Pomoc malware doctor!


(Marcein) #1

witam !!

mam problem z malware doctor, przeskanowalem dysk combofix i na koncu wygenerowal mi taki log:

ComboFix 09-05-07.A0 - User 2009-05-08 13:27.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.3.1250.48.1045.18.1015.463 [GMT 2:00]

Uruchomiony z: c:\documents and settings\User\Pulpit\ComboFix.exe

AV: Kaspersky Anti-Virus 5.0 for Windows Workstations *On-access scanning disabled* (Updated)

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\LocalService\Dane aplikacji\916653139.exe

c:\documents and settings\User\Dane aplikacji\wiaserva.log

c:\windows\system32\sft.res

.

((((((((((((((((((((((((( Pliki utworzone od 2009-04-08 do 2009-05-08 )))))))))))))))))))))))))))))))

.

2009-05-06 05:42 . 2009-05-06 05:42 32768 ----a-w c:\windows\system32\AshEvtSvc.exe

2009-04-16 11:49 . 2009-04-16 11:49 -------- d-----w c:\program files\PingPlotter Standard

2009-04-16 10:35 . 2008-04-13 17:45 32128 -c--a-w c:\windows\system32\dllcache\usbccgp.sys

2009-04-16 10:35 . 2008-04-13 17:45 32128 ----a-w c:\windows\system32\drivers\usbccgp.sys

2009-04-16 10:35 . 2008-04-17 13:50 24448 ----a-w c:\windows\system32\drivers\ewdcsc.sys

2009-04-16 10:35 . 2008-04-17 13:52 103168 ----a-w c:\windows\system32\drivers\ewusbfake.sys

2009-04-16 10:35 . 2008-04-17 13:52 101376 ----a-w c:\windows\system32\drivers\ewusbmdm.sys

2009-04-16 10:35 . 2008-04-17 13:53 100992 ----a-w c:\windows\system32\drivers\ewusbnet.sys

2009-04-16 10:35 . 2008-04-17 13:54 872192 ----a-w c:\windows\system32\drivers\mod7700.sys

2009-04-16 10:34 . 2009-04-16 11:14 -------- d-----w c:\program files\blueconnect

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-05-08 11:29 . 2009-04-03 10:09 91486 ----a-w c:\windows\system32\drivers\f6bfe758.sys

2009-04-16 11:03 . 2006-03-02 12:00 89166 ----a-w c:\windows\system32\perfc015.dat

2009-04-16 11:03 . 2006-03-02 12:00 500826 ----a-w c:\windows\system32\perfh015.dat

2009-04-14 23:49 . 2009-04-16 11:49 44 ---h--w c:\program files\178cacd9.tmp

2009-04-06 05:29 . 2009-04-03 10:09 32 --s-a-w c:\windows\system32\2089049601.dat

2009-02-09 14:07 . 2006-03-02 12:00 1847040 ----a-w c:\windows\system32\win32k.sys

2009-01-13 07:28 . 2009-01-13 07:27 5350221 ----a-w c:\program files\zalaczniki.zip

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 153136]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-11-28 98304]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-11-28 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-11-28 118784]

"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]

"Easy-PrintToolBox"="c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2006-10-17 398944]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-05-18 16207872]

"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\KLBLMain]

@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\system32\sessmgr.exe"=

R0 Klmc;Klmc;c:\windows\system32\drivers\Klmc.sys [2005-09-14 11315]

R2 ashevtsvc;ashevtsvc;c:\windows\System32\AshEvtSvc.exe -k netsvcs -- c:\windows\System32\AshEvtSvc.exe -k netsvcs [?]

S2 ImapiServiceSwPrv;Usługa COM nagrywania dysków CD IMAPI ImapiServiceSwPrv;c:\windows\system32\advpack.dlld.exe srv -- c:\windows\system32\advpack.dlld.exe srv [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{07b91814-3b97-11dd-afe9-0000e8290382}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{1f86a650-2a72-11de-b0df-0000e8290382}]

\shell\autorun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{48f77eb6-2b2a-11de-b0e0-0000e8290382}]

\shell\autorun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{74282464-bf79-11dd-b075-0000e8290382}]

\sHell\AUtOplay\comMand - F:\nkffmu.exe

\sHell\AutoRun\command - F:\nkffmu.exe

\sHell\ExpLoRe\CommaND - F:\nkffmu.exe

\sHell\OPen\comMAnD - F:\nkffmu.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{a235a7d6-2a77-11de-b0df-0000e8290382}]

\shell\autorun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{e5b48bce-2ab7-11dc-af3e-0000e8290382}]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs

.

  • USUNIĘTO PUSTE WPISY - - - -

HKCU-Run-Malware Doctor - c:\documents and settings\LocalService\Dane aplikacji\916653139.exe

HKLM-Run-KAV50 - c:\program files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe -run -n Workstation -v 5.0.0.0

HKLM-Run-Malware Doctor - c:\documents and settings\LocalService\Dane aplikacji\916653139.exe

.

------- Skan uzupełniający -------

.

uInternet Connection Wizard,ShellNext = iexplore

IE: Easy-WebPrint – Dodaj do listy drukowania - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html

IE: Easy-WebPrint – Drukuj - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html

IE: Easy-WebPrint – Drukuj z dużą szybkością - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html

IE: Easy-WebPrint – Podgląd - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html

FF - ProfilePath - c:\documents and settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\ot6x0hy4.default\

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-08 13:29

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\f6bfe758]

"ImagePath"="\SystemRoot\System32\drivers\f6bfe758.sys"

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

  • 'winlogon.exe'(520)

c:\windows\system32\igfxdev.dll

.

Czas ukończenia: 2009-05-08 13:30

ComboFix-quarantined-files.txt 2009-05-08 11:30

Przed: 8 287 264 768 bajtów wolnych

Po: 10 595 852 288 bajtów wolnych

117 --- E O F --- 2009-03-20 13:49

BARDZO PROSZE O POMOC CO MAM DALEJ ZROBIC PONIEWAZ PRZECZYTALEM ZE COS JESZCZE SIE ROBI A NIE BARDZO SIE ORIENTUJE, DZIEKI


(dethloe123) #2

Wylecz pendrive Flash Disinfector http://www.searchengines.pl/Kolekcja-narzedzi-usuwajacych-!-t31936.html/ lub sformatuj.

Wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na http://www.wklej.org/ a w poście daj linka.