[lordbarth]

Pliki - autorun, typ informacja instalatora, zawartosć tekstowa po otwarciu w notatniku

[autorun
;lkjkflasjKkfMJGKLsdjgklrjpgioëŕÔŰÄŮĆËŔöůŕëöçőóůŕëÔÝÄĆËŔŔëÓëŕÓĆŔËókoLFNJKSajfKLEJIOFejFKslęë÷ńŕŁÔŔĘËĽôśďôęĽďśĺî÷ęîĽôśĽôŔŚÔKJF?Ekfl?askffëäćŕűëôÄĆŔôűëŕĆÄÖëîŕÖŮĆŔÇÖŮĆ
open=MIRKANE///vollee.exe
;kljklgdsjgkEFKJfjlaejfeifjekfefkeomjŕâűŕâűŕűâŕűâŕűâŕűâVCKZvfjdkefpuie
icon=%SystemRoot%\system32\SHELL32.dll,4
;kflsmjkŕâűëäŕÂŰĆÄËŔŰÂĆŔëŰÂÓĆŔËîóćîŕóŔÎÓŔÎÓasjfJFjeWIFJekf
action=Open folder to view files using Windows Explorer
;ëŕćôŰËŔÖŮëŕÓĆëŕôĆŔëÓŐĎŔËÄýćďđóęďęďę
Shell\open\command=MIRKANE///vollee.exe
;ŔŰÔÝËÄŔÝôÖÝŔëŐÝÓĆŔëóęďůëŰÝÓĆĎäóĎëęďŮÓŘËĎÓďęďŕ
shell\open\command=MIRKANE///vollee.exe
;äŕÔŰĆËŕÖĆëŕÇÓĎÄçýęđëçůćďëűâůćîŕŰîóŕÇĆŕóűďó
USEAUTOPLAY=1
:ëäŕűôŔËóëďĺůŰÓĘËÄÝűćęďäçýóřëŕŮÖĎËýćďëęęďđäęçó

[@Blade@]

No dziwne, w raportach tych plików nie było. Usuń je.

[lordbarth]

Usunąłem, instaluję sp3 i ie8 - rozumiem ze z mozilli zrezygnować

[@Blade@]

Nie, korzystaj z mozilli jak najbardziej tylko, że zaktualizuj IE, bo chociaż z niego nie korzystasz jest to część systemu i musi być zaktualizowana.

[ExeQtoR]

Blade, widzisz... jak gdzieś jest infekcja roznoszona za pośrednictwem Pendrivów to w systemie nie musi być plików inf ale na Penie zawsze zostanie on utworzony ))

dlatego teraz... ja bym się z tym nie gonił w kotka i myszkę )))

instalujesz to coś:
1.
http://free.agnitum.com/
najlepiej jak by dało się FULL wersje na parę dni odpalić a później możesz przejść na Free(tą okrojoną wersję),
2. Usuwasz z kompa te trojany virusy itp... za pośrednictwem Malwarebytes, Gamer,
3. Broń borze wkładać Peny
4. Instalujesz Outposta i konfigurujesz odpowiednio... wyskoczy parę okienek w prawym rogu ... ale najlepiej w trybie awaryjnym żeby się dało, bo w tedy są uruchamiane(zakładam ze tak ma być) tylko składniki systemu i najważniejsze rzeczy i im dać 100% kontrole, a w trybie normalnym zdecydować jak wyskoczą komunikaty np. przeglądarką zezwolić ale jak coś jest nie znane... to spisać na karteczkę dać nam tu na forum ale zaznaczyć aby odrzucił(blokował usługę)
5. Teraz jak włożysz zainfekowanego pena i będzie coś się próbowało dostać do Twojego kompa, to Outpost wyświetli komunikat z pytaniem czy zezwalasz mu na to... oczywiście odp jest NIE wchodzisz na pena po przez kliknięcie prawym Otwórz lub Eksploruj edytujesz plik inf dajesz go nam .... dodatkowo Pena skanujesz Malwarebyte

6. Opcjonalnie to możesz jakiegoś antyvira zainstalować kiedyś robiłem myk z Nortonem bo to było 5lat temu jeden z lepszych (teraz nie wiem bo nie mam potrzeby i to zostawiam dla Ciebie) instalowałem tego Triala(full przez 15 albo 30 dni) skan systemu Full po updacie bazy wirusów... sam antywir zajmował z 150MB ramu a jak skanował to z 2x tyle... jak skanował znalazł i usunął to jeszcze raz jak nic nie znalazł to Antywir z wirusami wylatywał z systemu i w tedy dobrze skonfigurowany Outpost zabezpieczy Cię na długie lata jak widzisz... ja podałem swoje logi parę dni temu.. i tylko z starej instalki systemu co był Backup robiony coś małego zostało i to co się zainstalowało z moją CLką do Rapida(ja na to zezwoliłem) tak to czysto było, a nie raz wkładałem zainfekowanego pena bo na uczelni pełno tego na kompach jest.

[@Blade@]

Teraz to już jest posprzątane. Zresztą Twój sposób z odczytem autorun.inf nie jest do końca skuteczny, gdyż widać w nim tylko jeden folder z plikiem, a było ich przecież więcej. Także patrząc na ten temat http://forum.pctown.pl/topics53/2104.htm#13728 można zauważyć właśnie infekcję z pendrive, więc coś to Twoje zabezpieczenie kuleje. A ten autorun.inf musiał być między czasie usunięty, może przez antywira i później nowy się utworzył, bo na 100% byłby widoczny w logach z pamięci. Zresztą, gdyby autor wątku użył Flash Disinfectora to by się nie infekował co chwilę i nie było by tyle cyrku.

