Trojan Agent - jak usunąć?

[tehawanka 0]

Log wygląda OK.

Skasuj kwarantannę od ComboFix - C:\Qoobox

Wyłącz na chwilę przywracanie systemu:

Panel sterowania >>> System >>> Przywracanie systemu >>> zaznacz: Wyłącz Przywracanie systemu na wszystkich dyskach >>> OK

Opróżnij foldery Temp i Temporary - ATF Cleaner

[Guttek 0]

Zrobione. Dziękuję jeszcze raz

[pawlo_rzym 0]

Witam! Miałem problem z cdoosoft ale usunąłem go z rejestru, czy mogę prosić o sprawdzenie log'a?

 

Log: http://wklej.org/id/53647/

[tehawanka 0]

Wklej do notatnika:

Windows Registry Editor Version 5.00 

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1b8becc0-dc2c-11dd-8766-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{235314e2-dc9a-11dd-8768-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8d575a93-fab5-11dd-87cf-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8d575a95-fab5-11dd-87cf-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8d575a96-fab5-11dd-87cf-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9ee18cb0-d522-11dd-8757-4d6564696130}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a20115a0-1864-11dd-8570-c0ddaceb276f}]

Plik >>> Zapisz jako >>> ustaw rozszerzenie na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom plik.

Skasuj folder - C:\Qoobox

[pawlo_rzym 0]

Dziękuję bardzo

 

Proszę jeszcze o sprawdzenie tego log'a, też był problem z cdoosoft.

 

Log: http://wklej.org/id/53987/

[tehawanka 0]

Log wygląda OK.

[pawlo_rzym 0]

Dziękuje jeszcze raz!

[shah_al 0]

Witam, potrzebuję pomocy. Złapałem jakiegoś syfa u siostry na kompie na dysk zewnętrzny USB, w autostarcie pojawiał się proces olhrwef.exe, ponadto Kaspersky szaleje non stop, ciągle jakieś dziwne komunikaty, nie można nic przeskanować ani zaktualizować.

Tutaj jest mój log z Combofix: http://wklej.org/id/55286/

 

Gorąco proszę o instrukcje krok po kroku, choć czytałem poprzednie posty, jestem laikiem komputerowym i jakoś mi to nie pomaga.

 

Ponadto proszę o jakąś podpowiedź jak usunąć ten syf z dysku usb żeby mieć pewność, że nic na nim nie ma.

 

Pozdrawiam

[tehawanka 0]

Podłącz zainfekowany pendrive i użyj Flash_Disinfector

Na czas działania ComboFix podłącz zainfekowany pendrive.

Wklej do notatnika:

File::
C:\w2.com
E:\w2.com
F:\w2.com

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{70638147-feb1-11dd-ab55-001fd06de18f}]

Plik zapisz pod nazwą CFScript

Teraz plik przeciągnij i upuść na ikonę ComboFix:

Pokaż log który powstanie.

[shah_al 0]

Dzięki za szybką odpowiedź, wirusa pozbyłem się z kompa świeżą instalką systemu, poprzedni system miał 1 dzień, więc nie było szkoda danych. Poza tym nie mogłem dziś rano systemu uruchomić. Złapałem tego wirka u siostry na kompie jak podłączałem dysk zewnętrzny u niej i potem na świeżej instalce windy skopiowałem go do siebie, teraz nie wiem co zrobić z tym właśnie zewnętrznym dyskiem. Boję się go podłączać u siebie, bo wiem, że ten syf siedzi w pliczku autouruchamiania. Jest jakiś pewny i bezpieczny sposób na pozbycie tego syfu z dysku zewnętrznego? Jeszcze raz dziękuję za odpowiedź i pomoc i proszę o pomoc po raz kolejny, tym razem obiecuję, że nie będę nic próbował sam robić, ale jak już napisałem nie maiłem wcześniej wyjścia, bo system nawet nie chciał ruszyć.

[krokiet1111 0]

MI ComboFix POKAZAŁ coś takiego nei znam się na tych raportach więc proszę o pomoc bo nie wiem czy mam wirusa : Agent.nmy

 

ComboFix 09-03-18.01 - Patryk 2009-03-19 21:53:41.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.1279.878 [GMT 1:00]

Uruchomiony z: c:\documents and settings\Patryk\Pulpit\ComboFix.exe

.

 

((((((((((((((((((((((((( Pliki utworzone od 2009-02-19 do 2009-03-19 )))))))))))))))))))))))))))))))

.

 

2009-03-19 21:08 . 2009-03-19 21:08 <DIR> d-------- c:\program files\CCleaner

2009-03-17 21:57 . 2009-03-19 20:18 <DIR> d-------- c:\documents and settings\Patryk\Dane aplikacji\gtk-2.0

2009-03-17 21:57 . 2009-03-17 21:57 <DIR> d-------- c:\documents and settings\Patryk\.thumbnails

2009-03-17 20:50 . 2009-03-17 20:50 <DIR> d-------- c:\program files\GIMP-2.0

2009-03-17 20:50 . 2009-03-19 20:19 <DIR> d-------- c:\documents and settings\Patryk\.gimp-2.6

2009-03-17 20:50 . 2009-03-17 20:50 <DIR> d-------- c:\documents and settings\Patryk\.gegl-0.0

2009-03-17 18:12 . 2001-08-17 22:02 9,600 --a------ c:\windows\system32\drivers\hidusb.sys

2009-03-17 18:12 . 2001-08-17 22:02 9,600 --a--c--- c:\windows\system32\dllcache\hidusb.sys

2009-03-15 21:13 . 2009-03-15 21:13 <DIR> d-------- c:\program files\Common Files\Borland Shared

2009-03-15 21:12 . 2009-03-15 21:12 <DIR> d-------- c:\windows\Downloaded Installations

2009-03-15 20:21 . 2009-03-15 20:23 <DIR> d-------- c:\program files\Spybot - Search & Destroy

2009-03-15 20:21 . 2009-03-19 21:12 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Spybot - Search & Destroy

 

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-19 20:51 --------- d-----w c:\program files\neostrada tp

2009-03-19 19:32 --------- d-----w c:\documents and settings\Patryk\Dane aplikacji\HPAppData

2009-03-16 15:12 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Avira

2009-03-15 17:58 --------- d--h--w c:\program files\InstallShield Installation Information

2009-03-14 16:14 --------- d-----w c:\documents and settings\Patryk\Dane aplikacji\Tibia

2009-02-13 17:50 --------- d-----w c:\documents and settings\Patryk\Dane aplikacji\ArcSoft

2009-02-13 14:33 --------- d-----w c:\program files\Gadu-Gadu

2009-02-09 14:19 1,846,528 ----a-w c:\windows\system32\win32k.sys

2009-01-23 15:29 --------- d-----w c:\documents and settings\Patryk\Dane aplikacji\bdec

2009-01-19 17:08 121,856 ----a-w c:\windows\system32\MadCHook.dll

2008-12-20 23:03 826,368 ----a-w c:\windows\system32\wininet.dll

.

