Podczas próby eksploracji dysków komunikat o pliku copy.exe


(Jacekpioo) #1

i podczas uruchomienia np Moj komputer wyskakuje komunikat Smartwebpriting oraz o podaniu sciezki dostepu do dysku

podaje logi z ComboFix

ComboFix 10-01-11.01 - Jacek 2010-01-11 21:13:45.1.2 - x86

Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.2038.1567 [GMT 1:00]

Uruchomiony z: c:\documents and settings\Jacek\Moje dokumenty\Pobieranie\ComboFix.exe

AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}

FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\d3d10core.dll

c:\windows\system32\kernel32new.dll

c:\windows\system32\msvcrtnew.dll

.

((((((((((((((((((((((((( Pliki utworzone od 2009-12-11 do 2010-01-11 )))))))))))))))))))))))))))))))

.

2010-01-11 19:41 . 2010-01-11 19:41 -------- d-----w- c:\documents and settings\Jacek\Dane aplikacji\Nokia Multimedia Player

2010-01-11 18:20 . 2010-01-11 18:20 -------- d-----w- c:\program files\Common Files\Nokia

2010-01-11 18:20 . 2010-01-11 18:20 -------- d-----w- c:\program files\Common Files\PCSuite

2010-01-11 18:20 . 2007-02-22 10:15 12288 ----a-w- c:\windows\system32\drivers\nmwcdcm.sys

2010-01-11 18:20 . 2007-02-22 10:15 12288 ----a-w- c:\windows\system32\drivers\nmwcdcj.sys

2010-01-11 18:19 . 2007-02-22 10:15 8320 ----a-w- c:\windows\system32\drivers\nmwcdc.sys

2010-01-11 18:19 . 2007-02-22 10:15 137216 ----a-w- c:\windows\system32\drivers\nmwcd.sys

2010-01-11 18:19 . 2007-02-22 10:15 65536 ----a-w- c:\windows\system32\nmwcdcocls.dll

2010-01-09 23:25 . 2010-01-09 23:25 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\McAfee Security Scan

2010-01-09 23:24 . 2010-01-09 23:25 1924200 ----a-w- c:\documents and settings\All Users\Dane aplikacji\NOS\Adobe_Downloads\install_flash_player.exe

2010-01-09 23:24 . 2010-01-10 07:38 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\NOS

2010-01-01 22:41 . 2010-01-01 22:41 40624 ---ha-w- c:\windows\system32\mlfcache.dat

2009-12-30 09:00 . 2009-12-30 09:02 -------- d-----w- C:\Rummy Royal

2009-12-28 21:33 . 2006-10-14 15:43 27648 ----a-w- c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll

2009-12-28 21:32 . 2006-06-29 12:07 14048 ------w- c:\windows\system32\spmsg2.dll

2009-12-28 21:23 . 2009-12-28 21:23 -------- d-----w- c:\program files\Common Files\Canon

2009-12-27 21:27 . 2009-12-27 21:27 0 ----a-w- c:\windows\nsreg.dat

2009-12-27 21:27 . 2009-12-27 21:27 -------- d-----w- c:\documents and settings\Jacek\Ustawienia lokalne\Dane aplikacji\Mozilla

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-01-11 20:21 . 2009-05-19 16:16 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab

2010-01-11 20:19 . 2009-05-19 16:16 630816 --sha-w- c:\windows\system32\drivers\fidbox2.dat

2010-01-11 20:19 . 2009-05-19 16:16 3336736 --sha-w- c:\windows\system32\drivers\fidbox.dat

2010-01-11 20:19 . 2009-05-19 16:16 3236 --sha-w- c:\windows\system32\drivers\fidbox2.idx

2010-01-11 20:19 . 2009-05-19 16:16 28196 --sha-w- c:\windows\system32\drivers\fidbox.idx

2010-01-11 19:48 . 2008-12-08 22:07 -------- d--h--w- c:\program files\InstallShield Installation Information

2010-01-11 18:47 . 2009-06-12 18:00 -------- d-----w- c:\documents and settings\Jacek\Dane aplikacji\Nokia

2010-01-11 18:24 . 2009-06-12 18:00 -------- d-----w- c:\documents and settings\Jacek\Dane aplikacji\PC Suite

