Trojan.Vundo - raport Combofix, prosze o pomoc w analizie

Dla specjalistów Bezpieczeństwo
#1

Witam.

Mialem Trojan.Vundo , poczytalem troche o nim na forach przepuściłem go przez:

  1. VundoFix - nic nie znalazl

  2. Trojan.Vundo Removal Tool, firmy Symantec - też nic nie znalazł

  3. VirtumondoBeGone

  4. Puściłem ComboFix w trybie awaryjnym i wyświetlił się raport:

Wszedzie pisza o jakims zapisywaniu w notatniku i kopiowaniu na ikonke combofixa, nie wiem kompletnie o co chodzi :slight_smile: prosze o pomoc.

ComboFix 09-05-13.02 - Mati 2009-05-14 21:02.1 - FAT32 x86 NETWORK

Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.2046.1745 [GMT 2:00]

Uruchomiony z: c:\documents and settings\Mati\Pulpit\ComboFix.exe

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32__c0010B66.exe

c:\windows\system32__c0015D7F.exe

c:\windows\system32__c0018AAD.exe

c:\windows\system32__c001D053.exe

c:\windows\system32__c0020E14.exe

c:\windows\system32__c002B158.exe

c:\windows\system32__c002B811.exe

c:\windows\system32__c00336E2.exe

c:\windows\system32__c0035348.exe

c:\windows\system32__c0037BB8.exe

c:\windows\system32__c0046B9C.exe

c:\windows\system32__c0048A4E.exe

c:\windows\system32__c0066699.exe

c:\windows\system32__c0067484.exe

c:\windows\system32__c0080335.exe

c:\windows\system32__c00951C3.exe

c:\windows\system32__c009984A.exe

c:\windows\system32__c009D816.exe

c:\windows\system32__c009F6FE.exe

c:\windows\system32__c00A0304.exe

c:\windows\system32__c00A0CD9.exe

c:\windows\system32__c00A2CF1.exe

c:\windows\system32__c00C14E6.exe

c:\windows\system32__c00C6DDC.exe

c:\windows\system32__c00CFB3C.exe

c:\windows\system32__c00D4D16.exe

c:\windows\system32__c00D7BA1.exe

c:\windows\system32__c00DE890.exe

c:\windows\system32__c00EE821.exe

c:\windows\system32__c00F5811.exe

c:\windows\system32__c00FA82E.exe

c:\windows\system32\comca.dll

c:\windows\system32\ftsrc.dll

C:\xcrashdump.dat

.

((((((((((((((((((((((((( Pliki utworzone od 2009-04-14 do 2009-05-14 )))))))))))))))))))))))))))))))

.

2009-05-14 17:46 . 2008-12-11 06:38 159600 ----a-w c:\windows\system32\drivers\pctgntdi.sys

2009-05-14 17:45 . 2009-05-14 17:45 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\TEMP

2009-05-14 17:45 . 2009-03-06 14:45 130424 ----a-w c:\windows\system32\drivers\PCTCore.sys

2009-05-14 17:45 . 2008-12-18 10:16 73840 ----a-w c:\windows\system32\drivers\PCTAppEvent.sys

2009-05-14 17:45 . 2009-05-14 17:45 -------- d-----w c:\program files\Common Files\PC Tools

2009-05-14 17:45 . 2008-12-10 10:36 64392 ----a-w c:\windows\system32\drivers\pctplsg.sys

2009-05-14 17:45 . 2009-05-14 17:45 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\PC Tools

2009-05-14 17:45 . 2009-05-14 17:45 -------- d-----w c:\documents and settings\Mati\Dane aplikacji\PC Tools

2009-05-14 17:45 . 2009-05-14 17:45 -------- d-----w c:\program files\Spyware Doctor

2009-05-14 17:41 . 2009-05-14 17:41 -------- d-----w c:\documents and settings\Mati\Dane aplikacji\Desktopicon

2009-05-14 15:50 . 2009-05-14 15:50 -------- d-----w C:\VundoFix Backups

2009-05-13 21:37 . 2009-05-13 21:37 -------- d-----w c:\program files\Lavasoft

2009-05-13 21:37 . 2009-05-13 21:37 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Lavasoft

2009-05-13 21:36 . 2009-05-13 21:36 -------- d-----w c:\program files\Common Files\Wise Installation Wizard

2009-05-04 17:41 . 2009-05-04 17:41 -------- d-----w c:\documents and settings\Mati\Dane aplikacji\Skype

2009-05-04 17:41 . 2009-05-04 17:41 -------- d-----w c:\program files\Skype

2009-05-02 22:12 . 2009-05-02 22:12 -------- d-----w c:\documents and settings\Mati\Dane aplikacji\CyberLink

2009-05-02 22:11 . 2009-05-02 22:11 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\CyberLink