 

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2008-03-20 2127296]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-03-23 335872]

"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"SecurDisc"="c:\program files\Nero\Nero 7\InCD\NBHGui.exe" [2007-11-26 1629480]

"InCD"="c:\program files\Nero\Nero 7\InCD\InCD.exe" [2007-11-26 1057064]

"WOOWATCH"="c:\progra~1\NEOSTR~1\Watch.exe" [2004-08-23 20480]

"WOOTASKBARICON"="c:\progra~1\NEOSTR~1\GestMaj.exe" [2004-10-14 32768]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]

"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]

"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 c:\windows\system32\Ati2mdxx.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

 

c:\documents and settings\All Users\Menu Start\Programy\Autostart\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.SP54"= SP5X_32.DLL

"VIDC.SP55"= SP5X_32.DLL

"VIDC.SP56"= SP5X_32.DLL

"VIDC.SP57"= SP5X_32.DLL

"VIDC.SP58"= SP5X_32.DLL

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\WINDOWS\\system32\\lxcgcoms.exe"=

"c:\\Program Files\\Gadu-Gadu\\gg.exe"=

"c:\\Program Files\\Shareaza\\Shareaza.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26371:TCP"= 26371:TCP:BitComet 26371 TCP

"26371:UDP"= 26371:UDP:BitComet 26371 UDP

 

R3 e4usbaw;USB ADSL2 WAN Adapter;c:\windows\system32\drivers\e4usbaw.sys [2008-10-22 116992]

S2 Ca533av;Icatch(IV) Video Camera Device;c:\windows\system32\drivers\Ca533av.sys [2008-11-02 515803]

S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);c:\windows\system32\drivers\e4ldr.sys [2008-10-22 64000]

S3 GAGPDrv;GAGPDrv; [x]

S3 USBCamera;Icatch(IV) Still Camera Device;c:\windows\system32\drivers\Bulk533.sys [2008-11-02 10986]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{69c04cc2-e246-11dd-940a-4d6564696130}]

\Shell\AutoRun\command - G:\1u0o8bnq.cmd

\Shell\explore\Command - G:\1u0o8bnq.cmd

\Shell\open\Command - G:\1u0o8bnq.cmd

.

- - - - USUNIĘTO PUSTE WPISY - - - -

 

WebBrowser-{196C3A46-4758-433D-A600-802C804AF39C} - (no file)

HKLM-Run-Cmaudio - cmicnfg.cpl

 

 

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://google.atcomet.com/b/

IE: { - c:\program files\Messenger\msmsgs.exe

TCP: {78860713-6945-456A-9E71-F8DC50E2D2DD} = 194.204.159.1 217.98.63.164

FF - ProfilePath - c:\documents and settings\Patryk\Dane aplikacji\Mozilla\Firefox\Profiles\l4bql78l.default\

FF - prefs.js: browser.startup.homepage - hxxp://search.bearshare.com/intl/

FF - plugin: c:\program files\Java\j2re1.4.0_03\bin\NPJava11.dll

FF - plugin: c:\program files\Java\j2re1.4.0_03\bin\NPJava12.dll

FF - plugin: c:\program files\Java\j2re1.4.0_03\bin\NPJava13.dll

FF - plugin: c:\program files\Java\j2re1.4.0_03\bin\NPJava32.dll

FF - plugin: c:\program files\Java\j2re1.4.0_03\bin\NPJPI140_03.dll

FF - plugin: c:\program files\Java\j2re1.4.0_03\bin\NPOJI610.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npganymedenet.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-19 21:54:34

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

 

skanowanie ukrytych procesów ...

 

skanowanie ukrytych wpisów autostartu ...

 

skanowanie ukrytych plików ...

 

skanowanie pomyślnie ukończone

ukryte pliki: 0

 

**************************************************************************

.

Czas ukończenia: 2009-03-19 21:55:51

ComboFix-quarantined-files.txt 2009-03-19 20:55:37

 

Przed: 7,204,851,712 bajtów wolnych

Po: 7,206,653,952 bajtów wolnych

 

WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

 

133 --- E O F --- 2009-03-15 20:18:47

[tehawanka 0]

Wklej do notatnika:

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{69c04cc2-e246-11dd-940a-4d6564696130}]

Plik >>> Zapisz jako >>> ustaw rozszerzenie na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom plik.

Skasuj kwarantannę od ComboFix - C:\Qoobox

Wyłącz na chwilę przywracanie systemu:

Panel sterowania >>> System >>> Przywracanie systemu >>> zaznacz: Wyłącz Przywracanie systemu na wszystkich dyskach >>> OK

Opróżnij foldery Temp i Temporary - ATF Cleaner

[krokiet1111 0]

caly plik quarantine?

[tehawanka 0]

Usuń cały folder Qoobox, ten folder został utworzony przez ComboFix.

Zresztą ComboFix też usuń z dysku, zawsze należy pobierać najnowszą wersję tego programu.

[krokiet1111 0]

wszystko w którym pisze temp albo temporary???

[tehawanka 0]

[krokiet1111 0]

niby sie udało teraz mam wyłączyc i włączyc kompa???

[tehawanka 0]

Nie ma potrzeby restartowania komputera, w tym logu był tylko ślad w rejestrze po infekcji z pendrive.

Nic więcej nie musisz robić.

