Witam.
Miałem problemy z komputerem (XP prof. SP3) mianowicie nie można było otworzyć dysków C, D, O. z apletu Mój komputer, ani ze skrótów na pulpicie.
Wyskakiwał komunikat “(C,D,O):\recysled\boot.com nie jest prawidłową aplikacją sys. Win.32”
Przeskanowałem komputer Combo-fix i wszystko wróciło do normy.
Mam jeszcze kilka wątpliwości i pytań:
-
znaleziono pliki (we wszystkich dyskach) autorun.inf.vir wrzuciłem je do kosza i narazie jost OK - kasować na stałe z kosza?
-
czy można skasować folder Combo-fixa - Qoobox
3.widzę, że Combo odzyskał jakieś już niepotrzebne pliki (m.in. pojawiły się stare skróty na pulpicie) - jak je poznajdywać (najlepiej hurtowo) bo to chyba już tylko śmieci.
Od przypadku wklejam log z Combo-fix do analizy przez fachowca.
Dziękuję za pomoc i porady.
Pozdrawiam.
ComboFix 08-12-14.05 - Administrator 2008-12-15 16:27:15.1 - FAT32 x86
Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.2047.1715 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Administrator\Pulpit\ComboFix.exe
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
C:\resycled
c:\resycled\boot.com
c:\resycled\boot.com.vir
c:\windows\system32\drivers\msqpdxmqltoiqh.sys
c:\windows\system32\msqpdxosvdbrsr.dll
D:\Autorun.inf
D:\resycled
d:\resycled\boot.com
d:\resycled\boot.com.vir
O:\Autorun.inf
O:\resycled
o:\resycled\boot.com
o:\resycled\boot.com.vir
.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_MSQPDXSERV.SYS
-------\Legacy_MSQPDXSERV.SYS
((((((((((((((((((((((((( Pliki utworzone od 2008-11-15 do 2008-12-15 )))))))))))))))))))))))))))))))
.
2021-01-15 16:40 . 2021-01-15 16:40
2008-12-15 14:35 . 2008-12-15 14:35 62,464 --a------ c:\windows\system32\drivers\msqpdxserv.sys
2008-12-15 13:39 . 2008-12-15 13:39
2008-12-15 13:39 . 2006-05-25 14:52 162,304 --a------ c:\windows\system32\ztvunrar36.dll
2008-12-15 13:39 . 2003-02-02 19:06 153,088 --a------ c:\windows\system32\UNRAR3.dll
2008-12-15 13:39 . 2005-08-26 00:50 77,312 --a------ c:\windows\system32\ztvunace26.dll
2008-12-15 13:39 . 2002-03-06 00:00 75,264 --a------ c:\windows\system32\unacev2.dll
2008-12-15 13:39 . 2006-06-19 12:01 69,632 --a------ c:\windows\system32\ztvcabinet.dll
2008-12-14 00:09 . 2008-12-15 13:56 255 -rahs---- C:\autorun.inf.vir
2008-12-14 00:08 . 2008-12-14 00:08 79 --a------ c:\windows\wininit.ini
2008-12-11 23:37 . 2008-07-18 15:23 732,888 -ra------ c:\windows\system32\drivers\cfosspeed.sys
2008-12-10 12:34 . 2008-12-15 13:06 62,976 --a------ c:\windows\system32\drivers\msqpdxserv.sys.vir
2008-12-09 12:27 . 2008-12-09 12:27
2008-12-05 17:28 . 2008-12-05 17:28
2008-11-20 23:21 . 2008-11-20 23:21
2008-11-20 23:21 . 2008-11-20 23:21
2008-11-20 23:21 . 2008-11-20 23:21
2008-11-20 23:21 . 2008-11-12 14:54 453,152 --a------ c:\windows\system32\nvudisp.exe
2008-11-20 23:21 . 2008-12-15 16:31 203,188 --a------ c:\windows\system32\nvapps.xml
2008-11-20 23:21 . 2008-11-12 14:54 18,537 --a------ c:\windows\system32\nvdisp.nvu
2008-11-20 23:20 . 2008-11-20 23:20
2008-11-20 23:19 . 2008-11-12 14:54 6,188,320 --a------ c:\windows\system32\drivers\nv4_mini.sys
2008-11-20 23:19 . 2008-11-12 14:54 6,188,320 --a------ c:\windows\system32\dllcache\nv4_mini.sys
2008-11-20 23:17 . 2008-11-12 13:45 453,152 --a------ c:\windows\system32\NVUNINST.EXE
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2021-01-15 15:49 32 ----a-w c:\documents and settings\All Users.WINDOWS\Dane aplikacji\ezsid.dat
2021-01-15 15:49 32 ----a-w c:\documents and settings\Administrator\Dane aplikacji\ezsid.dat
2021-01-15 15:40 --------- d-----w c:\program files\Common Files\Skype
2008-12-15 14:08 202,040 ----a-w c:\windows\system32\PnkBstrB.exe
2008-12-14 19:17 137,688 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2008-11-10 13:49 --------- d-----w c:\program files\Razer
2008-10-30 11:33 --------- d-----w c:\program files\DVDVideoSoft
2008-10-30 11:33 --------- d-----w c:\program files\Common Files\DVDVideoSoft
2008-10-30 11:33 --------- d-----w c:\program files\AskBarDis
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-24 11:21 455,296 ------w c:\windows\system32\dllcache\mrxsmb.sys
