Usuwanie TR/Crypt.XPACK.Gen


(Jv1) #1

Witam i proszę o pomoc w usunięciu Trojana jakim jest TR/Crypt.XPACK.Gen. Otóż Avira usuwa te złośliwe oprogramowanie ale po restracie ono ukazuje się spowrotem. Po dłuższym czasie walki z trojanem proszę o pomoc was w celu uzyskania pomocy. Z góry dziękuje.

Log z Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:05:13, on 2009-04-15

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\Program Files\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Prevx\prevx.exe

C:\Program Files\Prevx\prevx.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Mozilla Thunderbird\thunderbird.exe

c:\program files\avira\antivir desktop\avcenter.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKCU..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O11 - Options group: [international] International*

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: Avira AntiVir Scheduler (antivirschedulerservice) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (antivirservice) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Usługa inteligentnego transferu w tle (BITS) - Unknown owner - C:\WINDOWS\

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: CSIScanner (csiscanner) - Prevx - C:\Program Files\Prevx\prevx.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB (pnkbstrb) - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Aktualizacje automatyczne (wuauserv) - Unknown owner - C:\WINDOWS\

--

End of file - 5147 bytes

Log z Combofix:

ComboFix 09-04-15.08 - Właściciel 2009-04-15 14:07.12 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.383.150 [GMT 2:00]

Uruchomiony z: c:\documents and settings\Właściciel\Pulpit\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated)

FW: COMODO Firewall Pro *enabled*

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!

.

((((((((((((((((((((((((( Pliki utworzone od 2009-03-15 do 2009-04-15 )))))))))))))))))))))))))))))))

.

2009-05-26 19:48 . 2009-05-26 19:48 -------- d-----w c:\windows\Sun

2009-05-26 19:43 . 2009-05-26 19:43 73728 ----a-w c:\windows\system32\javacpl.cpl

2009-05-26 19:43 . 2009-05-26 19:43 410984 ----a-w c:\windows\system32\deploytk.dll

2009-05-26 17:04 . 2009-05-26 17:04 2 ----a-w c:\windows\Twain001.Mtx

2009-05-26 17:04 . 2009-05-26 17:04 156 ----a-w c:\windows\Twunk001.MTX

2009-05-26 17:04 . 2009-05-26 17:04 0 ----a-w c:\windows\Twunk002.MTX

2009-05-20 12:27 . 2009-05-21 08:38 -------- d-----w C:\Titanium

2009-04-15 11:15 . 2009-04-15 11:15 22024 ----a-w c:\windows\system32\drivers\pxscan.sys

2009-04-15 11:15 . 2009-04-15 11:17 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\PrevxCSI

2009-04-15 11:13 . 2009-04-15 11:13 29184 ----a-w c:\windows\system32\gmstof.dll

2009-04-15 10:43 . 2009-02-13 09:31 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys

2009-04-14 15:39 . 2009-04-14 15:39 29184 ----a-w c:\windows\system32\smstf.dll

2009-04-13 18:12 . 2009-04-13 18:12 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\streamripper

2009-04-13 18:12 . 2009-04-13 18:12 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\streamripper

2009-04-13 18:12 . 2009-04-13 18:12 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\streamripper

2009-04-10 19:03 . 2009-04-10 19:03 -------- d-----w c:\windows\system32\pl-pl

2009-04-10 19:01 . 2006-09-06 15:43 22752 ----a-w c:\windows\system32\spupdsvc.exe

2009-04-10 19:00 . 2009-04-10 19:01 1374 ----a-w c:\windows\imsins.BAK

2009-04-10 19:00 . 2009-04-10 19:00 -------- d--h--w c:\windows\$hf_mig$

2009-04-09 12:15 . 2006-10-05 17:26 24072 ----a-w c:\windows\system32\uxtuneup.dll

2009-04-09 12:15 . 2009-04-09 12:15 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\TuneUp Software

