Skocz do zawartości
Granat

Log Combofix I Hijackthis

Przez Granat, w Centrum Bezpieczeństwa

Rekomendowane odpowiedzi

Granat Newbie

Granat

Opublikowano
Opublikowano
» Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - "HijackThis"
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:46:27, on 2009-02-17
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\COMODO\Firewall\cmdagent.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\oodag.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\pemu\Pulpit\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [soundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -h
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [AlcoholAutomount] "D:\PROGRAMY\ALCOHOL120%\Alcohol 120\axcmd.exe" /automount
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://D:\PROGRAMY\OFFICE\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRAMY\OFFICE\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\Firewall\cmdagent.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 6023 bytes




» Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - "Combofix"
ComboFix 09-02-15.01 - pemu 2009-02-17 21:59:28.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.2046.1613 [GMT 1:00]
Uruchomiony z: c:\documents and settings\pemu\Pulpit\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090217-0] *On-access scanning enabled* (Updated)
FW: COMODO Firewall *enabled*
* Utworzono nowy punkt przywracania

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!
.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\pemu\Dane aplikacji\inst.exe
c:\windows\system32\BReWErS.dll
c:\windows\system32\pthreadGC2.dll

.
((((((((((((((((((((((((( Pliki utworzone od 2009-01-17 do 2009-02-17 )))))))))))))))))))))))))))))))
.

2009-02-16 22:34 . 2009-02-16 22:34 <DIR> d-------- c:\program files\ffdshow
2009-02-16 22:34 . 2009-02-09 19:56 67,584 --a------ c:\windows\system32\ff_vfw.dll
2009-02-16 22:34 . 2007-07-10 17:10 547 --a------ c:\windows\system32\ff_vfw.dll.manifest
2009-02-13 23:52 . 2009-02-13 23:56 <DIR> d-------- c:\documents and settings\pemu\Dane aplikacji\Vso
2009-02-13 23:52 . 2009-02-13 23:52 47,360 --a------ c:\windows\system32\drivers\pcouffin.sys
2009-02-13 23:52 . 2009-02-13 23:56 47,360 --a------ c:\documents and settings\pemu\Dane aplikacji\pcouffin.sys
2009-02-10 20:51 . 2009-02-10 20:54 <DIR> d-------- c:\program files\Accent EXCEL Password Recovery
2009-02-08 13:42 . 2009-02-08 13:42 <DIR> d-------- c:\documents and settings\pemu\Dane aplikacji\BinarySense
2009-02-08 13:41 . 2009-02-08 15:43 <DIR> d-------- c:\program files\Common Files\BinarySense
2009-02-07 22:54 . 2008-10-10 04:52 4,379,984 --a------ c:\windows\system32\D3DX9_40.dll
2009-02-07 22:54 . 2008-10-27 10:04 514,384 --a------ c:\windows\system32\XAudio2_3.dll
2009-02-07 22:54 . 2008-10-27 10:04 70,992 --a------ c:\windows\system32\XAPOFX1_2.dll
2009-02-07 22:54 . 2008-10-27 10:04 23,376 --a------ c:\windows\system32\X3DAudio1_5.dll
2009-02-06 20:17 . 2009-02-06 20:17 <DIR> d--h----- c:\windows\PIF
2009-02-04 10:03 . 2009-02-04 10:03 <DIR> d-------- c:\program files\Xvid
2009-02-04 10:03 . 2008-12-04 21:42 815,104 --a------ c:\windows\system32\xvidcore.dll
2009-02-04 10:03 . 2008-12-04 21:46 180,224 --a------ c:\windows\system32\xvidvfw.dll
2009-02-04 10:03 . 2008-12-13 20:01 77,824 --a------ c:\windows\system32\xvid.ax
2009-02-01 13:24 . 2009-02-01 13:24 0 --a------ c:\windows\BBCAuto.INI
2009-01-30 22:56 . 2009-01-30 22:59 <DIR> d-------- c:\program files\Eusing Free Registry Cleaner
2009-01-30 20:15 . 1999-07-17 02:21 4,608 --a------ c:\windows\system32\W95Inf32.DLL
2009-01-30 20:15 . 1999-07-17 02:21 2,272 --a------ c:\windows\system32\W95Inf16.DLL
2009-01-30 10:04 . 2009-01-30 10:04 <DIR> d-------- c:\windows\Left 4 Dead
2009-01-29 20:04 . 2009-01-29 20:04 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\ATI
2009-01-29 20:02 . 2009-01-13 21:05 593,920 --------- c:\windows\system32\ati2sgag.exe
2009-01-29 20:01 . 2009-01-29 20:01 <DIR> d-------- C:\ATI
2009-01-26 09:30 . 2009-01-26 09:30 <DIR> d-------- c:\documents and settings\pemu\Dane aplikacji\Microsoft Games
2009-01-25 15:59 . 2009-01-25 16:21 <DIR> d-------- c:\documents and settings\pemu\Dane aplikacji\Bioshock
2009-01-25 15:52 . 2009-01-25 15:52 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\MumboJumbo

