Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
problem z trojanami, prosze o sprawdzenie loga
27 Maj 2008, 21:04
Witam
Od pewnego czasu mam problem z trojanami, Kaspersky cos tam pokasowal, teraz pokazuje ze komp czysty, ale co jakis czas uruchamia mi sie iexplore.exe (nie otwieraja sie zadne okienka) i zaczyna pobierac pliki typu gif (np down.gif russ.gif) Kaspersky blokuje je ale nie lokalizuje przyczyny pojawiania sie tego. Do tego zrobilem format calego dysku, nic to nie dalo, objawy takie same jak przed formatem.
Log z HijackThis:
Log z ComboFix:
Od pewnego czasu mam problem z trojanami, Kaspersky cos tam pokasowal, teraz pokazuje ze komp czysty, ale co jakis czas uruchamia mi sie iexplore.exe (nie otwieraja sie zadne okienka) i zaczyna pobierac pliki typu gif (np down.gif russ.gif) Kaspersky blokuje je ale nie lokalizuje przyczyny pojawiania sie tego. Do tego zrobilem format calego dysku, nic to nie dalo, objawy takie same jak przed formatem.
Log z HijackThis:
- Kod:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:57:05, on 2008-05-27
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\explorer.exe
C:\Kaspersky Internet Security 7.0\avp.exe
C:\Kaspersky Internet Security 7.0\avp.exe
C:\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Dodaj do blokowanych banerów - C:\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\KASPER~1.0\adialhk.dll
O21 - SSODL: JavaView - {DA191DE0-AA86-D04E-4B87-2A3D4928BE99} - C:\WINDOWS\AppPatch\Jview.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Kaspersky Internet Security 7.0\avp.exe
--
End of file - 3239 bytes
Log z ComboFix:
- Kod:
ComboFix 08-05-26.2 - ati 2008-05-27 20:32:25.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.299 [GMT 2:00]
Running from: C:\Documents and Settings\ati\Pulpit\ComboFix.exe
* Created a new restore point
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\ijatnaw.cfg
C:\WINDOWS\system32\ijatnaw.dll
.
((((((((((((((((((((((((( Files Created from 2008-04-27 to 2008-05-27 )))))))))))))))))))))))))))))))
.
2008-05-27 20:22 . 2008-05-27 20:23 <DIR> d-------- C:\HijackThis
2008-05-26 22:44 . 2008-05-26 22:44 <DIR> d-------- C:\Reader 8.0
2008-05-26 22:44 . 2008-05-26 22:44 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-05-26 21:40 . 2008-05-26 21:40 <DIR> d-------- C:\Documents and Settings\ati\Dane aplikacji\Gadu-Gadu
2008-05-26 21:20 . 2008-05-26 21:20 <DIR> d-------- C:\Documents and Settings\NetworkService\Dane aplikacji\Xfire
2008-05-26 21:19 . 2008-05-27 14:58 <DIR> d-------- C:\Documents and Settings\ati\Dane aplikacji\Xfire
2008-05-26 21:18 . 2008-05-26 21:21 <DIR> d-------- C:\Xfire
2008-05-26 20:57 . 2008-05-26 20:57 <DIR> d-------- C:\Gadu-Gadu
2008-05-26 20:57 . 2008-05-26 21:40 <DIR> d-------- C:\Documents and Settings\ati\Gadu-Gadu
2008-05-26 20:37 . 2008-05-26 20:37 0 --a------ C:\WINDOWS\ativpsrm.bin
2008-05-26 20:35 . 2004-08-04 00:44 130,048 --a------ C:\WINDOWS\system32\ksproxy.ax
2008-05-26 20:35 . 2004-08-04 00:44 130,048 --a--c--- C:\WINDOWS\system32\dllcache\ksproxy.ax
2008-05-26 20:35 . 2004-08-03 23:08 60,288 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2008-05-26 20:35 . 2004-08-03 23:08 60,288 --a--c--- C:\WINDOWS\system32\dllcache\drmk.sys
2008-05-26 20:35 . 2004-11-18 10:42 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-05-26 20:35 . 2004-08-04 00:44 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2008-05-26 20:35 . 2004-08-04 00:44 4,096 --a--c--- C:\WINDOWS\system32\dllcache\ksuser.dll
2008-05-26 20:34 . 2008-05-26 20:34 <DIR> d-------- C:\WinRAR
2008-05-26 20:26 . 2008-05-12 10:49 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe
2008-05-26 20:25 . 2008-05-26 20:25 <DIR> d--h----- C:\Program Files\InstallShield Installation Information
2008-05-26 20:24 . 2008-05-26 20:24 <DIR> d-------- C:\Program Files\Common Files\InstallShield
2008-05-26 20:24 . 2008-05-26 20:24 <DIR> d-------- C:\ATI
2008-05-26 20:18 . 2008-05-26 20:18 1,212 --a------ C:\WINDOWS\mozver.dat
