S2 HWDeviceService64.exe;HWDeviceService64.exe;c:\programdata\DatacardService\HWDeviceService64.exe [2013-02-06 351824]

S2 NIS;Norton Internet Security;c:\program files (x86)\Norton Internet Security\Engine\18.7.2.3\ccSvcHst.exe [2011-04-17 130008]

S2 NOBU;Norton Online Backup;c:\program files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe SERVICE [x]

S2 RIM MDNS;RIM MDNS;c:\program files (x86)\Common Files\Research In Motion\Tunnel Manager\mDNSResponder.exe [2013-11-28 389632]

S2 RIM Tunnel Service;BlackBerry Link Communication Manager;c:\program files (x86)\Common Files\Research In Motion\Tunnel Manager\tunmgr.exe service [x]

S2 sftlist;Application Virtualization Client;c:\program files (x86)\Microsoft Application Virtualization Client\sftlist.exe [2013-06-26 523944]

S2 UNS;Intel® Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel® Management Engine Components\UNS\UNS.exe [2010-02-03 2320920]

S3 BlackBerry Device Manager;BlackBerry Device Manager;c:\program files (x86)\Common Files\Research In Motion\USB Drivers\BbDevMgr.exe [2013-09-09 585728]

S3 btwampfl;Bluetooth AMP USB Filter;c:\windows\system32\drivers\btwampfl.sys [2010-07-13 344616]

S3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\DRIVERS\btwl2cap.sys [2010-03-02 39464]

S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2014-01-13 137648]

S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys [2010-08-10 111616]

S3 ew_usbenumfilter;huawei_CompositeFilter;c:\windows\system32\DRIVERS\ew_usbenumfilter.sys [2012-12-22 14976]

S3 HECIx64;Intel® Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-17 56344]

S3 huawei_cdcacm;huawei_cdcacm;c:\windows\system32\DRIVERS\ew_jucdcacm.sys [2013-03-04 110592]

S3 huawei_cdcecm;huawei_cdcecm;c:\windows\system32\DRIVERS\ew_jucdcecm.sys [2013-03-04 77312]

S3 huawei_enumerator;huawei_enumerator;c:\windows\system32\DRIVERS\ew_jubusenum.sys [2013-03-04 91648]

S3 huawei_ext_ctrl;huawei_ext_ctrl;c:\windows\system32\DRIVERS\ew_juextctrl.sys [2013-03-04 30720]

S3 IntcDAud;Intel® Display Audio;c:\windows\system32\DRIVERS\IntcDAud.sys [2010-06-21 287232]

S3 rimvndis;BlackBerry Virtual Private Network;c:\windows\system32\Drivers\rimvndis6_AMD64.sys [2013-11-28 17920]

S3 Sftfs;Sftfs;c:\windows\system32\DRIVERS\Sftfslh.sys [2013-06-26 767144]

S3 Sftplay;Sftplay;c:\windows\system32\DRIVERS\Sftplaylh.sys [2013-06-26 273576]

S3 Sftredir;Sftredir;c:\windows\system32\DRIVERS\Sftredirlh.sys [2013-06-26 28840]

S3 Sftvol;Sftvol;c:\windows\system32\DRIVERS\Sftvollh.sys [2013-06-26 23208]

S3 sftvsa;Application Virtualization Service Agent;c:\program files (x86)\Microsoft Application Virtualization Client\sftvsa.exe [2013-06-26 207528]

S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x64.sys [2010-08-30 394016]

.

.

Zawartość folderu 'Zaplanowane zadania'

.

.

--------- X64 Entries -----------

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GGDriveOverlay1]

@="{E68D0A50-3C40-4712-B90D-DCFA93FF2534}"

[HKEY_CLASSES_ROOT\CLSID\{E68D0A50-3C40-4712-B90D-DCFA93FF2534}]

2013-01-17 14:43 2023936 ----a-w- c:\programdata\GG\ggdrive\ggdrive-overlay.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GGDriveOverlay2]

@="{E68D0A51-3C40-4712-B90D-DCFA93FF2534}"

[HKEY_CLASSES_ROOT\CLSID\{E68D0A51-3C40-4712-B90D-DCFA93FF2534}]

2013-01-17 14:43 2023936 ----a-w- c:\programdata\GG\ggdrive\ggdrive-overlay.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GGDriveOverlay3]

@="{E68D0A52-3C40-4712-B90D-DCFA93FF2534}"

[HKEY_CLASSES_ROOT\CLSID\{E68D0A52-3C40-4712-B90D-DCFA93FF2534}]

2013-01-17 14:43 2023936 ----a-w- c:\programdata\GG\ggdrive\ggdrive-overlay.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\GGDriveOverlay4]

@="{E68D0A53-3C40-4712-B90D-DCFA93FF2534}"

[HKEY_CLASSES_ROOT\CLSID\{E68D0A53-3C40-4712-B90D-DCFA93FF2534}]

2013-01-17 14:43 2023936 ----a-w- c:\programdata\GG\ggdrive\ggdrive-overlay.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2010-08-11 11369576]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=c:\windows\System32\nvinitx.dll

.

