Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Trojan.Win32.VB.aqt
15 Maj 2008, 21:32
Witam,
jak usunąć tego trojana: Trojan.Win32.VB.aqt?
Combofix nie dal rady, mksvir tez nie, tak samo f-secure, poniżej raport z f-secure. F-secure zmienił nazwę mimo i kazałem skasować!
Trojan siedzi na pen'ie, ale pewnie przeniósł się z innego kompa który ostatnio czyszczę z wirusów. Na tym kompie na dwóch partycjach został mi do usunięcia tylko ten trojan.
jak usunąć tego trojana: Trojan.Win32.VB.aqt?
Combofix nie dal rady, mksvir tez nie, tak samo f-secure, poniżej raport z f-secure. F-secure zmienił nazwę mimo i kazałem skasować!
Trojan siedzi na pen'ie, ale pewnie przeniósł się z innego kompa który ostatnio czyszczę z wirusów. Na tym kompie na dwóch partycjach został mi do usunięcia tylko ten trojan.
Raport skanowania
15 maj 2008 21:06:02 - 21:10:56
Nazwa komputera: ABC
Typ skanowania: Skanuj obiekt docelowy
Obiekt docelowy: F:\
------------------------------------
Wyniki: Liczba znalezionych złośliwych programów: 1
{Trojan.Win32.VB.aqt} (wirus)
* F:\Recycled\ctfmon.exe Czynność: zmieniono nazwę
------------------------------------
Statystyka
Przeskanowane:
* Pliki: 568
* Nieskanowane: 0
Wyniki:
* Wirusy: 1
* Szpiegi: 0
* Podejrzane elementy: 0
* Ryzykowne oprogramowanie: 0
Czynności:
* Wyleczone: 0
* Zmieniono nazwę: 1
* Usunięte: 0
* Poddane kwarantannie: 0
* Nie powiodło się: 0
Sektory rozruchowe:
* Przeskanowane: 1
* Zainfekowane: 0
* Podejrzane elementy: 0
* Wyleczone: 0
------------------------------------
Opcje
Wersja definicji:
* Wirusy: 2008-05-15_04
* Szpiegi: 2008-05-15_04
Aparaty skanowania:
* F-Secure AVP: 7.00.171, 2008-05-15
* F-Secure Libra: 2.04.01, 2008-05-14
* F-Secure Orion: 1.02.37, 2008-05-15
* F-Secure Draco: 1.00.35, 2008-04-02
Opcje skanowania:
* Skanuj zdefiniowane pliki: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ANI AVB BAT CEO CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR TGZ ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
* Skanuj wewnątrz archiwów
Czynności:
* Wirusy: Zapytaj po skanowaniu
* Szpiegi: Zapytaj po skanowaniu
15 Maj 2008, 21:55
POdłącz pendrive i podaj log z Combofix
Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum
Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum
20 Maj 2008, 16:22
Witam po krotkiej przerwie spowodowanej brakiem dostepu do komputera 
Ponizej podaje logi z kaspersky'ego i combofix, w takiej kolejnosci skanowalem kompa wraz z penem.
Dodam jeszcze, ze komp zawiera dwie partycje z windowsem xp i windowsem 98, a sciezka c:\... , dotyczy windowsa 98
Najpierw kaspersky:
A teraz Combofix
Ponizej podaje logi z kaspersky'ego i combofix, w takiej kolejnosci skanowalem kompa wraz z penem.
