Sprawdzenie loga ,pomoc


(Maglo) #1

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-05 17:02:33

Windows 5.1.2600 Dodatek Service Pack 2

scanning processes ...

IPC error: 2 Nie można odnaleźć określonego pliku.

System [4]

C:\WINDOWS\system32\smss.exe [556] 0x862073C8

C:\WINDOWS\system32\csrss.exe [612] 0x86279350

C:\WINDOWS\system32\winlogon.exe [640] 0x861AA378

C:\WINDOWS\system32\services.exe [684] 0x861B4378

C:\WINDOWS\system32\lsass.exe [696] 0x8627ADA0

C:\WINDOWS\system32\svchost.exe [852] 0x8622A570

C:\WINDOWS\system32\svchost.exe [912] 0x86262400

C:\WINDOWS\system32\svchost.exe [1220] 0x861CC810

C:\WINDOWS\system32\svchost.exe [1328] 0x861A5530

C:\WINDOWS\system32\svchost.exe [1428] 0x861C93B8

C:\WINDOWS\system32\svchost.exe [1808] 0x861E0020

D:\PROGRA~1\SPYWAR~1\Spywareterminatorshield.Exe [608] 0x862A5788

D:\programy uC:\WINDOWS\system32\spoolsv.exe [820] 0x861E0788

D:\programy uD:\programy uC:\WINDOWS\system32\ctfmon.exe [1016] 0x862BC6F8

D:\PROGRA~2\F-Secure\BackWeb\7681197\program\SERVIC~1.EXE [1300] 0x85D88860

D:\programy uD:\programy uD:\programy uD:\programy uD:\programy uD:\programy uD:\programy uC:\WINDOWS\system32\nvsvc32.exe [1672] 0x85D66DA0

C:\WINDOWS\system32\PnkBstrB.exe [768] 0x85CBD998

C:\WINDOWS\system32\slee503.exe [1996] 0x85CAFDA0

D:\PROGRA~1\SPYWAR~1\sp_rsser.exe [360] 0x85D269A8

D:\programy uC:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe [1916] 0x85D0C470

D:\programy uD:\programy uD:\programy uD:\programy uC:\WINDOWS\system32\alg.exe [4020] 0x85C33648

D:\programy uD:\programy uD:\programy uD:\programy BHP\aawservice.exe [2736] 0x85E38020

D:\programy uC:\WINDOWS\system32\CF8648.exe [3748] 0x862397B8

C:\WINDOWS\system32\CF8648.exe [1800] 0x85E21020

C:\WINDOWS\system32\CF8648.exe [532] 0x85CAB6D0

C:\ComboFix\handle.cfexe [1456] 0x85D4D350

C:\ComboFix\sed.cfexe [2348] 0x85AE6020

C:\ComboFix\mtee.cfexe [2060] 0x85E27768

C:\ComboFix\sed.cfexe [1548] 0x85C8A688

C:\ComboFix\catchme.cfexe [4016] 0x85BC4B90

C:\ComboFix\sed.cfexe [3536] 0x85E6B5A0


(Baldys15) #2

wrzuć loga z hijackthisa


(Maglo) #3

Logfile of HijackThis v1.99.1

Scan saved at 19:21, on 2008-04-05

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

D:\programy BHP\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

D:\PROGRA~2\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

D:\programy użytkowe\F-Secure\Anti-Virus\fsgk32st.exe

D:\programy użytkowe\F-Secure\BackWeb\7681197\Program\F-Secure Automatic Update.exe

D:\programy użytkowe\F-Secure\Anti-Virus\FSGK32.EXE

D:\programy użytkowe\F-Secure\BackWeb\7681197\program\fsbwsys.exe

D:\programy użytkowe\F-Secure\Common\FSMA32.EXE

D:\programy użytkowe\F-Secure\Common\FSMB32.EXE

D:\programy użytkowe\F-Secure\Anti-Virus\fssm32.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrB.exe

D:\programy użytkowe\F-Secure\Common\FCH32.EXE

C:\WINDOWS\system32\SLEE503.exe

D:\PROGRA~1\SPYWAR~1\sp_rsser.exe

D:\programy użytkowe\F-Secure\Common\FAMEH32.EXE

C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

D:\programy użytkowe\F-Secure\Common\FNRB32.EXE

D:\programy użytkowe\F-Secure\Common\FIH32.EXE

D:\programy użytkowe\F-Secure\FWES\Program\fsdfwd.exe

D:\programy użytkowe\F-Secure\Anti-Virus\fsav32.exe

D:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe

D:\programy użytkowe\BillP Studios\WinPatrol\winpatrol.exe

D:\programy użytkowe\Java\jre1.6.0_03\bin\jusched.exe

D:\programy użytkowe\F-Secure\Common\FSM32.EXE

C:\WINDOWS\system32\ctfmon.exe

D:\programy użytkowe\Internet Download Manager\IDMan.exe

C:\WINDOWS\system32\rundll32.exe

D:\programy użytkowe\F-Secure\FSGUI\fsguiexe.exe

D:\programy użytkowe\Internet Download Manager\IEMonitor.exe

D:\programy użytkowe\Spyware Doctor\pctsAuxs.exe

D:\programy użytkowe\Spyware Doctor\pctsSvc.exe

D:\programy użytkowe\Spyware Doctor\pctsTray.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Opera.exe