2009-04-09 12:15 . 2009-04-09 12:15 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\TuneUp Software

2009-04-09 12:15 . 2009-04-09 12:15 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\TuneUp Software

2009-04-09 12:14 . 2009-04-09 12:14 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\TuneUp Software

2009-04-05 11:09 . 2009-04-15 12:09 83294 ----a-w c:\windows\system32\drivers\3b695d99.sys

2009-04-01 09:53 . 2009-04-13 15:35 138376 ----a-w c:\windows\system32\drivers\PnkBstrK.sys

2009-04-01 09:53 . 2009-04-13 15:34 202448 ----a-w c:\windows\system32\PnkBstrB.exe

2009-04-01 09:53 . 2009-04-09 11:39 -------- d-----w c:\windows\system32\LogFiles

2009-04-01 09:53 . 2009-04-01 09:53 66872 ----a-w c:\windows\system32\PnkBstrA.exe

2009-03-31 12:00 . 2009-04-01 07:49 766 ----a-w c:\windows\CoD.INI

2009-03-25 20:29 . 2004-06-10 20:42 15429 ----a-r c:\windows\system32\drivers\Sacm2A.sys

2009-03-20 17:45 . 2001-08-18 05:36 8704 -c--a-w c:\windows\system32\dllcache\kbdjpn.dll

2009-03-20 17:45 . 2001-08-18 05:36 8704 ----a-w c:\windows\system32\kbdjpn.dll

2009-03-20 17:45 . 2001-08-18 05:36 8192 -c--a-w c:\windows\system32\dllcache\kbdkor.dll

2009-03-20 17:45 . 2001-08-18 05:36 8192 ----a-w c:\windows\system32\kbdkor.dll

2009-03-20 17:45 . 2001-08-17 21:55 6144 -c--a-w c:\windows\system32\dllcache\kbd106.dll

2009-03-20 17:45 . 2001-08-17 21:55 6144 -c--a-w c:\windows\system32\dllcache\kbd101c.dll

2009-03-20 17:45 . 2001-08-17 21:55 6144 -c--a-w c:\windows\system32\dllcache\kbd101b.dll

2009-03-20 17:45 . 2001-08-17 21:55 6144 ----a-w c:\windows\system32\kbd106.dll

2009-03-20 17:45 . 2001-08-17 21:55 6144 ----a-w c:\windows\system32\kbd101c.dll

2009-03-20 17:45 . 2001-08-17 21:55 6144 ----a-w c:\windows\system32\kbd101b.dll

2009-03-20 17:45 . 2001-08-17 21:55 5632 -c--a-w c:\windows\system32\dllcache\kbd103.dll

2009-03-20 17:45 . 2001-08-17 21:55 5632 ----a-w c:\windows\system32\kbd103.dll

2009-03-19 18:15 . 2009-03-19 18:22 260 ----a-w c:\windows\wcx_ftp.ini

2009-03-19 18:11 . 2009-03-19 20:58 -------- d-----w C:\nonameSzablon

2009-03-19 14:58 . 2009-03-19 19:15 607 ----a-w c:\windows\wincmd.ini

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-28 11:30 . 2008-12-12 16:47 -------- d-----w c:\program files\Winamp

2009-05-26 19:43 . 2009-05-26 19:43 -------- d-----w c:\program files\Java

2009-05-20 15:28 . 2009-02-14 10:11 -------- d-----w c:\program files\Nowe Gadu-Gadu

2009-04-15 11:58 . 2009-03-04 17:34 -------- d-----w c:\program files\Mozilla Thunderbird

2009-04-15 11:15 . 2009-04-15 11:15 -------- d-----w c:\program files\Prevx

2009-04-15 10:42 . 2009-04-15 10:42 -------- d-----w c:\program files\Avira

2009-04-15 10:42 . 2008-12-29 10:51 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Avira

2009-04-13 18:11 . 2009-04-13 18:11 -------- d-----w c:\program files\Streamripper

