ostanio mialam problemy z temp2.exe
ogolnie utracilam ponad 10GB danych z jednej partycji. zrobilam format i uzywalm combo i mam nadzieje ze sie tego pozbylam,.
oto log
- Kod: Zaznacz wszystko
ComboFix 09-02-17.02 - kloda 2009-02-18 16:21:29.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.510.320 [GMT 1:00]
Uruchomiony z: c:\\documents and settings\\kloda\\Pulpit\\combo.exe
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\\autorun.inf
C:\\copy.exe
C:\\host.exe
c:\\windows\\autorun.inf
c:\\windows\\svchost.exe
c:\\windows\\system32\\temp1.exe
c:\\windows\\system32\\temp2.exe
c:\\windows\\xcopy.exe
D:\\Autorun.inf
D:\\copy.exe
D:\\host.exe
[color=blue]Zainfekowana kopia została znaleziona. Problem naprawiono
Plik odzyskano z - [/color]
.
((((((((((((((((((((((((( Pliki utworzone od 2009-01-18 do 2009-02-18 )))))))))))))))))))))))))))))))
.
2009-02-17 21:59 . 2009-02-17 21:59 <DIR> d-------- c:\\documents and settings\\kloda\\Dane aplikacji\\McAfee
2009-02-17 21:38 . 2009-02-17 22:00 <DIR> d-------- c:\\documents and settings\\All Users\\Dane aplikacji\\McAfee
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-17 19:12 --------- d--h--w c:\\program files\\InstallShield Installation Information
2009-02-17 19:12 --------- d-----w c:\\program files\\SAGEM WiFi manager
2009-02-17 19:12 --------- d-----w c:\\program files\\SAGEM
2009-02-17 19:12 --------- d-----w c:\\documents and settings\\kloda\\Dane aplikacji\\InstallShield
2009-02-17 18:55 --------- d-----w c:\\program files\\Common Files\\InstallShield
2009-02-17 18:48 --------- d-----w c:\\program files\\ATI Technologies
2009-02-17 18:41 --------- d-----w c:\\program files\\microsoft frontpage
2009-02-17 18:39 --------- d-----w c:\\program files\\Usługi online
.
------- Sigcheck -------
2004-08-03 23:44 1044992 9b18893b0c78043fb9f6b0a8109b1176 c:\\windows\\explorer.exe
2004-08-03 23:44 1044480 8839bd309213ddeaff82ada76dcd92e8 c:\\windows\\system32\\dllcache\\explorer.exe
2004-08-03 23:44 69120 c4c56694d51362fcbbb2e9648871098d c:\\windows\\system32\\spoolsv.exe
2004-08-03 23:44 68608 e35c460be0e7b2c2c3e6543f0967c5f0 c:\\windows\\system32\\dllcache\\spoolsv.exe
2008-10-16 14:09 51224 c7abd7cfda6a1ae6caa0c18b2a50f349 c:\\windows\\SoftwareDistribution\\SelfUpdate\\wuauclt.exe
2004-08-03 23:44 156160 794d87e4274bbb995634c825612cf833 c:\\windows\\system32\\wuauclt.exe
2004-08-03 23:44 122880 d0a4034159edf23d6ff20b57580020cb c:\\windows\\system32\\dllcache\\wuauclt.exe
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
\"CTFMON.EXE\"=\"c:\\windows\\system32\\ctfmon.exe\" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]
\"ATIPTA\"=\"c:\\program files\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\" [2005-08-05 344064]
\"SoundMan\"=\"SOUNDMAN.EXE\" [2004-10-27 c:\\windows\\SOUNDMAN.EXE]
[HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]
\"CTFMON.EXE\"=\"c:\\windows\\system32\\CTFMON.EXE\" [2004-08-03 15360]
c:\\documents and settings\\All Users\\Menu Start\\Programy\\Autostart\\
Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk - c:\\program files\\SAGEM WiFi manager\\WLANUTL.exe [2009-02-17 962560]
[HKLM\\~\\services\\sharedaccess\\parameters\\firewallpolicy\\standardprofile\\AuthorizedApplications\\List]
\"%windir%\\\\system32\\\\sessmgr.exe\"=
R1 BIOS;BIOS;c:\\windows\\system32\\drivers\\BIOS.sys [2009-02-17 13696]
R2 Machnm32;Machnm32 Driver;c:\\windows\\system32\\Machnm32.sys [2009-02-17 2304]
R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\\windows\\system32\\drivers\\WlanBZXP.sys [2009-02-17 450560]
S3 PhnxVcd;PhnxVcd;c:\\windows\\system32\\drivers\\phnxvcd.sys [2009-02-17 36096]
S3 ZDCndis5;ZDCndis5 Protocol Driver;\\??\\c:\\windows\\system32\\ZDCndis5.SYS --> c:\\windows\\system32\\ZDCndis5.SYS [?]
--- Inne Usługi/Sterowniki w Pamięci ---
*NewlyCreated* - UMWDF
.
- - - - USUNIĘTO PUSTE WPISY - - - -
HKLM-Run-farstone - (no file)
.
------- Skan uzupełniający -------
.
Trusted Zone: internet
Trusted Zone: mcafee.com
Trusted Zone: mcafee.com\\pl
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-18 16:25:19
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
detected NTDLL code modification:
ZwOpenFile
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > \'winlogon.exe\'(704)
c:\\windows\\system32\\Ati2evxx.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\\windows\\system32\\ati2evxx.exe
c:\\windows\\system32\\ati2evxx.exe
c:\\windows\\system32\\wscntfy.exe
.
**************************************************************************
.
Czas ukończenia: 2009-02-18 16:26:09 - komputer został uruchomiony ponownie [kloda]
ComboFix-quarantined-files.txt 2009-02-18 15:26:05
Przed: 104,977,985,536 bajtów wolnych
Po: 105,045,344,256 bajtów wolnych
WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS
[operating systems]
c:\\cmdcons\\BOOTSECT.DAT=\"Microsoft Windows Recovery Console\" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\\WINDOWS=\"Microsoft Windows XP Professional\" /noexecute=optin /fastdetect
signature(6150614)disk(0)rdisk(0)partition(2)\\WINDOWS=\"Microsoft Windows XP Professional\" /noexecute=optin /fastdetect
115