------- Skan uzupełniający -------

.

uLocal Page = c:\windows\system32\blank.htm

uStart Page = hxxp://samsung.msn.com

mStart Page = hxxp://samsung.msn.com

IE: E&ksportuj do programu Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000

IE: Wyślij obraz do urządzenia &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

IE: Wyślij stronę do urządzenia &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

TCP: DhcpNameServer = 192.168.1.1 192.168.1.1

.

- - - - USUNIĘTO PUSTE WPISY - - - -

.

Toolbar-Locked - (no file)

Wow6432Node-HKU-Default-RunOnce-SPReview - c:\windows\System32\SPReview\SPReview.exe

Toolbar-Locked - (no file)

HKLM-Run-ETDCtrl - c:\program files (x86)\Elantech\ETDCtrl.exe

.

.

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\NIS]

"ImagePath"="\"c:\program files (x86)\Norton Internet Security\Engine\18.7.2.3\ccSvcHst.exe\" /s \"NIS\" /m \"c:\program files (x86)\Norton Internet Security\Engine\18.7.2.3\diMaster.dll\" /prefetch:1"

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\windows\\SysWOW64\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Shockwave Flash Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\windows\\SysWOW64\\Macromed\\Flash\\Flash10h.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]

@="0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]

@="ShockwaveFlash.ShockwaveFlash.10"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\windows\\SysWOW64\\Macromed\\Flash\\Flash10h.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="ShockwaveFlash.ShockwaveFlash"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]

@Denied: (A 2) (Everyone)

@="Macromedia Flash Factory Object"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]

@="c:\\windows\\SysWOW64\\Macromed\\Flash\\Flash10h.ocx"

"ThreadingModel"="Apartment"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]

@="FlashFactory.FlashFactory.1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]

@="c:\\windows\\SysWOW64\\Macromed\\Flash\\Flash10h.ocx, 1"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]

@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]

@="1.0"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]

@="FlashFactory.FlashFactory"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

Czas ukończenia: 2014-04-12 22:25:39

ComboFix-quarantined-files.txt 2014-04-12 20:25

.

Przed: 48 891 670 528 bajtów wolnych

Po: 48 513 662 976 bajtów wolnych

.

- - End Of File - - AAD2381F83DB2AD62FB9CE6D3C72EB3E

[picasso]

Post poprawiony (log był sklejony). I proszę dostosusuj się do zasad działu (KLIK) podając wymagane tu raporty z FRST i OTL (KLIK). Raporty wstaw jako załączniki, nie wklejaj ich w poście. Raportu z ComboFix oczywiście nie usuwaj, on musi być podany, by można było ocenić całość sytuacji i tę kasację.

 

 

 

 

.

[cinderella]

Bardzo , ale to bardzo przepraszam
Przeczytałam zasady i spróbowałam rozszyfrować instrukcje pod podanymi linkami , ale naprawdę - do technicznych (informatycznych) "rzeczy" mam dwie lewe ręce  
Dlatego błagam - proszę tak bardzo prosto wytłumaczyć mi, co konkretnie mam zrobić naprawdę mnie to przerasta  
Nie rozumiem tego, jak mam zrobić te raporty
Właśnie zorientowałam się, że np. niektóre funkcje skrótów klawiszowych przestały mi działać, m.in. przygaszania monitora - czy to też przez ten program?

Raport próbowałam załączyć do postu poprzedniego jako załącznik - lecz wyskakiwał komunikat o błędzie , że nie mogę go dołączyć  

Bardzo przepraszam, jeśli nie do końca stosuję się do zasad Forum - lecz proszę wierzyć, że wynika to tylko nawet nie z braku wiedzy, co z braku zrozumienia, o co dokładnie chodzi

[picasso]

Zrób raporty z FRST i OTL, opisy robienia tych raportów są tu: KLIK. Chodzi tylko o FRST i OTL, inne opisane tam narzędzia Cię nie interesują.