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\dllcache\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\dllcache\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\dllcache\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\dllcache\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\dllcache\cdm.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\dllcache\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\dllcache\wups.dll
2008-10-15 17:36 337,408 ------w c:\windows\system32\dllcache\netapi32.dll
2008-10-15 00:12 --------- d-----w c:\program files\ASUS
2008-10-13 08:56 70,936 ----a-w c:\windows\system32\PhysXLoader.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 16:27 1,846,656 ----a-w c:\windows\system32\win32k.sys
2008-09-15 16:27 1,846,656 ------w c:\windows\system32\dllcache\win32k.sys
2006-06-23 22:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe
2002-01-01 01:13 22,328 ----a-w c:\documents and settings\Administrator\Dane aplikacji\PnkBstrK.sys
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_LOCAL_MACHINE~\Browser Helper Objects{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-26 10:32 279944 --a------ c:\program files\AskBarDis\bar\bin\askBar.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
“{3041d03e-fd4b-44e0-b742-2d9b88305f98}”= “c:\program files\AskBarDis\bar\bin\askBar.dll” [2008-08-26 279944]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
“{3041D03E-FD4B-44E0-B742-2D9B88305F98}”= “c:\program files\AskBarDis\bar\bin\askBar.dll” [2008-08-26 279944]
[HKEY_CLASSES_ROOT\clsid{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib{4b1c1e16-6b34-430e-b074-5928eca4c150}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Mozilla Thunderbird”=“c:\program files\Mozilla Thunderbird\thunderbird.exe” [2007-11-01 8479856]
“H/PC Connection Agent”=“c:\program files\Microsoft ActiveSync\wcescomm.exe” [2006-11-13 1289000]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“VolPanel”=“c:\program files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe” [2006-07-13 122880]
“AudioDrvEmulator”=“c:\program files\Creative\Shared Files\Module Loader\DLLML.exe” [2005-11-04 49152]
“UpdReg”=“c:\windows\UpdReg.EXE” [2000-05-11 90112]
“Creative Fatal1ty 1010 Mouse”=“c:\program files\Creative\Fatal1ty 1010 Mouse\CTPoint.exe” [2006-01-04 221184]
“OutpostMonitor”=“c:\progra~1\Agnitum\OUTPOS~1\op_mon.exe” [2008-07-16 954712]
“OutpostFeedBack”=“c:\program files\Agnitum\Outpost Security Suite Pro\feedback.exe” [2008-08-05 435544]
“Ai Nap”=“c:\program files\ASUS\AI Suite\AiNap\AiNap.exe” [2007-12-10 1412608]
“CPU Power Monitor”=“c:\program files\ASUS\AI Suite\AiGear3\CpuPowerMonitor.exe” [2007-10-16 626176]
“Cpu Level Up help”=“c:\program files\ASUS\AI Suite\CpuLevelUpHelp.exe” [2007-11-30 881152]
“Lycosa”=“c:\program files\Razer\Lycosa\razerhid.exe” [2008-05-21 155648]
“NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2008-11-12 13672448]
“NvMediaCenter”=“c:\windows\system32\NvMcTray.dll” [2008-11-12 86016]
“cFosSpeed”=“c:\program files\cFosSpeed\cFosSpeed.exe” [2008-07-18 867544]
“CTHelper”=“CTHELPER.EXE” [2006-05-24 c:\windows\CTHELPER.EXE]
“CTxfiHlp”=“CTXFIHLP.EXE” [2006-05-24 c:\windows\system32\CTXFIHLP.EXE]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2008-04-14 15360]
c:\documents and settings\Administrator\Menu Start\Programy\Autostart\
Stickies.lnk - c:\program files\Stickies\stickies.exe [2008-01-16 757760]
SysInfoMyWork.exe [2004-09-30 233472]
c:\documents and settings\All Users.WINDOWS\Menu Start\Programy\Autostart\
SysInfoMyWork.exe [2004-09-30 233472]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
“{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}”= “c:\program files\SUPERAntiSpyware\SASSEH.DLL” [2008-05-13 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify!SASWinLogon]
2008-12-13 23:53 352256 c:\program files\SUPERAntiSpyware\SASWINLO.DLL
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
“vidc.xvid”= xvid.dll
“msacm.divxa32”= msaud32_divx.acm
“VIDC.XFR1”= xfcodec.dll
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
“BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”=“c:\program files\Common Files\Nero\Lib\NMBgMonitor.exe”
“H/PC Connection Agent”=“c:\program files\Microsoft ActiveSync\wcescomm.exe”
