Windows worms doors cleaner

[MaTi]

Dzisiaj sobie sprawdzam, czy porty mam zamknięte, a tu mi wyskoczyło:

Duże prawdopodobieństwo, że to wirus
Może to mieć związek z procesem "System", który zżera mi 60 MB pamięci (co-to-za-proces-system-duzo-pamieci-zzera-vt105961.html)
Może jutro dam loga z combo, o ile mi sie uruchomi

[Okocza]

majkel, daj log z combofixa lub RSITa

[majkel]

z trudem, ale combofix ruszył (zmieniłem nazwe na combofix1), wyłączyłem też firewall'a, oto log:

Kod: Zaznacz wszystko

ComboFix 09-01-13.04 - Administrator 2009-01-14 16:14:07.9 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.495.155 [GMT 1:00]
Uruchomiony z: c:\abc\antywirusy\combofix\ComboFix1.exe
AV: AVG Anti-Virus *On-access scanning disabled* (Outdated)
FW: ZoneAlarm Firewall *disabled*
* Utworzono nowy punkt przywracania

[COLOR=RED][B]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\IE4 Error Log.txt
c:\windows\system32\aeaeae_z.dll

.
(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_AVG


(((((((((((((((((((((((((   Pliki utworzone od 2008-12-14 do 2009-01-14  )))))))))))))))))))))))))))))))
.

2009-01-13 08:40 . 2009-01-13 12:06   116   --a------   c:\windows\NeroDigital.ini
2008-12-29 13:28 . 2008-07-09 09:05   75,248   --a------   c:\windows\zllsputility.exe
2008-12-29 13:27 . 2008-12-29 13:27   <DIR>   d--------   c:\program files\Zone Labs
2008-12-27 19:59 . 2008-12-27 20:00   <DIR>   d--------   c:\program files\jv16 PowerTools 2008
2008-12-27 13:43 . 2001-07-09 11:50   155,648   --a------   c:\windows\system32\NeroCheck.exe
2008-12-27 13:42 . 2008-12-27 13:42   <DIR>   d--------   c:\program files\Common Files\Nero
2008-12-27 13:38 . 2008-12-27 13:38   <DIR>   d--------   c:\documents and settings\All Users\Dane aplikacji\Ahead
2008-12-27 13:37 . 2008-12-27 13:37   <DIR>   d--------   c:\program files\Common Files\Ahead
2008-12-27 13:37 . 2008-12-27 19:10   <DIR>   d--------   c:\program files\Ahead
2008-12-26 21:48 . 2008-12-26 21:48   497,136   --a------   c:\windows\system32\prfh0415.dat
2008-12-26 21:48 . 2008-12-26 21:48   96,264   --a------   c:\windows\system32\prfc0415.dat
2008-12-26 13:11 . 2008-12-26 13:15   8,192   --a------   c:\documents and settings\UKC22~14
2008-12-25 22:38 . 2008-12-25 22:38   <DIR>   d--------   c:\program files\VS Revo Group
2008-12-25 19:09 . 2009-01-14 16:28   5,845,024   --ahs----   c:\windows\system32\drivers\fidbox.dat
2008-12-25 19:09 . 2009-01-14 16:21   69,428   --ahs----   c:\windows\system32\drivers\fidbox.idx
2008-12-25 19:03 . 2008-12-30 10:23   <DIR>   d--------   c:\windows\system32\ZoneLabs
2008-12-25 18:08 . 2008-06-21 04:54   65,576   --a------   c:\windows\system32\drivers\SbFwIm.sys
2008-12-25 17:35 . 2008-12-25 17:35   <DIR>   d--------   c:\documents and settings\All Users\Dane aplikacji\MailFrontier
2008-12-25 17:35 . 2008-12-29 13:31   4,212   ---h-----   c:\windows\system32\zllictbl.dat
2008-12-25 17:32 . 2009-01-14 16:04   <DIR>   d--------   c:\windows\Internet Logs
2008-12-23 11:18 . 2008-12-23 11:18   23   --a------   c:\windows\system32\cbeedb4_z.ocx
2008-12-22 15:53 . 2008-12-22 15:53   <DIR>   d--------   c:\documents and settings\All Users\Dane aplikacji\Malwarebytes
2008-12-22 09:34 . 2008-12-22 09:34   <DIR>   d--------   c:\program files\Real Alternative
2008-12-22 09:34 . 2008-12-22 09:34   <DIR>   d--------   c:\documents and settings\Administrator\Dane aplikacji\Media Player Classic
2008-12-20 17:23 . 2008-12-22 13:56   <DIR>   d--------   c:\documents and settings\Administrator\DoctorWeb

