system32\x - Worm, autostart Moich Dokumentów

INSTALKI.pl - programy, gry, sterowniki

Logi, zabezpieczenie komputera, danych. Programy antywirusowe antyspyware, firewall itp.

Regulamin forum

1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Wyślij odpowiedź
 
dadurec
  • dadurec
  • Posty: 15
  • Dołączenie: 15 Sty 2010, 21:21

system32\x - Worm, autostart Moich Dokumentów

15 Sty 2010, 21:29

witam, od momentu instalacji aviry, wywala mi WORM/Conficker.AE w pliku C:\WINDOWS\system32\x. Po drugie, podczas autostartu włączają mi się Moje dokumenty. Oto log z Combofixa: http://www.wklej.eu/index.php?id=d2b6cd9046
Proszę o pomoc.
z góry dzięki
 
mateo8898
  • mateo8898
  • Posty: 15377
  • Dołączenie: 15 Maj 2009, 14:55

Re: system32\x - Worm, autostart Moich Dokumentów

15 Sty 2010, 22:12

Wklej do notatnika:
Kod:
File::
C:\WINDOWS\system32\x

Driver::
itgykmk
srtzigoc

NetSvc::
itgykmk
srtzigoc

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3707:TCP"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\itgykmk]

Plik -> zapisz jako -> CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

Image
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
 
dadurec
  • dadurec
  • Posty: 15
  • Dołączenie: 15 Sty 2010, 21:21

Re: system32\x - Worm, autostart Moich Dokumentów

16 Sty 2010, 02:15

Kod:
ComboFix 10-01-15.01 - Administrator 2010-01-16   0:58.2.1 - x86 NETWORK
Microsoft Windows XP Professional  5.1.2600.2.1250.48.1045.18.511.390 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Administrator\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\d\Pulpit\CFScript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

FILE ::
"c:\windows\system32\x"
.

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ITGYKMK
-------\Legacy_SRTZIGOC
-------\Service_itgykmk
-------\Service_srtzigoc


(((((((((((((((((((((((((   Pliki utworzone od 2009-12-16 do 2010-01-16  )))))))))))))))))))))))))))))))
.