Dodam jeszcze, ze komp zawiera dwie partycje z windowsem xp i windowsem 98, a sciezka c:\... , dotyczy windowsa 98
Najpierw kaspersky:
20 maj 2008 15:50:27
System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)
Kaspersky Online Scanner wersja: 5.0.98.0
Ostatnia aktualizacja Kaspersky Anti-Virus20/05/2008
Liczba wpisów w bazie danych Kaspersky Anti-Virus787903
Ustawienia skanowania
Skanowanie przy użyciu następujących baz danych rozszerzone
Skanuj archiwa tak
Skanuj pocztowe bazy danych tak
Obszar skanowania Mój komputer
A:\
C:\
D:\
E:\
F:\
Statystyki skanowania
Liczba skanowanych obiektów 53589
Liczba wykrytych wirusów 2
Liczba zainfekowanych obiektów 3
Liczba podejrzanych obiektów 0
Czas trwania skanowania 00:46:51
Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie
C:\System Volume Information\_restore{E69F0A28-6327-4E67-8AE1-FDD086745CE3}\RP29\change.log Object is locked pominięty
C:\Recycled\ctfmon.exe Zainfekowanych: Trojan.Win32.VB.aqt pominięty
E:\Documents and Settings\admin\Cookies\index.dat Object is locked pominięty
E:\Documents and Settings\admin\NTUSER.DAT Object is locked pominięty
E:\Documents and Settings\admin\ntuser.dat.LOG Object is locked pominięty
E:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Feeds Cache\index.dat Object is locked pominięty
E:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
E:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
E:\Documents and Settings\admin\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
E:\Documents and Settings\admin\Ustawienia lokalne\Historia\History.IE5\MSHist012008052020080521\index.dat Object is locked pominięty
E:\Documents and Settings\admin\Ustawienia lokalne\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked pominięty
E:\Documents and Settings\admin\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
E:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty
E:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty
E:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty
E:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
E:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
E:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
E:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
E:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty
E:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty
E:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
E:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
E:\Program Files\mks_vir_2007\Raporty\RM20080520125846.rep Object is locked pominięty
E:\Program Files\National Instruments\MAX\Data\config3.mxd Object is locked pominięty
E:\Program Files\National Instruments\MAX\Data\config3.mxs Object is locked pominięty
E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
E:\System Volume Information\_restore{E69F0A28-6327-4E67-8AE1-FDD086745CE3}\RP29\change.log Object is locked pominięty
E:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty
E:\WINDOWS\SchedLgU.Txt Object is locked pominięty
E:\WINDOWS\SoftwareDistribution\EventCache\{5F4ECB2D-1296-40EF-B772-2717053F1F6C}.bin Object is locked pominięty
E:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty
E:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty
E:\WINDOWS\system32\config\default Object is locked pominięty
E:\WINDOWS\system32\config\default.LOG Object is locked pominięty
E:\WINDOWS\system32\config\Internet.evt Object is locked pominięty
E:\WINDOWS\system32\config\SAM Object is locked pominięty
E:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty
E:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty
E:\WINDOWS\system32\config\SECURITY Object is locked pominięty
E:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty
E:\WINDOWS\system32\config\software Object is locked pominięty
E:\WINDOWS\system32\config\software.LOG Object is locked pominięty
E:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty
E:\WINDOWS\system32\config\system Object is locked pominięty
E:\WINDOWS\system32\config\system.LOG Object is locked pominięty
E:\WINDOWS\system32\h323log.txt Object is locked pominięty
E:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty
E:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty
E:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty
E:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty
E:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty
E:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty
E:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty
E:\WINDOWS\WindowsUpdate.log Object is locked pominięty
F:\autorun.0nf Zainfekowanych: Worm.Win32.AutoRun.yq pominięty
F:\Recycled\ctfmon.0xe Zainfekowanych: Trojan.Win32.VB.aqt pominięty
Proces skanowania został zakończony.
A teraz Combofix
ComboFix 08-05-19.4 - admin 2008-05-20 16:06:39.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.178 [GMT 2:00]
Running from: E:\Documents and Settings\admin\Pulpit\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
((((((((((((((((((((((((( Files Created from 2008-04-20 to 2008-05-20 )))))))))))))))))))))))))))))))
.
