Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wredne wirusy, jak się ich pozbyć ?

johnson255 17 Paź 2009 15:02 3654 2
  • #1 17 Paź 2009 15:02
    johnson255
    Poziom 17  

    Witam
    Już bardzo długo walcze z tym badziewiem, to się wszędzie kopiuje, włoże pendrajwa to na wszystkie partycje się skopiuje i się ukryje, dopiero po odkryciu widać te pliczki(nie ma znaczenia nazwa ich bo zmieniają nazwe)W tej chwili to już nawet jak biorę opcje odkrycia chronionych plików i tych systemowych biore zast. i OK to nic się nie dzieje, jakby te funkcje w ogóle nie działały. Jeden plik jest od autostaru *.inf a drugi to wykonywalny *.exe. Nie ma szans aby je usunąć, nawet gdybym chciał to on się zachwile pojawi, tak jak z echem krzyczysz a ono powraca. Wyłączałem w procesach, usunąłem z autorunu, wziąłem win+f, po nazwie znalazło ze wszystkich partycji to ctrl+a, shift+del, po czym ponownie restartuje i nie moge wejść w partycję klikając na nią 2 krotnie, wtedy trzeba wybrać prawym i eksploruj. To jest wszędzie na telefonie siedzi i czeka kiedy do kompa go podłącze na kartach SD w aparacie, laptopie, nie wiem nie mam już siły, żeby z tym walczyć. Kaspersky w ogóle tego nie wykrył nie dał rady, Avast wykrył i niby usuwa, potem prosi o restart to przed ponownym uruchomieniem usuwa zainfekowane pliki i wirusy, włącza się i zaraz wyskakuje komunikat że znaleziono wirusa w pamięci i prosi o restart. Nawet był wyjmowany ram, baterie, zasilacz odłączany żeby rozładować chwilowe podtrzymanie pamięci i nic. Mi się wydaje że to i tak nic nie da w tym przypadku wyjęcie ponieważ jeżeli on siedzi gdzieś na dysku to po ponownym włączeniu i tak wejdzie ponownie w pamięć. Nawet nie mogę zgrać danych na płytę lub innynośnik danych żeby zrobić formata bo to i tak nic nie da, kiedy będę chciał ponownie skopiować dane on znowu wruci:/ Bardzo was proszę o pomoc, zamieszczam log z HijackThis i combofixa.
    Z góry dziękuje i pozdrawiam.

    HijackThis :

    Code:
    Logfile of Trend Micro HijackThis v2.0.2
    
    Scan saved at 13:55:19, on 2009-10-17
    Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.5730.0013)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BtTray.exe
    C:\TMP\RtkBtMnt.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BsMobileCS.exe
    C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
    C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe
    C:\Program Files\Winamp\winamp.exe




    C:\Program Files\Safari\Safari.exe
    C:\D & S\Prezes\Pulpit\HiJackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://google.pl/
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
    O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\D & S\Prezes\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll
    O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [BtTray] "C:\Program Files\IVT Corporation\BlueSoleil\BtTray.exe"
    O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "C:\Program Files\Nowe Gadu-Gadu\gg.exe"
    O4 - HKCU\..\Run: [cdoosoft] C:\TMP\herss.exe
    O4 - HKCU\..\Run: [BitComet] "C:\Program Files\BitComet\BitComet.exe" /tray
    O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA LOKALNA')
    O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')
    O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
    O8 - Extra context menu item: Wyslij przez wiadomosc(&M)... - C:\Program Files\IVT Corporation\BlueSoleil\TransSend\IE\tssms.htm
    O8 - Extra context menu item: Wyślij przez Bluetooth - C:\Program Files\IVT Corporation\BlueSoleil\TransSend\IE\tsinfo.htm
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\WINDOWS\system32\skype4com.dll
    O23 - Service: BlueSoleilCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe
    O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: BsHelpCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BsHelpCS.exe
    O23 - Service: BsMobileCS - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BsMobileCS.exe
    O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