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-13 17:26   667,648   ----a-w   c:\windows\Internet Logs\xDB1.tmp
2009-01-13 17:26   1,377,792   ----a-w   c:\windows\Internet Logs\xDB2.tmp
2009-01-10 17:42   ---------   d-----w   c:\documents and settings\Administrator\Dane aplikacji\Skype
2009-01-10 17:41   ---------   d-----w   c:\documents and settings\Administrator\Dane aplikacji\skypePM
2009-01-07 20:34   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\avg8
2009-01-07 20:33   324,872   ----a-w   c:\windows\system32\drivers\avgldx86.sys
2009-01-07 20:33   12,552   ----a-w   c:\windows\system32\drivers\avgrkx86.sys
2009-01-07 20:33   107,272   ----a-w   c:\windows\system32\drivers\avgtdix.sys
2008-12-30 09:24   ---------   d-----w   c:\program files\Common Files\Adobe
2008-12-28 14:38   ---------   d-----w   c:\documents and settings\Administrator\Dane aplikacji\uTorrent
2008-12-10 16:25   ---------   d--h--w   c:\program files\InstallShield Installation Information
2008-12-08 14:18   ---------   d-----w   c:\program files\QuickTime
2008-12-08 14:17   ---------   d-----w   c:\program files\Common Files\Apple
2008-12-08 14:16   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\Apple Computer
2008-12-08 11:41   824   ---ha-w   C:\FIX1.REG
2008-12-05 22:03   ---------   d-----w   c:\program files\Skype
2008-12-05 22:03   ---------   d-----w   c:\program files\Common Files\Skype
2008-12-05 22:03   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\Skype
2008-11-14 20:08   ---------   d-----w   c:\documents and settings\Administrator\Dane aplikacji\Canneverbe_Limited
2008-11-14 20:07   ---------   d-----w   c:\program files\CDBurnerXP
2008-04-03 18:10   20   ---h--w   c:\documents and settings\All Users\Dane aplikacji\PKP_DLec.DAT
2007-08-07 19:58   291,888   ----a-w   c:\program files\DevalVR_installer.exe
.

(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-08 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-01-07 1601304]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Microsoft Firewall Client Management.lnk - c:\windows\Installer\{199B7F78-69B7-47C5-8D4B-A3ED1391FB6B}\NewShortcut1_8C7A59A89ABE459A9A9308C281A4A264.exe [2005-11-14 53248]
Service Manager.lnk - c:\program files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2005-05-03 81920]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)
"NoMSAppLogo5ChannelNotify"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-01-07 21:33 10520 c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"vidc.3ivx"= 3ivxVfWCodec.dll
"vidc.3iv2"= 3ivxVfWCodec.dll
"msacm.divxa32"= divxa32.acm
"VIDC.HFYU"= huffyuv.dll
"VIDC.i263"= i263_32.drv
"msacm.imc"= imc32.acm
"VIDC.VP31"= vp31vfw.dll
"VIDC.X264"= x264vfw.dll
"msacm.l3fhg"= mp3fhg.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages   REG_MULTI_SZ      msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\[u]0[/u]\[u]0[/u]]
"Script"=ISACLI.CMD

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\[u]0[/u]\1]
"Script"=r:\software\opiekun.cmd

[HKLM\~\startupfolder\C:^Documents and Settings^Administrator^Menu Start^Programy^Autostart^Adobe Gamma.lnk]
path=c:\documents and settings\Administrator\Menu Start\Programy\Autostart\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Administrator^Menu Start^Programy^Autostart^Secunia PSI.lnk]
path=c:\documents and settings\Administrator\Menu Start\Programy\Autostart\Secunia PSI.lnk
backup=c:\windows\pss\Secunia PSI.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^HP Image Zone - szybkie uruchamianie.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\HP Image Zone - szybkie uruchamianie.lnk
backup=c:\windows\pss\HP Image Zone - szybkie uruchamianie.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 15:09 413696 c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 19:24 32768 c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-08-11 17:46 21741864 c:\program files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Novalogic\\Delta Force Helikopter w Ogniu\\DFBHD.EXE"=
"c:\\erozrywka-gry\\Gadu-Gadu\\gg.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\BearShare applications\\BearShare\\BearShare.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgam.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgnsx.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2244:UDP"= 2244:UDP:Windows Media Format SDK (wmplayer.exe)
"2245:UDP"= 2245:UDP:Windows Media Format SDK (wmplayer.exe)

R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [2008-11-21 12552]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-11-11 28544]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2008-11-21 324872]
R1 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2008-11-21 107272]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [2005-10-13 191092]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [2005-10-13 6100]
R4 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-01-07 298264]
R4 FwcAgent;Firewall Client Agent;c:\program files\Microsoft Firewall Client 2004\FwcAgent.exe [2005-02-10 124176]
R4 OpSrv;Opiekun;c:\windows\system32\OpSrv.exe [2005-11-14 770560]
S3 kvpndev;Kerio VPN adapter;c:\windows\system32\drivers\kvpndrv.sys [2008-01-16 65024]
S3 kwflower;Kerio WinRoute Firewall Driver - Lower Layer;c:\windows\system32\DRIVERS\kwflower.sys --> c:\windows\system32\DRIVERS\kwflower.sys [?]
S3 siusbmod;siusbmod;c:\windows\system32\DRIVERS\siusbmod.sys --> c:\windows\system32\DRIVERS\siusbmod.sys [?]
.
- - - - USUNIĘTO PUSTE WPISY - - - -

MSConfigStartUp-AdobeUpdater - c:\program files\Common Files\Adobe\Updater5\AdobeUpdater.exe
MSConfigStartUp-AQQ - c:\progra~1\WapSter\WAPSTE~1\AQQ.exe
MSConfigStartUp-InCD - c:\program files\Ahead\InCD\InCD.exe