2009-04-13 16:22 . 2009-03-31 12:01 -------- d-----w c:\program files\Call of Duty

2009-04-13 13:02 . 2008-12-13 11:51 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\OpenOfficeT72

2009-04-13 13:02 . 2008-12-13 11:51 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\OpenOfficeT72

2009-04-13 13:02 . 2008-12-13 11:51 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\OpenOfficeT72

2009-04-12 18:01 . 2008-12-13 12:03 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\AIMP

2009-04-12 18:01 . 2008-12-13 12:03 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\AIMP

2009-04-12 18:01 . 2008-12-13 12:03 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\AIMP

2009-04-11 15:43 . 2009-03-10 14:44 -------- d-----w c:\program files\Cheat Engine

2009-04-10 20:15 . 2009-03-29 19:08 -------- d-----w c:\program files\Metin2_PL

2009-04-10 10:48 . 2009-04-09 11:35 -------- d-----w c:\program files\Microsoft Bootvis

2009-04-09 14:00 . 2008-12-28 19:45 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\Skype

2009-04-09 14:00 . 2008-12-28 19:45 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\Skype

2009-04-09 14:00 . 2008-12-28 19:45 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\Skype

2009-04-09 13:33 . 2008-12-19 21:32 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\skypePM

2009-04-09 13:33 . 2008-12-19 21:32 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\skypePM

2009-04-09 13:33 . 2008-12-19 21:32 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\skypePM

2009-04-09 12:15 . 2009-04-09 12:15 -------- d-----w c:\program files\TuneUp Utilities 2006

2009-04-09 12:14 . 2009-02-11 16:01 -------- d-----w c:\program files\Common Files\Wise Installation Wizard

2009-04-09 11:46 . 2001-10-26 17:15 67078 ----a-w c:\windows\system32\perfc015.dat

2009-04-09 11:46 . 2001-10-26 17:15 435978 ----a-w c:\windows\system32\perfh015.dat

2009-04-07 19:00 . 2008-12-12 16:17 -------- d--h--w c:\program files\InstallShield Installation Information

2009-04-03 14:24 . 2008-12-12 16:04 21880 ----a-w c:\documents and settings\Właściciel\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-04-03 14:24 . 2008-12-12 16:04 21880 ----a-w c:\documents and settings\Właściciel\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-04-03 14:24 . 2008-12-12 16:04 21880 ----a-w c:\documents and settings\Właściciel\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-04-03 14:14 . 2009-04-03 14:14 -------- d-----w c:\program files\Gameforge4D

2009-04-02 14:27 . 2009-04-02 14:27 -------- d-----w c:\program files\GameTribe

2009-03-31 12:14 . 2004-07-17 10:36 11973 ----a-w c:\windows\system32\drivers\secdrv.sys

2009-03-26 06:18 . 2009-03-09 12:31 -------- d-----w c:\program files\K-Meleon

2009-03-19 19:04 . 2004-01-01 10:54 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\Notepad++

2009-03-19 19:04 . 2004-01-01 10:54 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\Notepad++

2009-03-19 19:04 . 2004-01-01 10:54 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\Notepad++

2009-03-19 19:04 . 2004-01-01 10:54 -------- d-----w c:\program files\Notepad++

2009-03-04 18:09 . 2009-03-04 18:09 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files

2009-03-04 17:57 . 2008-12-24 13:27 -------- d-----w c:\program files\BitComet

2009-03-04 17:56 . 2008-12-14 13:17 -------- d-----w c:\program files\Ganymede

2009-03-04 17:34 . 2009-03-04 17:34 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\Thunderbird

2009-03-04 17:34 . 2009-03-04 17:34 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\Thunderbird

2009-03-04 17:34 . 2009-03-04 17:34 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\Thunderbird

2009-03-04 14:32 . 2008-12-12 16:47 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\Winamp

2009-03-04 14:32 . 2008-12-12 16:47 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\Winamp

