Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Prosze o sprawdzenie loga z combofix
19 Maj 2008, 18:30
Witam,
Prosze o sprawdzenie loga z combofix
Sytuacja wyglada nastepujaco, F-secure wykryl na penie dwa wirusy:
F:\host.exe
F:\xcopy.exe
Niestety zamiast je skasowac, zmienil nazwe. Wowczas do akcji ruszyl combofix. Stworzylem plik CFScript (czy jakos tak) i przenioslem na Combofix. Efekty widac ponizej
Chcialbym zapytac, czy pliki:
F:\RECYCLER\desktop.ini
F:\RECYCLER\U.exe
widoczne w logu combofix to moga byc te dwa wykryte wisusy po zmianie nazwy? Czy komp i pen sa juz czyste?
Pozdrawiam,
szybki
Ponizej log
Prosze o sprawdzenie loga z combofix
Sytuacja wyglada nastepujaco, F-secure wykryl na penie dwa wirusy:
F:\host.exe
F:\xcopy.exe
Niestety zamiast je skasowac, zmienil nazwe. Wowczas do akcji ruszyl combofix. Stworzylem plik CFScript (czy jakos tak) i przenioslem na Combofix. Efekty widac ponizej
Chcialbym zapytac, czy pliki:
F:\RECYCLER\desktop.ini
F:\RECYCLER\U.exe
widoczne w logu combofix to moga byc te dwa wykryte wisusy po zmianie nazwy? Czy komp i pen sa juz czyste?
Pozdrawiam,
szybki
Ponizej log
ComboFix 08-05-15.3 - Wojtek 2008-05-19 18:04:56.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.195 [GMT 2:00]
Running from: C:\Documents and Settings\Wojtek\Pulpit\ComboFix.exe
Command switches used :: C:\Documents and Settings\Wojtek\Pulpit\CFScript.txt
* Created a new restore point
* Resident AV is active
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
F:\host.exe
F:\xcopy.exe
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Wojtek pen\dre\1\_desktop.ini
C:\Wojtek pen\dre\1\ostat_wersja\_desktop.ini
C:\Wojtek pen\dre\1\OSTATNIE\_desktop.ini
F:\RECYCLER\desktop.ini
F:\RECYCLER\U.exe
.
((((((((((((((((((((((((( Files Created from 2008-04-19 to 2008-05-19 )))))))))))))))))))))))))))))))
.
2008-05-17 13:40 . 2004-08-04 00:38 14,848 --a------ C:\WINDOWS\system32\drivers\kbdhid.sys
2008-05-17 13:40 . 2004-08-04 00:38 14,848 --a--c--- C:\WINDOWS\system32\dllcache\kbdhid.sys
2008-05-17 13:40 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-05-17 13:40 . 2001-08-17 22:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2008-05-16 09:45 . 2008-05-16 09:45 <DIR> d-------- C:\Program Files\GIMP-2.0
2008-05-15 23:41 . 2008-05-16 14:53 <DIR> d-------- C:\_eps testy
2008-05-15 23:26 . 2008-05-16 14:45 <DIR> d-------- C:\Documents and Settings\Wojtek\Dane aplikacji\gtk-2.0
2008-05-15 23:26 . 2008-05-16 13:54 <DIR> d-------- C:\Documents and Settings\Wojtek\.thumbnails
2008-05-15 23:23 . 2008-05-16 14:54 <DIR> d-------- C:\Documents and Settings\Wojtek\.gimp-2.4
2008-05-15 22:50 . 2008-05-15 22:50 <DIR> d-------- C:\WINDOWS\system32\psconv
2008-05-15 22:50 . 2008-05-15 22:50 <DIR> d-------- C:\Program Files\psconvert
2008-05-15 22:50 . 2008-05-15 22:50 <DIR> d-------- C:\Program Files\PDF-Convert
2008-05-15 22:50 . 2008-05-15 22:56 1,024 --a------ C:\Documents and Settings\All Users\Dane aplikacji\imgpdf2.dll
2008-05-15 22:50 . 2008-05-15 22:50 164 --a------ C:\WINDOWS\system32\psconv.ini
2008-05-15 21:11 . 2008-05-15 21:11 4,210 --a------ C:\F-Secure Anti-Virus 2008 8_00 - Raport skanowania - 15 maj 2008 211115.htm
2008-05-15 20:57 . 2008-05-15 21:01 <DIR> d-------- C:\!KillBox
2008-05-15 19:22 . 2007-05-25 15:09 58,128 --a------ C:\WINDOWS\system32\drivers\fsdfw.sys
2008-05-15 19:22 . 2007-05-25 15:09 37,008 --a------ C:\WINDOWS\system32\drivers\fsndis5.sys
2008-05-11 19:45 . 2008-05-11 19:52 <DIR> d-------- C:\Zdjecia z komunii Basi
2008-05-07 19:39 . 2006-10-29 09:41 3,334,270 --a------ C:\No Doubt - Just A Girl.wma
2008-05-04 13:15 . 2008-05-02 19:39 31,744 --a------ C:\Konspekt z zajęć wydalanie u człowieka.doc