2008-05-14 03:28 . 2008-05-14 03:28 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-05-12 18:30 . 2008-05-12 18:30 3,007,488 --a------ C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-05-12 18:30 . 2008-05-12 18:30 3,007,488 --a--c--- C:\WINDOWS\system32\dllcache\ati2mtag.sys
2008-05-12 17:56 . 2008-05-12 17:56 397,312 --a------ C:\WINDOWS\system32\ATIDEMGX.dll
2008-05-12 17:54 . 2008-05-12 17:54 305,152 --a--c--- C:\WINDOWS\system32\dllcache\ati2dvag.dll
2008-05-12 17:54 . 2008-05-12 17:54 305,152 --a------ C:\WINDOWS\system32\ati2dvag.dll
2008-05-12 17:53 . 2008-05-12 17:53 307,200 --a------ C:\WINDOWS\system32\atiiiexx.dll
2008-05-12 17:45 . 2008-05-12 17:45 180,224 --a------ C:\WINDOWS\system32\atipdlxx.dll
2008-05-12 17:45 . 2008-05-12 17:45 139,264 --a------ C:\WINDOWS\system32\Oemdspif.dll
2008-05-12 17:45 . 2008-05-12 17:45 43,520 --a------ C:\WINDOWS\system32\ati2edxx.dll
2008-05-12 17:45 . 2008-05-12 17:45 26,112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe
2008-05-12 17:44 . 2008-05-12 17:44 139,264 --a------ C:\WINDOWS\system32\ati2evxx.dll
2008-05-12 17:43 . 2008-05-12 17:43 10,153,984 --a------ C:\WINDOWS\system32\atioglx2.dll
2008-05-12 17:43 . 2008-05-12 17:43 540,672 --a------ C:\WINDOWS\system32\ati2evxx.exe
2008-05-12 17:41 . 2008-05-12 17:41 53,248 --a------ C:\WINDOWS\system32\ATIDDC.DLL
2008-05-12 17:32 . 2008-05-12 17:32 3,203,168 --a--c--- C:\WINDOWS\system32\dllcache\ati3duag.dll
2008-05-12 17:32 . 2008-05-12 17:32 3,203,168 --a------ C:\WINDOWS\system32\ati3duag.dll
2008-05-12 17:22 . 2008-05-12 17:22 3,107,788 --a------ C:\WINDOWS\system32\ativvaxx.dat
2008-05-12 17:22 . 2008-05-12 17:22 3,107,788 --a------ C:\WINDOWS\system32\ativva5x.dat
2008-05-12 17:22 . 2008-05-12 17:22 1,999,616 --a--c--- C:\WINDOWS\system32\dllcache\ativvaxx.dll
2008-05-12 17:22 . 2008-05-12 17:22 1,999,616 --a------ C:\WINDOWS\system32\ativvaxx.dll
2008-05-12 17:22 . 2008-05-12 17:22 887,724 --a------ C:\WINDOWS\system32\ativva6x.dat
2008-05-12 17:09 . 2008-05-12 17:09 47,104 --a------ C:\WINDOWS\system32\amdpcom32.dll
2008-05-12 17:05 . 2008-05-12 17:05 5,439,488 --a------ C:\WINDOWS\system32\atioglxx.dll
2008-05-12 17:05 . 2008-05-12 17:05 327,680 --a------ C:\WINDOWS\system32\atikvmag.dll
2008-05-12 17:03 . 2008-05-12 17:03 19,968 --a------ C:\WINDOWS\system32\atiadlxx.dll
2008-05-12 17:03 . 2008-05-12 17:03 17,408 --a------ C:\WINDOWS\system32\atitvo32.dll
2008-05-12 17:02 . 2008-05-12 17:02 241,664 --a------ C:\WINDOWS\system32\atiok3x2.dll
2008-05-12 17:02 . 2008-05-12 17:02 49,152 --a------ C:\WINDOWS\system32\drivers\ati2erec.dll
2008-05-12 16:57 . 2008-05-12 16:57 548,864 --a--c--- C:\WINDOWS\system32\dllcache\ati2cqag.dll
2008-05-12 16:57 . 2008-05-12 16:57 548,864 --a------ C:\WINDOWS\system32\ati2cqag.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-27 18:34 648,736 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-27 18:34 27,424 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-05-27 18:32 9,216 ----a-w C:\WINDOWS\AppPatch\AcXtrnel.dll
2008-05-27 16:29 4,448 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-05-27 16:29 13,412 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-27 15:29 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-05-26 17:36 --------- d-----w C:\Documents and Settings\ati\Dane aplikacji\Talkback
2008-05-26 16:58 96,645 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-05-26 16:58 87,941 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-05-26 16:36 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files
2008-05-26 16:30 13,824 ----a-w C:\WINDOWS\AppPatch\Jview.dll
2008-05-26 16:13 --------- d-----w C:\Program Files\microsoft frontpage
2008-05-26 16:08 --------- d-----w C:\Program Files\Usługi online
2004-08-03 22:44 32,024 --sh--w C:\WINDOWS\system32\ghjkdr.dll
2004-08-03 22:44 9,216 --sha-w C:\WINDOWS\system32\ghrst.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"Adobe Reader Speed Launcher"="C:\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"JavaView"= {DA191DE0-AA86-D04E-4B87-2A3D4928BE99} - C:\WINDOWS\AppPatch\Jview.dll [2008-05-26 18:30 13824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\KASPER~1.0\adialhk.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-27 20:34:49
