waldemi
28 Grudzień 2006 21:46
#1
Zauważyłem że niektóre strony wczytują się wolniej niż kilka dni temu (np. forum Dobre Programy) a inne normalnie. załączam logi z ComboFixa i HJ
ComboFix 06.11.27 - Running from: "C:\Documents and Settings\waldek\Pulpit"
((((((((((((((((((((((((((((((( Files Created from 2006-11-28 to 2006-12-28 ))))))))))))))))))))))))))))))))))
2006-12-23 21:24 2,358 --a------ C:\WINDOWS\system32\tmp.reg
2006-12-23 21:22
[code]Logfile of HijackThis v1.99.1 Scan saved at 22:48, on 06-12-28 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe C:\Program Files\Winamp\winampa.exe C:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\Eset\nod32kui.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Spamihilator\spamihilator.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Program Files\OpenOffice.ux.pl 2.0.4\program\soffice.exe C:\Program Files\OpenOffice.ux.pl 2.0.4\program\soffice.BIN C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Program Files\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE c:\usr\MYSQL\bin\mysqld.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = L1cza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM…\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM…\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [Zone Labs Client] “C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe” O4 - HKLM…\Run: [!AVG Anti-Spyware] “C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe” /minimized O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [Spamihilator] “C:\Program Files\Spamihilator\spamihilator.exe” O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - Startup: OpenOffice.ux.pl 2.0.4.lnk = C:\Program Files\OpenOffice.ux.pl 2.0.4\program\quickstart.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://www.windowsecurity.com/trojanscan/axscan.cab O17 - HKLM\System\CCS\Services\Tcpip…{BD18357F-2A79-4867-B4C5-46234EFFDD8F}: NameServer = 194.204.159.1,194.204.152.34 O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: MySql - Unknown owner - c:\usr/MYSQL/bin/mysqld.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Po użyciu ComboFixa zniknęły wszystkie ikony z pulpitu. Czy to normalne?
Bieniol
28 Grudzień 2006 21:53
#2
Tak - jest to normalne
Przeskanuj ten plik: C:\WINDOWS\system32\ cfdeaafc7_s.dll na stronie -> http://www.virustotal.com/en/indexf.html i podaj wyniki.
Usuń ręcznie z dysku plik: C:\WINDOWS\system32\ tmp.reg
waldemi
29 Grudzień 2006 09:01
#3
Plik sprawdziłem, jedynie Prevx1 znalazł coś takiego: Polynomial.Code.Exploit.
Co z tym zrobić? Mocno niebezpieczne?
adam9870
29 Grudzień 2006 09:30
#4
waldemi:
Co z tym zrobić?
Spróbuj usunąć ręcznie plik w trybie awaryjnym i następnie pokaż nowy log z ComboFix’a.
waldemi
29 Grudzień 2006 10:13
#5
Nowy log z Combofixa
ComboFix 06.11.27 - Running from: "C:\Documents and Settings\waldek\Pulpit"
((((((((((((((((((((((((((((((( Files Created from 2006-11-28 to 2006-12-28 ))))))))))))))))))))))))))))))))))
No new files created in this timespan
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-12-29 10:56 -------- d-------- C:\Documents and Settings\waldek\Dane aplikacji\OpenOffice.ux.pl2
2006-12-29 10:55 -------- d-------- C:\Program Files\Spamihilator
2006-12-29 09:53 -------- d-------- C:\Program Files\Mozilla Thunderbird
2006-12-28 22:48 -------- d-------- C:\Program Files\hijackthis
2006-12-27 19:48 -------- d-------- C:\Program Files\Common Files\Teleca Shared
2006-12-08 12:31 -------- d--h----- C:\Program Files\InstallShield Installation Information
2006-11-29 14:53 -------- d-------- C:\Program Files\Common Files
2006-11-25 17:57 -------- d-------- C:\Program Files\Common Files\InstallShield
2006-11-24 21:48 -------- d---s---- C:\Documents and Settings\waldek\Dane aplikacji\Microsoft
2006-11-24 21:39 -------- d-------- C:\Program Files\zabkat
2006-11-24 17:18 -------- d-------- C:\Program Files\Zone Labs
2006-11-24 17:13 -------- d-------- C:\Program Files\Common Files\Agnitum Shared
2006-11-20 16:49 -------- d-------- C:\Program Files\ESET
2006-11-06 21:47 -------- d-------- C:\Documents and Settings\waldek\Dane aplikacji\ContentGuard
2006-11-04 20:17 502208 --a------ C:\WINDOWS\system32\drivers\amon.sys
2006-11-04 20:17 270336 --a------ C:\WINDOWS\system32\imon.dll
2006-11-02 10:01 -------- d-------- C:\Program Files\Codec Pack - All In 1
2006-11-02 09:59 737280 --a------ C:\WINDOWS\iun6002.exe
2006-11-02 09:58 -------- d-------- C:\Program Files\SubEdit-Player
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"
"LAN Messenger"=""
"Spamihilator"="\"C:\\Program Files\\Spamihilator\\spamihilator.exe\""
"Gadu-Gadu"="\"C:\\Program Files\\Gadu-Gadu\\gg.exe\" /tray"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SiSUSBRG"="C:\\WINDOWS\\SiSUSBrg.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"NeroCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"WinampAgent"="C:\\Program Files\\Winamp\\winampa.exe"
"InCD"="C:\\Program Files\\Ahead\\InCD\\InCD.exe"
"nod32kui"="\"C:\\Program Files\\Eset\\nod32kui.exe\" /WAITSERVICE"
"Zone Labs Client"="\"C:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Moduł wstępnego ładowania interfejsu Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Demon buforu kategorii składników"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
W folderze system32 znalazłem także taki plik : cdbcccbca7_s.ocx , po przeskanowaniu na podanej wyżej stronie Prevx1 również wykrył to samo tzn. Polynomial.Code.Exploit. Tego także usunąć?
adam9870
29 Grudzień 2006 10:19
#6
Log czysty.
waldemi:
Tego także usunąć?
Skoro został wykryty jako zainfekowany - usuń.
Możesz przeskanować http://www.ewido.net/en/ i wkleić raport.
waldemi
29 Grudzień 2006 11:19
#7
Ewido niczego znalazł. To znaczy że wszyskto OK?
adam9870
29 Grudzień 2006 11:20
#8
Tak, już jest ok.
Czy szybkość wczytywania stron poprawiła się ?? Jeśli nie to sprawdź czy nie przekroczyłeś limitu pobierania danych jeśli owy jest bądź skontaktuj się z prowiderem.
waldemi
29 Grudzień 2006 11:29
#9
Na razie strony wczytują się bez zarzutu. Skasowane pliki też nie wróciły. Limitu transferu nie mam, więc to rzczej nie było od tego.
Wielkie dzięki za pomoc.
Zapomniałem jeszcze dodać, że nie udało mi się zrobić loga Silentem. Zaczął tworzyć loga, trwało to ponad 15 minut i jeszcze nie skończył. Dlatego podałem loga z Combofixa. Co to może znaczyć?
Joan
29 Grudzień 2006 11:35
#10
Silent czasem tworzy loga bardzo długo, nie ma na to reguły. Nie przejmuj się tym, Combofix wystarczy