    --
    End of file - 4733 bytes


    Combofix:
    Code:
    ComboFix 09-10-16.09 - Prezes 2009-10-17 14:27.1.1 - NTFSx86
    
    Microsoft Windows XP Professional  5.1.2600.3.1250.48.1045.18.1014.565 [GMT 2:00]
    Uruchomiony z: c:\d & s\Prezes\Pulpit\ComboFix.exe

    UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!
    .
      Error: Cfiles.dat
      Error: Cfolders.dat

    (((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\$recycle.bin\S-1-5-21-3366469192-62185926-135971322-1001
    C:\autorun.inf
    c:\d & s\Prezes\Dane aplikacji\Desktopicon
    c:\d & s\Prezes\Dane aplikacji\Desktopicon\eBayShortcuts.exe
    c:\tmp\WLZ2323.tmp\burnlib.lng
    c:\tmp\WLZ2323.tmp\dsp_sps.lng
    c:\tmp\WLZ2323.tmp\enc_aacplus.lng
    c:\tmp\WLZ2323.tmp\enc_flac.lng
    c:\tmp\WLZ2323.tmp\enc_flake.lng
    c:\tmp\WLZ2323.tmp\enc_lame.lng
    c:\tmp\WLZ2323.tmp\enc_vorbis.lng
    c:\tmp\WLZ2323.tmp\enc_wav.lng
    c:\tmp\WLZ2323.tmp\enc_wma.lng
    c:\tmp\WLZ2323.tmp\gen_crasher.lng
    c:\tmp\WLZ2323.tmp\gen_dropbox.lng
    c:\tmp\WLZ2323.tmp\gen_ff.lng
    c:\tmp\WLZ2323.tmp\gen_hotkeys.lng
    c:\tmp\WLZ2323.tmp\gen_ml.lng
    c:\tmp\WLZ2323.tmp\gen_tray.lng
    c:\tmp\WLZ2323.tmp\in_cdda.lng
    c:\tmp\WLZ2323.tmp\in_dshow.lng
    c:\tmp\WLZ2323.tmp\in_flac.lng
    c:\tmp\WLZ2323.tmp\in_flv.lng
    c:\tmp\WLZ2323.tmp\in_linein.lng
    c:\tmp\WLZ2323.tmp\in_midi.lng
    c:\tmp\WLZ2323.tmp\in_mod.lng
    c:\tmp\WLZ2323.tmp\in_mp3.lng
    c:\tmp\WLZ2323.tmp\in_mp4.lng
    c:\tmp\WLZ2323.tmp\in_nsv.lng
    c:\tmp\WLZ2323.tmp\in_swf.lng
    c:\tmp\WLZ2323.tmp\in_vorbis.lng
    c:\tmp\WLZ2323.tmp\in_wav.lng
    c:\tmp\WLZ2323.tmp\in_wave.lng
    c:\tmp\WLZ2323.tmp\in_wm.lng
    c:\tmp\WLZ2323.tmp\in_wv.lng
    c:\tmp\WLZ2323.tmp\ml_autotag.lng
    c:\tmp\WLZ2323.tmp\ml_bookmarks.lng
    c:\tmp\WLZ2323.tmp\ml_dash.lng
    c:\tmp\WLZ2323.tmp\ml_disc.lng
    c:\tmp\WLZ2323.tmp\ml_history.lng
    c:\tmp\WLZ2323.tmp\ml_impex.lng
    c:\tmp\WLZ2323.tmp\ml_local.lng
    c:\tmp\WLZ2323.tmp\ml_nowplaying.lng
    c:\tmp\WLZ2323.tmp\ml_online.lng
    c:\tmp\WLZ2323.tmp\ml_orb.lng
    c:\tmp\WLZ2323.tmp\ml_playlists.lng
    c:\tmp\WLZ2323.tmp\ml_plg.lng
    c:\tmp\WLZ2323.tmp\ml_pmp.lng
    c:\tmp\WLZ2323.tmp\ml_rg.lng
    c:\tmp\WLZ2323.tmp\ml_transcode.lng
    c:\tmp\WLZ2323.tmp\ml_wire.lng
    c:\tmp\WLZ2323.tmp\out_disk.lng
    c:\tmp\WLZ2323.tmp\out_ds.lng
    c:\tmp\WLZ2323.tmp\out_wave.lng
    c:\tmp\WLZ2323.tmp\playlist.lng
    c:\tmp\WLZ2323.tmp\pmp_activesync.lng
    c:\tmp\WLZ2323.tmp\pmp_ipod.lng
    c:\tmp\WLZ2323.tmp\pmp_njb.lng
    c:\tmp\WLZ2323.tmp\pmp_p4s.lng
    c:\tmp\WLZ2323.tmp\pmp_usb.lng
    c:\tmp\WLZ2323.tmp\tagz.lng
    c:\tmp\WLZ2323.tmp\vis_avs.lng
    c:\tmp\WLZ2323.tmp\vis_milk2.lng
    c:\tmp\WLZ2323.tmp\vis_nsfs.lng
    c:\tmp\WLZ2323.tmp\winamp.lng
    c:\tmp\WLZ2323.tmp\winampa.lng
    c:\windows\system32\NSREG.DLL
    D:\Autorun.inf
    F:\Autorun.inf
    F:\y6yol.exe

    .
    (((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_AVPsys


    (((((((((((((((((((((((((   Pliki utworzone od 2009-09-17 do 2009-10-17  )))))))))))))))))))))))))))))))
    .

    2009-10-17 12:56 . 2009-10-17 12:56   --------   d-----w-   c:\windows\system32\Lang
    2009-10-17 12:56 . 2009-10-17 12:56   --------   d-----w-   c:\windows\system32\xircom
    2009-10-17 12:56 . 2009-10-17 12:56   --------   d-----w-   c:\windows\system32\wbem\snmp
    2009-10-17 12:56 . 2009-10-17 12:56   --------   d-----w-   c:\windows\system32\oobe
    2009-10-17 12:56 . 2009-10-17 12:56   --------   d-----w-   c:\windows\srchasst
    2009-10-17 02:15 . 2009-10-17 02:15   --------   d-----w-   c:\program files\IVT Corporation
    2009-10-12 20:46 . 2008-02-19 13:39   191424   ----a-w-   c:\windows\system32\drivers\windrvr6.sys
    2009-10-12 20:46 . 2008-02-19 13:42   143360   ----a-w-   c:\windows\system32\wdapi920.dll
    2009-10-12 20:46 . 2006-10-18 13:29   102400   ----a-w-   c:\windows\system32\wdapi811.dll
    2009-10-12 20:46 . 2007-09-17 06:04   3858432   ----a-w-   c:\windows\system32\BCGCBPRO95580.dll
    2009-10-12 20:46 . 2007-04-26 11:18   290904   ----a-w-   c:\windows\system32\vc6-re200l.dll
    2009-10-12 20:46 . 2006-02-07 12:45   73728   ----a-w-   c:\windows\system32\RWUXThemeS.dll
    2009-10-12 20:46 . 2007-06-27 12:10   107840   ----a-r-   c:\windows\system32\FTLang.dll
    2009-10-12 20:46 . 2007-06-27 12:06   47432   ----a-r-   c:\windows\system32\ftserui2.dll
    2009-10-12 20:46 . 2007-06-27 12:04   71488   ----a-r-   c:\windows\system32\drivers\ftser2k.sys
    2009-10-12 20:45 . 2009-10-12 20:45   --------   d-----w-   c:\program files\Atmel
    2009-10-12 20:45 . 2007-06-27 12:10   202048   ----a-r-   c:\windows\system32\ftd2xx.dll
    2009-10-12 20:45 . 2007-06-27 12:10   111936   ----a-r-   c:\windows\system32\ftbusui.dll
    2009-10-12 20:45 . 2007-06-27 12:05   53184   ----a-r-   c:\windows\system32\drivers\ftdibus.sys
    2009-09-20 09:15 . 2009-09-24 02:50   --------   d-----w-   C:\AutoMapa EU
    2009-09-20 09:15 . 2009-09-24 02:48   --------   d-----w-   C:\2577