2010-01-15 19:34 . 2009-03-30 08:33   96104   ----a-w-   c:\windows\system32\drivers\avipbb.sys
2010-01-15 19:34 . 2009-02-13 10:29   22360   ----a-w-   c:\windows\system32\drivers\avgntmgr.sys
2010-01-15 19:34 . 2009-02-13 10:17   45416   ----a-w-   c:\windows\system32\drivers\avgntdd.sys
2010-01-15 19:34 . 2010-01-15 19:34   --------   d-----w-   c:\program files\Avira
2010-01-15 19:34 . 2010-01-15 19:34   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\Avira
2010-01-15 19:14 . 2010-01-15 19:14   --------   d-----w-   c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla
2010-01-15 17:57 . 2010-01-15 17:57   --------   d-----w-   c:\documents and settings\d\Ustawienia lokalne\Dane aplikacji\Scansoft
2010-01-15 17:28 . 2007-02-02 13:22   55808   ----a-w-   c:\windows\system32\brinsstr.dll
2010-01-15 17:28 . 2010-01-15 17:51   --------   d-----w-   c:\program files\Brother
2010-01-15 17:28 . 2007-02-15 12:54   131072   ------w-   c:\windows\brunin03.dll
2010-01-15 17:22 . 2010-01-15 17:22   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\InstallShield
2010-01-15 17:20 . 2010-01-15 17:20   --------   d-----w-   c:\program files\ScanSoft
2010-01-15 17:19 . 2010-01-15 17:19   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\Brother
2010-01-02 22:35 . 2010-01-15 23:53   --------   d-----w-   c:\documents and settings\d\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files
2010-01-02 22:17 . 2010-01-02 22:17   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\Apple Computer
2010-01-02 22:16 . 2010-01-02 22:33   --------   d-----w-   c:\documents and settings\d\Dane aplikacji\Ulead Systems
2010-01-02 22:15 . 2010-01-02 22:15   --------   d-----w-   c:\documents and settings\d\Dane aplikacji\InstallShield
2010-01-02 22:12 . 2010-01-02 22:12   --------   d-----w-   c:\program files\Common Files\InterVideo
2010-01-02 22:12 . 2010-01-02 22:12   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\InterVideo
2010-01-02 22:12 . 2007-03-06 10:58   210456   ----a-w-   c:\windows\system32\IVIresizeW7.dll
2010-01-02 22:12 . 2007-03-06 10:58   194072   ----a-w-   c:\windows\system32\IVIresizePX.dll
2010-01-02 22:12 . 2007-03-06 10:58   198168   ----a-w-   c:\windows\system32\IVIresizeP6.dll
2010-01-02 22:12 . 2007-03-06 10:58   198168   ----a-w-   c:\windows\system32\IVIresizeM6.dll
2010-01-02 22:12 . 2007-03-06 10:58   206360   ----a-w-   c:\windows\system32\IVIresizeA6.dll
2010-01-02 22:12 . 2007-03-06 10:58   26136   ----a-w-   c:\windows\system32\IVIresize.dll
2010-01-02 22:11 . 2010-01-02 22:11   --------   d-----w-   c:\program files\Windows Media Components
2010-01-02 22:09 . 2010-01-02 22:16   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\Ulead Systems
2010-01-02 22:09 . 2010-01-02 22:11   --------   d-----w-   c:\program files\Common Files\Ulead Systems
2010-01-02 22:09 . 2010-01-02 22:09   --------   d-----w-   c:\program files\Ulead Systems
2010-01-02 21:10 . 2009-12-05 18:42   85504   ----a-w-   c:\windows\system32\ff_vfw.dll
2010-01-02 21:10 . 2010-01-02 21:10   --------   d-----w-   c:\program files\ffdshow
2010-01-02 20:58 . 2010-01-02 20:58   --------   d-----w-   c:\program files\QuickTime
2010-01-02 20:58 . 2010-01-02 20:58   --------   d-----w-   c:\program files\ImTOO
2010-01-02 14:48 . 2009-11-25 10:19   56816   ----a-w-   c:\windows\system32\drivers\avgntflt.sys
2010-01-02 14:39 . 2010-01-02 16:08   --------   d-----w-   c:\program files\RegCleaner
2010-01-02 14:00 . 2010-01-02 14:00   --------   d-----w-   c:\program files\Pinnacle
2010-01-02 13:48 . 2000-07-27 09:36   14235   ----a-w-   c:\windows\system32\drivers\Pclepci.sys
2010-01-02 13:48 . 2001-05-31 21:09   306688   ----a-w-   c:\windows\IsUninst.exe
2010-01-02 12:24 . 2010-01-02 12:24   --------   d-----w-   c:\documents and settings\d\Dane aplikacji\Uniblue