[lordbarth]

Instalacja SP3 poszła prawie ok, tzn stanęła przy tym jak pisało usuwanie i teoretycznie nie było nic przycięte, komputer coś robił więc go zostawiłem w spokoju ale po 3 godzinach nie było zmian więc ją zamknąłem i zrestartowałem kompa, potem pościągał jakieś aktualizacje i wygląda ok, instaluję teraz IE8. Teraz najważniejsze pytanie co robić na przyszłość, czy po prostu za każdym razem czesać pamięci Flash Disinfectorem i to wystarczy, czytałem że trzymając shift nie włącza sie samoistnie zawartość - czy to cos da?
Ogólnie jak sie zabezieczyć.

[@Blade@]

Tak jak pisałem wcześniej, z podłączonymi pamięciami użyj Flash Disinfector. Utworzy on specjalne foldery autorun.inf, które będą chronić przed tworzeniem się szkodliwych autorun.inf. No i jak przyniesiesz skądś pamięć to najpierw przeskanuj ją antywirem.

[ExeQtoR]

Dorzuć jeszcze jakiegoś Firewall'a który blokuje nieznane pliku które chcą się uruchomić z pamięci przenośnych bo to na pewno nie zaszkodzi,

Blade, masz racje, ale ile ludzi tyle metod na usunięcie ))) Fajnie jak już wszystko OK

[lordbarth]

Panowie dozgonna wdzięczność za pomoc, szacunek dla ludzi o takiej wiedzy.
Proszę jeszcze o doradzenie jakiegoś firewalla który mi do konca nie zamuli kompa, bo jego moc jest nie najwyższych lotów Ten polecany Outppost czy coś innego? Sprawa druga to wczoraj wysypał się komputer szwagra, działa tylko w awaryjnym, avast nie chce sie odpalić, przeskanowałem DrWebem i Otl, teraz robię jeszcze SRE i Gmer - zrobić nowy temat czy dokleić logi tutaj?

[ Dodano: 2010-02-28, 11:18 ]
Póki co wrzucam tutaj komplet w załączniku żeby nie tracić czasu.

---

Logi.zip

Pobierz Plik ściągnięto 23 raz(y) 25,01 KB

[@Blade@]

No więc tak, jest tu ta sama infekcja, którą właśnie przerabialiśmy. Ale także coś grubszego siedzi, bo widać świeżo zmodyfikowany sterownik systemowy, zapewne jest zainfekowany. W takim razie użyj Combofix i daj log z niego.

[lordbarth]

ComboFix 10-02-26.03 - Administrator 2010-02-28 15:40:41.1.1 - x86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.3.1250.48.1045.18.502.394 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Administrator\Pulpit\ComboFix.exe
AV: avast! Antivirus *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA
.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-0234438019-2441095877-040621588-8781
c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1811
c:\recycler\S-1-5-21-0980864717-5789449751-640122827-1750
c:\recycler\S-1-5-21-8151589592-8601214356-994266893-0068

Zainfekowana kopia c:\windows\system32\drivers\cdrom.sys została znaleziona. Problem naprawiono
Plik odzyskano z - c:\windows\ServicePackFiles\i386\cdrom.sys

.
((((((((((((((((((((((((( Pliki utworzone od 2010-01-28 do 2010-02-28 )))))))))))))))))))))))))))))))
.