2008-05-20 13:21 . 2008-05-20 13:21 25 --a------ E:\WINDOWS\BRAINMAK.INI
2008-05-14 10:48 . 2008-05-14 10:48 <DIR> d-------- E:\WINDOWS\system32\Kaspersky Lab
2008-05-14 10:48 . 2008-05-14 10:48 <DIR> d-------- E:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-04-21 10:06 . 2008-04-21 10:06 <DIR> d-------- E:\Documents and Settings\admin\WINDOWS
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-14 12:19 --------- d-----w E:\Documents and Settings\All Users\Dane aplikacji\Lavasoft
2008-04-18 14:24 --------- d-----w E:\Program Files\Lavasoft
2008-04-08 13:35 --------- d-----w E:\Documents and Settings\admin\Dane aplikacji\U3
2008-03-28 13:44 --------- d-----w E:\Program Files\MSXML 4.0
2008-03-25 04:52 621,344 ----a-w E:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:52 178,976 ----a-w E:\WINDOWS\system32\msjint40.dll
2008-03-21 12:14 --------- d-----w E:\Program Files\Common Files\National Instruments Shared
2008-03-21 12:13 --------- d-----w E:\Program Files\National Instruments
2008-03-21 12:11 --------- d-----w E:\Program Files\cameralink
2008-03-21 11:59 --------- d-----w E:\Program Files\IVI
2008-03-20 08:09 1,845,504 ----a-w E:\WINDOWS\system32\win32k.sys
2008-03-01 13:02 826,368 ----a-w E:\WINDOWS\system32\wininet.dll
2008-02-20 06:51 282,624 ----a-w E:\WINDOWS\system32\gdi32.dll
2008-02-20 05:38 45,568 ----a-w E:\WINDOWS\system32\dnsrslvr.dll
2005-10-13 08:55 88,761 ----a-w E:\WINDOWS\inf\pxiclean.exe
2004-03-15 16:51 114,688 ----a-w E:\Program Files\internet explorer\plugins\LV71ActiveXControl.dll
2003-05-01 08:36 114,688 ----a-w E:\Program Files\internet explorer\plugins\LV7ActiveXControl.dll
2005-10-12 15:04 131,072 ----a-w E:\Program Files\internet explorer\plugins\LV80ActiveXControl.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="E:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MKSRegmon"="E:\Program Files\mks_vir_2007\bin\mksregmon.exe" [2007-05-24 06:06 303104]
"mks_mail"="E:\Program Files\mks_vir_2007\bin\mks_mail.exe" [2007-05-24 06:06 520192]
"mkstray"="E:\Program Files\mks_vir_2007\bin\mkstray.exe" [2007-08-13 19:43 663552]
"niDevMon"="E:\Program Files\National Instruments\NI-DAQ\HWConfig\nidevmon.exe" [2005-10-06 12:49 263168]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="E:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MkS_Scan]
@="service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R0 mksidsa;mksidsa;E:\WINDOWS\system32\mksidsa.sys [2007-05-24 06:06]
R0 NIPALK;NIPALK;E:\WINDOWS\system32\drivers\nipalk.sys [2005-09-22 22:12]
R0 PCIIMAQ;National Instruments IMAQ Driver;E:\WINDOWS\system32\drivers\PCIIMAQ.sys [2005-08-30 11:38]
R1 hwinterface;hwinterface;E:\WINDOWS\system32\Drivers\hwinterface.sys [2008-02-05 13:43]
R1 mksfwallf;mksfwallf;E:\WINDOWS\system32\mksfwallf.sys [2007-05-24 06:06]