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-15 23:17 . 2009-11-07 16:37   89888   ----a-w-   c:\documents and settings\d\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2010-01-15 18:51 . 2009-10-18 14:03   24   ----a-w-   c:\windows\system32\DVCStateBkp-{00000002-00000000-00000007-00001102-00000002-80221102}.dat
2010-01-15 18:51 . 2009-10-18 14:03   24   ----a-w-   c:\windows\system32\DVCState-{00000002-00000000-00000007-00001102-00000002-80221102}.dat
2010-01-15 17:51 . 2010-01-15 17:29   50   ----a-w-   c:\windows\system32\bridf07a.dat
2010-01-15 17:50 . 2009-10-18 13:16   --------   d--h--w-   c:\program files\InstallShield Installation Information
2010-01-15 17:49 . 2010-01-15 17:49   --------   d-----w-   c:\program files\Nuance
2010-01-15 17:48 . 2010-01-15 17:47   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\ScanSoft
2010-01-15 17:47 . 2010-01-15 17:47   --------   d-----w-   c:\program files\Common Files\ScanSoft Shared
2010-01-15 17:36 . 2010-01-15 17:36   138700   ----a-r-   c:\windows\system32\ghuaqn.dll
2010-01-15 17:21 . 2009-10-18 13:07   --------   d-----w-   c:\program files\Common Files\InstallShield
2010-01-08 17:04 . 2009-10-18 13:18   --------   d-----w-   c:\program files\Sims
2010-01-03 14:13 . 2009-12-12 21:01   214520   ----a-w-   c:\windows\system32\PnkBstrB.exe
2010-01-03 13:28 . 2009-12-12 21:01   137464   ----a-w-   c:\windows\system32\drivers\PnkBstrK.sys
2010-01-02 16:08 . 2009-11-07 14:47   --------   d-----w-   c:\program files\BitComet
2010-01-01 13:13 . 2009-11-07 14:07   --------   d-----w-   c:\program files\Gadu-Gadu
2009-12-23 17:37 . 2001-10-26 14:15   50748   ----a-w-   c:\windows\system32\perfc015.dat
2009-12-23 17:37 . 2001-10-26 14:15   358702   ----a-w-   c:\windows\system32\perfh015.dat
2009-12-22 18:54 . 2009-11-28 16:19   --------   d-----w-   c:\documents and settings\d\Dane aplikacji\Skype
2009-12-22 18:54 . 2009-11-28 16:22   --------   d-----w-   c:\documents and settings\d\Dane aplikacji\skypePM
2009-12-12 21:01 . 2009-12-12 21:01   75064   ----a-w-   c:\windows\system32\PnkBstrA.exe
2009-12-12 20:20 . 2009-12-12 20:20   --------   d-----w-   c:\program files\Activision
2009-12-12 14:27 . 2009-12-12 14:27   --------   d-----w-   c:\program files\MSECache
2009-12-12 14:22 . 2009-12-12 14:22   --------   d-----w-   c:\program files\Microsoft.NET
2009-12-12 14:21 . 2009-12-12 14:21   --------   d-----w-   c:\program files\Microsoft Works
2009-12-11 20:49 . 2009-12-11 20:49   411368   ----a-w-   c:\windows\system32\deploytk.dll
2009-12-11 20:49 . 2009-12-11 20:49   --------   d-----w-   c:\program files\Java
2009-12-11 20:48 . 2009-12-11 20:48   152576   ----a-w-   c:\documents and settings\d\Dane aplikacji\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-11 20:46 . 2009-12-11 20:46   79488   ----a-w-   c:\documents and settings\d\Dane aplikacji\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-28 23:32 . 2009-10-30 19:55   --------   d-----w-   c:\documents and settings\d\Dane aplikacji\VSO
2009-11-28 22:46 . 2009-11-20 20:52   --------   d-----w-   c:\program files\Common Files\Adobe
2009-11-28 22:20 . 2009-11-20 21:17   --------   d-----w-   c:\program files\coolpro2
2009-11-28 16:22 . 2009-11-28 16:22   56   ---ha-w-   c:\windows\system32\ezsidmv.dat
2009-11-28 16:19 . 2009-11-28 16:18   --------   d-----r-   c:\program files\Skype
2009-11-28 16:18 . 2009-11-28 16:18   --------   d-----w-   c:\program files\Common Files\Skype
2009-11-28 16:18 . 2009-11-28 16:18   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\Skype
2009-11-27 20:37 . 2009-11-27 20:29   --------   d-----w-   c:\documents and settings\d\Dane aplikacji\Propellerhead Software
2009-11-27 20:36 . 2009-11-27 20:36   368640   ----a-w-   c:\windows\system32\ReWire.dll
2009-11-27 20:36 . 2009-11-27 20:36   233472   ----a-w-   c:\windows\system32\REX Shared Library.dll
2009-11-27 20:30 . 2009-11-27 20:30   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\Propellerhead Software
2009-11-27 20:22 . 2009-11-27 20:22   --------   d-----w-   c:\program files\Propellerhead
2009-11-27 20:22 . 2009-11-27 20:10   --------   d-----w-   c:\documents and settings\d\Dane aplikacji\DAEMON Tools Lite
2009-11-27 20:11 . 2009-11-27 20:11   --------   d-----w-   c:\program files\DAEMON Tools Lite
2009-11-27 20:11 . 2009-11-27 20:11   691696   ----a-w-   c:\windows\system32\drivers\sptd.sys
2009-11-27 20:10 . 2009-11-27 20:10   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\DAEMON Tools Lite
2009-11-20 23:33 . 2009-11-20 23:13   --------   d-----w-   c:\program files\VirtualDJ
2009-11-20 22:03 . 2009-11-20 22:03   --------   d-----w-   c:\program files\Audacity
2009-11-20 20:56 . 2009-11-20 20:56   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\Adobe Systems
2009-11-20 20:54 . 2009-11-20 20:54   --------   d-----w-   c:\program files\Common Files\Adobe Systems Shared
2009-10-19 13:49 . 2009-10-18 11:37   86327   ----a-w-   c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-10-18 11:58 . 2009-10-18 11:58   0   ----a-w-   c:\windows\nsreg.dat
2009-10-18 11:33 . 2009-10-18 11:33   21856   ----a-w-   c:\windows\system32\emptyregdb.dat
.