2009-05-02 22:11 . 2009-05-02 22:11 -------- d-----w c:\program files\CyberLink

2009-05-01 08:25 . 2009-05-01 08:25 -------- d-sh–w c:\windows\ftpcache

2009-04-30 20:55 . 2009-05-13 22:08 24 ----a-w c:\windows\popcinfo.dat

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-10 16:50 . 2008-09-14 13:12 24944 ----a-w c:\windows\system32\drivers\GVTDrv.sys

2009-04-09 19:43 . 2009-04-09 19:43 -------- d-----w c:\program files\BitComet

2009-04-06 20:03 . 2004-07-17 07:36 163644 ----a-w c:\windows\system32\drivers\secdrv.sys

2009-04-06 19:22 . 2009-04-06 19:22 271360 ----a-w c:\windows\system32\drivers\atksgt.sys

2009-04-06 19:22 . 2009-04-06 19:22 18048 ----a-w c:\windows\system32\drivers\lirsgt.sys

2009-04-03 10:12 . 2009-04-03 10:12 152904 ----a-w c:\windows\system32\vghd.scr

2009-04-03 10:12 . 2009-04-03 10:12 -------- d-----w c:\program files\vghd

2009-03-11 17:28 . 2009-03-11 17:28 413696 ----a-w c:\windows\system32\wrap_oal.dll

2009-03-11 17:28 . 2009-03-11 17:28 110592 ----a-w c:\windows\system32\OpenAL32.dll

2009-02-16 21:03 . 2009-02-16 21:01 45056 ----a-w c:\windows\NCUNINST.EXE

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\system32\ctfmon.exe” [2004-08-03 15360]

“Gadu-Gadu”=“c:\program files\Gadu-Gadu\PowerGG.exe” [2002-11-17 21551]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“GEST”=“m‘|\ü” [X]

“NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2008-05-03 13529088]

“NvMediaCenter”=“c:\windows\system32\NvMcTray.dll” [2008-05-03 86016]

“ccApp”=“c:\program files\Common Files\Symantec Shared\ccApp.exe” [2006-03-31 71304]

“URLLSTCK.exe”=“c:\program files\Norton Internet Security\UrlLstCk.exe” [2003-10-21 70840]

“PPort11reminder”=“c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe” [2007-02-01 255528]

“SunJavaUpdateSched”=“c:\program files\Java\jre6\bin\jusched.exe” [2008-11-06 136600]

“RemoteControl”=“c:\program files\CyberLink\PowerDVD\PDVDServ.exe” [2003-10-31 32768]

“ISTray”=“c:\program files\Spyware Doctor\pctsTray.exe” [2008-12-08 1173384]

“RTHDCPL”=“RTHDCPL.EXE” - c:\windows\RTHDCPL.exe [2008-02-13 16857600]

“nwiz”=“nwiz.exe” - c:\windows\system32\nwiz.exe [2008-05-03 1630208]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“AntiVirusDisableNotify”=dword:00000001

“UpdatesDisableNotify”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

“DisableMonitoring”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

“DisableMonitoring”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

“EnableFirewall”= 0 (0x0)

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“c:\Program Files\Gadu-Gadu\gg.exe”=

“c:\Program Files\eMule\emule.exe”=

“c:\Program Files\Skype\Phone\Skype.exe”=

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2009-05-14 130424]

R2 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2009-05-14 348752]

.

Zawartość folderu ‘Zaplanowane zadania’

2009-05-14 c:\windows\Tasks\Symantec NetDetect.job

  • c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2008-09-14 12:21]

2009-04-10 c:\windows\Tasks\Norton AntiVirus - Skanuj komputer.job

  • c:\progra~1\NORTON~1\NORTON~1\Navw32.exe [2003-10-21 11:00]

.

        • USUNIĘTO PUSTE WPISY - - - -

BHO-{8EB2D012-1F33-4043-A264-BC824F509722} - c:\windows\system32\comca.dll

HKLM-Run-UnlockerAssistant - c:\program files\Unlocker\UnlockerAssistant.exe

Notify-__c0019A88 - c:\windows\system32__c0019A88.dat

Notify-__c0024AA8 - c:\windows\system32__c0024AA8.dat

Notify-__c00B749B - c:\windows\system32__c00B749B.dat

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.onet.pl/

uInternet Connection Wizard,ShellNext = hxxp://porn.gonzo-movies.com/video5047/ … ke_u_Atini

IE: Eksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Mati\Dane aplikacji\Mozilla\Firefox\Profiles\g8v50yo2.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.onet.pl/

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-14 21:03

Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

Czas ukończenia: 2009-05-14 21:04

ComboFix-quarantined-files.txt 2009-05-14 19:04

Przed: 6 666 264 576 bajtów wolnych

Po: 7 060 430 848 bajtów wolnych

155

#2

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i … 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport

:slight_smile:

#3

Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny inaczej KOSZ

Pozdrawiam Gutek2222

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052