2010-02-27 19:07 . 2010-02-27 19:34 -------- d-----w- c:\documents and settings\Administrator\DoctorWeb
2010-02-27 13:54 . 2010-02-27 13:54 -------- d-sh--w- c:\documents and settings\Administrator\IETldCache
2010-02-27 07:03 . 2008-04-13 18:40 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-02-27 07:03 . 2008-04-13 18:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-02-27 07:03 . 2008-04-13 18:41 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-02-27 07:03 . 2008-04-13 18:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-02-27 07:03 . 2008-04-13 18:40 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys
2010-02-27 07:03 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\drivers\Changer.sys
2010-02-21 15:46 . 2010-02-21 15:46 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2010-02-21 15:12 . 2010-02-21 15:12 -------- d-----w- c:\windows\l2schemas
2010-02-21 15:12 . 2010-02-21 15:12 -------- d-----w- c:\windows\system32\pl
2010-02-21 15:12 . 2010-02-21 15:12 -------- d-----w- c:\windows\system32\bits
2010-02-21 15:01 . 2010-02-21 15:01 -------- d-----w- c:\windows\EHome
2010-02-13 07:20 . 2009-12-11 08:38 69120 -c----w- c:\windows\system32\dllcache\iecompat.dll
2010-02-13 07:20 . 2010-02-24 11:14 -------- d-----w- c:\windows\ie8updates
2010-02-13 07:19 . 2009-12-21 19:08 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2010-02-13 07:19 . 2009-12-21 19:08 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2010-02-13 07:19 . 2009-12-21 19:08 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2010-02-13 07:19 . 2009-12-21 19:08 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2010-02-13 07:19 . 2009-12-21 19:08 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2010-02-13 07:19 . 2009-12-21 19:08 11070464 -c----w- c:\windows\system32\dllcache\ieframe.dll
2010-02-13 07:17 . 2010-02-21 15:12 -------- d-----w- c:\windows\system32\pl-PL
2010-02-13 07:17 . 2010-02-13 07:19 -------- dc-h--w- c:\windows\ie8
2010-02-13 06:41 . 2010-02-13 06:47 -------- d-----w- c:\documents and settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Temp
2010-02-12 20:27 . 2004-08-03 21:41 1041536 ------w- c:\windows\system32\drivers\hsfdpsp2.sys
2010-02-12 20:27 . 2004-08-03 21:41 685056 ------w- c:\windows\system32\drivers\hsfcxts2.sys
2010-02-12 20:27 . 2004-08-03 21:41 220032 ------w- c:\windows\system32\drivers\hsfbs2s2.sys
2010-02-10 15:27 . 2010-02-21 15:09 -------- d-----w- c:\windows\ServicePackFiles
2010-02-10 15:26 . 2010-02-10 15:26 -------- d-----w- c:\program files\MSXML 4.0
2010-02-10 15:23 . 2003-06-19 00:31 18944 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll
2010-02-10 15:23 . 2003-06-19 00:31 17920 ----a-w- c:\windows\system32\mdimon.dll
2010-02-10 15:22 . 2010-02-10 15:22 -------- d-----w- c:\windows\SHELLNEW
2010-02-10 15:12 . 2010-02-10 15:12 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2010-02-10 15:12 . 2010-02-10 15:12 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-02-10 15:12 . 2010-02-10 15:12 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-02-10 15:11 . 2010-02-10 15:11 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\DAEMON Tools Lite
2010-02-10 15:11 . 2009-12-12 14:15 178176 ----a-w- c:\windows\system32\unrar.dll
2010-02-10 15:10 . 2010-02-10 15:10 0 ----a-w- c:\windows\nsreg.dat
2010-02-10 15:10 . 2010-02-10 15:10 -------- d-----w- c:\program files\GRETECH
2010-02-10 15:01 . 2010-02-11 18:53 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-02-10 14:51 . 2004-01-25 16:18 217088 ----a-w- c:\windows\system32\yv12vfw.dll
2010-02-10 14:51 . 2009-05-29 21:37 205824 ----a-w- c:\windows\system32\xvidvfw.dll
2010-02-10 14:51 . 2009-05-29 21:31 881664 ----a-w- c:\windows\system32\xvidcore.dll
2010-02-10 14:51 . 2010-01-05 18:00 85504 ----a-w- c:\windows\system32\ff_vfw.dll
2010-02-10 14:51 . 2010-02-10 15:11 -------- d-----w- c:\program files\K-Lite Codec Pack
2010-02-10 14:07 . 2009-10-15 16:33 81920 -c----w- c:\windows\system32\dllcache\fontsub.dll
2010-02-10 14:07 . 2009-10-15 16:33 119808 -c----w- c:\windows\system32\dllcache\t2embed.dll
2010-02-10 14:06 . 2008-06-14 17:36 273024 -c----w- c:\windows\system32\dllcache\bthport.sys
2010-02-10 14:06 . 2008-06-14 17:36 273024 ------w- c:\windows\system32\drivers\bthport.sys
2010-02-10 14:06 . 2009-12-31 16:50 353792 -c----w- c:\windows\system32\dllcache\srv.sys
2010-02-10 14:04 . 2009-11-21 16:03 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
2010-02-10 13:54 . 2009-12-04 18:22 455424 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2010-02-10 13:53 . 2008-05-01 14:37 331776 -c----w- c:\windows\system32\dllcache\msadce.dll
2010-02-10 13:53 . 2008-04-11 19:06 691712 -c----w- c:\windows\system32\dllcache\inetcomm.dll
2010-02-10 13:53 . 2009-06-21 21:48 153088 -c----w- c:\windows\system32\dllcache\triedit.dll
2010-02-10 13:48 . 2009-07-10 13:31 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2010-02-10 13:46 . 2010-02-11 18:38 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-02-10 13:46 . 2010-02-11 18:42 162512 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-02-10 13:46 . 2010-02-11 18:39 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-02-10 13:46 . 2010-02-11 18:42 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-02-10 13:46 . 2010-02-11 18:38 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-02-10 13:46 . 2010-02-11 18:38 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-02-10 13:46 . 2010-02-11 18:38 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-02-10 13:45 . 2008-10-15 16:36 337408 -c----w- c:\windows\system32\dllcache\netapi32.dll
2010-02-10 13:45 . 2010-02-11 18:53 153184 ----a-w- c:\windows\system32\aswBoot.exe
2010-02-10 13:44 . 2010-02-10 13:44 -------- d-----w- c:\program files\Alwil Software
2010-02-10 13:44 . 2010-02-10 13:44 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Alwil Software
2010-02-10 13:43 . 2009-06-10 08:22 2066432 -c----w- c:\windows\system32\dllcache\mstscax.dll
2010-02-10 13:41 . 2010-02-10 13:41 -------- d-----w- c:\documents and settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Google
2010-02-10 13:38 . 2009-07-31 04:35 1172480 -c----w- c:\windows\system32\dllcache\msxml3.dll
2010-02-10 13:36 . 2010-02-10 13:36 -------- d-----w- c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\Google
2010-02-10 13:35 . 2008-11-20 19:19 9200 ------w- c:\windows\system32\drivers\cdralw2k.sys
2010-02-10 13:35 . 2008-11-20 19:19 9072 ------w- c:\windows\system32\drivers\cdr4_xp.sys
2010-02-10 13:34 . 2010-02-10 13:34 -------- d-----w- c:\windows\system32\IOSUBSYS
2010-02-10 13:34 . 2008-04-21 21:16 218112 -c----w- c:\windows\system32\dllcache\wordpad.exe
2010-02-10 13:31 . 2010-02-10 14:33 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Google Updater
2010-02-10 13:31 . 2010-02-13 06:49 -------- d-----w- c:\program files\Google
2010-02-10 13:24 . 2010-02-10 13:24 -------- d-----w- c:\program files\Common Files\Adobe
2010-02-10 13:19 . 2001-10-26 15:57 12160 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
2010-02-10 13:19 . 2001-10-26 15:57 12160 ----a-w- c:\windows\system32\drivers\mouhid.sys
2010-02-10 13:18 . 2008-04-13 18:45 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys
2010-02-10 13:18 . 2008-04-13 18:45 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys
2010-02-10 13:18 . 2008-04-13 18:45 26368 -c--a-w- c:\windows\system32\dllcache\usbstor.sys
2010-02-10 13:14 . 2004-08-04 10:00 221184 ----a-w- c:\windows\system32\wmpns.dll
2010-02-10 13:14 . 2010-02-27 19:28 -------- d-----w- c:\documents and settings\Michał
2010-02-10 13:13 . 2010-02-10 21:33 -------- d-----w- c:\windows\system32\config\systemprofile\WINDOWS
2010-02-10 13:13 . 2010-02-10 21:33 -------- d-----w- c:\windows\system32\config\systemprofile\Dane aplikacji\toshiba
2010-02-10 13:13 . 2010-02-10 13:13 -------- d-----w- c:\program files\ltmoh
2010-02-10 13:12 . 2010-02-10 13:12 -------- d-----w- c:\documents and settings\Intel\Dane aplikacji
2010-02-10 13:12 . 2010-02-10 13:12 21275 ----a-w- c:\windows\system32\drivers\AegisP.sys
2010-02-10 13:12 . 2010-02-10 13:12 -------- d-----w- c:\windows\system32\config\systemprofile\Dane aplikacji\Intel
2010-02-10 13:12 . 2010-02-10 13:12 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Intel
2010-02-10 13:12 . 2010-02-10 13:12 -------- d-----w- c:\documents and settings\Intel
2010-02-10 13:12 . 2010-02-10 13:12 -------- d-----w- c:\documents and settings\Intel\Wireless
2010-02-10 13:12 . 2010-02-10 21:33 -------- d-----w- c:\documents and settings\Default User\WINDOWS