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-05-27 20:36:58
ComboFix-quarantined-files.txt 2008-05-27 18:36:55
Pre-Run: 7,594,827,776 bajtów wolnych
Post-Run: 7,594,557,440 bajtów wolnych
128
27 Maj 2008, 21:29
ja sie dopiero uczę ale dla mnie czysto.
28 Maj 2008, 05:12
fix w hijackthis
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
Plik
zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://www.wklej.org
O21 - SSODL: JavaView - {DA191DE0-AA86-D04E-4B87-2A3D4928BE99} - C:\WINDOWS\AppPatch\Jview.dll
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
- Kod:
File::
C:\WINDOWS\AppPatch\Jview.dll
Plik
zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na http://www.wklej.org
28 Maj 2008, 14:17
Zrobiłem jak kazałeś, oto logi:
HijackThis:
http://www.wklej.org/id/38167323e8
ComboFix:
http://www.wklej.org/id/37fa000bf5
HijackThis:
http://www.wklej.org/id/38167323e8
ComboFix:
http://www.wklej.org/id/37fa000bf5
28 Maj 2008, 16:20
logi ok
Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
Włącz przywracanie systemu.
Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
Włącz przywracanie systemu.
28 Maj 2008, 18:21
Przeskanowane, oto raport:
- Kod:
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
28 maj 2008 18:13:47
System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)
Kaspersky Online Scanner wersja: 5.0.98.0
Ostatnia aktualizacja Kaspersky Anti-Virus28/05/2008
Liczba wpisów w bazie danych Kaspersky Anti-Virus808519
-------------------------------------------------------------------------------
Ustawienia skanowania:
Skanowanie przy użyciu następujących baz danych: rozszerzone
Skanuj archiwa: tak
Skanuj pocztowe bazy danych: tak
Obszar skanowania - Mój komputer:
A:\
C:\
E:\
F:\
Statystyki skanowania:
Liczba skanowanych obiektów: 14963
Liczba wykrytych wirusów: 0
Liczba zainfekowanych obiektów: 0
Liczba podejrzanych obiektów: 0
Czas trwania skanowania: 00:11:21
Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\0184_File_Monitoring_eventlog.rpt Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\0186_Web_Monitoring_eventlog.rpt Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\018e_pdm_eventcritlog.rpt Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\018e_pdm_eventlog.rpt Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\018e_pdm_eventlog_reg.rpt Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\detected.idx Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\detected.rpt Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\eventlog.rpt Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\report.rpt Object is locked pominięty
C:\Documents and Settings\ati\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\ati\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\ati\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Historia\History.IE5\MSHist012008052820080529\index.dat Object is locked pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty
C:\WINDOWS\SchedLgU.Txt Object is locked pominięty
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\default Object is locked pominięty
C:\WINDOWS\system32\config\default.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SAM Object is locked pominięty
C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty
C:\WINDOWS\system32\config\software Object is locked pominięty
C:\WINDOWS\system32\config\software.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\system Object is locked pominięty
C:\WINDOWS\system32\config\system.LOG Object is locked pominięty
C:\WINDOWS\system32\drivers\fidbox.dat Object is locked pominięty
C:\WINDOWS\system32\drivers\fidbox.idx Object is locked pominięty
C:\WINDOWS\system32\drivers\fidbox2.dat Object is locked pominięty
C:\WINDOWS\system32\drivers\fidbox2.idx Object is locked pominięty
C:\WINDOWS\system32\h323log.txt Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty
C:\WINDOWS\WindowsUpdate.log Object is locked pominięty
E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
Proces skanowania został zakończony.