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-13 15:47 --------- d-----w c:\program files\OpenAL
2009-02-08 13:19 --------- d--ha-w c:\documents and settings\All Users\Dane aplikacji\TEMP
2009-02-07 22:02 --------- d--h--w c:\program files\InstallShield Installation Information
2009-01-30 19:19 --------- d--h--w c:\documents and settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2009-01-29 19:03 --------- d-----w c:\program files\ATI Technologies
2009-01-19 20:14 --------- d--h--w c:\documents and settings\All Users\Dane aplikacji\Microsoft Help
2009-01-14 07:14 3,455,488 ----a-w c:\windows\system32\drivers\ati2mtag.sys
2009-01-14 05:46 11,591,680 ----a-w c:\windows\system32\atioglxx.dll
2009-01-14 04:53 286,720 ----a-w c:\windows\system32\atiok3x2.dll
2009-01-14 04:49 425,984 ----a-w c:\windows\system32\ATIDEMGX.dll
2009-01-14 04:47 323,584 ----a-w c:\windows\system32\ati2dvag.dll
2009-01-14 04:36 26,112 ----a-w c:\windows\system32\Ati2mdxx.exe
2009-01-14 04:36 196,608 ----a-w c:\windows\system32\atipdlxx.dll
2009-01-14 04:36 151,552 ----a-w c:\windows\system32\Oemdspif.dll
2009-01-14 04:35 43,520 ----a-w c:\windows\system32\ati2edxx.dll
2009-01-14 04:35 155,648 ----a-w c:\windows\system32\ati2evxx.dll
2009-01-14 04:34 598,016 ----a-w c:\windows\system32\ati2evxx.exe
2009-01-14 04:32 53,248 ----a-w c:\windows\system32\ATIDDC.DLL
2009-01-14 04:22 4,009,152 ----a-w c:\windows\system32\ati3duag.dll
2009-01-14 04:05 2,500,224 ----a-w c:\windows\system32\ativvaxx.dll
2009-01-14 03:50 48,640 ----a-w c:\windows\system32\amdpcom32.dll
2009-01-14 03:45 401,408 ----a-w c:\windows\system32\atikvmag.dll
2009-01-14 03:44 17,408 ----a-w c:\windows\system32\atitvo32.dll
2009-01-14 03:44 110,592 ----a-w c:\windows\system32\atiadlxx.dll
2009-01-14 03:43 53,248 ----a-w c:\windows\system32\drivers\ati2erec.dll
2009-01-14 03:37 577,536 ----a-w c:\windows\system32\ati2cqag.dll
2009-01-14 03:37 307,200 ----a-w c:\windows\system32\atiiiexx.dll
2009-01-14 02:36 45,056 ----a-w c:\windows\system32\amdcalrt.dll
2009-01-14 02:36 45,056 ----a-w c:\windows\system32\amdcalcl.dll
2009-01-14 02:34 3,227,648 ----a-w c:\windows\system32\Amdcaldd.dll
2009-01-12 21:08 --------- d-----w c:\documents and settings\pemu\Dane aplikacji\Crayon Physics Deluxe
2008-12-29 23:08 --------- d--ha-w c:\documents and settings\All Users\Dane aplikacji\Sports Interactive
2008-12-27 10:32 --------- d-----w c:\documents and settings\pemu\Dane aplikacji\Sports Interactive
2008-12-23 22:32 410,984 ----a-w c:\windows\system32\deploytk.dll
2008-12-23 22:32 --------- d-----w c:\program files\Java
2008-12-21 09:26 --------- d-----w c:\documents and settings\pemu\Dane aplikacji\AltrixSoft
2008-12-20 13:38 --------- d-----w c:\program files\MSBuild
2008-12-20 13:36 --------- d-----w c:\program files\Reference Assemblies
2008-12-06 07:41 147,192 ----a-w c:\windows\system32\guard32.dll
2008-11-26 01:46 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2005-03-31 790528]
"AlcoholAutomount"="d:\programy\ALCOHOL120%\Alcohol 120\axcmd.exe" [2007-08-01 222592]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"COMODO Firewall Pro"="c:\program files\COMODO\Firewall\cfp.exe" [2008-12-06 1797880]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0autocheck OODBS\0OODBS

