Proszę o sprawdzenie loga


(Aduchat) #1

powodem jest wirus na pen drive

ComboFix 08-08-01.05 - Użytkownik 2008-08-03 9:27:25.5 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.281 [GMT 2:00]

Running from: C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Pulpit\ComboFix.exe

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

I:\autorun.inf

.

((((((((((((((((((((((((( Files Created from 2008-07-03 to 2008-08-03 )))))))))))))))))))))))))))))))

.

2008-07-27 08:27 . 2008-07-27 08:27

2008-07-27 08:27 . 2008-07-27 08:27

2008-07-27 08:22 . 2008-07-27 08:23

2008-07-27 08:22 . 2008-07-27 08:27

2008-07-24 09:20 . 2008-07-24 09:20

2008-07-24 09:20 . 2008-07-24 09:20

2008-07-20 13:18 . 2008-07-20 13:22

2008-07-16 11:42 . 2008-07-16 11:42

2008-07-14 22:02 . 2008-07-14 22:02

2008-07-14 22:02 . 2008-07-14 22:02

2008-07-06 16:35 . 2008-07-06 16:36

2008-07-06 16:35 . 2008-07-06 16:36

2008-07-06 13:51 . 2008-07-06 13:51

2008-07-06 13:46 . 2008-07-13 08:30

2008-07-06 12:32 . 2008-07-06 12:32

2008-07-06 12:32 . 2008-07-06 12:32

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-01 20:02 --------- d-----w C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Dane aplikacji\OpenOffice.org2

2008-07-30 15:52 --------- d-----w C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Dane aplikacji\BearShare

2008-07-20 10:51 --------- d-----w C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Dane aplikacji\Skype

2008-07-17 21:20 --------- d-----w C:\Program Files\Asprate

2008-07-16 12:39 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-07-06 09:22 --------- d-----w C:\Program Files\Ganymede

2008-06-15 10:06 --------- d-----w C:\Program Files\Common Files\Adobe

2008-06-15 10:03 --------- d-----w C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Dane aplikacji\AdobeUM

2008-06-06 15:30 --------- d-----w C:\Program Files\Kaspersky Lab

2008-05-11 18:52 888 ----a-w C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\chroma2.dat

2008-05-11 18:52 888 ----a-w C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\chroma2.dat

2008-05-11 18:50 4,312 ----a-w C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\chroma.dat

2008-05-11 18:50 4,312 ----a-w C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\chroma.dat

2006-03-27 18:37 36 ----a-w C:\Documents and Settings\Użytkownik\klextlock.dat

1999-11-10 19:56 44 ----a-w C:\Program Files\safemode.bat

1999-10-23 22:42 32 ----a-w C:\Program Files\safemode.tcf

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44 15360]

"Gadu-Gadu"="D:\Gadu-Gadu\gg.exe" [2008-03-20 12:04 2127296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-07-13 02:50 4112384]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2004-07-13 02:50 81920]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2008-01-10 16:27 385024]

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-07-09 23:33 36352]

"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 01:06 487424]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]

"SoundMan"="SOUNDMAN.EXE" [2004-12-22 11:09 77824 C:\WINDOWS\SOUNDMAN.EXE]

"nwiz"="nwiz.exe" [2004-07-13 02:50 843776 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360]

"Picasa Media Detector"="D:\Picasa2\PicasaMediaDetector.exe" [2008-02-26 02:23 443968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.I420"= i263_32.drv

"vidc.3ivx"= 3ivxVfWCodec.dll

"vidc.3iv2"= 3ivxVfWCodec.dll

"msacm.divxa32"= divxa32.acm

"VIDC.HFYU"= huffyuv.dll

"VIDC.i263"= i263_32.drv

"msacm.imc"= imc32.acm

"VIDC.VP31"= vp31vfw.dll

"vidc.DIV3"= DivXc32.dll

"vidc.DIV4"= DivXc32f.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"C:\WINDOWS\system32\dplaysvr.exe"=

"D:\Gadu-Gadu\gg.exe"=

"C:\Program Files\Mozilla Firefox\firefox.exe"=

"C:\Program Files\BitComet\BitComet.exe"=

"C:\Program Files\BearShare Applications\BearShare\BearShare.exe"=

"D:\Program Files\THawk2.exe"=

"C:\Program Files\Monte Cristo\Airline Tycoon Evolution\at.exe"=

"C:\Program Files\Skype\Phone\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"25018:TCP"= 25018:TCP:BitComet 25018 TCP

"25018:UDP"= 25018:UDP:BitComet 25018 UDP

R0 uliagpkx;ULi AGP Bus Filter Driver;C:\WINDOWS\system32\DRIVERS\agpkx.sys [2005-05-03 11:31]

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

*Newly Created Service* - CATCHME

.

Contents of the 'Scheduled Tasks' folder

2008-07-16 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

  • C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57]

.

.

------- Supplementary Scan -------

.