.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.google.pl/
mStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = <local>
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: c:\windows\system32\OPLSP.DLL
LSP: c:\program files\Microsoft Firewall Client 2004\FwcWsp.dll
TCP: {9F9050B7-53C1-4CEF-9D83-781BEBC29E1C} = 194.204.159.1,194.204.152.34
FF - ProfilePath - c:\documents and settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ivnys97x.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/
FF - component: c:\program files\AVG\AVG8\Firefox\components\avgssff.dll
FF - plugin: c:\program files\Java\j2re1.4.2_04\bin\NPJava11.dll
FF - plugin: c:\program files\Java\j2re1.4.2_04\bin\NPJava12.dll
FF - plugin: c:\program files\Java\j2re1.4.2_04\bin\NPJava13.dll
FF - plugin: c:\program files\Java\j2re1.4.2_04\bin\NPJava14.dll
FF - plugin: c:\program files\Java\j2re1.4.2_04\bin\NPJava32.dll
FF - plugin: c:\program files\Java\j2re1.4.2_04\bin\NPJPI142_04.dll
FF - plugin: c:\program files\Java\j2re1.4.2_04\bin\NPOJI610.dll
FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-14 16:26:00
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OpSrv]
"ImagePath"="c:\windows\system32\opsrv.exe /startedbyscm:BB66DA22-40E2A281-OpiekunService"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'lsass.exe'(624)
c:\windows\system32\OPLSP.DLL
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\system32\ZoneLabs\vsmon.exe
c:\windows\system32\CTSVCCDA.EXE
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\progra~1\AVG\AVG8\avgam.exe
c:\program files\AVG\AVG8\avgrsx.exe
c:\progra~1\AVG\AVG8\avgnsx.exe
c:\program files\AVG\AVG8\avgcsrvx.exe
c:\program files\AVG\AVG8\avgcsrvx.exe
c:\program files\Microsoft Firewall Client 2004\FwcMgmt.exe
.
**************************************************************************
.
Czas ukończenia: 2009-01-14 16:34:39 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt  2009-01-14 15:34:32

Przed: 17 697 153 024 bajtów wolnych
Po: 17,701,302,272 bajt˘w wolnych

225   --- E O F ---   2009-01-13 23:51:36


Jak się komp zrestartował to trochę długo się windows ładował

W Windows WDC to okienko nie wyskakuje, ale port 135 jest zółty (jak NetBIOS) i pisze że zamknie go po restarcie

a proces "System" nadal zżera 60 MB


Tak czy siak, po najblizszym weekendzie najprawdopodobniej będę miał miał format c i reinstalacje windowsa

[Okocza]

Wykonaj to co jest podane w tym temacie

Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje

Potem wejdz do folderu C:\SDFix wrzuc zawartość pliku Report.txt + log z combofixa oraz daj loga z hijacka

[majkel]

nie mogę rozpakować SDFix'a. Mam problem jak w tym temacie: problem-z-odpaleniem-sdfixa-i-combofixa-vt105860.html

[Okocza]

spróbuj zmienić nazwę na SDFix1 czy coś takiego

[majkel]

też nie pomaga

[Okocza]

majkel, spróbuj rozpakować jakimś archiwizatorem - uruchom zipa - otwórz archiwum - wypakuj

[majkel]

WinRar-em poszło. Raport ze skanowania dam jutro

Dodano 15.01.2009 18:48:49:
Jak w awaryjnym uruchamiałem SDFix-a to w jego oknie pod napisami
"Starting Repairs
Checking Running Procceses and Services"
pokazał się przez jakieś 2 min napis:
"Nie mozna załadować obsługi VDM IPX/SPX"
nie wiem czy to dobrze, ale SDFix ruszył, oto log:

Kod: Zaznacz wszystko

[b]SDFix: Version 1.240 [/b]
Run by Administrator on 2009-01-15 at 16:24

Microsoft Windows XP [Wersja 5.1.2600]
Running From: C:\abc\antywirusy\SDFix\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:



                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-15 16:34:42
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000150

scanning hidden files ...