C:\DOCUME~1\tomek\USTAWI~1\Temp\Katalog tymczasowy 3 dla hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ycomp/ ... .yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/ ... .yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - D:\programy użytkowe\Orbitdownloader\orbitcth.dll

O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - D:\programy użytkowe\Internet Download Manager\IDMIECC.dll

O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~2\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\programy użytkowe\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: &RN_Object - {E6B48BC7-4EA9-4643-A4B3-BB7C4F69287A} - D:\programy użytkowe\RNmail\RN_IE_Add_On.dll

O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

O4 - HKLM..\Run: [spywareTerminator] "D:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"

O4 - HKLM..\Run: [WinPatrol] D:\programy użytkowe\BillP Studios\WinPatrol\winpatrol.exe

O4 - HKLM..\Run: [sunJavaUpdateSched] "D:\programy użytkowe\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM..\Run: [F-Secure Manager] "D:\programy użytkowe\F-Secure\Common\FSM32.EXE" /splash

O4 - HKLM..\Run: [F-Secure TNB] "D:\programy użytkowe\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [iSTray] "D:\programy użytkowe\Spyware Doctor\pctsTray.exe"

O4 - HKCU..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [iDMan] D:\programy użytkowe\Internet Download Manager\IDMan.exe /onboot

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: &Download by Orbit - res://D:\programy użytkowe\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://D:\programy użytkowe\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredi ... jhtml?p=ZN

O8 - Extra context menu item: Crawler Search - tbr:iemenu

O8 - Extra context menu item: Do&wnload selected by Orbit - res://D:\programy użytkowe\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://D:\programy użytkowe\Orbitdownloader\orbitmxt.dll/202

O8 - Extra context menu item: Subskrybuj w Cafe News - D:\programy użytkowe\Press-Service\CafeNews\addFeed.htm

O8 - Extra context menu item: Ściągnij przez IDM - D:\programy użytkowe\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Ściągnij wszystkie linki przez IDM - D:\programy użytkowe\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Ściągnij zawartość wideo FLV przez IDM - D:\programy użytkowe\Internet Download Manager\IEGetVL.htm

O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\programy użytkowe\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\programy użytkowe\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Active Tracker - {217CCFE3-21DE-4559-B11A-BC8840EB15DD} - D:\programy użytkowe\RNmail\RN_IE_Add_On.dll

O9 - Extra 'Tools' menuitem: Active Tracker... - {217CCFE3-21DE-4559-B11A-BC8840EB15DD} - D:\programy użytkowe\RNmail\RN_IE_Add_On.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~2\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~2\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\idmmbc.dll

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {070CA17A-4BD2-4612-83B4-32B1B9159B47} (ULiveCtrl Control) - http://uc.sina.com.cn/download/live/weblive2.4.0.0.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab

O17 - HKLM\System\CCS\Services\Tcpip..{7FEAEECC-7EB7-40B3-9826-C20AF3FF2EDD}: NameServer = 192.168.1.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll

O18 - Protocol: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - D:\programy użytkowe\Spik\url_wpmsg.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - D:\programy BHP\aawservice.exe

O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - Unknown owner - D:\PROGRA~2\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - D:\programy użytkowe\F-Secure\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - D:\programy użytkowe\F-Secure\Common\FNRB32.EXE

O23 - Service: fsbwsys - F-Secure Corp. - D:\programy użytkowe\F-Secure\BackWeb\7681197\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - D:\programy użytkowe\F-Secure\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - D:\programy użytkowe\F-Secure\Common\FSMA32.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\programy użytkowe\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\programy użytkowe\Spyware Doctor\pctsSvc.exe

O23 - Service: Steganos Live Encryption Engine (Version 503) service - Unknown owner - C:\WINDOWS\system32\SLEE503.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - D:\PROGRA~1\SPYWAR~1\sp_rsser.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe


(huber2t) #4

fix w hijackthis

Podaj logi z Combofix(poradnik jest na forum)


(Maglo) #5

http://wklej.org/id/154c065658 combofix