[krokiet1111 0]

a jednak chyba muszę bo mozzila dalej nei działa (

 

wyskakuje (Error:App:NAME not specified in application.ini) cośik takiego i dalej komp sprawdza jak sie włącza spujność danych na dysku

[krokiet1111 0]

masz może jeszcze jakąś myśl jak to zrobić bo ja się na tym nie znam

[krokiet1111 0]

anty-wirus dalej znajduje wirusa

[mako123 0]

Witam mam podobny problem z cdoosoft, tutaj jest log z ComboFixa http://wklej.org/id/78615/ Prosze o pomoc i z gory dzieki

[daniel5000 0]

Mam taki sam problem . .. PROSZĘ O POMOC!!!!

 

O to raport z combofix:

 

ComboFix 10-01-16.04 - Daniel 2010-01-17 23:02:13.1.1 - x86

Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.1014.693 [GMT 1:00]

Uruchomiony z: c:\documents and settings\Daniel\Moje dokumenty\Pobieranie\ComboFix.exe

 

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!

.

 

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\recycler\S-1-5-21-0243556031-888888379-781863308-1455

c:\recycler\S-1-5-21-7087118680-2518620101-939918391-4555

c:\recycler\S-1-5-21-7087118680-2518620101-939918391-4555\Desktop.ini

c:\recycler\S-1-5-21-7087118680-2518620101-939918391-4555\winmap32.exe

c:\recycler\S-1-5-21-9495548849-5535885686-525188666-4850

c:\recycler\S-1-5-21-9785576918-0971868556-342614946-9842

c:\windows\Alcmtr.exe

c:\windows\system32\ieuinit.inf

D:\Autorun.inf

 

.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_DAC970NT

-------\Service_dac970nt

 

 

((((((((((((((((((((((((( Pliki utworzone od 2009-12-17 do 2010-01-17 )))))))))))))))))))))))))))))))

.

 

2010-01-17 21:57 . 2010-01-17 20:35 97800 ----a-w- c:\windows\system32\lsdelete.exe

2010-01-17 21:56 . 2010-01-17 21:56 816 ---ha-w- C:\aaw7boot.cmd

 

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-01-17 22:04 . 2001-10-26 18:15 49690 ----a-w- c:\windows\system32\perfc015.dat

2010-01-17 22:04 . 2001-10-26 18:15 355724 ----a-w- c:\windows\system32\perfh015.dat

2010-01-17 20:34 . 2010-01-17 20:34 -------- dc-h--w- c:\documents and settings\All Users\Dane aplikacji\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}

2010-01-17 20:34 . 2010-01-17 20:34 -------- d-----w- c:\program files\Lavasoft

2010-01-17 20:30 . 2010-01-17 20:30 -------- d-----w- c:\program files\Alwil Software

2010-01-17 20:24 . 2010-01-17 20:24 0 ----a-w- c:\windows\nsreg.dat

2010-01-17 20:24 . 2010-01-17 20:24 -------- d-----w- c:\program files\Broadcom

2010-01-17 20:20 . 2010-01-17 20:20 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-01-17 20:20 . 2010-01-17 20:20 -------- d-----w- c:\program files\Realtek

2010-01-17 20:20 . 2010-01-17 20:20 315392 ----a-w- c:\windows\HideWin.exe

2010-01-17 20:20 . 2010-01-17 20:20 -------- d-----w- c:\program files\Common Files\InstallShield

2010-01-17 20:16 . 2010-01-17 20:16 -------- d-----w- c:\program files\Intel

2010-01-17 19:42 . 2010-01-17 19:42 -------- d-----w- c:\program files\microsoft frontpage

2010-01-17 19:41 . 2010-01-17 19:41 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2010-01-17 19:41 . 2010-01-17 19:41 -------- d-----w- c:\program files\Usługi online

2010-01-17 19:39 . 2010-01-17 19:39 21856 ----a-w- c:\windows\system32\emptyregdb.dat

.

 

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2007-05-29 16132608]

"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-06-12 122880]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableTaskMgr"= 1 (0x1)

"DisableRegistryTools"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"AntiVirusOverride"=dword:00000001

"AntiVirusDisableNotify"=dword:00000001

"FirewallDisableNotify"=dword:00000001

"FirewallOverride"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

"UacDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\RTHDCPL.EXE"=

"c:\\Program Files\\Lavasoft\\Ad-Aware\\Ad-AwareAdmin.exe"=

"c:\\WINDOWS\\system32\\netsh.exe"=

 

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2010-01-17 64288]

R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-09-24 1181328]

 

--- Inne Usługi/Sterowniki w Pamięci ---

 

*NewlyCreated* - DAC970NT

.

Zawartość folderu 'Zaplanowane zadania'

 

2010-01-17 c:\windows\Tasks\Ad-Aware Update (Daily 1).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 20:35]

 

2010-01-17 c:\windows\Tasks\Ad-Aware Update (Daily 2).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 20:35]

 

2010-01-17 c:\windows\Tasks\Ad-Aware Update (Daily 3).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 20:35]

 

2010-01-17 c:\windows\Tasks\Ad-Aware Update (Daily 4).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 20:35]

 

2010-01-17 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 20:35]

.

.

------- Skan uzupełniający -------

.

FF - ProfilePath - c:\documents and settings\Daniel\Dane aplikacji\Mozilla\Firefox\Profiles\abfflw5g.default\

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-01-17 23:06

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

 

skanowanie ukrytych procesów ...

 

skanowanie ukrytych wpisów autostartu ...

 

skanowanie ukrytych plików ...

 

skanowanie pomyślnie ukończone

ukryte pliki: 0

 

**************************************************************************

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\windows\RTHDCPL.EXE

c:\docume~1\Daniel\USTAWI~1\Temp\RtkBtMnt.exe

c:\windows\system32\wbem\unsecapp.exe

.

**************************************************************************

.