(((((((((((((((((((((((((((((   SnapShot@2010-01-15_19.11.22   )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-01-16 00:04 . 2010-01-16 00:04   16384              c:\windows\temp\Perflib_Perfdata_1e0.dat
+ 2010-01-15 19:34 . 2009-05-11 08:12   28520              c:\windows\system32\drivers\ssmdrv.sys
.
(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-25 5898240]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Documents and Settings\\d\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Program Files\\BitComet\\BitComet.exe"=
"c:\\Program Files\\Gadu-Gadu\\gg.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"23614:TCP"= 23614:TCP:BitComet 23614 TCP
"23614:UDP"= 23614:UDP:BitComet 23614 UDP

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2009-11-27 691696]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-01-15 108289]

--- Inne Usługi/Sterowniki w Pamięci ---

*NewlyCreated* - SSMDRV

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{128e2d42-c577-11de-af76-806d6172696f}]
\Shell\AutoRun\command - E:\n1deiect.com
\Shell\explore\Command - E:\n1deiect.com
\Shell\open\Command - E:\n1deiect.com
.
.
------- Skan uzupełniający -------
.
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Pobierz wszystkie VIdeo za pomocą BitComet - c:\program files\BitComet\BitComet.exe/AddVideo.htm
IE: Pobierz wszystko za pomocą BitComet - c:\program files\BitComet\BitComet.exe/AddAllLink.htm
IE: Pobierz za pomocą BitComet - c:\program files\BitComet\BitComet.exe/AddLink.htm
TCP: {87FF99AA-CDEB-42AE-AE47-AB77E70E0F74} = 194.204.159.1
FF - ProfilePath - c:\documents and settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\pxtsot6p.default\
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-16 01:04
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ... 

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ... 

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x823DF1F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf857afc3
\Driver\ACPI -> ACPI.sys @ 0xf83e1cb8
\Driver\atapi -> 0x823df1f8
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a1afe
 ParseProcedure -> ntoskrnl.exe @ 0x80570a6e
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a1afe
 ParseProcedure -> ntoskrnl.exe @ 0x80570a6e
NDIS: Karta Realtek RTL8139 Family PCI Fast Ethernet NIC -> SendCompleteHandler -> NDIS.sys @ 0xf8281bc3
 PacketIndicateHandler -> NDIS.sys @ 0xf828db21
 SendHandler -> NDIS.sys @ 0xf8281d33
Warning: possible MBR rootkit infection !
user & kernel MBR OK