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-21 15:48 . 2006-06-07 15:52 67496 ----a-w- c:\windows\system32\perfc015.dat
2010-02-21 15:48 . 2006-06-07 15:52 436560 ----a-w- c:\windows\system32\perfh015.dat
2010-02-21 15:15 . 2006-06-07 16:04 77155 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-02-10 21:44 . 2006-06-08 07:47 -------- d-----w- c:\program files\TOSHIBA
2010-02-10 21:44 . 2006-06-07 16:03 -------- d-----w- c:\program files\Usługi online
2010-02-10 21:44 . 2006-06-08 07:26 -------- d-----w- c:\program files\Realtek
2010-02-10 21:43 . 2006-06-08 09:09 -------- d-----w- c:\program files\Microsoft.NET
2010-02-10 21:43 . 2006-06-07 16:05 -------- d-----w- c:\program files\microsoft frontpage
2010-02-10 21:43 . 2006-06-07 16:23 -------- d-----w- c:\program files\Java
2010-02-10 21:43 . 2006-06-08 08:12 -------- d-----w- c:\program files\InterVideo
2010-02-10 21:42 . 2006-06-08 07:26 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-10 21:40 . 2006-06-07 16:23 -------- d-----w- c:\program files\Common Files\Java
2010-02-10 21:40 . 2006-06-07 16:08 -------- d-----w- c:\program files\Common Files\InstallShield
2010-02-10 21:40 . 2006-06-08 07:44 -------- d-----w- c:\program files\Atheros
2010-02-10 21:40 . 2006-06-08 07:31 -------- d-----w- c:\program files\Apoint2K
2010-02-10 21:33 . 2010-02-27 13:53 -------- d-----w- c:\documents and settings\Administrator\Dane aplikacji\toshiba
2010-02-10 14:57 . 2006-06-08 09:12 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Symantec
2010-02-10 14:57 . 2006-06-08 09:12 -------- d-----w- c:\program files\Common Files\Symantec Shared
2010-02-10 13:14 . 2010-02-10 13:14 0 --sha-r- c:\windows\system32\drivers\TOSHIBA_Satellite A110_04440-PL_PSAB0E-00G00.MRK
2010-02-10 13:12 . 2010-02-27 13:53 -------- d-----w- c:\documents and settings\Administrator\Dane aplikacji\Intel
2010-02-10 13:12 . 2006-06-08 07:22 -------- d-----w- c:\program files\Intel
2009-12-31 16:50 . 2006-06-07 15:52 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-21 19:08 . 2006-06-07 15:52 916480 ----a-w- c:\windows\system32\wininet.dll
2009-12-17 07:42 . 2006-06-07 16:02 345088 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:10 . 2006-06-07 15:52 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-09 10:11 . 2004-08-04 00:38 2067328 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-09 10:11 . 2006-06-07 15:52 2190464 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-04 18:22 . 2006-06-07 15:52 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CFSServ.exe"="CFSServ.exe -NoClient" [X]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-02-07 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-02-07 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-02-07 118784]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 16143872]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2004-03-24 196608]
"PadTouch"="c:\program files\TOSHIBA\Touch and Launch\PadExe.exe" [2005-12-22 1077329]
"CeEKEY"="c:\program files\TOSHIBA\E-KEY\CeEKey.exe" [2006-04-12 638976]
"HWSetup"="c:\program files\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 28672]
"SVPWUTIL"="c:\program files\Toshiba\Windows Utilities\SVPWUTIL.exe" [2004-05-01 65536]
"TPNF"="c:\program files\TOSHIBA\TouchPad\TPTray.exe" [2006-04-04 53248]
"TPSMain"="TPSMain.exe" [2005-09-13 266240]
"Zooming"="ZoomingHook.exe" [2005-06-06 24576]
"SmoothView"="c:\program files\TOSHIBA\Program narzędziowy TOSHIBA Zooming Utility\SmoothView.exe" [2005-05-13 118784]
"TCtryIOHook"="TCtrlIOHook.exe" [2006-01-03 28672]
"TFncKy"="TFncKy.exe" [BU]
"Tvs"="c:\program files\TOSHIBA\Tvs\TvsTray.exe" [2006-02-02 73728]
"NDSTray.exe"="NDSTray.exe" [BU]
"DDWMon"="c:\program files\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe" [2006-04-28 262144]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182]
"AGRSMMSG"="AGRSMMSG.exe" [2006-03-18 89541]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Michaˆ\Menu Start\Programy\Autostart\
ihaupd32.exe [2008-4-14 33280]
Szybkie uruchamianie programu Microsoft Office OneNote 2003.lnk - c:\program files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2005-3-17 59080]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2010-02-10 691696]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2010-02-10 162512]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2010-02-10 19024]
R2 tdudf;TOSHIBA UDF File System Driver;c:\windows\system32\drivers\tdudf.sys [2006-04-18 98816]
S0 2079886890;2079886890;c:\windows\system32\drivers\2079886890.sys c:\windows\system32\drivers\2079886890.sys [?]
S2 gupdate;Usługa Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-10 135664]
.
Zawartość folderu 'Zaplanowane zadania'