C:\WINDOWS\Temp\9d4e7195-f13a-48e0-b0d7-4b246ebe34d3.tmp

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 1


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Novalogic\\Delta Force Helikopter w Ogniu\\DFBHD.EXE"="C:\\Program Files\\Novalogic\\Delta Force Helikopter w Ogniu\\DFBHD.EXE:*:Enabled:DFBHD"
"C:\\erozrywka-gry\\Gadu-Gadu\\gg.exe"="C:\\erozrywka-gry\\Gadu-Gadu\\gg.exe:*:Enabled:Gadu-Gadu - program gˆ˘wny"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Program Files\\BearShare applications\\BearShare\\BearShare.exe"="C:\\Program Files\\BearShare applications\\BearShare\\BearShare.exe:*:Enabled:BearShare"
"C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:uTorrent"
"C:\\Program Files\\AVG\\AVG8\\avgam.exe"="C:\\Program Files\\AVG\\AVG8\\avgam.exe:*:Enabled:avgam.exe"
"C:\\Program Files\\AVG\\AVG8\\avgupd.exe"="C:\\Program Files\\AVG\\AVG8\\avgupd.exe:*:Enabled:avgupd.exe"
"C:\\Program Files\\AVG\\AVG8\\avgnsx.exe"="C:\\Program Files\\AVG\\AVG8\\avgnsx.exe:*:Enabled:avgnsx.exe"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"%windir%\\system32\\winav.exe"="%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Mon 21 Jul 2008           505 A..H. --- "C:\fix.reg"
Mon  8 Dec 2008           824 A..H. --- "C:\FIX1.REG"
Fri 10 Mar 2006        21,504 ...H. --- "C:\Documents and Settings\Administrator\Moje dokumenty\~WRL0003.tmp"
Mon 30 Apr 2007         4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Fri 27 Feb 2004       233,472 A..H. --- "C:\Program Files\Image-Line\FL Studio 7\REX Shared Library.dll"
Sat  9 Jun 2007             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\066f4c6032ec52b2d0460047fd5c67aa\BIT42.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\076f1aa5a201db5b428fbe164817aab2\BIT49.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0d5de1cd7fc62d3668ea0afcc642fb24\BIT44.tmp"
Tue 13 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\11a57a6ce332895115505eafdfc919de\BIT1B.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\142dc52d18dcafef987cea8cc7f29744\BIT30.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\1679cd06c3d72c42ad169baedad676c9\BIT47.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\18f04ce5208bf85f21aa56793fc206ed\BIT3B.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\1b87084fdbfcd6d6273c66bb33faa288\BIT37.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\25a71b7e28580fb8ff5db6e96496f4a2\BIT1F.tmp"
Tue 13 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\286ced246fa8efd37a907f9f08846ce8\BIT28.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2c7c094c07d8ab1c6d2c7df6e96d2df0\BIT4D.tmp"
Tue 13 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\31383aab90693af2687520e301606b09\BIT1C.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\3685dbdd2272739b2f3609d9dc699b5f\BIT32.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\42a9e16ebc4d2a5515c111ecad82af2f\BIT40.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4594f50665d34bef5af87c38b6953ce2\BIT33.tmp"
Tue 13 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\470c50ee23affed25b509c745d0a64f5\BIT16.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4d39b1b575a5584d11abd56a8de2f045\BIT2F.tmp"
Tue 13 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\6d3e4a8f99a381f392de0d99b22fc9a6\BIT25.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\762b473845578141657f6acb3dcf0395\BIT26.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\762fc57e7d7138faef1f37e9eec268dc\BIT4A.tmp"
Tue 13 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\7bfd24c44368c1f4c08da0b18d20b54e\BIT27.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8024f4e99b89fb365c808f79d373434f\BIT48.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8fc9362cdeea2d9e312dca7d0ae818ee\BIT41.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\93f2b91bb6cc5cb38584bf245cd36cae\BIT2B.tmp"
Tue 13 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\94ccbe980556f2828ed2d3768c02f4dd\BIT18.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\955f27c5c4f218cbb2ef80aaafccb6df\BIT2E.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\99c63b8154c86bb80bd4d4ef1f97d4ee\BIT29.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\9e6443517b40ee6dc8c01624ff3d2084\BIT2C.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\9fde447cfd86a360844378b784e73f37\BIT3F.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\a700888399b59cee38c0ae52e87f0a91\BIT4F.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\aa5843f35b888e23da16633e2a1ea0ba\BIT27.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b96f4018a5a1e8840e523891e4664d45\BIT34.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\baf5873d097c20aedd3e06e2ff27a933\BIT35.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\be1ffa8cce945fce80b8bcf08e4890c5\BIT3D.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c636f36b2a084e07ecb5cf11b488b148\BIT46.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cb5082794321f9e3ef2207013c7be9e9\BIT22.tmp"
Tue 13 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\cceb21cd2a7a35a4e5b1d264978f4dfd\BIT26.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ce6ce445a88a6f40117b1bf83ba65bc4\BIT4E.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\e6a7525a4b32c7adb3b1c81ba8f28cb5\BIT3C.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ec799b70d90cb0bf29b4da57cffabd91\BIT2A.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\eef924df8c7cd53c78a5e3c7054e2442\BIT39.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ef06b968bfb1fabae91356dffab7b790\BIT4C.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f0b88fe1ffe91bd3a9ea0d5ad18f24b7\BIT50.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f34ea1aa600dc2889509baa1a15ec8f8\BIT31.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f57c255e25adcef74d2dff8c5940b09c\BIT45.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f99caf315eddf99a1888d73e43fa1f8d\BIT28.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\f9a86bbc0294618e780cd186dcfdb1b9\BIT24.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0300c0210ca0c3725210067af2e4882c\download\BIT38.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\1266de12fb0254294043dc0b0d734bbc\download\BIT53.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2f591c6de1d57e751071795880d0c1d2\download\BIT54.tmp"
Wed 14 Jan 2009       217,480 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\56218116adeb0961447eecf6b4b00c7a\download\BIT19.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\67363d1e42ce421cde25a6a620fabf78\download\BIT1E.tmp"
Tue 13 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\81968cc7f0ee4f3ea56bf21096a0eb8a\download\BIT2A.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\abf37927fe96bc682b342849c5743771\download\BIT60.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\c16cb0a8736e71c6b91afa7e786ebaca\download\BIT52.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d73b5fdacb6f744050beee3d7f715ec6\download\BIT58.tmp"
Tue 13 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\fd43c53f6dd72556f6c8c981a93ce522\download\BIT2D.tmp"
Wed 14 Jan 2009             0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ff7cdeb5b319e52da26114e216140ae5\download\BIT5A.tmp"