**************************************************************************
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|˙˙˙˙"•€|ţ»Ów*]
"AB141C35E9F4BF344B9FC010BB17F68A"=""
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'explorer.exe'(2848)
c:\windows\system32\msi.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\InterVideo\DeviceService\DevSvc.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\PnkBstrB.exe
c:\program files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Czas ukończenia: 2010-01-16  01:08:25 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt  2010-01-16 00:08
ComboFix2.txt  2010-01-15 19:12

Przed: 19 387 011 072 bajtów wolnych
Po: 19 276 525 568 bajtów wolnych

- - End Of File - - 295C69E59AE8C7A4F723534BA10419D5


oto i on.
 
mateo8898
  • mateo8898
  • Posty: 15377
  • Dołączenie: 15 Maj 2009, 14:55

Re: system32\x - Worm, autostart Moich Dokumentów

16 Sty 2010, 13:21

Podłącz pamięć przenośną (pendrive, kartę pamięci itp), a następnie wklej do notatnika:
Kod:
File::
E:\n1deiect.com
C:\n1deiect.com

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

Image
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
 
dadurec
  • dadurec
  • Posty: 15
  • Dołączenie: 15 Sty 2010, 21:21

Re: system32\x - Worm, autostart Moich Dokumentów

23 Sty 2010, 22:51

Kod:
ComboFix 10-01-23.02 - Administrator 2010-01-23  21:42:18.4.1 - x86 NETWORK
Microsoft Windows XP Professional  5.1.2600.2.1250.48.1045.18.511.334 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Administrator\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\Administrator\Pulpit\CFScript.txt

FILE ::
"C:\n1deiect.com"
"E:\n1deiect.com"
.

(((((((((((((((((((((((((   Pliki utworzone od 2009-12-23 do 2010-01-23  )))))))))))))))))))))))))))))))
.