2010-01-11 18:18 . 2009-06-12 17:59 8192 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Installations{A982E6CC-9F0D-4948-9B18-BDFD55DE4A72}\Installations\CommonCustomActions\UninstCCD.exe

2010-01-11 18:18 . 2009-06-12 17:59 61440 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Installations{A982E6CC-9F0D-4948-9B18-BDFD55DE4A72}\Installations\CommonCustomActions\UninstPCSFEMsi.exe

2010-01-11 18:18 . 2009-06-12 17:59 10240 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Installations{A982E6CC-9F0D-4948-9B18-BDFD55DE4A72}\Installations\CommonCustomActions\UninstPCS.exe

2010-01-10 21:08 . 2009-02-08 18:29 -------- d-----w- c:\documents and settings\Jacek\Dane aplikacji\HPAppData

2010-01-10 20:54 . 2008-12-24 08:30 -------- d-----w- c:\documents and settings\Jacek\Dane aplikacji\Skype

2010-01-10 15:06 . 2008-12-24 08:30 -------- d-----w- c:\documents and settings\Jacek\Dane aplikacji\skypePM

2009-12-28 21:34 . 2001-10-26 16:15 66312 ----a-w- c:\windows\system32\perfc015.dat

2009-12-28 21:34 . 2001-10-26 16:15 386692 ----a-w- c:\windows\system32\perfh015.dat

2009-12-27 21:48 . 2008-12-09 15:53 -------- d-----w- c:\program files\Opera

2009-11-15 22:10 . 2009-11-12 21:22 -------- d-----w- c:\program files\Allegro Imager

2009-11-12 21:17 . 2009-11-12 21:17 -------- d-----w- c:\program files\Allegro

2009-11-09 18:00 . 2009-11-11 18:36 85504 ----a-w- c:\windows\system32\ff_vfw.dll

2009-11-06 16:09 . 2009-11-06 16:09 691696 ----a-w- c:\windows\system32\drivers\sptd.sys

2009-10-14 15:26 . 2009-05-19 16:17 95259 ----a-w- c:\windows\system32\drivers\klick.dat

2009-10-14 15:26 . 2009-05-19 16:17 108059 ----a-w- c:\windows\system32\drivers\klin.dat

2008-03-09 05:25 . 2009-06-14 12:44 236 ----a-w- c:\program files\Common Files\dx.reg

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-03 1667584]

"Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2009-08-31 11391592]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-05 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-05 162328]

"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-05 137752]

"Camera Assistant Software"="c:\program files\Camera Assistant Software for Toshiba\traybar.exe" [2007-10-25 413696]

"THotkey"="c:\program files\Toshiba\Toshiba Applet\thotkey.exe" [2008-03-04 360448]

"TFncKy"="TFncKy.exe" [bU]

"TPSMain"="TPSMain.exe" [2007-10-08 262144]

"NDSTray.exe"="NDSTray.exe" [bU]

"RTHDCPL"="RTHDCPL.EXE" [2008-01-29 16859648]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2008-03-25 49152]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-21 148888]

"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-07-21 208616]

"UVS11 Preload"="c:\program files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe" [2007-09-12 340136]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"PCSuiteTrayApplication"="c:\documents and settings\Jacek\Pulpit\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 271360]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

"Nokia.PCSync"="c:\documents and settings\Jacek\Pulpit\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"c:\Nexon\NEXON_EU_Downloader\NEXON_EU_Downloader_Engine.exe"=

"c:\Program Files\Electronic Arts\EADM\Core.exe"=

"c:\Program Files\TOSHIBA\ConfigFree\CFXFER.exe"=

"c:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe"=

"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager

"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager

"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

"c:\Program Files\Nowe Gadu-Gadu\gg.exe"=

"c:\Program Files\Skype\Phone\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2009-11-06 691696]

R3 FwLnk;FwLnk Driver;c:\windows\system32\drivers\FwLnk.sys [2008-12-08 5888]

R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [2008-03-13 26640]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]

R3 RTL8187B;Realtek RTL8187B bezprzewodowe 802.11b/g 54Mbps USB 2.0 karta sieciowa ;c:\windows\system32\drivers\RTL8187B.sys [2008-12-08 288000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

getPlusHelper REG_MULTI_SZ getPlusHelper

.

.