2008-05-04 13:15 . 2008-05-03 12:41 28,672 --a------ C:\Konspekt z zajęć układ hormonalny.doc
2008-05-03 20:21 . 2008-05-03 20:21 4,208 --a------ C:\F-Secure Anti-Virus 2008 8_00 - Raport skanowania - 3 maj 2008 200756, pen.htm
2008-04-24 22:10 . 2008-04-24 22:10 1,414,951 --a------ C:\ustawienia lx 300.jpg
2008-04-19 17:29 . 2008-04-19 17:29 121,344 --a------ C:\Uniwersytet Śląski.doc
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-18 07:30 --------- d-----w C:\Program Files\F-Secure Internet Security
2008-05-16 17:29 --------- d-----w C:\Program Files\MiKTeX 2.6
2008-05-15 17:21 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\F-Secure
2008-05-15 17:19 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\fssg
2008-04-16 17:26 --------- d-----w C:\Program Files\7-Zip
2008-03-22 07:44 --------- d-----w C:\Program Files\Java
2008-03-01 15:18 118,784 ----a-w C:\WINDOWS\SeaMonkeyUninstall.exe
2008-03-01 15:17 118,784 ----a-w C:\WINDOWS\GREUninstall.exe
2008-01-07 17:20 12,150,816 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44 15360]
"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2005-11-16 12:57 2207744]
"SeaMonkey Quick Launch"="C:\Program Files\mozilla.org\SeaMonkey\SeaMonkey.exe" [2008-02-02 02:17 106496]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-06-21 19:14 35328]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"SSBkgdUpdate"="C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 13:16 185896]
"OpwareSE4"="C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 12:45 75304]
"Samsung Common SM"="C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" [2005-07-03 09:20 372736]
"F-Secure Manager"="C:\Program Files\F-Secure Internet Security\Common\FSM32.exe" [2007-05-25 15:12 183208]
"F-Secure TNB"="C:\Program Files\F-Secure Internet Security\FSGUI\TNBUtil.exe" [2007-05-25 15:11 740208]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:44 15360]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 14:44:06 29696]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56 65588]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"msacm.l3fhg"= mp3fhg.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv
"VIDC.YV12"= yv12vfw.dll
"msacm.ac3filter"= ac3filter.acm
"msacm.divxa32"= divxa32.acm
"msacm.l3codecp"= l3codecp.acm
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
R0 FSFW;F-Secure Firewall Driver;C:\WINDOWS\system32\drivers\fsdfw.sys [2007-05-25 15:09]
R1 F-Secure HIPS;F-Secure HIPS;C:\Program Files\F-Secure Internet Security\HIPS\fshs.sys [2008-05-17 10:50]
R3 atirage;atirage;C:\WINDOWS\system32\DRIVERS\atiragem.sys [2001-10-26 18:50]
R3 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files\F-Secure Internet Security\Anti-Virus\minifilter\fsgk.sys [2007-05-25 15:08]
S3 NtApm;Sterownik interfejsu NT Apm/Legacy;C:\WINDOWS\system32\DRIVERS\NtApm.sys [2001-10-26 18:48]
S4 F-Secure Filter;F-Secure File System Filter;C:\Program Files\F-Secure Internet Security\Anti-Virus\Win2K\FSfilter.sys [2007-05-25 15:09]
S4 F-Secure Recognizer;F-Secure File System Recognizer;C:\Program Files\F-Secure Internet Security\Anti-Virus\Win2K\FSrec.sys [2007-05-25 15:09]
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-19 18:12:35
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-05-19 18:17:05
ComboFix-quarantined-files.txt 2008-05-19 16:16:56
Pre-Run: 23,924,559,872 bajtów wolnych
Post-Run: 23,918,927,872 bajtów wolnych
119
19 Maj 2008, 19:49
W logu nic nie widzę
Pokaż log z HijackThis
Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum
Pokaż log z HijackThis
Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum