Carlton, trzyliterowe trojany irc, i inne cuda

Dla specjalistów Bezpieczeństwo
#21

Daję loga. Po zrobieniu loga w Combo nie mogę wejść do netu. muszę robić reboot. Poprzednio, gdy było wszystko oki też.

Tamto wpakowało mi się w trakcie ściągania SP2 A ja zostawiłem sobie jeszcze nieobrobione zdjęcia i video córki, więc wolałbym to oszczędzić, ale…

ComboFix 07-12-21.4 - Paweł Fabiszewski 2007-12-30 23:30:55.3 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.1.1250.1.1045.18.571 [GMT 1:00]

Running from: C:\Documents and Settings\Paweł Fabiszewski\Pulpit\ComboFix.exe

.


((((((((((((((((((((((((( Files Created from 2007-11-28 to 2007-12-30 )))))))))))))))))))))))))))))))

.


No new files created in this timespan


.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-12-30 21:17	---------	d-----w	C:\Documents and Settings\Paweł Fabiszewski\Dane aplikacji\Gadu-Gadu

2007-12-30 21:16	---------	d-----w	C:\Program Files\Gadu-Gadu

2007-12-30 21:00	512,096	----a-w	C:\WINDOWS\system32\drivers\amon.sys

2007-12-30 21:00	298,104	----a-w	C:\WINDOWS\system32\imon.dll

2007-12-30 21:00	15,424	----a-w	C:\WINDOWS\system32\drivers\nod32drv.sys

2007-12-30 20:47	---------	d--h--w	C:\Program Files\InstallShield Installation Information

2007-12-30 20:47	---------	d-----w	C:\Program Files\ATI Technologies

2007-12-30 20:42	---------	d-----w	C:\Program Files\Common Files\InstallShield

2007-12-30 20:42	---------	d-----w	C:\Program Files\Analog Devices

2007-12-30 20:31	---------	d-----w	C:\Program Files\microsoft frontpage

2007-12-30 20:27	---------	d-----w	C:\Program Files\Usługi online

.


((((((((((((((((((((((((((((( snapshot@2007-12-30_22.47.52,52 )))))))))))))))))))))))))))))))))))))))))

.

- 2007-12-30 20:59:23	39,992	----a-w	C:\WINDOWS\system32\perfc009.dat

+ 2007-12-30 21:56:03	39,992	----a-w	C:\WINDOWS\system32\perfc009.dat

- 2007-12-30 20:59:23	49,492	----a-w	C:\WINDOWS\system32\perfc015.dat

+ 2007-12-30 21:56:04	49,492	----a-w	C:\WINDOWS\system32\perfc015.dat

- 2007-12-30 20:59:23	311,604	----a-w	C:\WINDOWS\system32\perfh009.dat

+ 2007-12-30 21:56:03	311,604	----a-w	C:\WINDOWS\system32\perfh009.dat

- 2007-12-30 20:59:23	355,486	----a-w	C:\WINDOWS\system32\perfh015.dat

+ 2007-12-30 21:56:04	355,486	----a-w	C:\WINDOWS\system32\perfh015.dat

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown 

REGEDIT4


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-04-16 13:00]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Smapp"="C:\Program Files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 08:57]

"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-09-12 21:10]

"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-12-30 22:00]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-04-16 13:00]



*Newly Created Service* - ALG 

*Newly Created Service* - IPNAT 

.

**************************************************************************


catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-12-30 23:31:30

Windows 5.1.2600 Dodatek Service Pack. 1 NTFS


scanning hidden processes ... 


scanning hidden autostart entries ...


scanning hidden files ... 


scan completed successfully 

hidden files: 0 


**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes --------------------- 


PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.1106]

-> C:\Program Files\Eset\pr_imon.dll

.

Completion time: 2007-12-30 23:31:57
#22

Na szczęście nic nie widać :slight_smile:

#23

a mi przed chwilą wywalił błąd, z którym chce do Microsoftu się wysłać. Taki sam jak wywalał przed reinstalem.

A co z tymi plikami zdjęć i video?

#24

i znowu pełno trojanów, błędów i wyłączeń systemu za 1min.

Jutro zacznę od service packa

#25

I wtedy daj jak zainstalujesz sp2 - nowe logi

#26

Ja mam tylko jedno pytanie…

Czy system jest oryginalny?

#27

:expressionless: System był na kompie oryginalny, tylko bez SP2. Teraz, na razie nie ma żadnych oznak nieproszonych gości.

Podaję logi i czekam na rozwój sytuacji… :expressionless:

#28

W logu nic nie widzę - pamiętaj - viewtopic.php?f=16&t=213350

#29

U mnie też na razie spokój. Pozdrawiam.