28 Maj 2008, 18:30
W raporcie czysto
Powinno być wszystko ok
Powinno być wszystko ok
28 Maj 2008, 18:46
I chyba wszystko działa dobrze, jak na razie zero problemów.
Dzięki wielkie!
Dzięki wielkie!
29 Maj 2008, 12:19
Przepraszam że post pod postem, ale jednak coś dalej siedzi w systemie,
Kaspersky wykrywa wirusa Trojan-Downloader.Win32.Agent.qpv który próbje ściągać jakieś pliki. Podczas gdy pojawia sie komunikat o wirusie, na dysku C pojawiają sie te oto pliki:
http://img81.imageshack.us/img81/487/plikibq6.png
Czy mam jeszcze raz podać logi? Jeśli tak to czy mają one być z jakichś innych programów?
Kaspersky wykrywa wirusa Trojan-Downloader.Win32.Agent.qpv który próbje ściągać jakieś pliki. Podczas gdy pojawia sie komunikat o wirusie, na dysku C pojawiają sie te oto pliki:
http://img81.imageshack.us/img81/487/plikibq6.png
Czy mam jeszcze raz podać logi? Jeśli tak to czy mają one być z jakichś innych programów?
29 Maj 2008, 12:23
Daj loga z combofix
29 Maj 2008, 18:12
log ok
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
29 Maj 2008, 18:54
Oto log:
Ps: Przypuszczalnie źródłem ataków jest jeden z zainfekowanych komputerów w sieci osiedlowej do której należę. Jednak na razie od rana jest spokój, oby tylko tak pozostało.
- Kod:
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
29 maj 2008 18:45:50
System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)
Kaspersky Online Scanner wersja: 5.0.98.0
Ostatnia aktualizacja Kaspersky Anti-Virus29/05/2008
Liczba wpisów w bazie danych Kaspersky Anti-Virus812154
-------------------------------------------------------------------------------
Ustawienia skanowania:
Skanowanie przy użyciu następujących baz danych: rozszerzone
Skanuj archiwa: tak
Skanuj pocztowe bazy danych: tak
Obszar skanowania - Mój komputer:
A:\
C:\
E:\
F:\
Statystyki skanowania:
Liczba skanowanych obiektów: 18294
Liczba wykrytych wirusów: 0
Liczba zainfekowanych obiektów: 0
Liczba podejrzanych obiektów: 0
Czas trwania skanowania: 00:14:52
Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\0232_File_Monitoring_eventlog.rpt Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\0235_Web_Monitoring_eventlog.rpt Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\023b_pdm_eventcritlog.rpt Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\023b_pdm_eventlog.rpt Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\detected.idx Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\detected.rpt Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\eventlog.rpt Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP7\Report\report.rpt Object is locked pominięty
C:\Documents and Settings\ati\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\ati\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\cert8.db Object is locked pominięty
C:\Documents and Settings\ati\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\foxmarks.log Object is locked pominięty
C:\Documents and Settings\ati\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\history.dat Object is locked pominięty
C:\Documents and Settings\ati\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\key3.db Object is locked pominięty
C:\Documents and Settings\ati\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\parent.lock Object is locked pominięty
C:\Documents and Settings\ati\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\search.sqlite Object is locked pominięty
C:\Documents and Settings\ati\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\urlclassifier2.sqlite Object is locked pominięty
C:\Documents and Settings\ati\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\ati\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\Cache\_CACHE_001_ Object is locked pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\Cache\_CACHE_002_ Object is locked pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\Cache\_CACHE_003_ Object is locked pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\rivrvufs.default\Cache\_CACHE_MAP_ Object is locked pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Historia\History.IE5\MSHist012008052920080530\index.dat Object is locked pominięty
C:\Documents and Settings\ati\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
C:\System Volume Information\_restore{29E519AB-004F-4796-AA75-C4D607CAFF1A}\RP9\change.log Object is locked pominięty
C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty
C:\WINDOWS\SchedLgU.Txt Object is locked pominięty
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\default Object is locked pominięty
C:\WINDOWS\system32\config\default.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SAM Object is locked pominięty
C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty
C:\WINDOWS\system32\config\software Object is locked pominięty
C:\WINDOWS\system32\config\software.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\system Object is locked pominięty
C:\WINDOWS\system32\config\system.LOG Object is locked pominięty
C:\WINDOWS\system32\drivers\fidbox.dat Object is locked pominięty
C:\WINDOWS\system32\drivers\fidbox.idx Object is locked pominięty
C:\WINDOWS\system32\drivers\fidbox2.dat Object is locked pominięty
C:\WINDOWS\system32\drivers\fidbox2.idx Object is locked pominięty
C:\WINDOWS\system32\h323log.txt Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty
C:\WINDOWS\TEMP\cch~1bea8edd4.htp Object is locked pominięty
C:\WINDOWS\TEMP\cch~1bea90317.htp Object is locked pominięty
C:\WINDOWS\WindowsUpdate.log Object is locked pominięty
E:\Steam\logs\connection_log.txt Object is locked pominięty
E:\Steam\Steam.log Object is locked pominięty
E:\Steam\steamapps\winui.gcf Object is locked pominięty
E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
E:\System Volume Information\_restore{29E519AB-004F-4796-AA75-C4D607CAFF1A}\RP9\change.log Object is locked pominięty
Proces skanowania został zakończony.