2010-01-17 16:23 . 2010-01-17 16:23   --------   d-----w-   c:\documents and settings\d\Ustawienia lokalne\Dane aplikacji\Identities
2010-01-15 19:14 . 2010-01-15 19:14   --------   d-----w-   c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla
2010-01-15 17:57 . 2010-01-15 17:57   --------   d-----w-   c:\documents and settings\d\Ustawienia lokalne\Dane aplikacji\Scansoft
2010-01-15 17:28 . 2007-02-02 13:22   55808   ----a-w-   c:\windows\system32\brinsstr.dll
2010-01-15 17:28 . 2010-01-15 17:51   --------   d-----w-   c:\program files\Brother
2010-01-15 17:28 . 2007-02-15 12:54   131072   ------w-   c:\windows\brunin03.dll
2010-01-15 17:22 . 2010-01-15 17:22   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\InstallShield
2010-01-15 17:20 . 2010-01-15 17:20   --------   d-----w-   c:\program files\ScanSoft
2010-01-15 17:19 . 2010-01-15 17:19   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\Brother
2010-01-02 22:35 . 2010-01-23 17:42   --------   d-----w-   c:\documents and settings\d\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files
2010-01-02 22:17 . 2010-01-02 22:17   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\Apple Computer
2010-01-02 22:16 . 2010-01-02 22:33   --------   d-----w-   c:\documents and settings\d\Dane aplikacji\Ulead Systems
2010-01-02 22:15 . 2010-01-02 22:15   --------   d-----w-   c:\documents and settings\d\Dane aplikacji\InstallShield
2010-01-02 22:12 . 2010-01-02 22:12   --------   d-----w-   c:\program files\Common Files\InterVideo
2010-01-02 22:12 . 2010-01-02 22:12   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\InterVideo
2010-01-02 22:12 . 2007-03-06 10:58   210456   ----a-w-   c:\windows\system32\IVIresizeW7.dll
2010-01-02 22:12 . 2007-03-06 10:58   194072   ----a-w-   c:\windows\system32\IVIresizePX.dll
2010-01-02 22:12 . 2007-03-06 10:58   198168   ----a-w-   c:\windows\system32\IVIresizeP6.dll
2010-01-02 22:12 . 2007-03-06 10:58   198168   ----a-w-   c:\windows\system32\IVIresizeM6.dll
2010-01-02 22:12 . 2007-03-06 10:58   206360   ----a-w-   c:\windows\system32\IVIresizeA6.dll
2010-01-02 22:12 . 2007-03-06 10:58   26136   ----a-w-   c:\windows\system32\IVIresize.dll
2010-01-02 22:11 . 2010-01-02 22:11   --------   d-----w-   c:\program files\Windows Media Components
2010-01-02 22:09 . 2010-01-02 22:16   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\Ulead Systems
2010-01-02 22:09 . 2010-01-02 22:11   --------   d-----w-   c:\program files\Common Files\Ulead Systems
2010-01-02 22:09 . 2010-01-02 22:09   --------   d-----w-   c:\program files\Ulead Systems
2010-01-02 21:10 . 2009-12-05 18:42   85504   ----a-w-   c:\windows\system32\ff_vfw.dll
2010-01-02 21:10 . 2010-01-02 21:10   --------   d-----w-   c:\program files\ffdshow
2010-01-02 20:58 . 2010-01-02 20:58   --------   d-----w-   c:\program files\QuickTime
2010-01-02 20:58 . 2010-01-02 20:58   --------   d-----w-   c:\program files\ImTOO
2010-01-02 14:48 . 2009-11-25 10:19   56816   ----a-w-   c:\windows\system32\drivers\avgntflt.sys
2010-01-02 14:39 . 2010-01-02 16:08   --------   d-----w-   c:\program files\RegCleaner
2010-01-02 14:00 . 2010-01-02 14:00   --------   d-----w-   c:\program files\Pinnacle
2010-01-02 13:48 . 2000-07-27 09:36   14235   ----a-w-   c:\windows\system32\drivers\Pclepci.sys
2010-01-02 13:48 . 2001-05-31 21:09   306688   ----a-w-   c:\windows\IsUninst.exe
2010-01-02 12:24 . 2010-01-02 12:24   --------   d-----w-   c:\documents and settings\d\Dane aplikacji\Uniblue