2010-02-28 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-02-10 14:33]

2010-02-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-10 13:35]

2010-02-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-10 13:35]
.
.
------- Skan uzupełniający -------
.
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\evmk0lg4.default\
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1851.5542\npCIDetect14.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPOJI610.dll
.
- - - - USUNIĘTO PUSTE WPISY - - - -

HKCU-Run-12CFG214-K641-12SF-N85P - c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-28 15:47
Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spuz.sys >>UNKNOWN [0x82395938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk CLASSPNP.SYS @ 0xf85a7f28
\Driver\ACPI ACPI.sys @ 0xf83eecb8
\Driver\atapi atapi.sys @ 0xf838bb40
IoDeviceObjectType DeleteProcedure ntoskrnl.exe @ 0x805a0598
ParseProcedure ntoskrnl.exe @ 0x8056ea15
\Device\Harddisk0\DR0 DeleteProcedure ntoskrnl.exe @ 0x805a0598
ParseProcedure ntoskrnl.exe @ 0x8056ea15
NDIS: Realtek RTL8139/810x Family Fast Ethernet NIC SendCompleteHandler NDIS.sys @ 0xf8294bb0
PacketIndicateHandler NDIS.sys @ 0xf8283a0d
SendHandler NDIS.sys @ 0xf8297b40
user & kernel MBR OK

**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'Explorer.EXE'(1660)
c:\windows\system32\WININET.dll
c:\windows\system32\webcheck.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\TODDSrv.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Google\Update\1.2.183.13\GoogleCrashHandler.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\TPSMain.exe
c:\windows\system32\ZoomingHook.exe
c:\windows\system32\TCtrlIOHook.exe
c:\program files\TOSHIBA\ConfigFree\NDSTray.exe
c:\program files\TOSHIBA\TOSHIBA Direct Disc Writer\ddwmon.exe
c:\windows\AGRSMMSG.exe
c:\program files\Apoint2K\Apntex.exe
c:\windows\system32\TPSBattM.exe
c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe
.
**************************************************************************
.
Czas ukończenia: 2010-02-28 15:50:09 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2010-02-28 14:50

Przed: 48 838 397 952 bajtów wolnych
Po: 48 346 853 376 bajtów wolnych

- - End Of File - - D5CBA37F0A962E123698EC42FBE554B4

[@Blade@]

Wklej do notatnika:

Kod:

File:: c:\windows\system32\dllcache\lbrtfdc.sys c:\windows\system32\drivers\lbrtfdc.sys c:\windows\system32\dllcache\i2omgmt.sys c:\windows\system32\drivers\i2omgmt.sys c:\windows\system32\dllcache\changer.sys c:\windows\system32\drivers\Changer.sys c:\documents and settings\Michaˆ\Menu Start\Programy\Autostart\ihaupd32.exe c:\documents and settings\Michaˆ\Menu Start\Programy\Autostart\Szybkie uruchamianie programu Microsoft Office OneNote 2003.lnk c:\windows\system32\drivers\2079886890.sys Driver:: 2079886890 Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CFSServ.exe"=- "igfxtray"=- "igfxhkcmd"=- "igfxpers"=- "RTHDCPL"=- "NDSTray.exe"=- "AGRSMMSG"=- "Adobe ARM"=- "Adobe Reader Speed Launcher"=-

Plik zapisz jako CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe


Rozpocznie się usuwanie i powstanie log, który dajesz na forum.

[lordbarth]

Pierwsza sprawa to przy combofixie ma być zainstalowana konsola odzyskiwania lae internet na tym kompie mi blokują bo wirus, a z płyty prówowałem zainstalować przez polecenie które było gdzieś w sieci i na moim kompie działało ale tu nie - nie wiem czy to ma jakiś wpływ ale na wszelki wypadek mówię, druga sprawa to taka że po ponownym uruchomieniu gdy combofix generował log to pojawiła sie ramka ze wystąpił problem z plikiem ihaupd32 i nastąpi jego zamknięcie itp.... log poniżej

ComboFix 10-02-26.03 - Administrator 2010-03-01 20:19:42.2.1 - x86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.3.1250.48.1045.18.502.392 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Administrator\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\Administrator\Pulpit\CFScript.txt
AV: avast! Antivirus *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA

FILE ::
"c:\documents and settings\Michaˆ\Menu Start\Programy\Autostart\ihaupd32.exe"
"c:\documents and settings\Michaˆ\Menu Start\Programy\Autostart\Szybkie uruchamianie programu Microsoft Office OneNote 2003.lnk"
"c:\windows\system32\dllcache\changer.sys"
"c:\windows\system32\dllcache\i2omgmt.sys"
"c:\windows\system32\dllcache\lbrtfdc.sys"
"c:\windows\system32\drivers\2079886890.sys"
"c:\windows\system32\drivers\Changer.sys"
"c:\windows\system32\drivers\i2omgmt.sys"
"c:\windows\system32\drivers\lbrtfdc.sys"
.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\dllcache\changer.sys
c:\windows\system32\dllcache\i2omgmt.sys
c:\windows\system32\dllcache\lbrtfdc.sys
c:\windows\system32\drivers\Changer.sys
c:\windows\system32\drivers\i2omgmt.sys
c:\windows\system32\drivers\lbrtfdc.sys

.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_2079886890


((((((((((((((((((((((((( Pliki utworzone od 2010-02-01 do 2010-03-01 )))))))))))))))))))))))))))))))
.