[b]Finished![/b]



oraz log z combofix-a

Kod: Zaznacz wszystko

ComboFix 09-01-13.04 - Administrator 2009-01-15 16:44:49.10 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.495.110 [GMT 1:00]
Uruchomiony z: c:\abc\antywirusy\combofix\ComboFix1.exe
AV: AVG Anti-Virus *On-access scanning disabled* (Outdated)
FW: ZoneAlarm Firewall *disabled*

[COLOR=RED][B]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_AVG


(((((((((((((((((((((((((   Pliki utworzone od 2008-12-15 do 2009-01-15  )))))))))))))))))))))))))))))))
.

2009-01-13 08:40 . 2009-01-13 12:06   116   --a------   c:\windows\NeroDigital.ini
2008-12-29 13:28 . 2008-07-09 09:05   75,248   --a------   c:\windows\zllsputility.exe
2008-12-29 13:27 . 2008-12-29 13:27   <DIR>   d--------   c:\program files\Zone Labs
2008-12-27 19:59 . 2008-12-27 20:00   <DIR>   d--------   c:\program files\jv16 PowerTools 2008
2008-12-27 13:43 . 2001-07-09 11:50   155,648   --a------   c:\windows\system32\NeroCheck.exe
2008-12-27 13:42 . 2008-12-27 13:42   <DIR>   d--------   c:\program files\Common Files\Nero
2008-12-27 13:38 . 2008-12-27 13:38   <DIR>   d--------   c:\documents and settings\All Users\Dane aplikacji\Ahead
2008-12-27 13:37 . 2008-12-27 13:37   <DIR>   d--------   c:\program files\Common Files\Ahead
2008-12-27 13:37 . 2008-12-27 19:10   <DIR>   d--------   c:\program files\Ahead
2008-12-26 21:48 . 2008-12-26 21:48   497,136   --a------   c:\windows\system32\prfh0415.dat
2008-12-26 21:48 . 2008-12-26 21:48   96,264   --a------   c:\windows\system32\prfc0415.dat
2008-12-26 13:11 . 2008-12-26 13:15   8,192   --a------   c:\documents and settings\UKC22~14
2008-12-25 22:38 . 2008-12-25 22:38   <DIR>   d--------   c:\program files\VS Revo Group
2008-12-25 19:09 . 2009-01-15 16:58   6,184,992   --ahs----   c:\windows\system32\drivers\fidbox.dat
2008-12-25 19:09 . 2009-01-15 16:51   73,364   --ahs----   c:\windows\system32\drivers\fidbox.idx
2008-12-25 19:03 . 2008-12-30 10:23   <DIR>   d--------   c:\windows\system32\ZoneLabs
2008-12-25 18:08 . 2008-06-21 04:54   65,576   --a------   c:\windows\system32\drivers\SbFwIm.sys
2008-12-25 17:35 . 2008-12-25 17:35   <DIR>   d--------   c:\documents and settings\All Users\Dane aplikacji\MailFrontier
2008-12-25 17:35 . 2008-12-29 13:31   4,212   ---h-----   c:\windows\system32\zllictbl.dat
2008-12-25 17:32 . 2009-01-15 16:58   <DIR>   d--------   c:\windows\Internet Logs
2008-12-23 11:18 . 2008-12-23 11:18   23   --a------   c:\windows\system32\cbeedb4_z.ocx
2008-12-22 15:53 . 2008-12-22 15:53   <DIR>   d--------   c:\documents and settings\All Users\Dane aplikacji\Malwarebytes
2008-12-22 09:34 . 2008-12-22 09:34   <DIR>   d--------   c:\program files\Real Alternative
2008-12-22 09:34 . 2008-12-22 09:34   <DIR>   d--------   c:\documents and settings\Administrator\Dane aplikacji\Media Player Classic
2008-12-20 17:23 . 2008-12-22 13:56   <DIR>   d--------   c:\documents and settings\Administrator\DoctorWeb

