serek09
(Serek09 11)
6 Styczeń 2012 12:18
#1
Witam, na wstępie uprzedzam że nie wiem czy to dobry dział, jeżeli nie to prosze o przeniesienie.
Otóż wczoraj złapałem wirusa który wyłączył mi zaporę, centrum zabezpieczeń, nie mogę żadnej funkcji kliknąć w nodzie. Jak próbowałem włączyć centrum przez wpisanie w uruchom “services.msc” to wyskoczył mi bluescreen ale nie miało to żadnych groźniejszych skutków. Daje wam log z ComboFixa. Jestem zdezorientowany, kolega podejrzewał wirus “Salty” ale nie ma w logu kodu odpowiadającemu jego.
ComboFix 12-01-05.04 - Marcin 2012-01-06 12:51:12.1.1 - x86 Microsoft Windows XP Home Edition 5.1.2600.2.1250.48.1045.18.1023.627 [GMT 1:00] Uruchomiony z: c:\documents and settings\Marcin\Moje dokumenty\Pobieranie\nazwasd.exe AV: ESET NOD32 Antivirus 4.0 *Enabled/Outdated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0} . . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . . C:\autorun.inf c:\documents and settings\All Users\Dane aplikacji\TEMP c:\documents and settings\Marcin\m2.exe C:\vnvd.pif c:\windows\Alcmtr.exe c:\windows\system32\SET17F.tmp c:\windows\system32\SET184.tmp c:\windows\system32\SET18C.tmp c:\windows\system32\SET196.tmp c:\windows\system32\SET1A2.tmp c:\windows\system32\SET1C1.tmp c:\windows\system32\SET1C8.tmp D:\Autorun.inf D:\jjvk.exe . . ((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))) . . -------\Legacy_AMSINT32 -------\Service_amsint32 . . ((((((((((((((((((((((((( Pliki utworzone od 2011-12-06 do 2012-01-06 ))))))))))))))))))))))))))))))) . . 2012-01-02 15:17 . 2012-01-02 15:17 -------- d-----w- c:\program files\FinalWire 2011-12-23 14:10 . 2011-12-23 14:10 0 ----a-w- c:\windows\system32\drivers\SET3C.tmp 2011-12-14 17:40 . 2011-12-14 17:40 -------- d-----w- C:\found.000 2011-12-10 19:56 . 2011-12-10 19:56 -------- d-----w- c:\documents and settings\Marcin.gstreamer-0.10 2011-12-10 19:56 . 2011-12-10 19:57 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\OpenFM 2011-12-10 19:56 . 2011-12-10 19:56 -------- d-----w- c:\documents and settings\Marcin\Dane aplikacji\OpenFM . . . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-01-06 12:00 . 2012-01-06 12:00 103140 --sh–r- C:\itds.pif 2012-01-02 15:15 . 2011-08-13 08:24 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2011-10-30 14:53 . 2011-10-30 12:19 271200 ----a-w- c:\windows\system32\PnkBstrB.exe 2011-10-30 14:53 . 2011-10-30 12:19 271200 ----a-w- c:\windows\system32\PnkBstrB.xtr 2011-10-30 14:34 . 2011-10-30 12:19 138160 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys 2011-10-30 14:33 . 2011-10-30 12:19 271200 ----a-w- c:\windows\system32\PnkBstrB.ex0 2011-10-30 12:19 . 2011-10-30 12:19 75136 ----a-w- c:\windows\system32\PnkBstrA.exe 2011-12-14 16:37 . 2011-05-08 08:39 134104 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll . . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “RocketDock”=“c:\program files\RocketDock\RocketDock.exe” [2007-09-02 569344] “ctfmon.exe”=“c:\windows\system32\ctfmon.exe” [2006-03-02 15360] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “SkyTel”=“SkyTel.EXE” [2006-05-16 2879488] “nwiz”=“c:\program files\NVIDIA Corporation\nView\nwiz.exe” [2010-07-07 1822824] “NvMediaCenter”=“c:\windows\system32\NvMcTray.dll” [2010-07-09 110696] “NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2010-07-09 13923432] “RTHDCPL”=“RTHDCPL.EXE” [2006-06-28 16248320] “GrooveMonitor”=“c:\program files\Microsoft Office\Office12\GrooveMonitor.exe” [2008-10-25 31072] “Adobe Reader Speed Launcher”=“c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe” [2011-01-31 105392] “Adobe ARM”=“c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe” [2010-09-20 932288] “SunJavaUpdateSched”=“c:\program files\Common Files\Java\Java Update\jusched.exe” [2010-10-29 249064] “egui”=“c:\program files\ESET\ESET NOD32 Antivirus\egui.exe” [2009-11-16 2054360] “HP Software Update”=“c:\program files\HP\HP Software Update\HPWuSchd2.exe” [2006-02-19 49152] . [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2006-03-02 15360] . c:\documents and settings\All Users\Menu Start\Programy\Autostart\ HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] “EnableLUA”= 0 (0x0) . [HKLM~\startupfolder\C:^Documents and Settings^Marcin^Menu Start^Programy^Autostart^Rejestracja FIFA 11.lnk] path=c:\documents and settings\Marcin\Menu Start\Programy\Autostart\Rejestracja FIFA 11.lnk backup=c:\windows\pss\Rejestracja FIFA 11.lnkStartup . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] 2011-01-20 09:20 1305408 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogMeIn Hamachi Ui] 2011-08-15 15:18 2037128 ----a-w- d:\hamachi\hamachi-2-ui.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent] 2010-12-09 10:45 74752 ----a-w- c:\program files\Winamp\winampa.exe . [HKEY_LOCAL_MACHINE\software\microsoft\security center] “AntiVirusOverride”=dword:00000001 “FirewallOverride”=dword:00000001 . [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc] “AntiVirusOverride”=dword:00000001 “AntiVirusDisableNotify”=dword:00000001 “FirewallDisableNotify”=dword:00000001 “FirewallOverride”=dword:00000001 “UpdatesDisableNotify”=dword:00000001 “UacDisableNotify”=dword:00000001 . [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile] “EnableFirewall”= 0 (0x0) “DisableNotifications”= 1 (0x1) . [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “%windir%\system32\sessmgr.exe”= “c:\Program Files\Gadu-Gadu 10\gg.exe”= “c:\Program Files\Nowe Gadu-Gadu\gg.exe”= “c:\Program Files\Winamp\winamp.exe”= “c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE”= “c:\Program Files\Microsoft Office\Office12\GROOVE.EXE”= “c:\Program Files\Microsoft Office\Office12\ONENOTE.EXE”= “c:\Program Files\uTorrent\uTorrent.exe”= “d:\Pro Evo 2011\pes2011.exe”= “c:\Program Files\Skype\Phone\Skype.exe”= “d:\COD 4 MW\iw3mp.exe”= “c:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe”= “c:\Program Files\HP\Digital Imaging\bin\hpqste08.exe”= “c:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe”= “c:\Program Files\HP\Digital Imaging\bin\hposfx08.exe”= “c:\Program Files\HP\Digital Imaging\bin\hposid01.exe”= “c:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe”= “c:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe”= “c:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe”= “c:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe”= “c:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe”= “c:\Program Files\HP\Digital Imaging\bin\hpoews01.exe”= “c:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe”= “d:\pes 2012\pes2012.exe”= “c:\Program Files\Microsoft Silverlight\4.0.60831.0\agcp.exe”= “c:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe”= “c:\Program Files\RocketDock\RocketDock.exe”= “c:\Program Files\NVIDIA Corporation\nView\nwiz.exe”= . R?2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2009-11-16 735960] R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2011-01-03 717296] R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [2011-02-04 218688] R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-11-16 108792] R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2009-11-16 96408] R2 Hamachi2Svc;LogMeIn Hamachi Tunneling Engine;d:\hamachi\hamachi-2.exe -s --> d:\hamachi\hamachi-2.exe -s [?] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET \Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET \Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504] . — Inne Usługi/Sterowniki w Pamięci — . *NewlyCreated* - AMSINT32 *NewlyCreated* - WS2IFSL . Zawartość folderu ‘Zaplanowane zadania’ . 2012-01-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-73586283-1844237615-839522115-1005Core.job - c:\documents and settings\Marcin\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2011-11-06 15:43] . 2012-01-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-73586283-1844237615-839522115-1005UA.job - c:\documents and settings\Marcin\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2011-11-06 15:43] . . ------- Skan uzupełniający ------- . uInternet Settings,ProxyOverride = *.local IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 TCP: DhcpNameServer = 194.204.159.1 FF - ProfilePath - c:\documents and settings\Marcin\Dane aplikacji\Mozilla\Firefox\Profiles\1x4wlt08.default\ FF - prefs.js: browser.startup.homepage - google.pl . - - - - USUNIĘTO PUSTE WPISY - - - - . WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) MSConfigStartUp-DAEMON Tools Lite 4.30 - d:\instalki programów\daemon4303-lite.exe MSConfigStartUp-IDMan - d:\internet download manager\IDMan.exe . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2012-01-06 13:00 Windows 5.1.2600 Dodatek Service Pack 2 NTFS . skanowanie ukrytych procesów … . skanowanie ukrytych wpisów autostartu … . skanowanie ukrytych plików … . skanowanie pomyślnie ukończone ukryte pliki: 0 . ************************************************************************** . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- . [HKEY_LOCAL_MACHINE\software\Classes\CLSID{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}] @Denied : (Full) (Everyone) “scansk”=hex(0):e7,ed,42,5c,44,24,02,89,d6,9e,ea,cc,5c,0e,14,c2,8b,37,48,14,01, 15,1a,2c,7b,89,9a,24,9f,95,84,e0,33,61,3a,8e,84,57,a1,97,00,00,00,00,00,00,\ . [HKEY_LOCAL_MACHINE\software\Classes\CLSID{e12b00f9-39f3-4bfc-8a98-d65502d3f02c}] @Denied : (Full) (Everyone) “Model”=dword:00000126 “Therad”=dword:00000007 . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- . - - - - - - - > ‘explorer.exe’(976) c:\windows\system32\WININET.dll c:\program files\RocketDock\RocketDock.dll c:\progra~1\WINDOW~2\wmpband.dll c:\windows\system32\msi.dll c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\windows\system32\nvsvc32.exe d:\hamachi\hamachi-2.exe c:\windows\system32\RUNDLL32.EXE c:\windows\RTHDCPL.EXE c:\program files\Java\jre6\bin\jqs.exe c:\windows\system32\PnkBstrA.exe c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe c:\windows\system32\wbem\wmiapsrv.exe . ************************************************************************** . Czas ukończenia: 2012-01-06 13:06:55 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2012-01-06 12:06 . Przed: 25 385 607 168 bajtów wolnych Po: 25 325 711 360 bajtów wolnych . WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons UnsupportedDebug=“do not select this” /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“Microsoft Windows XP Home Edition” /noexecute=optin /fastdetect . - - End Of File - - 306C7569B1ED6493DF6228E2F3A66595
Acorus
(Acorus)
6 Styczeń 2012 12:23
#2
serek09
(Serek09 11)
6 Styczeń 2012 13:04
#3
Z otl mam problem, jak wyskakuje “scanning chrome settings” wyskakuje okno “List index out of bounds (604)” i skanowanie stoi w miejscu.
Ma na ten błąd jakiś wpływ że nod jest włączony?
miki25
(Krzych Wiel)
6 Styczeń 2012 13:12
#4
Uruchom CCE w trybie agresywnym ( Shift + CCE.exe z folderu . skaner w zależności od wersji zainstalowanego systemu x32, x64 do pobrania z http://forums.comodo.com/polski-polish/ … #msg572836
Aby uruchomić CCE w Aggressive Mode należy najpierw nacisnąć i przytrzymać klawisz SHIFT a następnie uruchomić plik CCE.exe z folderu programu.
Acorus
(Acorus)
6 Styczeń 2012 13:14
#5
Na czas skanowania wyłącz noda lub wykonaj logi w trybie awaryjnym.Jak skany Salitykillerem?
serek09
(Serek09 11)
6 Styczeń 2012 13:23
#6
Nadal to samo, wyłączenie noda nic nie dało. Pomyśle o tym salitykillerze i CCE na wieczór, teraz już nie mam czasu i siły na to. Dziękuje za pomoc Panowie. Odezwę się na wieczór jak tam na polu bitwy z wirusem
Acorus
(Acorus)
6 Styczeń 2012 13:32
#7
Salitykiller miał być na początek.