- Kod: Zaznacz wszystko
ComboFix 09-02-24.02 - Matusiak 2009-02-25 15:35:29.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1406.900 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Matusiak\Pulpit\ComboFix.exe
* Utworzono nowy punkt przywracania
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
C:\d.com
c:\windows\system32\amvo.exe
c:\windows\system32\amvo0.dll
c:\windows\system32\explorer.exe
E:\Autorun.inf
E:\d.com
F:\Autorun.inf
F:\d.com
G:\Autorun.inf
G:\d.com
G:\EXPLORER.EXE
.
((((((((((((((((((((((((( Pliki utworzone od 2009-01-25 do 2009-02-25 )))))))))))))))))))))))))))))))
.
2009-02-25 15:29 . 2009-02-25 15:29 0 --a------ c:\windows\nsreg.dat
2009-02-25 15:04 . 2009-02-25 15:04 <DIR> d-------- c:\program files\PopCap Games
2009-02-25 15:04 . 2009-02-25 15:17 56 ---h----- c:\windows\popcreg.dat
2009-02-25 15:04 . 2009-02-25 15:17 18 --a------ c:\windows\popcinfot.dat
2009-02-25 14:48 . 2009-02-25 15:17 14 --a------ c:\windows\popcinfo.dat
2009-02-25 14:35 . 2009-02-25 14:35 <DIR> d-------- c:\program files\Winamp
2009-02-25 14:35 . 2009-02-25 15:03 <DIR> d-------- c:\documents and settings\Matusiak\Dane aplikacji\Winamp
2009-02-25 14:34 . 2009-02-25 14:34 <DIR> d-------- c:\program files\Gadu-Gadu
2009-02-25 14:34 . 2009-02-25 14:35 <DIR> d-------- c:\documents and settings\Matusiak\Gadu-Gadu
2009-02-25 13:40 . 2004-08-03 23:08 26,496 --a--c--- c:\windows\system32\dllcache\usbstor.sys
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-25 10:31 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-25 10:31 --------- d-----w c:\program files\Realtek
2009-02-25 10:31 --------- d-----w c:\documents and settings\Matusiak\Dane aplikacji\InstallShield
2009-02-25 10:30 15,600 ----a-w c:\windows\gdrv.sys
2009-02-25 10:28 315,392 ----a-w c:\windows\HideWin.exe
2009-02-25 10:27 --------- d-----w c:\program files\DIFX
2009-02-25 10:27 --------- d-----w c:\documents and settings\Matusiak\Dane aplikacji\ATI
2009-02-25 10:25 --------- d-----w c:\program files\ATI Technologies
2009-02-25 10:23 --------- d-----w c:\program files\Common Files\InstallShield
2009-02-25 10:03 --------- d-----w c:\program files\microsoft frontpage
2009-02-25 10:02 --------- d-----w c:\program files\Usługi online
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2006-11-14 1849032]
"EXPLORER.EXE"="EXPLORER.EXE" [2004-08-04 c:\windows\explorer.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2007-10-10 36352]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-10 c:\windows\RTHDCPL.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
--- Inne Usługi/Sterowniki w Pamięci ---
*NewlyCreated* - XDTRDQAXD
.
- - - - USUNIĘTO PUSTE WPISY - - - -
HKCU-Run-wsctf.exe - wsctf.exe
.
------- Skan uzupełniający -------
.
FF - ProfilePath - c:\documents and settings\Matusiak\Dane aplikacji\Mozilla\Firefox\Profiles\u1hx0v0z.default\
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-25 15:36:05
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(740)
c:\windows\system32\Ati2evxx.dll
.
Czas ukończenia: 2009-02-25 15:36:36
ComboFix-quarantined-files.txt 2009-02-25 14:36:34
Przed: 27 749 687 296 bajtów wolnych
Po: 27,742,789,632 bajtów wolnych
WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer
100
- Kod: Zaznacz wszystko
Logfile of HijackThis v1.99.1
Scan saved at 15:31:55, on 2009-02-25
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\EXPLORER.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\Matusiak\USTAWI~1\Temp\Rar$EX00.969\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
F2 - REG:system.ini: UserInit=userinit.exe,EXPLORER.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCU\..\Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
oraz skasuj folder C:\