Ps: Przypuszczalnie źródłem ataków jest jeden z zainfekowanych komputerów w sieci osiedlowej do której należę. Jednak na razie od rana jest spokój, oby tylko tak pozostało.
29 Maj 2008, 19:36
W raporcie czysto powinno byc ok
06 Cze 2008, 13:37
Pisze dalej w tym temacie bo nie chce tworzyć nowego.
Dalej coś musiało siedzieć w systemie bo przeżyłem dziś istna plagę trojanów. Część z nich pousuwałem i nawet pokasowałem wpisy w HijackThis.
Jednak jest tam jeden wpis którego nie da się usunąć, po jego kasacji procesy svchost.exe i spoolsv.exe przywracaja wpis.
Oto log z HijackThis:
Nie mogę usunąć tego oto wpisu:
Zaraz dodam log z ComboFix.
EDIT:
Oto Log z ComboFix:
Dalej coś musiało siedzieć w systemie bo przeżyłem dziś istna plagę trojanów. Część z nich pousuwałem i nawet pokasowałem wpisy w HijackThis.
Jednak jest tam jeden wpis którego nie da się usunąć, po jego kasacji procesy svchost.exe i spoolsv.exe przywracaja wpis.
Oto log z HijackThis:
- Kod:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:27:44, on 2008-06-06
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Kaspersky Internet Security 7.0\avp.exe
C:\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Gadu-Gadu\gg.exe
C:\MOZILL~1\FIREFOX.EXE
C:\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [AVP] "C:\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Dodaj do blokowanych banerów - C:\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: ghrst.dll,ethyg.dll,gyjert.dll,tjdegtr.dll,fyhje.dll,hgnmjsdg.dll,uyjtd.dll,ukrth.dll,hjmh.dll,dhugtj.dll,ytjkyer.dll,dgrgfs.dll,gfcfg.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gnfctt.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,gtujerg.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,yuker.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,yjrfe.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,ghjkdr.dll,hfther.dll,
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Kaspersky Internet Security 7.0\avp.exe
--
End of file - 3908 bytes
Nie mogę usunąć tego oto wpisu:
- Kod:
O20 - AppInit_DLLs: ghrst.dll,ethyg.dll,gyjert.dll,tjdegtr.dll,fyhje.dll,hgnmjsdg.dll,uyjtd.dll,ukrth.dll,hjmh.dll,dhugtj.dll,ytjkyer.dll,dgrgfs.dll,gfcfg.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gnfctt.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,gtujerg.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,yuker.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,yjrfe.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,rgghjj.dll,ghjkdr.dll,hfther.dll,
Zaraz dodam log z ComboFix.
EDIT:
Oto Log z ComboFix:
- Kod:
ComboFix 08-06-05.3 - ati 2008-06-06 13:37:59.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.270 [GMT 2:00]
Running from: C:\Documents and Settings\ati\Pulpit\ComboFix.exe
* Created a new restore point
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\crugd.cfg
C:\WINDOWS\system32\fxwmbime.sys
C:\WINDOWS\system32\jashbbty.sys
C:\WINDOWS\system32\lariytrz.cfg
C:\WINDOWS\system32\njritc.cfg
C:\WINDOWS\system32\oqrthc.cfg
C:\WINDOWS\system32\pzwmaime.sys
C:\WINDOWS\system32\smmhbsrv.sys
C:\WINDOWS\system32\xfztbmsn.sys
C:\WINDOWS\system32\xzcsbhlp.sys
.
