ComboFix 09-10-21.01 - Janusz 2009-10-22 18:08.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.502.300 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Janusz\Pulpit\ComboFix.exe
AV: avast! antivirus 4.8.1356 [VPS 091021-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
c:\docume~1\Janusz\USTAWI~1\Temp\cvasds0.dll
C:\nds0q.exe
c:\windows\system32\ieuinit.inf
D:\autorun.inf
D:\nds0q.exe
E:\Autorun.inf
E:\nds0q.exe
.
((((((((((((((((((((((((( Pliki utworzone od 2009-09-22 do 2009-10-22 )))))))))))))))))))))))))))))))
.
2009-10-22 16:04 . 2009-10-22 16:04 12328 ----a-w- c:\documents and settings\Janusz\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-10-22 15:44 . 2007-01-18 12:00 3968 ----a-w- c:\windows\system32\drivers\AvgArCln.sys
2009-10-22 15:39 . 2009-06-18 10:55 18816 ------w- c:\windows\system32\SAVRKBootTasks.sys
2009-10-22 15:27 . 2009-10-22 15:27 -------- d-----w- c:\program files\Sophos
2009-10-22 15:16 . 2009-10-22 15:16 0 ----a-w- c:\windows\nsreg.dat
2009-10-22 15:16 . 2009-10-22 15:16 -------- d-----w- c:\documents and settings\Janusz\Ustawienia lokalne\Dane aplikacji\Mozilla
2009-10-22 12:00 . 2001-08-17 21:59 3072 ----a-w- c:\windows\system32\drivers\audstub.sys
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-22 10:56 . 2009-10-22 10:56 -------- d-----w- c:\program files\Alwil Software
2009-10-22 10:28 . 2009-10-22 10:28 -------- d-----w- c:\documents and settings\Janusz\Dane aplikacji\Intel
2009-10-22 10:28 . 2009-10-22 10:28 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Intel
2009-10-22 10:28 . 2009-10-22 10:15 -------- d-----w- c:\program files\Intel
2009-10-22 10:26 . 2001-10-26 18:15 49910 ----a-w- c:\windows\system32\perfc015.dat
2009-10-22 10:26 . 2001-10-26 18:15 356068 ----a-w- c:\windows\system32\perfh015.dat
2009-10-22 10:23 . 2009-10-22 10:23 -------- d-----w- c:\program files\Synaptics
2009-10-22 10:23 . 2009-10-22 10:19 -------- d-----w- c:\program files\Common Files\InstallShield
2009-10-22 10:23 . 2009-10-22 10:20 -------- d-----w- c:\program files\CONEXANT
2009-10-22 10:22 . 2009-10-22 10:22 -------- d-----w- c:\program files\Marvell
2009-10-22 10:20 . 2009-10-22 10:20 -------- d-----w- c:\program files\InstallShield Installation Information
2009-10-22 10:08 . 2009-10-22 10:08 -------- d-----w- c:\program files\microsoft frontpage
2009-10-22 10:06 . 2009-10-22 10:06 -------- d-----w- c:\program files\Usługi online
2009-10-22 10:04 . 2009-10-22 10:04 21856 ----a-w- c:\windows\system32\emptyregdb.dat
2009-09-15 10:59 . 2009-10-22 10:56 1279968 ----a-w- c:\windows\system32\aswBoot.exe
2009-09-15 10:56 . 2009-10-22 10:56 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-09-15 10:56 . 2009-10-22 10:56 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-09-15 10:55 . 2009-10-22 10:56 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-09-15 10:55 . 2009-10-22 10:56 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-09-15 10:54 . 2009-10-22 10:56 52368 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-09-15 10:54 . 2009-10-22 10:56 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-09-15 10:53 . 2009-10-22 10:56 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-09-15 10:53 . 2009-10-22 10:56 97480 ----a-w- c:\windows\system32\AvastSS.scr
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-02-07 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-02-07 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-02-07 118784]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-09-30 737370]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-09-15 81000]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" - c:\windows\system32\CHDAudPropShortcut.exe [2006-02-03 61952]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-10-22 114768]
R1 SAVRKBootTasks;Boot Tasks Driver;c:\windows\system32\SAVRKBootTasks.sys [2009-10-22 18816]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-10-22 20560]
S3 JJM;JJM;c:\docume~1\Janusz\USTAWI~1\Temp\JJM.exe --> c:\docume~1\Janusz\USTAWI~1\Temp\JJM.exe [?]
S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\A.tmp --> c:\windows\system32\A.tmp [?]
S3 QYXQGYERERGC;QYXQGYERERGC;c:\docume~1\Janusz\USTAWI~1\Temp\QYXQGYERERGC.exe --> c:\docume~1\Janusz\USTAWI~1\Temp\QYXQGYERERGC.exe [?]
S3 ZQUO;ZQUO;c:\docume~1\Janusz\USTAWI~1\Temp\ZQUO.exe --> c:\docume~1\Janusz\USTAWI~1\Temp\ZQUO.exe [?]