    .
    ((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2009-10-17 12:56 . 2009-10-17 12:56   --------   d-----w-   c:\program files\microsoft frontpage
    2009-10-17 11:48 . 2009-06-21 00:37   6400   ----a-w-   c:\windows\system32\d3d9caps.dat
    2009-10-17 11:18 . 2009-06-21 01:04   --------   d-----w-   c:\program files\BitComet
    2009-10-17 11:02 . 2008-04-15 12:00   42834   ----a-w-   c:\windows\system32\perfc015.dat
    2009-10-17 11:02 . 2008-04-15 12:00   335594   ----a-w-   c:\windows\system32\perfh015.dat
    2009-10-12 21:04 . 2009-06-25 11:14   --------   d-----w-   c:\program files\Microsoft ActiveSync
    2009-10-12 21:04 . 2009-06-25 11:15   --------   d-----w-   c:\program files\AvantGo Connect
    2009-10-12 21:03 . 2009-09-12 15:07   --------   d-----w-   c:\program files\Gogo MP3 To CD Burner
    2009-10-12 20:45 . 2009-06-21 00:31   --------   d--h--w-   c:\program files\InstallShield Installation Information
    2009-09-12 16:15 . 2009-07-30 22:09   --------   d-----w-   c:\program files\Common Files\Nero
    2009-09-12 16:07 . 2009-07-30 22:09   --------   d-----w-   c:\d & s\All Users\Dane aplikacji\Nero
    2009-09-12 15:20 . 2009-09-12 14:58   --------   d---a-w-   c:\d & s\All Users\Dane aplikacji\TEMP
    .

    ------- Sigcheck -------


    [-] 2008-07-15 . 8E036EEC565910417EA020CE0962AA24 . 361344 . . [5.1.2600.5512] . . c:\windows\system32\drivers\tcpip.sys

    [-] 2008-05-16 . 5A1ADB52F5D35E284AA1136AF439314E . 2295680 . . [5.1.2600.5512] . . c:\windows\system32\ntoskrnl.exe

    [-] 2008-06-20 . 331F366A4B20C610A7EAC4790F94467A . 2263040 . . [6.00.2900.5512] . . c:\windows\explorer.exe





    [-] 2008-05-16 . 4FE635042D54E2A2D31055D631B4BC48 . 2172544 . . [5.1.2600.5512] . . c:\windows\system32\ntkrnlpa.exe

    c:\windows\system32\drivers\beep.sys ...  - brak elementu !!
    c:\windows\system32\wscntfy.exe ...  - brak elementu !!
    c:\windows\system32\ctfmon.exe ...  - brak elementu !!
    c:\windows\system32\regsvc.dll ...  - brak elementu !!
    c:\windows\system32\termsrv.dll ...  - brak elementu !!
    .
    (((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
    REGEDIT4

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
    2009-05-19 11:37   1144712   ----a-w-   c:\program files\Ask.com\GenericAskToolbar.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2009-05-19 1144712]

    [HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
    [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
    [HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
    [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program files\Ask.com\GenericAskToolbar.dll" [2009-05-19 1144712]

    [HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]
    [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]
    [HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]
    [HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2009-07-27 10719848]
    "BitComet"="c:\program files\BitComet\BitComet.exe" [2009-05-18 2592056]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 53248]
    "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
    "BtTray"="c:\program files\IVT Corporation\BlueSoleil\BtTray.exe" [2009-02-27 278016]
    "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-05-28 16132608]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "nltide_2"="shell32" [X]
    "nltide_3"="advpack.dll" - c:\windows\system32\advpack.dll [2008-07-15 123904]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "DisableCAD"= 1 (0x1)
    "DisableStatusMessages"= 1 (0x1)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoSMHelp"= 1 (0x1)
    "NoSMMyPictures"= 1 (0x1)
    "NoSMConfigurePrograms"= 1 (0x1)