Czas ukończenia: 2010-01-17 23:07:34 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2010-01-17 22:07

 

Przed: 28 629 577 728 bajtów wolnych

Po: 28 564 459 520 bajtów wolnych

 

- - End Of File - - 04EA46DC6895B3094C43E0D0B86B719D

[marush 0]

Otóż zauważyłem, że system mi się okropnie długo ładuje - 2min! Najpierw pojawia się: trwa uruchamianie systemu i potem Zapraszamy i trwa to ponad minutę... Okazało się że mam trojana, skanowaemł avast, mks online, super anti spyware, a sguared i Malwarebytes' Anti-Malware, ktory mi wykrył i usunął te trojany:

HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent)

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace)

HKEY_CURRENT_USER\SOFTWARE\QZAIB7KITK (Trojan.FakeAlert)

Jednak mimo usuniecia trojanów problem ładowania się systemu nadal pozostał. Zdaje mi się że inne procesy też działają wolniej..

I warto też dodać, że nie działa mi przywracanie systemu...

 

Oto log z hijackthis, bardzo prosze o pomoc

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:32:17, on 2010-04-30

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\a-squared Free\a2service.exe

C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\PC Tools Firewall Plus\FWService.exe

C:\Program Files\Raxco\PerfectDisk\PDAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

C:\WINDOWS\RTHDCPL.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\RocketDock\RocketDock.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

C:\Program Files\GIGABYTE\GEST\GEST.exe

C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program Files\GIGABYTE\GEST\GSvr.exe

C:\Program Files\Opera 10 Beta\opera.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Documents and Settings\MichalikBros\Pulpit\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O1 - Hosts: 127.0.

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Program Files\HP\Smart Web Printing\hpswp_framework.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.3.3.2.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [GEST] C:\Program Files\GIGABYTE\GEST\RUN.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe

O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [nwiz] rem C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /install

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [OM2_Monitor] rem "C:\Program Files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" -NoStart

O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Pobierz wszystkie VIdeo za pomocą BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: Pobierz wszystko za pomocą BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: Pobierz za pomocą BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm

O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll

O9 - Extra 'Tools' menuitem: Ustawienia wtyczki &Gears - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.36.0\gears.dll

O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Kolekcja wycinków HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Zaznaczanie HP Smart - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.3.3.2.dll/206 (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.mks.com.pl

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http://193.193.85.250/activex/AMC.cab

O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe

O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX? - E:\Program Files\MAGIX\Common\Database\bin\fbserver.exe

O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\GEST\GSvr.exe

O23 - Service: Menedżer Google Desktop 5.9.911.3589 (GoogleDesktopManager-110309-193829) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Update Service (gupdate1caa349b8690b74) (gupdate1caa349b8690b74) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe

O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

 

--

End of file - 10945 bytes

 

 

Oraz log z combofix

 

ComboFix 10-04-30.01 - MichalikBros 2010-05-01 0:09.1.2 - x86

Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.2048.1489 [GMT 2:00]

Uruchomiony z: c:\documents and settings\MichalikBros\Pulpit\ComboFix.exe

AV: avast! antivirus 4.8.1368 [VPS 100430-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

FW: PC Tools Firewall Plus *enabled* {ABBD5028-5A95-4B6D-996E-98D64AE88D52}

 

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!

.

 

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\MichalikBros\Dane aplikacji\Desktopicon

c:\documents and settings\MichalikBros\Dane aplikacji\Desktopicon\config.ini

c:\documents and settings\MichalikBros\Dane aplikacji\Desktopicon\eBayShortcuts.exe

c:\windows\eSellerateEngine.dll

c:\windows\system32\AutoRun.inf

E:\install.exe

 

.

((((((((((((((((((((((((( Pliki utworzone od 2010-03-28 do 2010-04-30 )))))))))))))))))))))))))))))))

.

 

2010-04-30 20:16 . 2010-04-30 20:16 -------- d-----w- c:\documents and settings\MichalikBros\Dane aplikacji\Malwarebytes

2010-04-30 20:16 . 2010-04-30 20:16 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Malwarebytes

2010-04-30 19:53 . 2010-04-30 19:53 1078 ----a-r- c:\documents and settings\MichalikBros\Dane aplikacji\Microsoft\Installer\{0F9196C6-58B4-445B-B56E-B1200FECC151}\_4ae13d6c.exe

2010-04-30 19:53 . 2010-04-30 19:53 1078 ----a-r- c:\documents and settings\MichalikBros\Dane aplikacji\Microsoft\Installer\{0F9196C6-58B4-445B-B56E-B1200FECC151}\_2cd672ae.exe

2010-04-30 19:53 . 2010-04-30 19:53 1078 ----a-r- c:\documents and settings\MichalikBros\Dane aplikacji\Microsoft\Installer\{0F9196C6-58B4-445B-B56E-B1200FECC151}\_294823.exe

2010-04-30 19:53 . 2010-04-30 19:53 1078 ----a-r- c:\documents and settings\MichalikBros\Dane aplikacji\Microsoft\Installer\{0F9196C6-58B4-445B-B56E-B1200FECC151}\_18be6784.exe

2010-04-30 19:53 . 2010-04-30 20:04 -------- d-----w- c:\program files\Microsoft Bootvis

2010-04-30 07:11 . 2010-04-30 07:11 62976 ----a-w- c:\documents and settings\MichalikBros\Dane aplikacji\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll

2010-04-29 17:19 . 2010-04-29 17:19 -------- d-----w- c:\windows\61D3AAE1D5214CD7939B37813DE8F955.TMP

2010-04-29 17:02 . 2010-04-29 17:02 -------- d-----w- c:\program files\VS Revo Group

2010-04-28 18:58 . 2010-04-29 17:17 -------- d-----w- c:\program files\a-squared Free

2010-04-28 17:53 . 2010-04-28 17:56 -------- d-----w- c:\documents and settings\MichalikBros\Dane aplikacji\PCToolsFirewallPlus

2010-04-28 17:50 . 2010-01-12 07:34 70664 ----a-w- c:\windows\system32\drivers\pctNdis-PacketFilter.sys

2010-04-28 17:50 . 2010-01-07 09:35 58816 ----a-w- c:\windows\system32\drivers\pctNdis.sys

2010-04-28 17:50 . 2010-01-07 09:35 32680 ----a-w- c:\windows\system32\drivers\pctNdis-DNS.sys

2010-04-28 17:50 . 2010-01-13 06:59 115216 ----a-w- c:\windows\system32\drivers\pctplfw.sys

2010-04-28 17:50 . 2010-04-29 17:17 -------- d-----w- c:\program files\PC Tools Firewall Plus

