CODE-BOX
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.511.320 [GMT 2:00]
Uruchomiony z: D:\ComboFix.exe
AV: ESET Smart Security 4.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: Zapora osobista *enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\mfc45.dll
c:\windows\system32\grpconv.exe - brakowało pliku
Plik odzyskano z -
.
((((((((((((((((((((((((( Pliki utworzone od 2009-05-07 do 2009-06-07 )))))))))))))))))))))))))))))))
.
2009-06-07 20:29 . 2004-08-03 22:44 39424 ----a-w- c:\windows\system32\grpconv.exe
2009-06-05 12:56 . 2009-06-05 12:56 -------- d-----w- c:\program files\Native Instruments
2009-05-31 12:10 . 2009-05-31 12:11 -------- d-----w- c:\program files\Skype
2009-05-30 15:17 . 2009-05-30 15:17 -------- d-----w- c:\documents and settings\liczkowscy\Dane aplikacji\Leadertech
2009-05-18 20:28 . 2009-05-18 20:28 -------- d-----w- c:\documents and settings\liczkowscy\Ustawienia lokalne\Dane aplikacji\Opera
2009-05-18 20:28 . 2009-05-18 20:28 -------- d-----w- c:\program files\Opera
2009-05-12 14:05 . 2009-05-12 14:05 -------- d-----w- c:\documents and settings\liczkowscy\Dane aplikacji\OpenFM
2009-05-12 13:13 . 2009-05-12 13:13 -------- d-----w- c:\documents and settings\liczkowscy\Dane aplikacji\id Software
2009-05-12 13:11 . 2009-05-12 13:11 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys
2009-05-12 13:11 . 2009-05-12 13:11 22328 ----a-w- c:\documents and settings\liczkowscy\Dane aplikacji\PnkBstrK.sys
2009-05-12 13:11 . 2009-05-12 13:11 107832 ----a-w- c:\windows\system32\PnkBstrB.exe
2009-05-12 13:11 . 2009-05-12 13:11 66872 ----a-w- c:\windows\system32\PnkBstrA.exe
2009-05-12 13:11 . 2009-05-12 13:11 2246144 ----a-w- c:\windows\system32\pbsvc.exe
2009-05-12 13:11 . 2009-05-12 13:11 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\id Software
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-07 14:13 . 2008-10-05 10:13 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Soulseek
2009-06-06 22:15 . 2009-04-30 19:12 32 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-06-06 22:15 . 2009-04-30 19:12 32 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-06-06 22:15 . 2009-04-30 19:12 32 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-06-06 22:15 . 2009-04-30 19:12 32 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-05-31 19:26 . 2007-11-06 13:37 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-05-31 13:49 . 2009-04-03 13:16 -------- d-----w- c:\documents and settings\liczkowscy\Dane aplikacji\Skype
2009-05-20 20:23 . 2008-03-02 15:47 27152 ----a-w- c:\documents and settings\liczkowscy\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-05-19 16:23 . 2001-10-26 16:15 76208 ----a-w- c:\windows\system32\perfc015.dat
2009-05-19 16:23 . 2001-10-26 16:15 454178 ----a-w- c:\windows\system32\perfh015.dat
2009-05-16 10:19 . 2008-10-03 15:47 -------- d-----w- c:\documents and settings\liczkowscy\Dane aplikacji\Nowe Gadu-Gadu
2009-05-07 12:08 . 2009-05-06 19:38 -------- d-----w- c:\program files\Sony Online Entertainment
2009-05-06 18:43 . 2009-05-06 18:43 -------- d-----w- c:\documents and settings\liczkowscy\Dane aplikacji\Malwarebytes
2009-05-06 18:43 . 2009-05-06 18:43 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Malwarebytes
2009-05-03 11:40 . 2008-08-09 17:23 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab
2009-04-30 19:14 . 2009-04-30 19:14 96966 ----a-w- c:\windows\system32\drivers\klin.dat
2009-04-30 19:14 . 2009-04-30 19:14 88774 ----a-w- c:\windows\system32\drivers\klick.dat
2009-04-30 19:08 . 2009-04-30 19:08 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files
2009-04-25 19:17 . 2009-04-25 18:42 179 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Last.fm\Client\uninst2.bat
2009-04-25 19:17 . 2009-04-25 19:17 683801 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Last.fm\Client\UninstITW\unins000.exe
2009-04-25 19:12 . 2009-01-07 23:10 -------- d-----w- c:\documents and settings\liczkowscy\Dane aplikacji\Apple Computer
2009-04-25 19:11 . 2009-04-25 19:10 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-04-25 19:11 . 2009-04-25 19:11 -------- d-----w- c:\program files\iPod
2009-04-25 19:11 . 2009-04-25 19:04 -------- d-----w- c:\program files\Common Files\Apple
2009-04-25 19:10 . 2009-04-25 19:07 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Apple Computer
2009-04-25 19:09 . 2009-04-25 19:09 -------- d-----w- c:\program files\Bonjour
2009-04-25 19:08 . 2009-04-25 19:07 -------- d-----w- c:\program files\QuickTime
2009-04-25 19:06 . 2009-04-25 19:06 -------- d-----w- c:\program files\Apple Software Update
2009-04-25 18:42 . 2009-04-25 18:42 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Last.fm
2009-04-25 18:42 . 2009-04-25 18:42 683801 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Last.fm\Client\UninstWA\unins000.exe
2009-04-24 18:36 . 2009-01-07 23:14 -------- d-----w- c:\documents and settings\liczkowscy\Dane aplikacji\AIMP