2009-03-04 14:32 . 2008-12-12 16:47 -------- d-----w c:\documents and settings\Właściciel\Dane aplikacji\Winamp

2004-01-21 22:15 . 2004-01-21 22:14 18393182 ----a-w c:\program files\Tibia.rar

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.avis"= ff_acm.acm

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]

path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Synchronizer.lnk]

path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Synchronizer.lnk

backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\adobe reader speed launcher]

2008-01-11 21:16 39792 ----a-w c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]

2006-12-05 21:55 54832 ----a-w c:\program files\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]

2007-04-19 12:26 484904 ----a-w c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2007-03-01 14:57 153136 ----a-w c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

2006-11-23 14:10 56928 ------w c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSUSBRG]

2002-07-12 10:15 106496 ----a-w c:\windows\SiSUSBrg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sunjavaupdatesched]

2009-05-26 19:43 148888 ----a-w c:\program files\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"d:\Program Files\Metin2\metin2.bin"=

"c:\Program Files\Nowe Gadu-Gadu\gg.exe"=

"c:\Program Files\Gadu-Gadu\gg.exe"=

"c:\Program Files\Bonjour\mDNSResponder.exe"=

"c:\Program Files\Games-Masters.com\CABAL Online (Europe)\launcher\update\ESTdnheadless.exe"=

"c:\Documents and Settings\Właściciel\Application Data\PowerChallenge\PowerSoccer\PowerSoccer.exe"=

"c:\Program Files\Metin2_PL\metin_2009longju.exe"=

"c:\Program Files\Call of Duty\CoDMP.exe"=

"c:\Program Files\Skype\Phone\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"11846:TCP"= 11846:TCP:*:Disabled:BitComet 11846 TCP

"11846:UDP"= 11846:UDP:*:Disabled:BitComet 11846 UDP

R3 dump_wmimmc;dump_wmimmc; [x]

R3 XDva224;XDva224; [x]

S0 pxscan;pxscan;c:\windows\System32\drivers\pxscan.sys [2009-04-15 22024]

S2 antivirschedulerservice;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289]

S2 CSIScanner;CSIScanner;c:\program files\Prevx\prevx.exe [2009-04-15 4414520]

--- Inne Usługi/Sterowniki w Pamięci ---

*NewlyCreated* - csiscanner

*NewlyCreated* - pxscan

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{bbab67ac-d4e4-11dd-83ff-0011e6bb69b6}]

\Shell\AutoRun\command - G:\InstallTomTomHOME.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{e57f027a-f2e7-11dd-a8e0-0011e6bb69b6}]

\Shell\AutoRun\command - G:\0bcobed.exe

\Shell\open\Command - G:\0bcobed.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

"c:\program files\Common Files\LightScribe\LSRunOnce.exe"

.

Zawartość folderu 'Zaplanowane zadania'

2009-04-10 c:\windows\Tasks\1-Click Maintenance.job

  • c:\program files\TuneUp Utilities 2006\SystemOptimizer.exe [2006-10-05 14:09]

.

.

------- Skan uzupełniający -------

.

uInternet Settings,ProxyOverride = *.local

FF - ProfilePath - c:\documents and settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\tlrq8g9r.default\

FF - plugin: c:\program files\Mozilla Firefox\plugins\npganymedenet.dll

.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-15 14:09

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]

"ImagePath"=""

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\3b695d99]

"ImagePath"="\SystemRoot\System32\drivers\3b695d99.sys"

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

  • 'winlogon.exe'(528)

c:\windows\system32\Ati2evxx.dll

  • 'explorer.exe'(3432)

c:\program files\ESTsoft\ALSong\asBand.dll

c:\windows\system32\msi.dll

.

Czas ukończenia: 2009-04-15 14:10

ComboFix-quarantined-files.txt 2009-04-15 12:10

Przed: 7 898 992 640 bajtów wolnych

Po: 7 890 644 992 bajtów wolnych

212