ComboFix 08-11-28.03 - Administrator 2008-11-29 14:29:55.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.648 [GMT 1:00]
Uruchomiony z: e:\tymczasowe\ComboFix.exe
.
/wow section - STAGE 41
((((((((((((((((((((((((( Pliki utworzone od 2008-10-28 do 2008-11-29 )))))))))))))))))))))))))))))))
.
2008-11-29 12:59 . 2008-11-29 12:59 <DIR> d-------- C:\VundoFix Backups
2008-11-26 16:30 . 2008-11-26 16:30 800 --a------ c:\windows\hpinfo.lnk
2008-11-26 16:29 . 2008-11-26 16:30 <DIR> d-------- c:\program files\hp deskjet 930c series
2008-11-26 16:19 . 2008-11-26 16:20 <DIR> d-------- C:\DESKJET
2008-11-24 15:55 . 2008-11-24 15:54 410,976 --a------ c:\windows\system32\deploytk.dll
2008-11-13 20:30 . 2008-11-13 21:00 <DIR> d-------- c:\program files\PDF Editor 2
2008-11-13 20:30 . 2008-11-13 20:30 74,752 --a------ c:\windows\cadkasdeinst01e.exe
2008-11-13 20:11 . 2008-11-13 20:11 142,060 --a------ c:\windows\system32\AdobeFnt.lst
2008-11-13 19:23 . 2008-11-13 19:50 <DIR> d-------- c:\program files\ABBYY PDF Transformer 2.0
2008-11-13 19:22 . 2008-11-13 19:23 <DIR> d-------- c:\temp\PDFT20
2008-11-13 19:22 . 2008-11-14 18:18 <DIR> d-------- C:\temp
2008-11-13 17:44 . 2008-11-13 17:44 67 --a------ c:\windows\iltwain.ini
2008-11-12 09:56 . 2008-09-04 18:17 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll
2008-11-12 09:56 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-29 11:58 74,686 ----a-w c:\windows\system32\drivers\fwdrv.err
2008-11-26 15:29 --------- d-----w c:\program files\Hewlett-Packard
2008-11-24 14:54 --------- d-----w c:\program files\Java
2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:27 1,846,656 ----a-w c:\windows\system32\win32k.sys
2008-09-10 01:15 1,307,648 ------w c:\windows\system32\msxml6.dll
2008-09-04 17:17 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-07-13 18:03 47,360 ----a-w c:\documents and settings\Administrator\Dane aplikacji\pcouffin.sys
.
((((((((((((((((((((((((((((( snapshot@2008-11-29_14.09.13.45 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-11-29 13:26:04 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_59c.dat
+ 2008-11-29 13:26:03 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_724.dat
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVRaidService"="c:\windows\System32\nvraidservice.exe" [2004-01-13 83456]
"RemoteControl"="d:\powerdvd\PDVDServ.exe" [2003-10-31 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"TrojanScanner"="d:\trojan rem\Trojan Remover\Trjscan.exe" [2008-08-08 909904]
"avast!"="d:\avirus\ashDisp.exe" [2008-11-18 81000]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"Share-to-Web Namespace Daemon"="c:\program files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-11 69632]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-03-28 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-03-30 267048]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-24 136600]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-12 196608]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 c:\windows\soundman.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - d:\acrobat\Reader\reader_sl.exe [2005-09-23 29696]
Microsoft Office.lnk - d:\office\Office\OSA9.EXE [1999-02-17 65588]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\firewall\\kpf4gui.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-05 110160]
R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [2007-04-26 302000]
R1 khips;Kerio HIPS Driver;c:\windows\system32\drivers\khips.sys [2007-04-26 72624]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-04-05 20560]
R2 Kmm4xNT;Kmm4xNT;c:\windows\system32\drivers\Kmm4xNT.sys [2008-08-22 95484]
R2 SPF4;Sunbelt Personal Firewall 4;d:\firewall\kpf4ss.exe [2007-04-26 1234480]
S3 kvpndev;Kerio VPN adapter;c:\windows\system32\DRIVERS\kvpndrv.sys [2007-12-07 65024]
S3 kwflower;Kerio WinRoute Firewall Driver - Lower Layer; []
S3 s716bus;Sony Ericsson Device 716 driver (WDM);c:\windows\system32\DRIVERS\s716bus.sys [2008-06-14 83208]
S3 s716mdfl;Sony Ericsson Device 716 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s716mdfl.sys [2008-06-14 15112]
S3 s716mdm;Sony Ericsson Device 716 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s716mdm.sys [2008-06-14 108552]
S3 s716mgmt;Sony Ericsson Device 716 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s716mgmt.sys [2008-06-14 100360]
S3 s716nd5;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (NDIS);c:\windows\system32\DRIVERS\s716nd5.sys [2008-06-14 23176]
S3 s716obex;Sony Ericsson Device 716 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s716obex.sys [2008-06-14 98568]
S3 s716unic;Sony Ericsson Device 716 USB Ethernet Emulation SEMC716 (WDM);c:\windows\system32\DRIVERS\s716unic.sys [2008-06-14 98952]
S3 SaiH0506;SaiH0506;c:\windows\system32\DRIVERS\SaiH0506.sys [2006-01-17 176640]
S4 hpt3xx;hpt3xx; []
.
.
------- Skan uzupełniający -------
.
