witam
mam problem z malware doctor, przeskanowalem dysk combofix i na koncu wygenerowal mi taki log:
ComboFix 09-05-07.A0 - User 2009-05-08 13:27.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.48.1045.18.1015.463 [GMT 2:00]
Uruchomiony z: c:\documents and settings\User\Pulpit\ComboFix.exe
AV: Kaspersky Anti-Virus 5.0 for Windows Workstations *On-access scanning disabled* (Updated)
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\LocalService\Dane aplikacji\916653139.exe
c:\documents and settings\User\Dane aplikacji\wiaserva.log
c:\windows\system32\sft.res
.
((((((((((((((((((((((((( Pliki utworzone od 2009-04-08 do 2009-05-08 )))))))))))))))))))))))))))))))
.
2009-05-06 05:42 . 2009-05-06 05:42 32768 ----a-w c:\windows\system32\AshEvtSvc.exe
2009-04-16 11:49 . 2009-04-16 11:49 -------- d-----w c:\program files\PingPlotter Standard
2009-04-16 10:35 . 2008-04-13 17:45 32128 -c–a-w c:\windows\system32\dllcache\usbccgp.sys
2009-04-16 10:35 . 2008-04-13 17:45 32128 ----a-w c:\windows\system32\drivers\usbccgp.sys
2009-04-16 10:35 . 2008-04-17 13:50 24448 ----a-w c:\windows\system32\drivers\ewdcsc.sys
2009-04-16 10:35 . 2008-04-17 13:52 103168 ----a-w c:\windows\system32\drivers\ewusbfake.sys
2009-04-16 10:35 . 2008-04-17 13:52 101376 ----a-w c:\windows\system32\drivers\ewusbmdm.sys
2009-04-16 10:35 . 2008-04-17 13:53 100992 ----a-w c:\windows\system32\drivers\ewusbnet.sys
2009-04-16 10:35 . 2008-04-17 13:54 872192 ----a-w c:\windows\system32\drivers\mod7700.sys
2009-04-16 10:34 . 2009-04-16 11:14 -------- d-----w c:\program files\blueconnect
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-08 11:29 . 2009-04-03 10:09 91486 ----a-w c:\windows\system32\drivers\f6bfe758.sys
2009-04-16 11:03 . 2006-03-02 12:00 89166 ----a-w c:\windows\system32\perfc015.dat
2009-04-16 11:03 . 2006-03-02 12:00 500826 ----a-w c:\windows\system32\perfh015.dat
2009-04-14 23:49 . 2009-04-16 11:49 44 —h–w c:\program files\178cacd9.tmp
2009-04-06 05:29 . 2009-04-03 10:09 32 --s-a-w c:\windows\system32\2089049601.dat
2009-02-09 14:07 . 2006-03-02 12:00 1847040 ----a-w c:\windows\system32\win32k.sys
2009-01-13 07:28 . 2009-01-13 07:27 5350221 ----a-w c:\program files\zalaczniki.zip
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”=“c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe” [2007-05-16 153136]
“ctfmon.exe”=“c:\windows\system32\ctfmon.exe” [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“igfxtray”=“c:\windows\system32\igfxtray.exe” [2005-11-28 98304]
“igfxhkcmd”=“c:\windows\system32\hkcmd.exe” [2005-11-28 77824]
“igfxpers”=“c:\windows\system32\igfxpers.exe” [2005-11-28 118784]
“NeroFilterCheck”=“c:\program files\Common Files\Ahead\Lib\NeroCheck.exe” [2007-03-01 153136]
“Easy-PrintToolBox”=“c:\program files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE” [2006-10-17 398944]
“RTHDCPL”=“RTHDCPL.EXE” - c:\windows\RTHDCPL.exe [2006-05-18 16207872]
“SkyTel”=“SkyTel.EXE” - c:\windows\SkyTel.exe [2006-05-16 2879488]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\KLBLMain]
@=“Service”
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
“AntiVirusDisableNotify”=dword:00000001
“UpdatesDisableNotify”=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
“DisableMonitoring”=dword:00000001
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
“%windir%\system32\sessmgr.exe”=
R0 Klmc;Klmc;c:\windows\system32\drivers\Klmc.sys [2005-09-14 11315]
R2 ashevtsvc;ashevtsvc;c:\windows\System32\AshEvtSvc.exe -k netsvcs – c:\windows\System32\AshEvtSvc.exe -k netsvcs [?]
S2 ImapiServiceSwPrv;Usługa COM nagrywania dysków CD IMAPI ImapiServiceSwPrv;c:\windows\system32\advpack.dlld.exe srv – c:\windows\system32\advpack.dlld.exe srv [?]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{07b91814-3b97-11dd-afe9-0000e8290382}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{1f86a650-2a72-11de-b0df-0000e8290382}]
\shell\autorun\command - F:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{48f77eb6-2b2a-11de-b0e0-0000e8290382}]
\shell\autorun\command - F:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{74282464-bf79-11dd-b075-0000e8290382}]
\sHell\AUtOplay\comMand - F:\nkffmu.exe
\sHell\AutoRun\command - F:\nkffmu.exe
\sHell\ExpLoRe\CommaND - F:\nkffmu.exe
\sHell\OPen\comMAnD - F:\nkffmu.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{a235a7d6-2a77-11de-b0df-0000e8290382}]
\shell\autorun\command - F:\AutoRun.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{e5b48bce-2ab7-11dc-af3e-0000e8290382}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs
.
-
-
-
- USUNIĘTO PUSTE WPISY - - - -
-
-
HKCU-Run-Malware Doctor - c:\documents and settings\LocalService\Dane aplikacji\916653139.exe
HKLM-Run-KAV50 - c:\program files\Kaspersky Lab\Kaspersky Anti-Virus for Workstation 5\kwsprod.exe -run -n Workstation -v 5.0.0.0
HKLM-Run-Malware Doctor - c:\documents and settings\LocalService\Dane aplikacji\916653139.exe
.
------- Skan uzupełniający -------
.
uInternet Connection Wizard,ShellNext = iexplore
IE: Easy-WebPrint – Dodaj do listy drukowania - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Easy-WebPrint – Drukuj - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint – Drukuj z dużą szybkością - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint – Podgląd - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
FF - ProfilePath - c:\documents and settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\ot6x0hy4.default\
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-08 13:29
Windows 5.1.2600 Dodatek Service Pack 3 NTFS
skanowanie ukrytych procesów …
skanowanie ukrytych wpisów autostartu …
skanowanie ukrytych plików …
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\f6bfe758]
“ImagePath”="\SystemRoot\System32\drivers\f6bfe758.sys"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
-
-
-
-
-
-
- ‘winlogon.exe’(520)
-
-
-
-
-
c:\windows\system32\igfxdev.dll
.
Czas ukończenia: 2009-05-08 13:30
ComboFix-quarantined-files.txt 2009-05-08 11:30
Przed: 8 287 264 768 bajtów wolnych
Po: 10 595 852 288 bajtów wolnych
117 — E O F — 2009-03-20 13:49
BARDZO PROSZE O POMOC CO MAM DALEJ ZROBIC PONIEWAZ PRZECZYTALEM ZE COS JESZCZE SIE ROBI A NIE BARDZO SIE ORIENTUJE, DZIEKI