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-01-22 21:08 . 2009-12-12 21:01   137464   ----a-w-   c:\windows\system32\drivers\PnkBstrK.sys
2010-01-22 21:08 . 2009-12-12 21:01   214520   ----a-w-   c:\windows\system32\PnkBstrB.exe
2010-01-15 23:17 . 2009-11-07 16:37   89888   ----a-w-   c:\documents and settings\d\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2010-01-15 18:51 . 2009-10-18 14:03   24   ----a-w-   c:\windows\system32\DVCStateBkp-{00000002-00000000-00000007-00001102-00000002-80221102}.dat
2010-01-15 18:51 . 2009-10-18 14:03   24   ----a-w-   c:\windows\system32\DVCState-{00000002-00000000-00000007-00001102-00000002-80221102}.dat
2010-01-15 17:51 . 2010-01-15 17:29   50   ----a-w-   c:\windows\system32\bridf07a.dat
2010-01-15 17:50 . 2009-10-18 13:16   --------   d--h--w-   c:\program files\InstallShield Installation Information
2010-01-15 17:49 . 2010-01-15 17:49   --------   d-----w-   c:\program files\Nuance
2010-01-15 17:48 . 2010-01-15 17:47   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\ScanSoft
2010-01-15 17:47 . 2010-01-15 17:47   --------   d-----w-   c:\program files\Common Files\ScanSoft Shared
2010-01-15 17:21 . 2009-10-18 13:07   --------   d-----w-   c:\program files\Common Files\InstallShield
2010-01-08 17:04 . 2009-10-18 13:18   --------   d-----w-   c:\program files\Sims
2010-01-02 16:08 . 2009-11-07 14:47   --------   d-----w-   c:\program files\BitComet
2010-01-01 13:13 . 2009-11-07 14:07   --------   d-----w-   c:\program files\Gadu-Gadu
2009-12-23 17:37 . 2001-10-26 14:15   50748   ----a-w-   c:\windows\system32\perfc015.dat
2009-12-23 17:37 . 2001-10-26 14:15   358702   ----a-w-   c:\windows\system32\perfh015.dat
2009-12-22 18:54 . 2009-11-28 16:19   --------   d-----w-   c:\documents and settings\d\Dane aplikacji\Skype
2009-12-22 18:54 . 2009-11-28 16:22   --------   d-----w-   c:\documents and settings\d\Dane aplikacji\skypePM
2009-12-12 21:01 . 2009-12-12 21:01   75064   ----a-w-   c:\windows\system32\PnkBstrA.exe
2009-12-12 20:20 . 2009-12-12 20:20   --------   d-----w-   c:\program files\Activision
2009-12-12 14:27 . 2009-12-12 14:27   --------   d-----w-   c:\program files\MSECache
2009-12-12 14:22 . 2009-12-12 14:22   --------   d-----w-   c:\program files\Microsoft.NET
2009-12-12 14:21 . 2009-12-12 14:21   --------   d-----w-   c:\program files\Microsoft Works
2009-12-11 20:49 . 2009-12-11 20:49   411368   ----a-w-   c:\windows\system32\deploytk.dll
2009-12-11 20:49 . 2009-12-11 20:49   --------   d-----w-   c:\program files\Java
2009-12-11 20:48 . 2009-12-11 20:48   152576   ----a-w-   c:\documents and settings\d\Dane aplikacji\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-11 20:46 . 2009-12-11 20:46   79488   ----a-w-   c:\documents and settings\d\Dane aplikacji\Sun\Java\jre1.6.0_17\gtapi.dll
2009-11-28 23:32 . 2009-10-30 19:55   --------   d-----w-   c:\documents and settings\d\Dane aplikacji\VSO
2009-11-28 22:46 . 2009-11-20 20:52   --------   d-----w-   c:\program files\Common Files\Adobe
2009-11-28 22:20 . 2009-11-20 21:17   --------   d-----w-   c:\program files\coolpro2
2009-11-28 16:22 . 2009-11-28 16:22   56   ---ha-w-   c:\windows\system32\ezsidmv.dat
2009-11-28 16:19 . 2009-11-28 16:18   --------   d-----r-   c:\program files\Skype
2009-11-28 16:18 . 2009-11-28 16:18   --------   d-----w-   c:\program files\Common Files\Skype
2009-11-28 16:18 . 2009-11-28 16:18   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\Skype
2009-11-27 20:37 . 2009-11-27 20:29   --------   d-----w-   c:\documents and settings\d\Dane aplikacji\Propellerhead Software
2009-11-27 20:36 . 2009-11-27 20:36   368640   ----a-w-   c:\windows\system32\ReWire.dll
2009-11-27 20:36 . 2009-11-27 20:36   233472   ----a-w-   c:\windows\system32\REX Shared Library.dll
2009-11-27 20:30 . 2009-11-27 20:30   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\Propellerhead Software
2009-11-27 20:22 . 2009-11-27 20:22   --------   d-----w-   c:\program files\Propellerhead
2009-11-27 20:22 . 2009-11-27 20:10   --------   d-----w-   c:\documents and settings\d\Dane aplikacji\DAEMON Tools Lite
2009-11-27 20:11 . 2009-11-27 20:11   --------   d-----w-   c:\program files\DAEMON Tools Lite
2009-11-27 20:11 . 2009-11-27 20:11   691696   ----a-w-   c:\windows\system32\drivers\sptd.sys
2009-11-27 20:10 . 2009-11-27 20:10   --------   d-----w-   c:\documents and settings\All Users\Dane aplikacji\DAEMON Tools Lite
2004-08-03 22:44 . 2004-08-03 22:44   164746   --sha-r-   c:\windows\system32\ghuaqn.dll
.