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-14 17:22   56,832   ----a-w   c:\windows\Internet Logs\xDB3.tmp
2009-01-13 17:26   667,648   ----a-w   c:\windows\Internet Logs\xDB1.tmp
2009-01-13 17:26   1,377,792   ----a-w   c:\windows\Internet Logs\xDB2.tmp
2009-01-10 17:42   ---------   d-----w   c:\documents and settings\Administrator\Dane aplikacji\Skype
2009-01-10 17:41   ---------   d-----w   c:\documents and settings\Administrator\Dane aplikacji\skypePM
2009-01-07 20:34   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\avg8
2009-01-07 20:33   324,872   ----a-w   c:\windows\system32\drivers\avgldx86.sys
2009-01-07 20:33   12,552   ----a-w   c:\windows\system32\drivers\avgrkx86.sys
2009-01-07 20:33   107,272   ----a-w   c:\windows\system32\drivers\avgtdix.sys
2008-12-30 09:24   ---------   d-----w   c:\program files\Common Files\Adobe
2008-12-28 14:38   ---------   d-----w   c:\documents and settings\Administrator\Dane aplikacji\uTorrent
2008-12-11 11:57   333,184   ----a-w   c:\windows\system32\drivers\srv.sys
2008-12-10 16:25   ---------   d--h--w   c:\program files\InstallShield Installation Information
2008-12-08 14:18   ---------   d-----w   c:\program files\QuickTime
2008-12-08 14:17   ---------   d-----w   c:\program files\Common Files\Apple
2008-12-08 14:16   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\Apple Computer
2008-12-08 11:41   824   ---ha-w   C:\FIX1.REG
2008-12-05 22:03   ---------   d-----w   c:\program files\Skype
2008-12-05 22:03   ---------   d-----w   c:\program files\Common Files\Skype
2008-12-05 22:03   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\Skype
2008-04-03 18:10   20   ---h--w   c:\documents and settings\All Users\Dane aplikacji\PKP_DLec.DAT
2007-08-07 19:58   291,888   ----a-w   c:\program files\DevalVR_installer.exe
.

(((((((((((((((((((((((((((((   snapshot@2009-01-14_16.32.31.65   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-20 12:35:20   163,328   ----a-w   c:\windows\ERUNT\SDFIX\ERDNT.EXE
+ 2008-08-07 14:27:04   163,328   ----a-w   c:\windows\ERUNT\SDFIX\ERDNT.EXE
- 2008-07-21 19:09:21   8,634,368   ----a-w   c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT
+ 2009-01-15 15:21:00   8,855,552   ----a-w   c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT
- 2008-07-21 19:09:21   135,168   ----a-w   c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2009-01-15 15:21:00   135,168   ----a-w   c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
- 2004-08-04 12:00:00   100,352   ----a-w   c:\windows\system32\6to4svc.dll
+ 2006-08-16 11:59:43   100,352   ----a-w   c:\windows\system32\6to4svc.dll
- 2004-08-04 12:00:00   100,352   -c--a-w   c:\windows\system32\dllcache\6to4svc.dll
+ 2006-08-16 11:59:43   100,352   -c--a-w   c:\windows\system32\dllcache\6to4svc.dll
- 2004-08-04 12:00:00   148,480   -c--a-w   c:\windows\system32\dllcache\dnsapi.dll
+ 2008-06-20 17:42:20   148,992   -c--a-w   c:\windows\system32\dllcache\dnsapi.dll
- 2004-08-04 12:00:00   246,784   -c--a-w   c:\windows\system32\dllcache\mswsock.dll
+ 2008-06-20 17:42:21   246,784   -c--a-w   c:\windows\system32\dllcache\mswsock.dll
- 2008-08-28 10:04:17   333,056   -c--a-w   c:\windows\system32\dllcache\srv.sys
+ 2008-12-11 11:57:21   333,184   -c--a-w   c:\windows\system32\dllcache\srv.sys
- 2004-08-04 12:00:00   359,040   -c--a-w   c:\windows\system32\dllcache\tcpip.sys
+ 2008-06-20 10:45:13   360,320   -c--a-w   c:\windows\system32\dllcache\tcpip.sys
- 2004-08-04 12:00:00   223,616   -c--a-w   c:\windows\system32\dllcache\tcpip6.sys
+ 2008-06-20 09:52:06   225,920   -c--a-w   c:\windows\system32\dllcache\tcpip6.sys
- 2004-08-04 12:00:00   148,480   ----a-w   c:\windows\system32\dnsapi.dll
+ 2008-06-20 17:42:20   148,992   ----a-w   c:\windows\system32\dnsapi.dll
- 2004-08-04 12:00:00   359,040   ----a-w   c:\windows\system32\drivers\tcpip.sys
+ 2008-06-20 10:45:13   360,320   ----a-w   c:\windows\system32\drivers\tcpip.sys
- 2004-08-04 12:00:00   223,616   ----a-w   c:\windows\system32\drivers\tcpip6.sys
+ 2008-06-20 09:52:06   225,920   ----a-w   c:\windows\system32\drivers\tcpip6.sys
- 2008-12-09 23:24:37   17,593,280   ----a-w   c:\windows\system32\MRT.exe
+ 2009-01-10 01:35:28   20,853,704   ----a-w   c:\windows\system32\MRT.exe
- 2004-08-04 12:00:00   246,784   ----a-w   c:\windows\system32\mswsock.dll
+ 2008-06-20 17:42:21   246,784   ----a-w   c:\windows\system32\mswsock.dll
- 2009-01-14 15:23:11   16,384   ----atw   c:\windows\Temp\Perflib_Perfdata_758.dat
+ 2009-01-15 15:53:49   16,384   ----atw   c:\windows\Temp\Perflib_Perfdata_758.dat
.
-- Migawka wyzerowana --
.
(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-08 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-01-07 1601304]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Microsoft Firewall Client Management.lnk - c:\windows\Installer\{199B7F78-69B7-47C5-8D4B-A3ED1391FB6B}\NewShortcut1_8C7A59A89ABE459A9A9308C281A4A264.exe [2005-11-14 53248]
Service Manager.lnk - c:\program files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2005-05-03 81920]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)
"NoMSAppLogo5ChannelNotify"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-01-07 21:33 10520 c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"vidc.3ivx"= 3ivxVfWCodec.dll
"vidc.3iv2"= 3ivxVfWCodec.dll
"msacm.divxa32"= divxa32.acm
"VIDC.HFYU"= huffyuv.dll
"VIDC.i263"= i263_32.drv
"msacm.imc"= imc32.acm
"VIDC.VP31"= vp31vfw.dll
"VIDC.X264"= x264vfw.dll
"msacm.l3fhg"= mp3fhg.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages   REG_MULTI_SZ      msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\[u]0[/u]\[u]0[/u]]
"Script"=ISACLI.CMD