((((((((((((((((((((((((( Files Created from 2008-05-06 to 2008-06-06 )))))))))))))))))))))))))))))))
.
2008-06-06 12:07 . 2008-06-06 12:07 144 ---hs---- C:\WINDOWS\system32\hgfhk.cfg
2008-06-06 12:07 . 2008-06-06 12:07 24 --a------ C:\WINDOWS\system32\ciwdaapi.sys
2008-06-06 12:06 . 2008-06-06 12:06 144 ---hs---- C:\WINDOWS\system32\ydgn.cfg
2008-06-06 12:05 . 2008-06-06 12:07 171 --a------ C:\WINDOWS\system32\winsYs.reg
2008-06-05 23:21 . 2008-06-05 23:21 <DIR> d-------- C:\FileZillaPortable
2008-06-02 16:08 . 2004-06-24 11:00 6,656 --a------ C:\WINDOWS\system32\drivers\AsProbe.sys
2008-06-02 16:07 . 1997-04-22 10:16 6,272 --a------ C:\WINDOWS\system32\drivers\ASLM75.SYS
2008-06-02 16:06 . 1996-11-05 16:13 299,008 --a------ C:\WINDOWS\uninst.exe
2008-06-02 15:59 . 2005-05-02 21:15 36,484 --a------ C:\WINDOWS\system32\drivers\SMBios.sys
2008-06-01 15:10 . 2008-06-01 19:21 <DIR> d-------- C:\Alcohol 52
2008-06-01 14:13 . 2008-06-01 14:13 <DIR> d-------- C:\Documents and Settings\ati\Dane aplikacji\teamspeak2
2008-06-01 14:07 . 2003-08-19 19:36 65,536 --a--c--- C:\WINDOWS\system32\dllcache\a3d.dll
2008-06-01 14:07 . 2003-08-19 19:36 65,536 --------- C:\WINDOWS\system32\a3d.dll
2008-06-01 14:07 . 2005-06-22 10:11 23,552 --a------ C:\WINDOWS\system32\PostProc.dll
2008-06-01 13:20 . 2008-06-01 13:40 139,264 --a------ C:\WINDOWS\War3Unin.exe
2008-06-01 13:20 . 2008-06-01 13:48 51,960 --a------ C:\WINDOWS\War3Unin.dat
2008-06-01 13:20 . 2008-06-01 13:40 2,829 --a------ C:\WINDOWS\War3Unin.pif
2008-06-01 12:59 . 2008-06-01 14:13 <DIR> d-------- C:\Teamspeak2_RC2
2008-06-01 12:59 . 2008-06-01 12:59 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-06-01 12:58 . 2008-06-01 12:58 <DIR> d-------- C:\DAEMON Tools Lite
2008-06-01 12:52 . 2008-06-01 12:52 <DIR> d-------- C:\Documents and Settings\ati\Dane aplikacji\DAEMON Tools
2008-06-01 12:52 . 2008-06-01 12:52 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-06-01 11:04 . 2008-06-06 09:59 <DIR> d-------- C:\SpeedFan
2008-06-01 11:04 . 2008-06-01 11:04 45 --a------ C:\WINDOWS\system32\initdebug.nfo
2008-05-31 14:47 . 2008-05-31 14:47 <DIR> d-------- C:\DivX
2008-05-31 11:27 . 2008-05-31 11:27 <DIR> d-------- C:\Documents and Settings\ati\WINDOWS
2008-05-30 14:53 . 2008-05-30 14:53 <DIR> d-------- C:\CCleaner
2008-05-29 22:16 . 2006-12-10 23:32 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-05-29 22:10 . 2008-05-29 22:10 <DIR> d-------- C:\ALLPlayer
2008-05-29 21:10 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-05-28 22:33 . 2008-05-28 22:33 <DIR> d-------- C:\Program Files\3DO
2008-05-28 22:30 . 1998-10-07 12:54 327,168 --a------ C:\WINDOWS\IsUn0415.exe
2008-05-28 16:56 . 2008-05-28 16:56 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-05-27 20:22 . 2008-06-06 13:27 <DIR> d-------- C:\HijackThis
2008-05-26 22:44 . 2008-05-26 22:44 <DIR> d-------- C:\Reader 8.0
2008-05-26 22:44 . 2008-05-26 22:44 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-05-26 21:40 . 2008-05-26 21:40 <DIR> d-------- C:\Documents and Settings\ati\Dane aplikacji\Gadu-Gadu
2008-05-26 21:20 . 2008-05-26 21:20 <DIR> d-------- C:\Documents and Settings\NetworkService\Dane aplikacji\Xfire
2008-05-26 21:19 . 2008-06-06 00:02 <DIR> d-------- C:\Documents and Settings\ati\Dane aplikacji\Xfire