(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-25 5898240]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Documents and Settings\\d\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Program Files\\BitComet\\BitComet.exe"=
"c:\\Program Files\\Gadu-Gadu\\gg.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Program Files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"23614:TCP"= 23614:TCP:BitComet 23614 TCP
"23614:UDP"= 23614:UDP:BitComet 23614 UDP
"3707:TCP"= 3707:TCP:fwteirp

S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2009-11-27 691696]
S2 umbdaca;Config Universal;c:\windows\system32\svchost.exe -k netsvcs [2004-08-03 14336]
S3 gcmcwqbfg;gcmcwqbfg;\??\c:\windows\system32\02.tmp --> c:\windows\system32\02.tmp [?]

--- Inne Usługi/Sterowniki w Pamięci ---

*NewlyCreated* - GCMCWQBFG

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
umbdaca
fambq
.
.
------- Skan uzupełniający -------
.
TCP: {87FF99AA-CDEB-42AE-AE47-AB77E70E0F74} = 194.204.159.1
FF - ProfilePath - c:\documents and settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\wk34y2um.default\
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-01-23 21:45
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ... 

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ... 

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gcmcwqbfg]
"ImagePath"="\??\c:\windows\system32\02.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fambq]
"ServiceDll"="c:\windows\system32\ghuaqn.dll"
--

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\umbdaca]
"ServiceDll"="c:\program files\Movie Maker\ghuaqn.dll"
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\•€|˙˙˙˙"•€|ţ»Ów*]
"AB141C35E9F4BF344B9FC010BB17F68A"=""
.
Czas ukończenia: 2010-01-23  21:47:22
ComboFix-quarantined-files.txt  2010-01-23 20:47
ComboFix2.txt  2010-01-23 20:40
ComboFix3.txt  2010-01-16 00:08
ComboFix4.txt  2010-01-15 19:12

Przed: 17 865 965 568 bajtów wolnych
Po: 17 858 752 512 bajtów wolnych

- - End Of File - - 2804DD332766E7A354E26FDF568FA0A5
 
mateo8898
  • mateo8898
  • Posty: 15377
  • Dołączenie: 15 Maj 2009, 14:55

Re: system32\x - Worm, autostart Moich Dokumentów

23 Sty 2010, 23:36

Wklej do notatnika:
Kod:
File::
c:\windows\system32\ghuaqn.dll
c:\program files\Movie Maker\ghuaqn.dll
c:\windows\system32\02.tmp

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\gcmcwqbfg]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fambq]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\umbdaca]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3707:TCP"=-

Netsvc::
umbdaca
fambq

Driver::
umbdaca
gcmcwqbfg

Plik -> zapisz jako -> CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

Image
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
 
dadurec
  • dadurec
  • Posty: 15
  • Dołączenie: 15 Sty 2010, 21:21

Re: system32\x - Worm, autostart Moich Dokumentów

05 Lut 2010, 13:39

http://wklej.eu/index.php?id=c7e405f115
 
mateo8898
  • mateo8898
  • Posty: 15377
  • Dołączenie: 15 Maj 2009, 14:55

Re: system32\x - Worm, autostart Moich Dokumentów

05 Lut 2010, 18:23

Pamięci przenośne do sformatowania, bo z nich ciągle infekcja powraca.

Wklej do notatnika:
Kod:
File::
E:\n1deiect.com
G:\EXPLORER.EXE

Driver::
fambq

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fambq]

Plik -> zapisz jako -> CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

Image
Rozpocznie się usuwanie i powstanie log, który dajesz na forum.
Wyślij odpowiedź
Switch to full style

Powered by phpBB © phpBB Group.

phpBB Mobile / SEO by Artodia.

Strona główna