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\[u]0[/u]\1]
"Script"=r:\software\opiekun.cmd

[HKLM\~\startupfolder\C:^Documents and Settings^Administrator^Menu Start^Programy^Autostart^Adobe Gamma.lnk]
path=c:\documents and settings\Administrator\Menu Start\Programy\Autostart\Adobe Gamma.lnk
backup=c:\windows\pss\Adobe Gamma.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^Administrator^Menu Start^Programy^Autostart^Secunia PSI.lnk]
path=c:\documents and settings\Administrator\Menu Start\Programy\Autostart\Secunia PSI.lnk
backup=c:\windows\pss\Secunia PSI.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^HP Image Zone - szybkie uruchamianie.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\HP Image Zone - szybkie uruchamianie.lnk
backup=c:\windows\pss\HP Image Zone - szybkie uruchamianie.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-06 15:09 413696 c:\program files\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2004-11-02 19:24 32768 c:\program files\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-08-11 17:46 21741864 c:\program files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Novalogic\\Delta Force Helikopter w Ogniu\\DFBHD.EXE"=
"c:\\erozrywka-gry\\Gadu-Gadu\\gg.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\Program Files\\MSN Messenger\\livecall.exe"=
"c:\\Program Files\\BearShare applications\\BearShare\\BearShare.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgam.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgnsx.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"2244:UDP"= 2244:UDP:Windows Media Format SDK (wmplayer.exe)
"2245:UDP"= 2245:UDP:Windows Media Format SDK (wmplayer.exe)

R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [2008-11-21 12552]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-11-11 28544]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2008-11-21 324872]
R1 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2008-11-21 107272]
R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [2005-10-13 191092]
R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [2005-10-13 6100]
R4 avg8wd;AVG8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-01-07 298264]
R4 FwcAgent;Firewall Client Agent;c:\program files\Microsoft Firewall Client 2004\FwcAgent.exe [2005-02-10 124176]
R4 OpSrv;Opiekun;c:\windows\system32\OpSrv.exe [2005-11-14 770560]
S3 kvpndev;Kerio VPN adapter;c:\windows\system32\drivers\kvpndrv.sys [2008-01-16 65024]
S3 kwflower;Kerio WinRoute Firewall Driver - Lower Layer;c:\windows\system32\DRIVERS\kwflower.sys --> c:\windows\system32\DRIVERS\kwflower.sys [?]
S3 siusbmod;siusbmod;c:\windows\system32\DRIVERS\siusbmod.sys --> c:\windows\system32\DRIVERS\siusbmod.sys [?]
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.google.pl/
mStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = <local>
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: c:\windows\system32\OPLSP.DLL
LSP: c:\program files\Microsoft Firewall Client 2004\FwcWsp.dll
TCP: {9F9050B7-53C1-4CEF-9D83-781BEBC29E1C} = 194.204.159.1,194.204.152.34
FF - ProfilePath - c:\documents and settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ivnys97x.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/
FF - component: c:\program files\AVG\AVG8\Firefox\components\avgssff.dll
FF - plugin: c:\program files\Java\j2re1.4.2_04\bin\NPJava11.dll
FF - plugin: c:\program files\Java\j2re1.4.2_04\bin\NPJava12.dll
FF - plugin: c:\program files\Java\j2re1.4.2_04\bin\NPJava13.dll
FF - plugin: c:\program files\Java\j2re1.4.2_04\bin\NPJava14.dll
FF - plugin: c:\program files\Java\j2re1.4.2_04\bin\NPJava32.dll
FF - plugin: c:\program files\Java\j2re1.4.2_04\bin\NPJPI142_04.dll
FF - plugin: c:\program files\Java\j2re1.4.2_04\bin\NPOJI610.dll
FF - plugin: c:\program files\QuickTime\Plugins\npqtplugin8.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-15 16:55:11
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\OpSrv]
"ImagePath"="c:\windows\system32\opsrv.exe /startedbyscm:BB66DA22-40E2A281-OpiekunService"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'lsass.exe'(624)
c:\windows\system32\OPLSP.DLL
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\system32\ZoneLabs\vsmon.exe
c:\windows\system32\CTSVCCDA.EXE
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\program files\Microsoft SQL Server\MSSQL$MICROSOFTSMLBIZ\Binn\sqlservr.exe
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\progra~1\AVG\AVG8\avgam.exe
c:\program files\AVG\AVG8\avgrsx.exe
c:\progra~1\AVG\AVG8\avgnsx.exe
c:\program files\AVG\AVG8\avgcsrvx.exe
c:\program files\AVG\AVG8\avgcsrvx.exe
c:\program files\Microsoft Firewall Client 2004\FwcMgmt.exe
.
**************************************************************************
.
Czas ukończenia: 2009-01-15 17:05:12 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt  2009-01-15 16:05:04
ComboFix2.txt  2009-01-14 15:34:49