2008-05-26 21:18 . 2008-06-06 12:08 <DIR> d-------- C:\Xfire
2008-05-26 20:57 . 2008-06-03 21:28 <DIR> d-------- C:\Gadu-Gadu
2008-05-26 20:57 . 2008-05-26 21:40 <DIR> d-------- C:\Documents and Settings\ati\Gadu-Gadu
2008-05-26 20:37 . 2008-05-26 20:37 0 --a------ C:\WINDOWS\ativpsrm.bin
2008-05-26 20:35 . 2004-08-04 00:44 130,048 --a------ C:\WINDOWS\system32\ksproxy.ax
2008-05-26 20:35 . 2004-08-04 00:44 130,048 --a--c--- C:\WINDOWS\system32\dllcache\ksproxy.ax
2008-05-26 20:35 . 2004-08-03 23:08 60,288 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2008-05-26 20:35 . 2004-08-03 23:08 60,288 --a--c--- C:\WINDOWS\system32\dllcache\drmk.sys
2008-05-26 20:35 . 2004-11-18 10:42 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-05-26 20:35 . 2004-08-04 00:44 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2008-05-26 20:35 . 2004-08-04 00:44 4,096 --a--c--- C:\WINDOWS\system32\dllcache\ksuser.dll
2008-05-26 20:34 . 2008-05-26 20:34 <DIR> d-------- C:\WinRAR
2008-05-26 20:26 . 2008-05-12 10:49 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe
2008-05-26 20:25 . 2008-06-01 14:08 <DIR> d--h----- C:\Program Files\InstallShield Installation Information
2008-05-26 20:24 . 2008-06-02 22:44 <DIR> d-------- C:\Program Files\Common Files\InstallShield
2008-05-26 20:24 . 2008-05-26 20:24 <DIR> d-------- C:\ATI
2008-05-26 20:18 . 2008-05-31 14:47 1,346 --a------ C:\WINDOWS\mozver.dat
2008-05-14 03:28 . 2008-05-14 03:28 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-05-13 03:51 . 2008-05-13 03:51 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2008-05-13 03:51 . 2008-05-13 03:51 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2008-05-12 18:30 . 2008-05-12 18:30 3,007,488 --a------ C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-05-12 18:30 . 2008-05-12 18:30 3,007,488 --a--c--- C:\WINDOWS\system32\dllcache\ati2mtag.sys
2008-05-12 17:56 . 2008-05-12 17:56 397,312 --a------ C:\WINDOWS\system32\ATIDEMGX.dll
2008-05-12 17:54 . 2008-05-12 17:54 305,152 --a--c--- C:\WINDOWS\system32\dllcache\ati2dvag.dll
2008-05-12 17:54 . 2008-05-12 17:54 305,152 --a------ C:\WINDOWS\system32\ati2dvag.dll
2008-05-12 17:53 . 2008-05-12 17:53 307,200 --a------ C:\WINDOWS\system32\atiiiexx.dll
2008-05-12 17:45 . 2008-05-12 17:45 180,224 --a------ C:\WINDOWS\system32\atipdlxx.dll
2008-05-12 17:45 . 2008-05-12 17:45 139,264 --a------ C:\WINDOWS\system32\Oemdspif.dll
2008-05-12 17:45 . 2008-05-12 17:45 43,520 --a------ C:\WINDOWS\system32\ati2edxx.dll
2008-05-12 17:45 . 2008-05-12 17:45 26,112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe
2008-05-12 17:44 . 2008-05-12 17:44 139,264 --a------ C:\WINDOWS\system32\ati2evxx.dll
2008-05-12 17:43 . 2008-05-12 17:43 10,153,984 --a------ C:\WINDOWS\system32\atioglx2.dll
2008-05-12 17:43 . 2008-05-12 17:43 540,672 --a------ C:\WINDOWS\system32\ati2evxx.exe
2008-05-12 17:41 . 2008-05-12 17:41 53,248 --a------ C:\WINDOWS\system32\ATIDDC.DLL
2008-05-12 17:32 . 2008-05-12 17:32 3,203,168 --a--c--- C:\WINDOWS\system32\dllcache\ati3duag.dll
2008-05-12 17:32 . 2008-05-12 17:32 3,203,168 --a------ C:\WINDOWS\system32\ati3duag.dll
2008-05-12 17:22 . 2008-05-12 17:22 3,107,788 --a------ C:\WINDOWS\system32\ativvaxx.dat
2008-05-12 17:22 . 2008-05-12 17:22 3,107,788 --a------ C:\WINDOWS\system32\ativva5x.dat