--- Inne Usługi/Sterowniki w Pamięci ---
*NewlyCreated* - AVGARCLN
*NewlyCreated* - AVG_ANTI-ROOTKIT
.
.
------- Skan uzupełniający -------
.
FF - ProfilePath - c:\documents and settings\Janusz\Dane aplikacji\Mozilla\Firefox\Profiles\71z8ea1h.default\
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-22 18:10
Windows 5.1.2600 Dodatek Service Pack 3 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\A.tmp"
.
Czas ukończenia: 2009-10-22 18:11
ComboFix-quarantined-files.txt 2009-10-22 16:11
Przed: 15 094 603 776 bajtów wolnych
Po: 15 081 558 016 bajtów wolnych
WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
- - End Of File - - 97748EC39C9DD258C77D74EF87AD2745
Proszę o sprawdzenie loga z combofixa
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
4 posty(ów)
• Strona 1 z 1
Proszę o sprawdzenie loga z combofixa
przez szemal666 » 22 Paź 2009, 18:17
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3
- szemal666
- Forumowicz
- Posty: 2
- Dołączenie: 22 Paź 2009, 18:02
Re: Proszę o sprawdzenie loga z combofixa
przez mateo8898 » 22 Paź 2009, 19:01
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3
Wylecz pamięci przenośne Flash Disinfector lub sformatuj
Pobierz The Avenger w pole Input script here wklej poniższy tekst:
klikasz Execute
Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt
Wklej do notatnika:
Plik Zapisz jako Ustaw rozszerzenie z TXT na Wszystkie pliki zapisz pod nazwą FIX.REG uruchom utworzony plik i potwierdź
Pobierz The Avenger w pole Input script here wklej poniższy tekst:
- Kod: Zaznacz wszystko
Files to delete:
c:\docume~1\Janusz\USTAWI~1\Temp\QYXQGYERERGC.exe
c:\docume~1\Janusz\USTAWI~1\Temp\ZQUO.exe
c:\docume~1\Janusz\USTAWI~1\Temp\JJM.exe
Drivers to delete:
JJM
QYXQGYERERGC
ZQUO
klikasz Execute
Potwierdzasz i zgadzasz się na restart klikając OK.Po wykonaniu wklej raport na forum C:\avenger.txt
Wklej do notatnika:
- Kod: Zaznacz wszystko
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"=-
"igfxhkcmd"=-
"igfxpers"=-
"High Definition Audio Property Page Shortcut"=-
Plik
Zapisz jako Ustaw rozszerzenie z TXT na Wszystkie pliki zapisz pod nazwą FIX.REG uruchom utworzony plik i potwierdź-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: Proszę o sprawdzenie loga z combofixa
przez szemal666 » 28 Paź 2009, 14:09
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 (.NET CLR 3.5.30729)
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "c:\docume~1\Janusz\USTAWI~1\Temp\QYXQGYERERGC.exe" not found!
Deletion of file "c:\docume~1\Janusz\USTAWI~1\Temp\QYXQGYERERGC.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "c:\docume~1\Janusz\USTAWI~1\Temp\ZQUO.exe" not found!
Deletion of file "c:\docume~1\Janusz\USTAWI~1\Temp\ZQUO.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "c:\docume~1\Janusz\USTAWI~1\Temp\JJM.exe" not found!
Deletion of file "c:\docume~1\Janusz\USTAWI~1\Temp\JJM.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Driver "JJM" deleted successfully.
Driver "QYXQGYERERGC" deleted successfully.
Driver "ZQUO" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: file "c:\docume~1\Janusz\USTAWI~1\Temp\QYXQGYERERGC.exe" not found!
Deletion of file "c:\docume~1\Janusz\USTAWI~1\Temp\QYXQGYERERGC.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "c:\docume~1\Janusz\USTAWI~1\Temp\ZQUO.exe" not found!
Deletion of file "c:\docume~1\Janusz\USTAWI~1\Temp\ZQUO.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Error: file "c:\docume~1\Janusz\USTAWI~1\Temp\JJM.exe" not found!
Deletion of file "c:\docume~1\Janusz\USTAWI~1\Temp\JJM.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Driver "JJM" deleted successfully.
Driver "QYXQGYERERGC" deleted successfully.
Driver "ZQUO" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
- szemal666
- Forumowicz
- Posty: 2
- Dołączenie: 22 Paź 2009, 18:02
Re: Proszę o sprawdzenie loga z combofixa
przez mateo8898 » 28 Paź 2009, 15:23
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3
Usunięte.
Pobierz OTC uruchom i kliknij CleanUp
Przeczyść dysk oraz rejestr CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja
Wykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie wylecz/usuń i daj raport (Plik Zapisz Listę Raportu)
Pobierz OTC uruchom i kliknij CleanUp
Przeczyść dysk oraz rejestr CCleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach
InstrukcjaWykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie wylecz/usuń i daj raport (Plik
Zapisz Listę Raportu)-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
4 posty(ów)
• Strona 1 z 1
Kto jest na forum
Zarejestrowani użytkownicy: Bing [Bot]