2010-04-28 17:27 . 2010-02-05 07:17 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys

2010-04-28 17:27 . 2010-03-29 08:06 218592 ----a-w- c:\windows\system32\drivers\PCTCore.sys

2010-04-28 17:27 . 2009-11-23 11:54 88040 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys

2010-04-28 17:26 . 2010-04-29 17:19 -------- d-----w- c:\program files\Common Files\PC Tools

2010-04-28 09:34 . 2010-04-29 17:19 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Spybot - Search & Destroy

2010-04-27 21:18 . 2008-04-14 20:51 116736 -c--a-w- c:\windows\system32\dllcache\xrxwiadr.dll

2010-04-27 21:18 . 2001-10-26 15:29 23040 -c--a-w- c:\windows\system32\dllcache\xrxwbtmp.dll

2010-04-27 21:18 . 2008-04-14 20:51 18944 -c--a-w- c:\windows\system32\dllcache\xrxscnui.dll

2010-04-27 21:18 . 2001-10-26 15:30 27648 -c--a-w- c:\windows\system32\dllcache\xrxftplt.exe

2010-04-27 21:18 . 2001-10-26 15:30 4608 -c--a-w- c:\windows\system32\dllcache\xrxflnch.exe

2010-04-27 21:18 . 2001-08-18 04:37 99865 -c--a-w- c:\windows\system32\dllcache\xlog.exe

2010-04-27 21:18 . 2001-08-17 18:11 16970 -c--a-w- c:\windows\system32\dllcache\xem336n5.sys

2010-04-27 21:18 . 2008-04-13 20:04 19455 -c--a-w- c:\windows\system32\dllcache\wvchntxx.sys

2010-04-27 21:18 . 2008-04-13 20:04 12063 -c--a-w- c:\windows\system32\dllcache\wsiintxx.sys

2010-04-27 21:18 . 2008-04-14 20:51 8192 -c--a-w- c:\windows\system32\dllcache\wshirda.dll

2010-04-27 21:16 . 2001-08-17 19:28 113762 -c--a-w- c:\windows\system32\dllcache\usrpda.sys

2010-04-27 21:15 . 2001-10-26 15:28 43520 -c--a-w- c:\windows\system32\dllcache\tp4res.dll

2010-04-27 21:14 . 2001-10-26 15:29 155648 -c--a-w- c:\windows\system32\dllcache\stlnprop.dll

2010-04-27 21:13 . 2008-04-13 20:05 63547 -c--a-w- c:\windows\system32\dllcache\sla30nd5.sys

2010-04-27 21:12 . 2001-08-17 18:50 77824 -c--a-w- c:\windows\system32\dllcache\s3sav4m.sys

2010-04-27 21:11 . 2001-08-17 19:52 33152 -c--a-w- c:\windows\system32\dllcache\ql10wnt.sys

2010-04-27 21:10 . 2001-08-17 20:05 25216 -c--a-w- c:\windows\system32\dllcache\ovsound2.sys

2010-04-27 21:09 . 2001-08-17 18:50 27936 -c--a-w- c:\windows\system32\dllcache\n9i3d.sys

2010-04-27 21:08 . 2001-10-26 14:56 320384 -c--a-w- c:\windows\system32\dllcache\mgaum.sys

2010-04-27 21:07 . 2001-08-17 20:55 5632 -c--a-w- c:\windows\system32\dllcache\kbd103.dll

2010-04-27 21:06 . 2001-08-17 19:28 488383 -c--a-w- c:\windows\system32\dllcache\hsf_v124.sys

2010-04-27 21:05 . 2008-04-13 22:15 59136 -c--a-w- c:\windows\system32\dllcache\gckernel.sys

2010-04-27 21:04 . 2001-08-17 18:10 19996 -c--a-w- c:\windows\system32\dllcache\em556n4.sys

2010-04-27 21:03 . 2001-10-26 15:29 28160 -c--a-w- c:\windows\system32\dllcache\cyzcoins.dll

2010-04-27 21:02 . 2001-10-26 15:29 342336 -c--a-w- c:\windows\system32\dllcache\banshee.dll

2010-04-27 16:45 . 2010-04-28 14:15 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Raxco

2010-04-25 12:02 . 2010-04-26 14:45 -------- d-----w- c:\documents and settings\MichalikBros\Ustawienia lokalne\Dane aplikacji\gctmp

2010-04-25 11:37 . 2010-04-25 11:38 -------- d-----w- c:\documents and settings\MichalikBros\Dane aplikacji\Software Informer

2010-04-24 13:03 . 2010-04-24 13:03 -------- d-----w- c:\program files\Telltale Games

2010-04-20 20:44 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe

2010-04-15 22:03 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll

2010-04-15 16:46 . 2010-04-15 16:46 4386808 ----a-w- c:\program files\Shockwave_Installer_Slim.exe

2010-04-15 16:30 . 2010-04-15 16:30 1924976 ----a-w- c:\program files\install_flash_player.exe

2010-04-15 14:40 . 2010-04-15 14:40 -------- d-----w- c:\documents and settings\MichalikBros\Ustawienia lokalne\Dane aplikacji\Xara

2010-04-15 14:38 . 2007-04-27 07:43 120200 ----a-w- c:\windows\system32\DLLDEV32i.dll

2010-04-15 14:37 . 2010-04-15 14:46 -------- d-----w- c:\windows\system32\MAGIX

2010-04-15 14:37 . 2008-04-15 13:14 700416 ----a-w- c:\windows\system32\mgxoschk.dll

2010-04-15 14:35 . 2010-03-24 14:12 52224 ----a-w- c:\documents and settings\MichalikBros\Dane aplikacji\Mozilla\Firefox\Profiles\56akt8b9.default\extensions\{e8de9422-3b2c-4243-bf6f-235da84d8ef8}\components\FFExternalAlert.dll

2010-04-15 14:35 . 2010-03-24 14:12 101376 ----a-w- c:\documents and settings\MichalikBros\Dane aplikacji\Mozilla\Firefox\Profiles\56akt8b9.default\extensions\{e8de9422-3b2c-4243-bf6f-235da84d8ef8}\components\RadioWMPCore.dll