FireFox -: Profile - c:\documents and settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\4gq39k5m.default\
FF -: plugin - c:\program files\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - c:\program files\Java\jre6\bin\new_plugin\npdeploytk.dll
FF -: plugin - c:\program files\Java\jre6\bin\new_plugin\npjp2.dll
FF -: plugin - c:\program files\Mozilla Firefox\plugins\npdeploytk.dll
FF -: plugin - d:\acrobat\Reader\browser\nppdf32.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-29 14:34:23
Windows 5.1.2600 Dodatek Service Pack 3 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(784)
c:\windows\system32\Ati2evxx.dll
.
Czas ukończenia: 2008-11-29 14:36:48
ComboFix-quarantined-files.txt 2008-11-29 13:36:42
ComboFix2.txt 2008-11-29 13:10:53
Przed: 15 163 195 392 bajtów wolnych
Po: 15,151,493,120 bajtów wolnych
130 --- E O F --- 2008-11-13 15:28:21
prośba o przejrzenie loga z combofox
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
7 posty(ów)
• Strona 1 z 1
prośba o przejrzenie loga z combofox
przez g-morawski » 29 Lis 2008, 16:12
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4
- g-morawski
- Forumowicz
- Posty: 4
- Dołączenie: 29 Lis 2008, 16:09
Re: prośba o przejrzenie loga z combofox
przez huber2t » 29 Lis 2008, 16:36
UA: Opera/9.62 (Windows NT 5.1; U; pl) Presto/2.1.1
start>>uruchom>>>cmd
sc stop hpt3xx
sc delete hpt3xx
po każdej linijce enter
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
sc stop hpt3xx
sc delete hpt3xx
po każdej linijce enter
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
-
huber2t - Zasłużony działacz forum
- Posty: 2798
- Dołączenie: 21 Mar 2008, 10:07
- Pochwały: 42
Re: prośba o przejrzenie loga z combofox
przez g-morawski » 01 Gru 2008, 18:48
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4
Dzięki wielkie.
Jak wpisuje: sc stop hpt3xx to wyskakuje mi coś takiego, nie wiem czy tak ma być???
[SC] OpenService FAILED 1060:
Kasperskim nie dałem rady, wiesza się na aktualizacji bazy danych???
W avast mam w kwarantannie parę plików i nie wiem co z nimi zrobić???
Są to:
[Kwarantanna] C:\WINDOWS\system32\hgGwwVPi.dll
[Kwarantanna] C:\WINDOWS\system32\ljJBrSKE.dll
[Kwarantanna] C:\WINDOWS\SYSTEM32\RNYBLBRU.DLL
[Kwarantanna] C:\WINDOWS\SYSTEM32\RUKVSLBS.DLL
[Kwarantanna] C:\WINDOWS\system32\scui.cpl
Jak wpisuje: sc stop hpt3xx to wyskakuje mi coś takiego, nie wiem czy tak ma być???
[SC] OpenService FAILED 1060:
Kasperskim nie dałem rady, wiesza się na aktualizacji bazy danych???
W avast mam w kwarantannie parę plików i nie wiem co z nimi zrobić???
Są to:
[Kwarantanna] C:\WINDOWS\system32\hgGwwVPi.dll
[Kwarantanna] C:\WINDOWS\system32\ljJBrSKE.dll
[Kwarantanna] C:\WINDOWS\SYSTEM32\RNYBLBRU.DLL
[Kwarantanna] C:\WINDOWS\SYSTEM32\RUKVSLBS.DLL
[Kwarantanna] C:\WINDOWS\system32\scui.cpl
- g-morawski
- Forumowicz
- Posty: 4
- Dołączenie: 29 Lis 2008, 16:09
Re: prośba o przejrzenie loga z combofox
przez huber2t » 01 Gru 2008, 18:53
UA: Opera/9.62 (Windows NT 5.1; U; pl) Presto/2.1.1
Usuń te pliki
Pobierz The Avenger
wklej do niego ten tekst:
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Pobierz The Avenger
wklej do niego ten tekst:
- Kod: Zaznacz wszystko
Drivers to delete:
hpt3xx
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
-
huber2t - Zasłużony działacz forum
- Posty: 2798
- Dołączenie: 21 Mar 2008, 10:07
- Pochwały: 42
Re: prośba o przejrzenie loga z combofox
przez g-morawski » 01 Gru 2008, 19:03
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\hpt3xx" not found!
Deletion of driver "hpt3xx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\hpt3xx" not found!
Deletion of driver "hpt3xx" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
- g-morawski
- Forumowicz
- Posty: 4
- Dołączenie: 29 Lis 2008, 16:09
Re: prośba o przejrzenie loga z combofox
przez huber2t » 01 Gru 2008, 19:06
UA: Opera/9.62 (Windows NT 5.1; U; pl) Presto/2.1.1
powinno być ok
-
huber2t - Zasłużony działacz forum
- Posty: 2798
- Dołączenie: 21 Mar 2008, 10:07
- Pochwały: 42
Re: prośba o przejrzenie loga z combofox
przez g-morawski » 01 Gru 2008, 19:25
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4
Jeszcze raz wielkie dzięki, jestem pełen podziwu dla tego co robisz, dla mnie to czarna magia połączona z archiwum X.
- g-morawski
- Forumowicz
- Posty: 4
- Dołączenie: 29 Lis 2008, 16:09
7 posty(ów)
• Strona 1 z 1
Kto jest na forum
Zarejestrowani użytkownicy: Bing [Bot], Google [Bot]