2009-04-17 13:33 . 2009-04-16 20:01 -------- d--h--w- c:\documents and settings\liczkowscy\Dane aplikacji\ijjigame
2009-04-16 20:01 . 2009-04-17 13:33 480688 ----a-w- c:\documents and settings\liczkowscy\Dane aplikacji\ijjigame\ijjistarter2FxB.exe
2009-04-14 15:30 . 2009-04-14 15:30 625728 ----a-w- c:\documents and settings\All Users\Dane aplikacji\id Software\QuakeLive\npquakezero.dll
2009-04-06 18:59 . 2009-04-06 18:51 102400 ----a-w- c:\documents and settings\liczkowscy\Dane aplikacji\Soldat\Battleye\BEClient_x86.dll
2009-04-06 13:32 . 2009-05-06 18:43 38496 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2009-05-06 18:43 15504 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-04-02 14:29 . 2009-04-02 14:29 75048 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Apple Computer\Installer Cache\iTunes 8.1.1.10\SetupAdmin.exe
2009-03-22 11:16 . 2008-10-18 20:33 82352 ----a-w- c:\windows\War3Unin.dat
2009-03-19 14:32 . 2009-04-25 19:11 23400 ----a-w- c:\windows\system32\drivers\GEARAspiWDM.sys
2009-03-19 14:32 . 2009-03-19 14:32 23400 ----a-w- c:\documents and settings\All Users\Dane aplikacji\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\x86\x86\GEARAspiWDM.sys
2009-03-19 09:45 . 2009-03-19 09:45 55768 ----a-w- c:\windows\system32\drivers\epfwtdi.sys
2009-03-19 09:45 . 2009-03-19 09:45 33096 ----a-w- c:\windows\system32\drivers\epfwndis.sys
2009-03-19 09:45 . 2009-03-19 09:45 131976 ----a-w- c:\windows\system32\drivers\epfw.sys
2009-03-19 09:44 . 2009-03-19 09:44 107256 ----a-w- c:\windows\system32\drivers\ehdrv.sys
2009-03-19 09:41 . 2009-03-19 09:41 113960 ----a-w- c:\windows\system32\drivers\eamon.sys
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"MP10_EnsureFileVer"="c:\windows\inf\unregmp2.exe" [2004-08-03 208896]
"ContentTransferWMDetector.exe"="e:\content transfer\ContentTransferWMDetector.exe" [2008-07-11 423200]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-01-05 413696]
"iTunesHelper"="e:\itunes\iTunesHelper.exe" [2009-04-02 342312]
"egui"="e:\eset\ESET Smart Security\egui.exe" [2009-03-19 2029640]
"ATIPTA"="atiptaxx.exe" - c:\windows\system32\atiptaxx.exe [2006-02-22 344064]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"f:\\Program Files\\Soulseek\\slsk.exe"=
"f:\\CS 1.6\\hl.exe"=
"f:\\CS 1.6\\hlds.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"e:\\Media Manager for WALKMAN\\MediaManager.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"e:\\iTunes\\iTunes.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"22049:TCP"= 22049:TCP:BitComet 22049 TCP
"22049:UDP"= 22049:UDP:BitComet 22049 UDP
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 32784]
R0 MFX;MFX; [x]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-03-19 107256]
R2 ekrn;ESET Service;e:\eset\ESET Smart Security\ekrn.exe [2009-03-19 731840]
R3 klfltdev;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-03-25 24592]
S0 magicfl;magicfl; [x]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [2009-02-01 16512]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2005-08-02 32512]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
.
Zawartość folderu 'Zaplanowane zadania'
2009-04-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
2009-06-07 c:\windows\Tasks\GlaryInitialize.job
- e:\glary utilities\initialize.exe [2008-11-05 14:35]
.
- - - - USUNIĘTO PUSTE WPISY - - - -
SafeBoot-procexp90.Sys
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://search.bearshare.com/pl/
uInternet Settings,ProxyOverride = *.local
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: {7C9976F1-6276-43DF-91DF-5D0EE2F84A2B} = 10.13.0.1,10.13.0.2
FF - ProfilePath - c:\documents and settings\liczkowscy\Dane aplikacji\Mozilla\Firefox\Profiles\h3d4al6h.default\
FF - prefs.js: network.proxy.type - 2
FF - plugin: c:\documents and settings\All Users\Dane aplikacji\id Software\QuakeLive\npquakezero.dll
FF - plugin: c:\progra~1\SONYON~1\npsoe.dll
FF - plugin: e:\itunes\Mozilla Plugins\npitunes.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-07 22:29
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
c:\windows\system32\drivers\MFX.sys 45824 bytes executable
C:\SYZ_DAT
skanowanie pomyślnie ukończone
ukryte pliki: 2
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet009\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall\ *P*Ě]
"DisplayName"="??e"
"DeviceDesc"="??e"
"ProviderName"=""
"MFG"="urrentControlSet\\Services\\ati2mtag\\Device0"
"ReinstallString"=""
"DeviceInstanceIds"=multi:"`\00"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(1884)
c:\windows\system32\Ati2evxx.dll
.
Czas ukończenia: 2009-06-07 22:33
ComboFix-quarantined-files.txt 2009-06-07 20:33
ComboFix2.txt 2009-05-05 20:35
Przed: 110 067 712 bajtów wolnych
Po: 125 988 864 bajtów wolnych
Current=9 Default=9 Failed=7 LastKnownGood=10 Sets=1,2,3,4,5,6,7,8,9,10
191 --- E O F --- 2009-04-22 11:36