2010-02-27 19:07 . 2010-02-27 19:34 -------- d-----w- c:\documents and settings\Administrator\DoctorWeb
2010-02-27 13:54 . 2010-02-27 13:54 -------- d-sh--w- c:\documents and settings\Administrator\IETldCache
2010-02-21 15:46 . 2010-02-21 15:46 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2010-02-21 15:12 . 2010-02-21 15:12 -------- d-----w- c:\windows\l2schemas
2010-02-21 15:12 . 2010-02-21 15:12 -------- d-----w- c:\windows\system32\pl
2010-02-21 15:12 . 2010-02-21 15:12 -------- d-----w- c:\windows\system32\bits
2010-02-21 15:01 . 2010-02-21 15:01 -------- d-----w- c:\windows\EHome
2010-02-13 07:20 . 2009-12-11 08:38 69120 -c----w- c:\windows\system32\dllcache\iecompat.dll
2010-02-13 07:20 . 2010-02-24 11:14 -------- d-----w- c:\windows\ie8updates
2010-02-13 07:19 . 2009-12-21 19:08 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2010-02-13 07:19 . 2009-12-21 19:08 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2010-02-13 07:19 . 2009-12-21 19:08 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2010-02-13 07:19 . 2009-12-21 19:08 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2010-02-13 07:19 . 2009-12-21 19:08 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2010-02-13 07:19 . 2009-12-21 19:08 11070464 -c----w- c:\windows\system32\dllcache\ieframe.dll
2010-02-13 07:17 . 2010-02-21 15:12 -------- d-----w- c:\windows\system32\pl-PL
2010-02-13 07:17 . 2010-02-13 07:19 -------- dc-h--w- c:\windows\ie8
2010-02-13 06:41 . 2010-02-13 06:47 -------- d-----w- c:\documents and settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Temp
2010-02-12 20:27 . 2004-08-03 21:41 1041536 ------w- c:\windows\system32\drivers\hsfdpsp2.sys
2010-02-12 20:27 . 2004-08-03 21:41 685056 ------w- c:\windows\system32\drivers\hsfcxts2.sys
2010-02-12 20:27 . 2004-08-03 21:41 220032 ------w- c:\windows\system32\drivers\hsfbs2s2.sys
2010-02-10 15:27 . 2010-02-21 15:09 -------- d-----w- c:\windows\ServicePackFiles
2010-02-10 15:26 . 2010-02-10 15:26 -------- d-----w- c:\program files\MSXML 4.0
2010-02-10 15:23 . 2003-06-19 00:31 18944 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\mdippr.dll
2010-02-10 15:23 . 2003-06-19 00:31 17920 ----a-w- c:\windows\system32\mdimon.dll
2010-02-10 15:22 . 2010-02-10 15:22 -------- d-----w- c:\windows\SHELLNEW
2010-02-10 15:12 . 2010-02-10 15:12 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2010-02-10 15:12 . 2010-02-10 15:12 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-02-10 15:12 . 2010-02-10 15:12 -------- d-----w- c:\program files\DAEMON Tools Lite
2010-02-10 15:11 . 2010-02-10 15:11 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\DAEMON Tools Lite
2010-02-10 15:11 . 2009-12-12 14:15 178176 ----a-w- c:\windows\system32\unrar.dll
2010-02-10 15:10 . 2010-02-10 15:10 0 ----a-w- c:\windows\nsreg.dat
2010-02-10 15:10 . 2010-02-10 15:10 -------- d-----w- c:\program files\GRETECH
2010-02-10 15:01 . 2010-02-11 18:53 38848 ----a-w- c:\windows\system32\avastSS.scr
2010-02-10 14:51 . 2004-01-25 16:18 217088 ----a-w- c:\windows\system32\yv12vfw.dll
2010-02-10 14:51 . 2009-05-29 21:37 205824 ----a-w- c:\windows\system32\xvidvfw.dll
2010-02-10 14:51 . 2009-05-29 21:31 881664 ----a-w- c:\windows\system32\xvidcore.dll
2010-02-10 14:51 . 2010-01-05 18:00 85504 ----a-w- c:\windows\system32\ff_vfw.dll
2010-02-10 14:51 . 2010-02-10 15:11 -------- d-----w- c:\program files\K-Lite Codec Pack
2010-02-10 14:07 . 2009-10-15 16:33 81920 -c----w- c:\windows\system32\dllcache\fontsub.dll
2010-02-10 14:07 . 2009-10-15 16:33 119808 -c----w- c:\windows\system32\dllcache\t2embed.dll
2010-02-10 14:06 . 2008-06-14 17:36 273024 -c----w- c:\windows\system32\dllcache\bthport.sys
2010-02-10 14:06 . 2008-06-14 17:36 273024 ------w- c:\windows\system32\drivers\bthport.sys
2010-02-10 14:06 . 2009-12-31 16:50 353792 -c----w- c:\windows\system32\dllcache\srv.sys
2010-02-10 14:04 . 2009-11-21 16:03 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll
2010-02-10 13:54 . 2009-12-04 18:22 455424 -c----w- c:\windows\system32\dllcache\mrxsmb.sys
2010-02-10 13:53 . 2008-05-01 14:37 331776 -c----w- c:\windows\system32\dllcache\msadce.dll
2010-02-10 13:53 . 2008-04-11 19:06 691712 -c----w- c:\windows\system32\dllcache\inetcomm.dll
2010-02-10 13:53 . 2009-06-21 21:48 153088 -c----w- c:\windows\system32\dllcache\triedit.dll
2010-02-10 13:48 . 2009-07-10 13:31 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2010-02-10 13:46 . 2010-02-11 18:38 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2010-02-10 13:46 . 2010-02-11 18:42 162512 ----a-w- c:\windows\system32\drivers\aswSP.sys
2010-02-10 13:46 . 2010-02-11 18:39 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2010-02-10 13:46 . 2010-02-11 18:42 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2010-02-10 13:46 . 2010-02-11 18:38 100432 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2010-02-10 13:46 . 2010-02-11 18:38 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys
2010-02-10 13:46 . 2010-02-11 18:38 28880 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2010-02-10 13:45 . 2008-10-15 16:36 337408 -c----w- c:\windows\system32\dllcache\netapi32.dll
2010-02-10 13:45 . 2010-02-11 18:53 153184 ----a-w- c:\windows\system32\aswBoot.exe
2010-02-10 13:44 . 2010-02-10 13:44 -------- d-----w- c:\program files\Alwil Software
2010-02-10 13:44 . 2010-02-10 13:44 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Alwil Software
2010-02-10 13:43 . 2009-06-10 08:22 2066432 -c----w- c:\windows\system32\dllcache\mstscax.dll
2010-02-10 13:41 . 2010-02-10 13:41 -------- d-----w- c:\documents and settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Google
2010-02-10 13:38 . 2009-07-31 04:35 1172480 -c----w- c:\windows\system32\dllcache\msxml3.dll
2010-02-10 13:36 . 2010-02-10 13:36 -------- d-----w- c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\Google
2010-02-10 13:35 . 2008-11-20 19:19 9200 ------w- c:\windows\system32\drivers\cdralw2k.sys
2010-02-10 13:35 . 2008-11-20 19:19 9072 ------w- c:\windows\system32\drivers\cdr4_xp.sys
2010-02-10 13:34 . 2010-02-10 13:34 -------- d-----w- c:\windows\system32\IOSUBSYS
2010-02-10 13:34 . 2008-04-21 21:16 218112 -c----w- c:\windows\system32\dllcache\wordpad.exe
2010-02-10 13:31 . 2010-02-10 14:33 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Google Updater
2010-02-10 13:31 . 2010-02-13 06:49 -------- d-----w- c:\program files\Google
2010-02-10 13:24 . 2010-02-10 13:24 -------- d-----w- c:\program files\Common Files\Adobe
2010-02-10 13:19 . 2001-10-26 15:57 12160 -c--a-w- c:\windows\system32\dllcache\mouhid.sys
2010-02-10 13:19 . 2001-10-26 15:57 12160 ----a-w- c:\windows\system32\drivers\mouhid.sys
2010-02-10 13:18 . 2008-04-13 18:45 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys
2010-02-10 13:18 . 2008-04-13 18:45 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys
2010-02-10 13:18 . 2008-04-13 18:45 26368 -c--a-w- c:\windows\system32\dllcache\usbstor.sys
2010-02-10 13:14 . 2004-08-04 10:00 221184 ----a-w- c:\windows\system32\wmpns.dll
2010-02-10 13:14 . 2010-02-27 19:28 -------- d-----w- c:\documents and settings\Michał
2010-02-10 13:13 . 2010-02-10 21:33 -------- d-----w- c:\windows\system32\config\systemprofile\WINDOWS
2010-02-10 13:13 . 2010-02-10 21:33 -------- d-----w- c:\windows\system32\config\systemprofile\Dane aplikacji\toshiba
2010-02-10 13:13 . 2010-02-10 13:13 -------- d-----w- c:\program files\ltmoh
2010-02-10 13:12 . 2010-02-10 13:12 -------- d-----w- c:\documents and settings\Intel\Dane aplikacji
2010-02-10 13:12 . 2010-02-10 13:12 21275 ----a-w- c:\windows\system32\drivers\AegisP.sys
2010-02-10 13:12 . 2010-02-10 13:12 -------- d-----w- c:\windows\system32\config\systemprofile\Dane aplikacji\Intel
2010-02-10 13:12 . 2010-02-10 13:12 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Intel
2010-02-10 13:12 . 2010-02-10 13:12 -------- d-----w- c:\documents and settings\Intel
2010-02-10 13:12 . 2010-02-10 13:12 -------- d-----w- c:\documents and settings\Intel\Wireless
2010-02-10 13:12 . 2010-02-10 21:33 -------- d-----w- c:\documents and settings\Default User\WINDOWS