2010-04-14 15:44 . 2010-04-14 15:44 -------- d-----w- c:\program files\Common Files\Ulead Systems

2010-04-12 11:26 . 2010-04-12 11:26 237320 ----a-w- c:\windows\system32\PDBoot.exe

2010-04-11 11:30 . 2010-04-11 11:30 -------- d-----w- c:\windows\Sun

2010-04-07 04:22 . 2010-04-07 04:22 135184 ----a-w- c:\windows\system32\drivers\DefragFs.sys

2010-04-05 18:23 . 2010-04-05 18:23 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ScreenSeven

2010-04-05 18:23 . 2010-04-05 18:23 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Intenium

2010-04-05 17:24 . 2010-04-16 18:59 -------- d-----w- c:\program files\Beetle Bug 1 2 3

2010-04-01 13:24 . 2010-03-07 08:53 14336 ----a-w- c:\documents and settings\MichalikBros\Dane aplikacji\Mozilla\Firefox\Profiles\56akt8b9.default\extensions\radiobar@toolbar\components\toolbarhomewmp.dll

 

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-04-30 22:18 . 2010-02-23 18:22 -------- d---a-w- c:\documents and settings\All Users\Dane aplikacji\TEMP

2010-04-30 22:17 . 2009-07-11 17:43 16608 ----a-w- c:\windows\gdrv.sys

2010-04-30 20:06 . 2009-07-31 20:03 -------- d-----w- c:\program files\Opera 10 Beta

2010-04-30 20:04 . 2007-10-29 12:00 83880 ----a-w- c:\windows\system32\perfc015.dat

2010-04-30 20:04 . 2007-10-29 12:00 490628 ----a-w- c:\windows\system32\perfh015.dat

2010-04-29 21:22 . 2009-10-04 13:21 -------- d-----w- c:\program files\SUPERAntiSpyware

2010-04-29 21:21 . 2009-07-11 18:18 114352 ----a-w- c:\documents and settings\MichalikBros\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2010-04-29 17:19 . 2009-11-28 16:07 -------- d-----w- c:\program files\Wallpaper Downloader

2010-04-29 14:02 . 2009-07-29 14:07 -------- d-----w- c:\program files\Premium Booster

2010-04-28 21:52 . 2009-07-11 20:42 -------- d-----w- c:\program files\BitComet

2010-04-28 21:33 . 2009-07-11 20:40 -------- d-----w- c:\program files\Common Files\Adobe

2010-04-28 17:36 . 2009-09-13 08:03 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard

2010-04-28 16:29 . 2009-11-06 19:17 -------- d-----w- c:\program files\Ubisoft

2010-04-28 16:29 . 2009-07-11 17:44 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-04-28 14:15 . 2009-08-28 11:09 -------- d-----w- c:\program files\RAXCO

2010-04-26 15:20 . 2009-10-04 13:22 117760 ----a-w- c:\documents and settings\MichalikBros\Dane aplikacji\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL

2010-04-25 14:48 . 2009-10-08 18:31 -------- d-----w- c:\documents and settings\MichalikBros\Dane aplikacji\ipla

2010-04-24 20:58 . 2009-07-11 18:49 -------- d-----w- c:\documents and settings\MichalikBros\Dane aplikacji\BESTplayer

2010-04-23 13:05 . 2010-03-27 09:06 -------- d-----w- c:\program files\Gadu-Gadu 10

2010-04-15 22:03 . 2009-07-22 16:24 -------- d-----w- c:\program files\Java

2010-04-15 14:40 . 2010-04-15 14:39 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\MAGIX

2010-04-15 14:40 . 2010-04-15 14:39 -------- d-----w- c:\program files\Common Files\MAGIX Shared

2010-04-15 14:39 . 2010-04-15 14:39 -------- d-----w- c:\program files\Common Files\xara

2010-04-14 16:08 . 2009-07-11 19:29 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Microsoft Help

2010-04-14 15:44 . 2010-02-25 11:14 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Ulead Systems

2010-03-30 16:39 . 2010-03-30 16:39 -------- d-----w- c:\program files\Common Files\Java

2010-03-30 16:39 . 2010-03-30 16:39 503808 ----a-w- c:\documents and settings\MichalikBros\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-61aa92dc-n\msvcp71.dll

2010-03-30 16:39 . 2010-03-30 16:39 499712 ----a-w- c:\documents and settings\MichalikBros\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-61aa92dc-n\jmc.dll

2010-03-30 16:39 . 2010-03-30 16:39 348160 ----a-w- c:\documents and settings\MichalikBros\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-61aa92dc-n\msvcr71.dll

2010-03-30 16:39 . 2010-03-30 16:39 61440 ----a-w- c:\documents and settings\MichalikBros\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-5d9636a3-n\decora-sse.dll

2010-03-30 16:39 . 2010-03-30 16:39 12800 ----a-w- c:\documents and settings\MichalikBros\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-5d9636a3-n\decora-d3d.dll

2010-03-28 18:17 . 2009-12-23 08:06 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\OpenFM

2010-03-27 09:06 . 2010-03-27 09:06 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Gadu-Gadu 10

2010-03-25 08:43 . 2010-03-25 08:43 -------- d-----w- c:\program files\ReflexiveArcade

2010-03-20 11:57 . 2010-01-27 18:03 -------- d-----w- c:\program files\Avidemux 2.5

2010-03-15 16:31 . 2009-09-01 15:25 3414528 ----a-w- c:\program files\BESTplayer.exe

2010-03-11 22:14 . 2010-03-11 22:14 42080 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll

2010-03-11 22:13 . 2010-03-11 22:13 11776 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\npgg.2.dll

2010-03-10 06:17 . 2007-10-29 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll

2010-03-06 13:52 . 2010-01-23 09:00 -------- d-----w- c:\program files\World of Goo

2010-03-06 08:31 . 2009-07-11 19:12 -------- d-----w- c:\program files\Google

2010-03-02 19:22 . 2009-07-11 20:46 -------- d-----w- c:\program files\RocketDock

2010-02-25 06:19 . 2007-10-29 12:00 916480 ----a-w- c:\windows\system32\wininet.dll

2010-02-24 13:11 . 2007-10-29 12:00 455680 ------w- c:\windows\system32\drivers\mrxsmb.sys

2010-02-23 18:23 . 2010-02-23 18:23 4096 ----a-w- c:\windows\d3dx.dat

2010-02-16 19:09 . 2007-10-29 12:00 2147840 ------w- c:\windows\system32\ntoskrnl.exe

2010-02-16 19:09 . 2004-08-04 00:39 2025984 ------w- c:\windows\system32\ntkrnlpa.exe

2010-02-12 04:34 . 2007-10-29 12:00 100864 ------w- c:\windows\system32\6to4svc.dll

2010-02-11 12:02 . 2007-10-29 12:00 226880 ------w- c:\windows\system32\drivers\tcpip6.sys

2010-02-04 19:10 . 2010-02-04 19:10 388 ---ha-w- C:\aaw7boot.cmd

2010-02-13 19:10 . 2010-02-13 19:10 119808 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll

.