------- Skan uzupełniający -------

.

uDefault_Search_URL = hxxp://www.google.com/ie

uInternet Connection Wizard,ShellNext = iexplore

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: Dodaj do listy blokowanych banerów - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm

IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\496yb6bf.default\

FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll

FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-01-11 21:21

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8A4F51F8]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xba0ecfc3

\Driver\ACPI -> ACPI.sys @ 0xb9e73cb8

\Driver\atapi -> 0x8a4f51f8

IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058236c

ParseProcedure -> ntkrnlpa.exe @ 0x8058146a

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058236c

ParseProcedure -> ntkrnlpa.exe @ 0x8058146a

NDIS: -> SendCompleteHandler -> 0x0

PacketIndicateHandler -> 0x0

SendHandler -> 0x0

Warning: possible MBR rootkit infection !

user & kernel MBR OK

**************************************************************************

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_USERS\S-1-5-21-343818398-1060284298-725345543-1003\Software\SecuROM\License information*]

"datasecu"=hex:59,b7,a6,cf,16,c0,b1,e3,d7,c8,33,ea,c6,73,ff,40,36,4b,39,e7,7f,

5b,0c,a1,fa,1b,91,65,25,79,c5,20,b9,08,1c,5e,e3,d3,e2,fc,7e,19,8e,fc,f6,ee,\

"rkeysecu"=hex:fc,9e,97,bd,08,20,5d,c8,17,a7,ee,e4,93,05,a3,9a

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

  • > 'explorer.exe'(2344)

c:\windows\system32\browselc.dll

c:\windows\system32\msi.dll

c:\windows\system32\ieframe.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\TPwrCfg.DLL

c:\windows\system32\TPwrReg.dll

c:\windows\system32\TPSTrace.DLL

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\program files\Common Files\InterVideo\DeviceService\DevSvc.exe

c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\PnkBstrA.exe

c:\program files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe

c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\igfxsrvc.exe

c:\windows\system32\TPSMain.exe

c:\program files\TOSHIBA\ConfigFree\NDSTray.exe

c:\windows\RTHDCPL.EXE

c:\windows\system32\TPSBattM.exe

c:\program files\Microsoft ActiveSync\wcescomm.exe

c:\program files\PC Connectivity Solution\ServiceLayer.exe

c:\progra~1\MICROS~3\rapimgr.exe

c:\program files\Nowe Gadu-Gadu\spellchecker_gg.exe

c:\program files\Camera Assistant Software for Toshiba\CEC_MAIN.exe

.

**************************************************************************

.

Czas ukończenia: 2010-01-11 21:24:35 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2010-01-11 20:24

Przed: 91 895 656 448 bajtów wolnych

Po: 92 171 956 224 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

  • End Of File - - 0279910A48F3F31B6B9D21BD010184AB

Prosze o pomoc . co za syf . jestem laikiem wiec prosze o jak najprostsze wyjasnienie


(jessica) #2

Czy po użyciu ComboFixa dalej występuje problem?

Bo ja w logu nie widzę niczego szkodliwego, oprócz tego, co usunął już ComboFix.

jessi


(rogacz) #3

Jessica a ten fragment logu?


(Jacekpioo) #4

tak nadal to samo :confused:


(jessica) #5

@ rogacz - to tylko ostrzeżenie , że możliwy jest Rootkit, ale na końcu widać:

Oczywiście można to jeszcze sprawdzić dodatkowo.

@ jacekpioo

Daj log z <> mbr.exe >http://www.searchengines.pl/index.php?show...mp;#entry470953 (scan trwa tylko 2 sekundy)

Objawy wskazują na infekcję pendrivową, ale log tego nie potwierdza, nie widać nawet śladu, by pendrive był w ogóle używany.

Daj raport z >http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html

jessi


(Henio Mazurek) #6

To akurat rootkitowa działalność sterownika SPTD.

Do sprawdzenia te pliki, bo nie wyglądają na wirusy. Przeskanuj je na VirusTotal. Napisz czy je znasz. Czy kombinowałeś coś z DX10 na XP?

Czy możesz pokazać zawartość tego pliku?

PPM => Edytuj => wklej zawartość.

Wklej logi z OTL + GMER + SRENG (poszukaj w ogłoszeniach działu), oraz ze zlinkowanego wyżej MBAM + mbr.

Ale o co dokładnie chodzi, o komunikat Smartwebprinting czy monit o podanie ścieżki dostępu do dysku. Czy obie te rzeczy?