FireFox -: Profile - C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Dane aplikacji\Mozilla\Firefox\Profiles\k0jl9yug.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.portalowiec.pl/

FF -: plugin - C:\Program Files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll

FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\NPBRIDGE.dll

FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\NPCARDS.dll

FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npganymedenet.dll

FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\NPWORDS.dll

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-03 09:28:50

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-08-03 9:29:57

ComboFix-quarantined-files.txt 2008-08-03 07:29:53

Pre-Run: 5,661,286,400 bajtów wolnych

Post-Run: 5,667,975,168 bajtów wolnych

130


(huber2t) #2

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Aduchat) #3

C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Dr Watson\user.dmp Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Dane aplikacji\Sony Ericsson\Teleca\Telecalib\Logging\Application logs\appLauncher_all_log.txt Object is locked pominięty

C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Dane aplikacji\Sony Ericsson\Teleca\Telecalib\Logging\Application logs\DM_log.txt Object is locked pominięty

C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Dane aplikacji\Sony Ericsson\Teleca\Telecalib\Logging\Application logs\HookStarter_log.txt Object is locked pominięty

C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Dane aplikacji\Sony Ericsson\Teleca\Telecalib\Logging\Application logs\SpecificUSB_log.txt Object is locked pominięty

C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Dane aplikacji\Sony Ericsson\Teleca\Telecalib\Logging\Application logs\TlibCmnDlgs_log.txt Object is locked pominięty

C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Ustawienia lokalne\Dane aplikacji\Identities{975AE65C-7319-42ED-942E-B59FB587632D}\Microsoft\Outlook Express\Elementy wysłane.dbx/[From "Aducha"][Date Sun, 20 Jul 2008 12:27:59 +0200]/ipchanger.rar/Installer.exe/data0000.cab/taskmgrs.exe Zainfekowanych: Trojan.Win32.Agent.wle pominięty

C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Ustawienia lokalne\Dane aplikacji\Identities{975AE65C-7319-42ED-942E-B59FB587632D}\Microsoft\Outlook Express\Elementy wysłane.dbx/[From "Aducha"][Date Sun, 20 Jul 2008 12:27:59 +0200]/ipchanger.rar/Installer.exe/data0000.cab Zainfekowanych: Trojan.Win32.Agent.wle pominięty

C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Ustawienia lokalne\Dane aplikacji\Identities{975AE65C-7319-42ED-942E-B59FB587632D}\Microsoft\Outlook Express\Elementy wysłane.dbx/[From "Aducha"][Date Sun, 20 Jul 2008 12:27:59 +0200]/ipchanger.rar/Installer.exe Zainfekowanych: Trojan.Win32.Agent.wle pominięty

C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Ustawienia lokalne\Dane aplikacji\Identities{975AE65C-7319-42ED-942E-B59FB587632D}\Microsoft\Outlook Express\Elementy wysłane.dbx/[From "Aducha"][Date Sun, 20 Jul 2008 12:27:59 +0200]/ipchanger.rar Zainfekowanych: Trojan.Win32.Agent.wle pominięty

C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Ustawienia lokalne\Dane aplikacji\Identities{975AE65C-7319-42ED-942E-B59FB587632D}\Microsoft\Outlook Express\Elementy wysłane.dbx MailMSOutlook5: zainfekowany - 4 pominięty

C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Ustawienia lokalne\Dane aplikacji\Last.fm\Client\Last.fm.log Object is locked pominięty

C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Ustawienia lokalne\Dane aplikacji\Last.fm\collection.db Object is locked pominięty

C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Ustawienia lokalne\temp\etilqs_oaxZbcGxFWzTfAp Object is locked pominięty

C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\integ\avast.int Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\report\Osłona rezydentna.txt Object is locked pominięty

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

C:\System Volume Information_restore{8E4EBE7F-16D4-45E2-B307-1F155743256B}\RP439\change.log Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\WINDOWS\Sti_Trace.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\drivers\sptd.sys Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\Temp\Perflib_Perfdata_5d8.dat Object is locked pominięty

C:\WINDOWS\Temp_avast4_\Webshlock.txt Object is locked pominięty

C:\WINDOWS\wiadebug.log Object is locked pominięty

C:\WINDOWS\wiaservc.log Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

I:\Recycled\ctfmon.exe Zainfekowanych: Trojan.Win32.VB.aqt pominięty


(huber2t) #4

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Ustawienia lokalne\Dane aplikacji\Identities\{975AE65C-7319-42ED-942E-B59FB587632D}\Microsoft\Outlook Express\Elementy wysłane.dbx

I:\Recycled\ctfmon.exe

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(Aduchat) #5

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

File "C:\Documents and Settings\Użytkownik.U-D4EC6129195B4\Ustawienia lokalne\Dane aplikacji\Identities{975AE65C-7319-42ED-942E-B59FB587632D}\Microsoft\Outlook Express\Elementy wysłane.dbx" deleted successfully.

Error: could not open file "I:\Recycled\ctfmon.exe"

Deletion of file "I:\Recycled\ctfmon.exe" failed!

Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)

--> bad path / the parent directory does not exist

Completed script processing.

*******************

Finished! Terminate.


(huber2t) #6

Podłącz dysk i usun kilboxem to:

I:\Recycled\ctfmon.exe

Poza tym ok

:slight_smile:


(JNJN) #7

Przeczytaj tematy przyklejone w tym dziale i popraw posty, opcja edytuj.JNJN


(Aduchat) #8

chyba jest ok

bardzo dziękuje