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]
backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Synchronizer.lnk]
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^ASUS WiFi-AP Solo.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^HP Digital Imaging Monitor.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 d:\programy\ACROBAT READER\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
--a------ 2007-08-01 19:17 222592 d:\programy\ALCOHOL120%\Alcohol 120\AxCmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OODefragTray]
--a------ 2007-05-11 01:08 2512392 c:\windows\system32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
--a------ 2008-08-29 17:11 61440 c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-12-23 23:32 136600 c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Program Files\\Gadu-Gadu\\gg.exe"=
"d:\\GRY\\FOOTBALL MANAGER 2009\\fm.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-06-19 114768]
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [2008-06-25 101776]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [2008-06-25 31504]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-06-19 20560]
R3 AtiHdmiService;ATI Function Driver for HDMI Service;c:\windows\system32\drivers\AtiHdmi.sys [2008-11-14 93696]
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187.sys [2008-06-19 176128]
S3 ATE_PROCMON;ATE_PROCMON;\??\d:\programy\ANTI TROJAN ELITE\Anti Trojan Elite\ATEPMon.sys --> d:\programy\ANTI TROJAN ELITE\Anti Trojan Elite\ATEPMon.sys [?]
.
- - - - USUNIĘTO PUSTE WPISY - - - -

MSConfigStartUp-HP Software Update - c:\program files\HP\HP Software Update\HPWuSchd2.exe


.
------- Skan uzupełniający -------
.
IE: E&ksportuj do programu Microsoft Excel - d:\programy\OFFICE\Office12\EXCEL.EXE/3000
LSP: %SYSTEMROOT%\system32\nvappfilter.dll
FF - ProfilePath - c:\documents and settings\pemu\Dane aplikacji\Mozilla\Firefox\Profiles\ln40a596.default\
FF - prefs.js: browser.search.selectedEngine - Allegro
FF - prefs.js: browser.startup.homepage - onet.pl
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: d:\programy\ACROBAT READER\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-17 22:00:21
Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_USERS\S-1-5-21-1957994488-1078145449-682003330-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:78,2d,d6,6b,7f,26,6d,f8,98,6a,1e,f1,92,30,15,7b,ac,c9,01,e3,8d,49,38,
f4,f0,ca,40,81,ff,8e,84,48,c8,57,84,db,6e,e8,9e,7a,d1,83,75,66,bc,83,23,84,\
"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50

[HKEY_USERS\S-1-5-21-1957994488-1078145449-682003330-1003\Software\SecuROM\License information*]
"datasecu"=hex:c1,08,35,c6,57,ca,7a,9d,6d,7e,47,f5,35,15,10,e3,56,36,35,6b,50,
81,b1,2a,29,bc,73,c4,b4,1b,f5,e6,84,bf,0a,23,4e,9f,72,f8,a1,03,9c,d5,56,8a,\
"rkeysecu"=hex:32,24,8e,3f,51,d9,78,a8,e1,0a,87,d8,7d,f0,dd,f6