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
“NBKeyScan”=“c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe”
“NeroFilterCheck”=c:\program files\Common Files\Nero\Lib\NeroCheck.exe
“SunJavaUpdateSched”=“c:\program files\Java\jre1.6.0_06\bin\jusched.exe”
“Rapget”=d:\aplikacje\Rapget\rapget\rapget.exe
“nwiz”=nwiz.exe /install
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
“UpdatesDisableNotify”=dword:00000001
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
“EnableFirewall”= 0 (0x0)
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
“c:\WINDOWS\System32\PnkBstrA.exe”=
“c:\WINDOWS\System32\PnkBstrB.exe”=
“%windir%\Network Diagnostic\xpnetdiag.exe”=
“d:\Gry CD\Call of Duty 4\iw3mp.exe”=
“c:\program files\Microsoft ActiveSync\rapimgr.exe”= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
“c:\program files\Microsoft ActiveSync\wcescomm.exe”= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
“c:\program files\Microsoft ActiveSync\WCESMgr.exe”= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
“c:\Program Files\Skype\Phone\Skype.exe”=
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
“26675:TCP”= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service
R1 SandBox;SandBox;c:\windows\system32\DRIVERS\SandBox.sys [2008-09-03 673920]
R1 SASDIFSV;SASDIFSV;??\c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2008-08-19 8944]
R1 SASKUTIL;SASKUTIL;??\c:\program files\SUPERAntiSpyware\SASKUTIL.sys [2008-08-19 55024]
R2 acssrv;Agnitum Client Security Service;c:\progra~1\Agnitum\OUTPOS~1\acs.exe [2008-09-03 1570136]
R3 afw;Agnitum firewall driver;c:\windows\system32\DRIVERS\afw.sys [2008-09-03 30864]
R3 afwcore;afwcore;c:\windows\system32\drivers\afwcore.sys [2008-09-03 234640]
R3 ASWFilt;ASWFilt;c:\windows\system32\Filt\ASWFilt.dll [2008-09-03 33408]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\DRIVERS\atl01_xp.sys [2002-01-06 38656]
R3 CtUsbMs;Creative HID USB Filter Driver;c:\windows\system32\DRIVERS\CtUsbMs.Sys [2008-03-05 14720]
R3 LycoFltr;Lycosa Keyboard;c:\windows\system32\Drivers\Lycosa.sys [2008-11-10 16896]
R3 VBEngNT;VBEngNT;c:\windows\system32\DRIVERS\VBEngNT.sys [2008-09-03 1072722]
R3 VBFilt;VBFilt;c:\windows\system32\Filt\VBFilt.dll [2008-09-03 158816]
S3 SASENUM;SASENUM;??\c:\program files\SUPERAntiSpyware\SASENUM.SYS [2008-08-19 7408]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Zawartość folderu ‘Zaplanowane zadania’
2008-12-12 c:\windows\Tasks\1-Click Maintenance.job
- c:\program files\TuneUp Utilities 2007\SystemOptimizer.exe [2006-12-19 16:53]
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.interia.pl/
uInternet Connection Wizard,ShellNext = hxxp://www.steampowered.com/nvidia
IE: Eksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Subskrybuj w RssSpeed
LSP: c:\windows\system32\imon.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-15 16:31:10
Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPI
skanowanie ukrytych procesów …
skanowanie ukrytych wpisów autostartu …
skanowanie ukrytych plików …
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
-
-
-
-
-
-
- ‘winlogon.exe’(1152)
-
-
-
-
-
c:\program files\SUPERAntiSpyware\SASWINLO.dll
-
-
-
-
-
-
- ‘lsass.exe’(1208)
-
-
-
-
-
c:\windows\system32\imon.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\program files\AGNITUM\OUTPOST SECURITY SUITE PRO\ACS.EXE
c:\program files\CFOSSPEED\SPD.EXE
c:\windows\SYSTEM32\CTSVCCDA.EXE
c:\program files\NERO\NERO8\NERO BACKITUP\NBSERVICE.EXE
c:\program files\AGNITUM\OUTPOST SECURITY SUITE PRO\OP_MON.EXE
c:\windows\SYSTEM32\NVSVC32.EXE
c:\windows\SYSTEM32\PNKBSTRA.EXE
c:\windows\SYSTEM32\RUNDLL32.EXE
c:\windows\SYSTEM32\CTXFISPI.EXE
c:\windows\SYSTEM32\PNKBSTRB.EXE
c:\documents and settings\ALL USERS.WINDOWS\MENU START\PROGRAMY\AUTOSTART\SYSINFOMYWORK.EXE
c:\program files\CYBERLINK\SHARED FILES\RICHVIDEO.EXE
c:\program files\MICROSOFT ACTIVESYNC\RAPIMGR.EXE
.
**************************************************************************
.
Czas ukończenia: 2008-12-15 16:33:01 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2008-12-15 15:33:00
Przed: 9,114,664,960 bajtów wolnych
Po: 9,050,505,216 bajtów wolnych
230 — E O F — 2008-11-13 12:16:50