2008-05-12 17:22 . 2008-05-12 17:22 1,999,616 --a--c--- C:\WINDOWS\system32\dllcache\ativvaxx.dll
2008-05-12 17:22 . 2008-05-12 17:22 1,999,616 --a------ C:\WINDOWS\system32\ativvaxx.dll
2008-05-12 17:22 . 2008-05-12 17:22 887,724 --a------ C:\WINDOWS\system32\ativva6x.dat
2008-05-12 17:09 . 2008-05-12 17:09 47,104 --a------ C:\WINDOWS\system32\amdpcom32.dll
2008-05-12 17:05 . 2008-05-12 17:05 5,439,488 --a------ C:\WINDOWS\system32\atioglxx.dll
2008-05-12 17:05 . 2008-05-12 17:05 327,680 --a------ C:\WINDOWS\system32\atikvmag.dll
2008-05-12 17:03 . 2008-05-12 17:03 19,968 --a------ C:\WINDOWS\system32\atiadlxx.dll
2008-05-12 17:03 . 2008-05-12 17:03 17,408 --a------ C:\WINDOWS\system32\atitvo32.dll
2008-05-12 17:02 . 2008-05-12 17:02 241,664 --a------ C:\WINDOWS\system32\atiok3x2.dll
2008-05-12 17:02 . 2008-05-12 17:02 49,152 --a------ C:\WINDOWS\system32\drivers\ati2erec.dll
2008-05-12 16:57 . 2008-05-12 16:57 548,864 --a--c--- C:\WINDOWS\system32\dllcache\ati2cqag.dll
2008-05-12 16:57 . 2008-05-12 16:57 548,864 --a------ C:\WINDOWS\system32\ati2cqag.dll
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-06 11:46 2,313,504 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-06 11:44 131,104 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-06-06 11:43 36,188 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-06 11:43 14,360 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-06 10:59 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-05-29 18:33 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-05-28 15:06 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-05-28 15:06 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
2008-05-26 17:36 --------- d-----w C:\Documents and Settings\ati\Dane aplikacji\Talkback
2008-05-26 16:36 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files
2008-05-26 16:13 --------- d-----w C:\Program Files\microsoft frontpage
2008-05-26 16:08 --------- d-----w C:\Program Files\Usługi online
2004-08-08 10:05 520 --sh--w C:\WINDOWS\system32\aoqnabib.sys
2004-08-08 10:05 520 --sh--w C:\WINDOWS\system32\bcsxachu.sys
2004-08-03 22:44 9,216 --sha-w C:\WINDOWS\system32\ethyg.dll
2004-08-08 10:07 520 --sh--w C:\WINDOWS\system32\fassaplo.sys
2004-08-08 10:05 520 --sh--w C:\WINDOWS\system32\fstlbsys.sys
2004-08-08 10:05 520 --sh--w C:\WINDOWS\system32\fzptbjpg.sys
2004-08-03 22:44 32,024 --sh--w C:\WINDOWS\system32\ghjkdr.dll
2004-08-03 22:44 9,216 --sha-w C:\WINDOWS\system32\ghrst.dll
2004-08-08 10:05 520 --sh--w C:\WINDOWS\system32\gpsgajba.sys
2004-08-08 10:05 520 --sh--w C:\WINDOWS\system32\newxbttb.sys
2004-08-08 10:05 520 --sh--w C:\WINDOWS\system32\rnmxajkl.sys
2004-08-08 10:05 520 --sh--w C:\WINDOWS\system32\snfybbyt.sys
2004-08-08 10:07 520 --sh--w C:\WINDOWS\system32\spwdbapi.sys
2004-08-08 10:05 520 --sh--w C:\WINDOWS\system32\xsdjbbmp.sys
2004-08-08 10:05 520 --sh--w C:\WINDOWS\system32\xzfhbjpg.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]
S2 cdralw;NVIDIA Compatible Windows Miniport Driver;C:\WINDOWS\system32\DRIVERS\nvmini.sys []
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-06 13:45:46
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2008-06-06 13:52:12 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-06 11:52:04
Pre-Run: 6,813,835,264 bajtów wolnych
Post-Run: 6,773,952,512 bajt˘w wolnych
187