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG10.00.00.01WORKSTATION"="CF5FAEAB9321B16CEFA874A98184C0543DDFD055E891E8BCF80EDA521F6B3B7EE7F88304D40
668EF64EFAC4DC3FEB36FC2AE0B683C7E497E7EC4DFBEFCB55369BD9AF3E7DC60EC879B7C7524BFD9
5780CF3A98F063480C279AD38A2DF352986989BCB9C779E0C64381A4E6050AF81FCD265A0B53D6A5B
25A05358D298367B41A181B44F6CE406DD799064DAF8A46F0C89C2DAD5663CEADDE07A6CDA17B9F49
3BC9B2B52FD23ACE9EF601A6C47B2EA5011E13FCFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127
BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC79339DB7CE019D
40AA5CA9C6AECB7A5D14079DB7CE019D40AA5C1987D8DE35B5C2EFA83D7BEC6C358256C98AFBC812A
937C04759C32C0C30965077FAE27C0D1132A404DBD9C51F19D1C0378F0F8740CE6AC3E3A639568AF0
12E6D3DAEC416F4896D44C83AE10054518D11FDD9D53DBF336294E2C25BDEB3AD6F63F964B520E696
9BA7B667C5E889ECA3D038FFAC8297137C23187CF2DEC78408FADF05649BB9565C06E8DCC373899AA
6B4A8F01FB0F32C7151DAA03E56D2CED73F7FE6833F3030C87E6D4AD93C342B6FA3E20107498B58DD
A035B0C1A7268C119DAAE62105279A1600A6CADE18235343A8E55872CF28E6C02BD3240F222D6E32C
F43CA85617D6ACD461576305EE262D2FCD98CC92F3E40FAB061E748D49B3BE084D3BA06E280CFAA05
BEDE452A55AEE10F0254A0B1073642CFC61847758CE82424A92B7B48E1F9B3247DAD113692D094CD2
8E6D6C63891E8EA411CDB6E28C2220397DDB7A7629632D5B9EC8861F8CD283B2B6A9012B0AB18FE49
534431F65D31D4A0A0385315769E8B20DEE5E52F86388B1D7F008CC6D592209301D876BE49266129A
A38E336B8B71C74E6DBFAF0B19E5587DBFB5CDBE9568C06FF3E4C6AB1F5F88E6B8C216396985FEDDF
0460AEB94580E8A9330591C25401F3A27AED46E7B9D8A79424316AAE59A1C0B297DD55A3B4EA3B1ED
933FB911341CCAA92E5D75EEECD7B0C4A3943EA9D54779CB6B2E2937EDCA7D53EC70DEA18693AD729
ECC1C85CA963FC76E1604A29490221002D0BCF30F1ACA4D4084E5E42D43C6FA2FB2D38C6A4CADD520
C4A0FD656850B4AD1F91A23F8B476B8437BF2ED0CEC94284C220193268547F2A6BCFB28C2323794B1
F34BABDFC7B3EA5676E9350BF41CC37559902BCB8E2D8F0FB5C76807B8E222EFAC7F17F32BDDA0196
096E3C7E8B1FD266EC6158F3DC774E8CA8486D0EDB779A8081C82D503D5CEA6D3CDDD95DD9C35815D
817083098F98E53A9E5B2DCA447CBA2AD7EA3E2F75E2AB446C2240E31CA392734C581EB407DF23068
5464CDD9627075A818F257448479DDF9C447A7ECC5DF02E4542F86D2A731A204DBC828BF9BA8B3E55
F60804A7387FA404CA4A6B9CBA8B3"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'winlogon.exe'(1188)
c:\windows\system32\guard32.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(1244)
c:\windows\system32\guard32.dll
c:\windows\system32\nvappfilter.dll
.
Czas ukończenia: 2009-02-17 22:00:57
ComboFix-quarantined-files.txt 2009-02-17 21:00:55

Przed: 46 731 902 976 bajtów wolnych
Po: 46,720,663,552 bajtów wolnych

193

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach
Granat Newbie

Granat

Opublikowano
Opublikowano

To samo, albo masz problem i piszesz na forum albo nie masz i nie piszesz.

Napisałem "profilaktycznie" bo sam nie wiem jak na przykład rozpatrywać chociażby "lsass.exe"

 

Niektórzy piszą w sieci,ze robak jest to inni,że plik którego ruszać nie można itd...

 

Ale OK, jak problem to przepraszam....

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Dołącz do dyskusji

Możesz dodać zawartość już teraz a zarejestrować się później. Jeśli posiadasz już konto, zaloguj się aby dodać zawartość za jego pomocą.

Gość
Dodaj odpowiedź do tematu...

×   Wklejono zawartość z formatowaniem.   Przywróć formatowanie

  Dozwolonych jest tylko 75 emoji.

×   Odnośnik został automatycznie osadzony.   Przywróć wyświetlanie jako odnośnik

×   Przywrócono poprzednią zawartość.   Wyczyść edytor

×   Nie możesz bezpośrednio wkleić grafiki. Dodaj lub załącz grafiki z adresu URL.

Ładowanie
×
Tematy
×
×
  • Dodaj nową pozycję...