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-21 15:48 . 2006-06-07 15:52 67496 ----a-w- c:\windows\system32\perfc015.dat
2010-02-21 15:48 . 2006-06-07 15:52 436560 ----a-w- c:\windows\system32\perfh015.dat
2010-02-21 15:15 . 2006-06-07 16:04 77155 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-02-10 21:44 . 2006-06-08 07:47 -------- d-----w- c:\program files\TOSHIBA
2010-02-10 21:44 . 2006-06-07 16:03 -------- d-----w- c:\program files\Usługi online
2010-02-10 21:44 . 2006-06-08 07:26 -------- d-----w- c:\program files\Realtek
2010-02-10 21:43 . 2006-06-08 09:09 -------- d-----w- c:\program files\Microsoft.NET
2010-02-10 21:43 . 2006-06-07 16:05 -------- d-----w- c:\program files\microsoft frontpage
2010-02-10 21:43 . 2006-06-07 16:23 -------- d-----w- c:\program files\Java
2010-02-10 21:43 . 2006-06-08 08:12 -------- d-----w- c:\program files\InterVideo
2010-02-10 21:42 . 2006-06-08 07:26 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-02-10 21:40 . 2006-06-07 16:23 -------- d-----w- c:\program files\Common Files\Java
2010-02-10 21:40 . 2006-06-07 16:08 -------- d-----w- c:\program files\Common Files\InstallShield
2010-02-10 21:40 . 2006-06-08 07:44 -------- d-----w- c:\program files\Atheros
2010-02-10 21:40 . 2006-06-08 07:31 -------- d-----w- c:\program files\Apoint2K
2010-02-10 21:33 . 2010-02-27 13:53 -------- d-----w- c:\documents and settings\Administrator\Dane aplikacji\toshiba
2010-02-10 14:57 . 2006-06-08 09:12 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Symantec
2010-02-10 14:57 . 2006-06-08 09:12 -------- d-----w- c:\program files\Common Files\Symantec Shared
2010-02-10 13:14 . 2010-02-10 13:14 0 --sha-r- c:\windows\system32\drivers\TOSHIBA_Satellite A110_04440-PL_PSAB0E-00G00.MRK
2010-02-10 13:12 . 2010-02-27 13:53 -------- d-----w- c:\documents and settings\Administrator\Dane aplikacji\Intel
2010-02-10 13:12 . 2006-06-08 07:22 -------- d-----w- c:\program files\Intel
2009-12-31 16:50 . 2006-06-07 15:52 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-21 19:08 . 2006-06-07 15:52 916480 ------w- c:\windows\system32\wininet.dll
2009-12-17 07:42 . 2006-06-07 16:02 345088 ----a-w- c:\windows\system32\mspaint.exe
2009-12-14 07:10 . 2006-06-07 15:52 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-09 10:11 . 2004-08-04 00:38 2067328 ------w- c:\windows\system32\ntkrnlpa.exe
2009-12-09 10:11 . 2006-06-07 15:52 2190464 ------w- c:\windows\system32\ntoskrnl.exe
2009-12-04 18:22 . 2006-06-07 15:52 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 65536]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2004-03-24 196608]
"PadTouch"="c:\program files\TOSHIBA\Touch and Launch\PadExe.exe" [2005-12-22 1077329]
"CeEKEY"="c:\program files\TOSHIBA\E-KEY\CeEKey.exe" [2006-04-12 638976]
"HWSetup"="c:\program files\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 28672]
"SVPWUTIL"="c:\program files\Toshiba\Windows Utilities\SVPWUTIL.exe" [2004-05-01 65536]
"TPNF"="c:\program files\TOSHIBA\TouchPad\TPTray.exe" [2006-04-04 53248]
"TPSMain"="TPSMain.exe" [2005-09-13 266240]
"Zooming"="ZoomingHook.exe" [2005-06-06 24576]
"SmoothView"="c:\program files\TOSHIBA\Program narzędziowy TOSHIBA Zooming Utility\SmoothView.exe" [2005-05-13 118784]
"TCtryIOHook"="TCtrlIOHook.exe" [2006-01-03 28672]
"TFncKy"="TFncKy.exe" [BU]
"Tvs"="c:\program files\TOSHIBA\Tvs\TvsTray.exe" [2006-02-02 73728]
"DDWMon"="c:\program files\TOSHIBA\TOSHIBA Direct Disc Writer\\ddwmon.exe" [2006-04-28 262144]
"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718]
"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Michaˆ\Menu Start\Programy\Autostart\
ihaupd32.exe [2008-4-14 33280]
Szybkie uruchamianie programu Microsoft Office OneNote 2003.lnk - c:\program files\Microsoft Office\OFFICE11\ONENOTEM.EXE [2005-3-17 59080]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2010-02-10 691696]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2010-02-10 162512]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2010-02-10 19024]
R2 tdudf;TOSHIBA UDF File System Driver;c:\windows\system32\drivers\tdudf.sys [2006-04-18 98816]
S2 gupdate;Usługa Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-10 135664]
.
Zawartość folderu 'Zaplanowane zadania'