 

Raport próbowałam załączyć do postu poprzedniego jako załącznik - lecz wyskakiwał komunikat o błędzie , że nie mogę go dołączy

Jaki błąd?

 

 

 

.

[cinderella]

Błąd, że plik nie może zostać importowany (??) - później spróbowałam załączyć jeszcze raz - i chyba się udało - ale nigdzie go nie widzę, żeby był doczepiony ..

 

Zaraz spróbuję rozszyfrować instrukcję otrzymania tych raportów

 

ComboFix

 

Plik z tego programu nie chce się załączyć nie wiem, dlaczego

 

Komunikat - "Wysyłanie ominięte (Nie wybrano pliku do importu)"

 

W drugim sposobie plik w ogóle się nie załącza..

FRST.txt

Shortcut.txt

Addition.txt

Extras.Txt

OTL.Txt

[picasso]

cinderella, na początek drobna uwaga: jeśli nikt jeszcze nie odpisał, a chcesz post poprawić / uzupełnić / dodać informację lub log, używaj opcję Edytuj. Skleiłam te wszystkie posty razem. Nie wiem dlaczego pokazuje się ten błąd przy doczepianiu raportu ComboFix. Zostaw to już, log jest w pierwszem poście wklejony wprost w poście i nie ma już potrzeby dręczyć tego. Pozostałe logi są za to doczepione jak należy.

 

 

Jeśli chodzi o logi: nie widać tu oznać infekcji. Uruchomienie ComboFix owszem było niepotrzebne, a skasował folder, który wygląda na poprawny. Odwróć jego działanie w tym zakresie:

 

1. Otwórz Notatnik i wklej w nim:

 

DeQuarantine::
C:\Qoobox\Quarantine\c\windows\PolicyDefinitions
Quit::

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

2. Otwórz Notatnik i wklej w nim:

 

Folder: C:\Windows\PolicyDefinitions

HKU\S-1-5-21-1593099923-3472938015-3572154625-1002\...\Run: [Mobile Partner] - C:\Program Files (x86)\PLAY Web partner\PLAY Web partner

StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe

Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File

U3 catchme; \??\C:\ComboFix\catchme.sys [X]

C:\windows\system32\Ꙁí

C:\windows\system32\Ꙁã

C:\windows\SysWOW64\sho*.tmp

Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

 

 

 

.

[cinderella]

Bardzo dziękuję!

Dobrze, następnym razem będę zwracać na przycisk "Edytuj" uwagę

Wstawiam to, co mi wyszło.. nie wiem tylko czy poprawnie wykonałam krok 2, ponieważ w czasie zapisywania w notatniku, pojawił się komunikat o kodowaniu (?), że zostaną utracone "jakieś" znaki...

DeQuarantine.txt

Fixlog.txt

[picasso]

nie wiem tylko czy poprawnie wykonałam krok 2, ponieważ w czasie zapisywania w notatniku, pojawił się komunikat o kodowaniu (?), że zostaną utracone "jakieś" znaki...

Przepraszam, mój błąd. Zadałam na usuwanie dwa pliki o dziwnych nazwach i nie poleciłam zapisać skryptu w kodowaniu UTF-8. Niemniej wg raportu FRST te pliki i tak usunął:

 

C:\windows\system32\Ꙁí => Moved successfully.

C:\windows\system32\Ꙁã => Moved successfully.

 

Opcja odwracania działań ComboFix pomyślna. Folder i jego zawartość wróciły na miejsce. Możemy kończyć.

 

1. Odinstaluj ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

D:\Dokumenty\instalki\ComboFix.exe /uninstall

 

Przeklej tę komendę wprost z posta, nie przepisuj jej ręcznie.

 

2. Usuń pozostałe narzędzia za pomocą DelFix.

 

3. Do aktualizacje te programy:

 

Internet Explorer Version 9
 

==================== Installed Programs ======================
 

Adobe Flash Player 10 ActiveX (HKLM-x32\...\{FFB768E4-E427-4553-BC36-A11F5E62A94D}) (Version: 10.1.53.64 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 10 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 10.0.22.87 - Adobe Systems Incorporated) -----> wtyczka dla Firefox/Opera

Adobe Reader 9.1 - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-A91000000001}) (Version: 9.1.0 - Adobe Systems Incorporated)

Java 7 Update 21 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417021FF}) (Version: 7.0.210 - Oracle)

Java 7 Update 21 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217021FF}) (Version: 7.0.210 - Oracle)

 

Odinstaluj stare wersje Adobe i Java, zastąp najnowszymi (o ile potrzebne) oraz zaktualizuj IE. Szczegóły: KLIK.

 

 

 

.