    [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
    "NoSMHelp"= 1 (0x1)
    "ForceClassicControlPanel"= 1 (0x1)
    "NoSMMyPictures"= 1 (0x1)
    "NoSMConfigurePrograms"= 1 (0x1)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
    "c:\\Program Files\\BitComet\\BitComet.exe"=
    "c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
    "c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=
    "c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleilCS.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "7569:TCP"= 7569:TCP:BitComet 7569 TCP
    "7569:UDP"= 7569:UDP:BitComet 7569 UDP

    R0 BtHidBus;Bluetooth HID Bus Service;c:\windows\system32\drivers\BtHidBus.sys [2009-01-07 20744]
    R0 nvcchflt;NVIDIA Disk Cache Filter Driver;c:\windows\system32\drivers\nvcchflt.sys [2008-07-16 16640]
    R3 btnetBUs;Bluetooth PAN Bus Service;c:\windows\system32\drivers\btnetBus.sys [2008-12-07 30088]
    R3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\drivers\IvtBtBus.sys [2008-07-02 26248]

    --- Inne Usługi/Sterowniki w Pamięci ---

    *NewlyCreated* - HELPSVC

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    DcomLaunch   REG_MULTI_SZ      DcomLaunch
    .
    Zawartość folderu 'Zaplanowane zadania'

    2009-07-16 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

    2009-10-17 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
    - c:\program files\Ask.com\UpdateTask.exe [2009-05-19 11:37]
    .
    .
    ------- Skan uzupełniający -------
    .
    uStart Page = hxxp://www.google.com/
    uInternet Connection Wizard,ShellNext = hxxp://google.pl/
    uInternet Settings,ProxyOverride = *.local
    IE: Wyslij przez wiadomosc(&M)... - c:\program files\IVT Corporation\BlueSoleil\TransSend\IE\tssms.htm
    IE: Wyślij przez Bluetooth - c:\program files\IVT Corporation\BlueSoleil\TransSend\IE\tsinfo.htm
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2009-10-17 14:56
    Windows 5.1.2600 Dodatek Service Pack 3 NTFS

    skanowanie ukrytych procesów ... 

    skanowanie ukrytych wpisów autostartu ...

    skanowanie ukrytych plików ... 


    c:\windows\system32\Lang

    skanowanie pomyślnie ukończone
    ukryte pliki: 1

    **************************************************************************
    .
    --------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

    - - - - - - - > 'lsass.exe'(916)
    c:\windows\system32\scecli.dll

    - - - - - - - > 'explorer.exe'(1332)
    c:\windows\system32\ntshrui.dll
    c:\windows\system32\ieframe.dll
    c:\windows\system32\wpdshserviceobj.dll
    c:\windows\system32\BsMobileSDK.dll
    c:\windows\system32\BsLangInDepRes.dll
    c:\windows\system32\Bs2Res.dll
    c:\windows\system32\portabledevicetypes.dll
    c:\windows\system32\portabledeviceapi.dll
    c:\windows\system32\NETSHELL.dll
    .
    ------------------------ Pozostałe uruchomione procesy ------------------------
    .
    c:\program files\IVT Corporation\BlueSoleil\BlueSoleilCS.exe
    c:\program files\Bonjour\mDNSResponder.exe
    c:\program files\IVT Corporation\BlueSoleil\BsMobileCS.exe
    c:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exe
    c:\tmp\RtkBtMnt.exe
    c:\program files\Nowe Gadu-Gadu\spellchecker_gg.exe
    c:\program files\IVT Corporation\BlueSoleil\BsHelpCS.exe
    c:\windows\system32\rundll32.exe
    .
    **************************************************************************
    .
    Czas ukończenia: 2009-10-17 14:58 - komputer został uruchomiony ponownie
    ComboFix-quarantined-files.txt  2009-10-17 12:57

    Przed: 3 369 345 024 bajtów wolnych
    Po: 4 976 824 320 bajtów wolnych

    253

    0 2