2010-03-01 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-02-10 14:33]

2010-03-01 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-10 13:35]

2010-02-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-10 13:35]
.
.
------- Skan uzupełniający -------
.
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\evmk0lg4.default\
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1851.5542\npCIDetect14.dll
FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF - plugin: c:\program files\Java\jre1.5.0_06\bin\NPOJI610.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-01 20:28
Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spwy.sys >>UNKNOWN [0x823CD938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk CLASSPNP.SYS @ 0xf85a7f28
\Driver\ACPI ACPI.sys @ 0xf83eecb8
\Driver\atapi atapi.sys @ 0xf838bb40
IoDeviceObjectType DeleteProcedure ntoskrnl.exe @ 0x805a0598
ParseProcedure ntoskrnl.exe @ 0x8056ea15
\Device\Harddisk0\DR0 DeleteProcedure ntoskrnl.exe @ 0x805a0598
ParseProcedure ntoskrnl.exe @ 0x8056ea15
NDIS: Realtek RTL8139/810x Family Fast Ethernet NIC SendCompleteHandler NDIS.sys @ 0xf8294bb0
PacketIndicateHandler NDIS.sys @ 0xf8283a0d
SendHandler NDIS.sys @ 0xf8297b40
user & kernel MBR OK

**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'Explorer.EXE'(1664)
c:\windows\system32\WININET.dll
c:\windows\system32\webcheck.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\program files\Intel\Wireless\Bin\EvtEng.exe
c:\program files\Intel\Wireless\Bin\S24EvMon.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Google\Update\1.2.183.13\GoogleCrashHandler.exe
c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe
c:\program files\Intel\Wireless\Bin\RegSrvc.exe
c:\windows\system32\TODDSrv.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\TPSMain.exe
c:\windows\system32\ZoomingHook.exe
c:\windows\system32\TCtrlIOHook.exe
c:\windows\system32\TPSBattM.exe
c:\program files\TOSHIBA\TOSHIBA Direct Disc Writer\ddwmon.exe
c:\program files\Apoint2K\Apntex.exe
c:\progra~1\Intel\Wireless\Bin\Dot1XCfg.exe
.
**************************************************************************
.
Czas ukończenia: 2010-03-01 20:31:02 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2010-03-01 19:30
ComboFix2.txt 2010-02-28 14:50

Przed: 48 878 972 928 bajtów wolnych
Po: 48 262 029 312 bajtów wolnych

- - End Of File - - C076B63556520450276F7C5241CD4A04

[@Blade@]

Pobierz The Avenger w pole Input script here wklej poniższy tekst:

Kod:

Files to delete: c:\documents and settings\Michaˆ\Menu Start\Programy\Autostart\ihaupd32.exe

klikasz Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt