Witam. Właśnie u mnie pojawił się kłopot z copy.exe i temp2.exe. Po dokłądnych poszukiwaniach w tym temacie użyłem Combofixa. Zwracam sie z prośbą o sprawdzenie loga oraz o instrukcję w dalszym postępowaniu. Co mam z tym zrobić?? Z góry serdecznie dziękuję.
ComboFix 08-11-24.03 - Karolina 2008-11-25 16:02:01.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1709 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Karolina\Pulpit\ComboFix.exe
* Utworzono nowy punkt przywracania
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\Karolina\Dane aplikacji\addon.dat
c:\documents and settings\Karolina\Ulubione\Translator.url
c:\program files\myglobalsearch
c:\program files\myglobalsearch\bar\History\search
c:\windows\autorun.inf
c:\windows\svchost.exe
c:\windows\system32\temp1.exe
c:\windows\system32\temp2.exe
c:\windows\xcopy.exe
D:\Autorun.inf
D:\copy.exe
D:\host.exe
E:\Autorun.inf
E:\copy.exe
E:\host.exe
F:\Autorun.inf
F:\copy.exe
F:\host.exe
.
((((((((((((((((((((((((( Pliki utworzone od 2008-10-25 do 2008-11-25 )))))))))))))))))))))))))))))))
.
2008-11-24 22:55 . 2008-11-24 22:55 <DIR> d--hs---- C:\FOUND.001
2008-11-23 14:03 . 2008-11-23 14:03 <DIR> d-------- c:\documents and settings\Karolina\Dane aplikacji\skypePM
2008-11-23 14:03 . 2008-11-23 14:03 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Skype
2008-11-23 12:22 . 2008-11-23 12:22 <DIR> d--hs---- C:\FOUND.000
2008-11-14 16:11 . 2008-11-14 16:11 <DIR> dr-h----- c:\documents and settings\Karolina\Dane aplikacji\SecuROM
2008-11-14 16:10 . 2008-11-14 16:10 413,696 --a------ c:\windows\system32\wrap_oal.dll
2008-11-14 16:10 . 2008-11-14 16:10 110,592 --a------ c:\windows\system32\OpenAL32.dll
2008-11-14 15:36 . 2008-11-14 15:37 <DIR> d-------- c:\windows\system32\AGEIA
2008-11-14 15:36 . 2008-11-14 15:36 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard
2008-11-14 15:36 . 2008-11-14 15:37 <DIR> d-------- c:\program files\AGEIA Technologies
2008-11-14 11:29 . 2008-11-14 11:29 32 --a------ c:\documents and settings\All Users\Dane aplikacji\ezsid.dat
2008-11-13 19:58 . 2008-11-13 19:58 <DIR> d-------- c:\program files\superfotoKURIER
2008-11-13 19:50 . 2008-11-13 19:50 <DIR> d-------- c:\documents and settings\Karolina\Dane aplikacji\U3
2008-11-13 16:05 . 2008-11-13 16:05 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Spyware Terminator
2008-11-07 19:49 . 2008-11-14 16:11 107,888 --a------ c:\windows\system32\CmdLineExt.dll
2008-11-07 19:45 . 2008-11-07 19:45 <DIR> d-------- c:\windows\system32\LogFiles
2008-11-07 19:45 . 2008-11-07 19:45 2,250,024 --a------ c:\windows\system32\pbsvc.exe
2008-11-07 19:45 . 2008-11-07 19:45 107,832 --a------ c:\windows\system32\PnkBstrB.exe
2008-11-07 19:45 . 2008-11-07 19:45 66,872 --a------ c:\windows\system32\PnkBstrA.exe
2008-11-07 19:45 . 2008-11-07 19:45 22,328 --a------ c:\windows\system32\drivers\PnkBstrK.sys
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-13 20:51 --------- d-----w c:\documents and settings\Karolina\Dane aplikacji\DAEMON Tools
2008-09-29 08:15 --------- d-----w c:\program files\ffdshow
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RivChat"="f:\użytki\RivChat2\RivChat.exe" [2003-02-23 430080]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpywareTerminator"="c:\progra~1\SPYWAR~1\SpywareTerminatorShield.exe" [2008-08-04 1783808]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-09-16 8491008]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"vidc.3ivx"= 3ivxVfWCodec.dll
"vidc.3iv2"= 3ivxVfWCodec.dll
"msacm.divxa32"= divxa32.acm
"VIDC.HFYU"= huffyuv.dll
"VIDC.VP31"= vp31vfw.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\iPMS.exe]
"Debugger"=dummy.dat
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\iPMS20.exe]
"Debugger"=dummy.dat
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"f:\\Użytki\\RivChat2\\RivChat.exe"=
"f:\\Użytki\\GG\\gg.exe"=
"d:\\BearShare\\BearShare.exe"=
"d:\\FarCry2\\Far Cry 2\\bin\\FarCry2.exe"=
"d:\\FarCry2\\Far Cry 2\\bin\\FC2Launcher.exe"=
"d:\\FarCry2\\Far Cry 2\\bin\\FC2Editor.exe"=
"c:\\WINDOWS\\System32\\PnkBstrA.exe"=
"c:\\WINDOWS\\System32\\PnkBstrB.exe"=
"c:\\WINDOWS\\System32\\dpvsetup.exe"=
"f:\\sacred\\system\\s2gs.exe"=
"f:\\sacred\\system\\sacred2.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8609:TCP"= 8609:TCP:BitComet 8609 TCP
"8609:UDP"= 8609:UDP:BitComet 8609 UDP
R1 sp_rsdrv2;Spyware Terminator Driver 2;\??\c:\windows\system32\drivers\sp_rsdrv2.sys [2008-08-04 141312]
*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-25 16:02:52
Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI
skanowanie ukrytych procesów ...
c:\program files\INTERNET EXPLORER\IEXPLORE.EXE [664] 0x89B63DA0
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
Czas ukończenia: 2008-11-25 16:03:18
ComboFix-quarantined-files.txt 2008-11-25 15:03:18
Przed: 254 214 144 bajtów wolnych
Po: 266,289,152 bajtów wolnych
119 --- E O F --- 2008-05-09 11:59:15
Kłopot z copy.exe i temp2.exe - log z Combofix
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
2 posty(ów)
• Strona 1 z 1
Kłopot z copy.exe i temp2.exe - log z Combofix
przez robindian » 25 Lis 2008, 17:29
UA: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
- robindian
- Forumowicz
- Posty: 1
- Dołączenie: 25 Lis 2008, 17:25
Re: Proszę o sprawdzenie loga
przez huber2t » 25 Lis 2008, 17:50
UA: Opera/9.62 (Windows NT 5.1; U; pl) Presto/2.1.1
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
Plik
zapisz jako CFScript.txt.
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://www.wklej.eu a w poście dajesz tylko link
Wklej do notatnika:
- Kod: Zaznacz wszystko
Folder::
C:\FOUND.001
C:\FOUND.000
Plik
zapisz jako CFScript.txt.Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://www.wklej.eu a w poście dajesz tylko link
-
huber2t - Zasłużony działacz forum
- Posty: 2798
- Dołączenie: 21 Mar 2008, 10:07
- Pochwały: 42
2 posty(ów)
• Strona 1 z 1
Kto jest na forum
Zarejestrowani użytkownicy: Brak zarejestrowanych użytkowników