 

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]

2009-06-16 15:22 1144712 ----a-w- c:\program files\Ask.com\GenericAskToolbar.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2009-06-16 1144712]

 

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]

[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2009-06-16 1144712]

 

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]

[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"OM2_Monitor"="rem" [X]

"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]

"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"nwiz"="rem" [X]

"ISUSPM Startup"="c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]

"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]

"GEST"="c:\program files\GIGABYTE\GEST\RUN.exe" [2007-12-14 236040]

"RTHDCPL"="RTHDCPL.EXE" [2007-09-19 16844800]

"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]

"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-08-29 1966080]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

"Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2010-02-13 30192]

"DXM6Patch_981116"="c:\windows\p_981116.exe" [1998-11-30 497376]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-08-17 13877248]

"00PCTFW"="c:\program files\PC Tools Firewall Plus\FirewallGUI.exe" [2010-01-12 3168216]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoChangeAnimation"= 0 (0x0)

"NoStrCmpLogical"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"MemCheckBoxInRunDlg"= 0 (0x0)

"NoStrCmpLogical"= 0 (0x0)

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2009-09-03 13:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ PDBoot.exe\0autocheck autochk *

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

rem [X]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

rem [X]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

rem [X]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OM2_Monitor]

rem [X]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

rem [X]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UVS11 Preload]

rem [X]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"CiSvc"=3 (0x3)

"ImapiService"=3 (0x3)

"helpsvc"=2 (0x2)

"mnmsrvc"=3 (0x3)

"COMSysApp"=3 (0x3)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Program Files\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=

"c:\\Program Files\\BitComet\\BitComet.exe"=

"c:\\Program Files\\Opera\\opera.exe"=

"c:\\Program Files\\Electronic Arts\\EADM\\Core.exe"=

"d:\\Program Files\\Codemasters\\Worms 4 Totalna Rozwałka\\WORMS 4 MAYHEM.EXE"=

"d:\\Program Files\\Team17 Software Ltd\\WormsForts\\WF.exe"=

"c:\\Program Files\\Sony\\Media Manager for WALKMAN\\MediaManager.exe"=

"c:\\WINDOWS\\system32\\dpnsvr.exe"=

"c:\\Program Files\\GIGABYTE\\GEST\\run.exe"=

"d:\\Program Files\\KONAMI\\Pro Evolution Soccer 2010\\pes2010.exe"=

"c:\\Program Files\\Eidos\\Batman Arkham Asylum\\Binaries\\ShippingPC-BmGame.exe"=

"e:\\Program Files\\Codemasters\\DiRT2\\dirt2_game.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=

"c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=

"c:\\Program Files\\SopCast\\SopCast.exe"=

"c:\\Program Files\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"=

"c:\\Program Files\\Opera 10 Beta\\opera.exe"=

"c:\\Program Files\\Gadu-Gadu 10\\gg.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"9792:TCP"= 9792:TCP:BitComet 9792 TCP

"9792:UDP"= 9792:UDP:BitComet 9792 UDP

 

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2009-07-19 717296]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-07-11 114768]

R1 pctgntdi;pctgntdi;c:\windows\system32\drivers\pctgntdi.sys [2010-04-28 233136]

R1 PStrip;PStrip;c:\windows\system32\drivers\pstrip.sys [2007-07-15 27992]

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2010-02-17 12872]

R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2010-02-17 61440]

R2 a2free;a-squared Free Service;c:\program files\a-squared Free\a2service.exe [2010-04-28 1872320]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-07-11 20560]

R2 PCTAppEvent;PCTAppEvent Driver;c:\windows\system32\drivers\PCTAppEvent.sys [2010-04-28 88040]

R3 GEST Service;GEST Service for program management.;c:\program files\GIGABYTE\GEST\GSvr.exe [2009-07-11 47624]

R3 PCTFW-PacketFilter;PCTools Firewall - Packet filter driver;c:\windows\system32\drivers\pctNdis-PacketFilter.sys [2010-04-28 70664]

R3 pctNDIS;PC Tools Driver;c:\windows\system32\drivers\pctNdis.sys [2010-04-28 58816]

R3 pctplfw;pctplfw;c:\windows\system32\drivers\pctplfw.sys [2010-04-28 115216]

S2 ATE_PROCMON;ATE_PROCMON;\??\c:\program files\Anti Trojan Elite\ATEPMon.sys --> c:\program files\Anti Trojan Elite\ATEPMon.sys [?]

S2 gupdate1caa349b8690b74;Google Update Service (gupdate1caa349b8690b74);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-01 135664]

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;e:\program files\MAGIX\Common\Database\bin\fbserver.exe [2010-04-15 1527900]

S3 GoogleDesktopManager-110309-193829;Menedżer Google Desktop 5.9.911.3589;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2009-07-11 30192]

S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2010-02-17 12872]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2007-07-18 15:53 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe

.

Zawartość folderu 'Zaplanowane zadania'

 

2010-04-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-01 14:21]

 

2010-04-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-01 14:21]

 

2010-04-30 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job

- c:\program files\Ask.com\UpdateTask.exe [2009-06-16 15:22]

 

2010-04-30 c:\windows\Tasks\User_Feed_Synchronization-{C3917C37-20A0-48B8-AA70-9833D4AA71B2}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]

.