Przed: 17 556 520 960 bajtów wolnych
Po: 17,535,438,848 bajtów wolnych

256   --- E O F ---   2009-01-14 17:04:48


nie wiem, ale (chyba) po użyciu combofixa w Windows WDC port 135 jest żółty, a po ponownym restarcie zielony

zrobiłem sobie też szybkie skanowanie Dr Web-em i po tym skanowaniu zaczęły się dziać dziwne rzeczy z procesami np. niektóre procesy windowsowe zjadały więcej pamięci, proces Zone Alarm'a zlclient.exe zamiast 4MB zjadał 24MB, a proces "System" tylko 60K. Zrestartowałem kompa i proces "System" znowu zjada 60 MB

i coś jakby po włączeniu kompa windows się troszkę dłużej ładował

[wojtas]

1. Ściągnij OTMoveIt i go włacz i odpal go z opcji CleanUp oraz skasuj folder C:\Qoobox
2. wykonaj optymalizację windowsa
3.sciagnij ATF_Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED
4.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
5.Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

i tym:

FixIEDef.

[majkel]

Skaner Kasperky'ego mi się nie uruchomił, bo wyświetliło się, że muszę mieć zainstalowaną Jave w wersji 1.5 lub wyższej

Tak więc mam tylko log z FixIEDef:

Kod: Zaznacz wszystko

********************************************************************************
*                                                                              *
*                                 FixIEDef Log                                 *
*                              Version 1.7.22.7268                             *
*                                                                              *
********************************************************************************

Created at 18:21:56 on Saturday, January 17, 2009

Time Zone            :

Logged On User       : Administrator

Operating System     : Microsoft Windows XP Professional Dodatek Service Pack 2
OS Architecture      : X86
System Langauge      : Polish
Keyboard Layout      : Polish
Processor            : X86 Intel(R) Celeron(R) M processor         1.30GHz

System Drive         : C:\
Windows Directory    : C:\WINDOWS
System Directory     : C:\WINDOWS\system32

System Drive Type    : Fixed
System Drive Status  : READY
System Drive Label   :
System Drive Size    : 38.15 GB
System Drive Free    : 16.63 GB

Total Physical Memory: 495 MB
Free Physical Memory : 144 MB
Total Page File      : 495 MB
Free Page File       : 843 MB
Total Virtual Memory : 2048 MB
Free Virtual Memory  : 1970 MB

Boot State           : Normal boot

--------------------------------------------------------------------------------

!!! userinit.exe is Clean !!!

--------------------------------------------------------------------------------

!!! Files that have been deleted !!!

No malicious files found

--------------------------------------------------------------------------------

!!! Directories that have been removed !!!

No malicious directories to be removed

--------------------------------------------------------------------------------

!!! Registry entries that have been removed !!!

No malicious Registry entries found

================================================================================

All Done :)

ShadowPuterDude

Safe Surfing!!!

[Okocza]

majkel, powinno być ok.

[majkel]

hmmm, no nie wiem

zauwazyłem jedną rzecz, jak się siedzi dłużej na kompie to ten proces "System" potrafi się zmniejszyć do ok 20MB nawet mniej, a potem wystarczy np. automatyczna aktualizacja antywirusa i znów zjada 60 MB

[Okocza]

to raczej normalne, szczególnie jak się ma sporo aplikacji włączonych i procesów

[majkel]

Zauważyłem jeszcze jedną rzecz. Ten proces "System" zjadał mi 59MB z kawałkiem tzn. w menedżerze było np. 59160 K. Wczoraj usunałem z dysku jakieś 2-3 GB niepotrzebnej muzyki, fotek, gier itp i ten proces mi zajmuje teraz ponad 60 MB, tzn. np. wczoraj 60 020K, dziś rano 60 080, a teraz 60 092 K. Dlaczego on tak sie może zwiekszać

[wojtas]

bo tak jest to zależy od funkcji jakie wykonujesz na kompie.. to normalne pozdro

[majkel]

no nie wiem, ten "System" się zwiększa codziennie o jakieś ok. 100kB (tzn. 100K) może mniej troche, ale później zazwyczaj spada do ok. 30 MB

[Okocza]

majkel,

bo tak jest to zależy od funkcji jakie wykonujesz na kompie.

widocznie wtedy coś się robi, a potem spada... poza pewnie masz trochę aplikacji w autostarcie...