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.google.pl/

IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

IE: Pobierz wszystkie VIdeo za pomocą BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm

IE: Pobierz wszystko za pomocą BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm

IE: Pobierz za pomocą BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm

Trusted Zone: com.pl\www.mks

DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://193.193.85.250/activex/AMC.cab

FF - ProfilePath - c:\documents and settings\MichalikBros\Dane aplikacji\Mozilla\Firefox\Profiles\56akt8b9.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2463487&SearchSource=3&q={searchTerms}

FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2463487&SearchSource=13

FF - component: c:\documents and settings\MichalikBros\Dane aplikacji\Mozilla\Firefox\Profiles\56akt8b9.default\extensions\{e8de9422-3b2c-4243-bf6f-235da84d8ef8}\components\FFExternalAlert.dll

FF - component: c:\documents and settings\MichalikBros\Dane aplikacji\Mozilla\Firefox\Profiles\56akt8b9.default\extensions\{e8de9422-3b2c-4243-bf6f-235da84d8ef8}\components\RadioWMPCore.dll

FF - component: c:\documents and settings\MichalikBros\Dane aplikacji\Mozilla\Firefox\Profiles\56akt8b9.default\extensions\radiobar@toolbar\components\toolbarhomewmp.dll

FF - component: c:\program files\Google\Google Gears\Firefox\lib\ff36\gears.dll

FF - plugin: c:\documents and settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\npgg.2.dll

FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll

FF - plugin: c:\program files\Opera 10 Beta\program\plugins\npdsplay.dll

FF - plugin: c:\program files\Opera 10 Beta\program\plugins\nppl3260.dll

FF - plugin: c:\program files\Opera 10 Beta\program\plugins\npqtplugin.dll

FF - plugin: c:\program files\Opera 10 Beta\program\plugins\npqtplugin2.dll

FF - plugin: c:\program files\Opera 10 Beta\program\plugins\npqtplugin3.dll

FF - plugin: c:\program files\Opera 10 Beta\program\plugins\npqtplugin4.dll

FF - plugin: c:\program files\Opera 10 Beta\program\plugins\npqtplugin5.dll

FF - plugin: c:\program files\Opera 10 Beta\program\plugins\npqtplugin6.dll

FF - plugin: c:\program files\Opera 10 Beta\program\plugins\npqtplugin7.dll

FF - plugin: c:\program files\Opera 10 Beta\program\plugins\nprpjplug.dll

FF - plugin: c:\program files\Opera 10 Beta\program\plugins\NPSWF32.dll

FF - plugin: c:\program files\Opera 10 Beta\program\plugins\npwmsdrm.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

 

---- FIREFOX - SPOSÓB POSTĘPOWANIA ----

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);

c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pr

ef", true);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");

c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-05-01 00:17

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

 

skanowanie ukrytych procesów ...

 

skanowanie ukrytych wpisów autostartu ...

 

skanowanie ukrytych plików ...

 

skanowanie pomyślnie ukończone

ukryte pliki: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spup.sys >>UNKNOWN [0x8A6C0938]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xb80fcf28

\Driver\ACPI -> ACPI.sys @ 0xb7e66cb8

\Driver\atapi -> atapi.sys @ 0xb7dfbb40

IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8

ParseProcedure -> ntkrnlpa.exe @ 0x805827e8

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x805836a8

ParseProcedure -> ntkrnlpa.exe @ 0x805827e8

NDIS: Realtek RTL8168/8111 PCI-E Gigabit Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xb7cf1bb0

PacketIndicateHandler -> NDIS.sys @ 0xb7cfea21

SendHandler -> NDIS.sys @ 0xb7cdc87b

user & kernel MBR OK

 

**************************************************************************

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

 

[HKEY_USERS\S-1-5-21-1078081533-492894223-839522115-1003\Software\SecuROM\License information*]

"datasecu"=hex:96,ba,8a,f4,10,14,f5,5a,0b,d2,89,af,8d,ad,a6,f2,46,50,b6,5a,db,

55,ab,79,fc,bc,33,5c,94,85,6d,68,4e,d6,bc,88,0d,1d,a6,8c,21,51,03,94,f8,27,\

"rkeysecu"=hex:e3,dc,63,ab,ad,c6,13,8f,5e,de,89,31,af,8b,e2,46

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

 

- - - - - - - > 'winlogon.exe'(1000)

c:\program files\SUPERAntiSpyware\SASWINLO.dll

c:\windows\system32\WININET.dll

c:\documents and settings\MichalikBros\Dane aplikacji\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL

c:\documents and settings\MichalikBros\Dane aplikacji\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10005.dll

c:\documents and settings\MichalikBros\Dane aplikacji\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\SD10006.dll

 

- - - - - - - > 'explorer.exe'(7376)

c:\windows\system32\WININET.dll

c:\program files\RocketDock\RocketDock.dll

c:\windows\system32\msi.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\windows\system32\nvsvc32.exe

c:\program files\Alwil Software\Avast4\aswUpdSv.exe

c:\program files\Alwil Software\Avast4\ashServ.exe

c:\program files\Common Files\InterVideo\DeviceService\DevSvc.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Common Files\LightScribe\LSSrvc.exe

c:\program files\PC Tools Firewall Plus\FWService.exe

c:\program files\Raxco\PerfectDisk\PDAgent.exe

c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

c:\program files\Raxco\PerfectDisk\PDEngine.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\RTHDCPL.EXE

c:\program files\GIGABYTE\GEST\gest.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Czas ukończenia: 2010-05-01 00:21:33 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2010-04-30 22:21

 

Przed: 15 934 951 424 bajtów wolnych

Po: 17 065 046 016 bajtów wolnych

 

- - End Of File - - 94D8DCF58DFE1F18DB3588FFE7650687

[tehawanka 0]

Log wygląda OK.

Sprawdź jak startuje w trybie awaryjnym, a jeżeli prawidłowo to jakiś sterownik lub program w autostarcie jest przyczyną problemu.

Najbardziej podejrzane to antywirus, firewall, napędy wirtualne itp.

Sprawdź czy podczas startu pojawiają się jakieś błędy w podglądzie zdarzeń:

Start >>> Uruchom >>> wpisz: eventvwr.msc

Sprawdź stan dysku: Klik