R1 mksfwallt;mksfwallt;E:\WINDOWS\system32\mksfwallt.sys [2007-05-24 06:06]
R2 cvintdrv;cvintdrv;E:\WINDOWS\system32\drivers\cvintdrv.sys [2005-06-10 11:01]
R2 gpib420;GPIB Analyzer;E:\WINDOWS\system32\drivers\gpib420.sys [2005-07-18 02:45]
R2 GpibPrtK;Gpib Port;E:\WINDOWS\system32\drivers\gpibprtk.sys [2005-07-18 02:25]
R2 lvalarmk;lvalarmk;E:\WINDOWS\system32\drivers\lvalarmk.dll [2005-07-27 09:58]
R2 mxssvr;NI Configuration Manager;"E:\Program Files\National Instruments\MAX\nimxs.exe" [2005-10-03 23:52]
R2 niarbk;niarbk;E:\WINDOWS\system32\drivers\niarbk.dll [2005-10-13 10:29]
R2 nibffrk;nibffrk;E:\WINDOWS\system32\drivers\nibffrk.dll [2005-10-13 10:29]
R2 nicanpk;nicanpk;E:\WINDOWS\system32\DRIVERS\nicanpk.dll [2005-10-24 13:30]
R2 Nidaq32k;Nidaq32k;E:\WINDOWS\system32\drivers\Nidaq32k.sys [2005-10-13 11:17]
R2 nidimk;nidimk;E:\WINDOWS\system32\drivers\nidimk.dll [2005-09-28 22:14]
R2 nidmmk;NI DMM and Data Logger Kernel Driver;E:\WINDOWS\system32\drivers\nidmmk.dll [2005-10-13 11:18]
R2 nidmxfk;nidmxfk;E:\WINDOWS\system32\drivers\nidmxfk.dll [2005-10-13 08:27]
R2 nidwgk;nidwgk;E:\WINDOWS\system32\drivers\nidwgk.dll [2005-09-20 21:48]
R2 niembrtk;niembrtk;E:\WINDOWS\system32\drivers\niembrtk.sys [2004-07-08 11:24]
R2 niemrk;niemrk;E:\WINDOWS\system32\drivers\niemrk.dll [2005-10-07 01:19]
R2 nifslk;nifslk;E:\WINDOWS\system32\drivers\nifslk.dll [2005-10-06 12:32]
R2 nigplk;nigplk;E:\WINDOWS\system32\drivers\nigplk.dll [2005-09-20 19:17]
R2 nihsdrk;nihsdrk;E:\WINDOWS\system32\drivers\nihsdrk.dll [2005-09-20 21:45]
R2 niimaqk;niimaqk;E:\WINDOWS\system32\drivers\niimaqk.dll [2005-09-21 16:41]
R2 nimdsk;nimdsk;E:\WINDOWS\system32\drivers\nimdsk.dll [2005-10-13 10:30]
R2 nimxpk;nimxpk;E:\WINDOWS\system32\drivers\nimxpk.dll [2005-10-06 13:31]
R2 nipxirmk;nipxirmk;E:\WINDOWS\system32\drivers\nipxirmk.dll [2005-09-21 12:30]
R2 niRTProxy;niRTProxy;E:\WINDOWS\system32\RTProxy.exe E:\WINDOWS\system32\RTProxy.exe []
R2 nisldk;nisldk;E:\WINDOWS\system32\drivers\nisldk.dll [2005-10-17 13:06]
R2 nisrcdk;nisrcdk;E:\WINDOWS\system32\drivers\nisrcdk.dll [2005-09-20 21:04]
R2 nistck;nistck;E:\WINDOWS\system32\drivers\nistck.dll [2005-10-13 10:30]
R2 niswdk;niswdk;E:\WINDOWS\system32\drivers\niswdk.dll [2005-10-08 02:08]
R2 NITaggerService;National Instruments Variable Engine;"E:\Program Files\National Instruments\Shared\Tagger\tagsrv.exe" [2005-11-11 12:00]
R2 usb6xxxk;usb6xxxk;E:\WINDOWS\system32\drivers\usb6xxxk.dll [2005-10-07 01:06]
R3 mksidsf;mksidsf;E:\WINDOWS\system32\mksidsf.sys [2007-05-24 06:06]
R3 nicdrk;nicdrk;E:\WINDOWS\system32\drivers\nicdrk.dll [2005-10-06 12:56]
R3 nimdbgk;nimdbgk;E:\WINDOWS\system32\drivers\nimdbgk.dll [2005-09-28 21:07]
R3 nimru2k;nimru2k;E:\WINDOWS\system32\drivers\nimru2k.dll [2005-09-28 22:54]
R3 nimsdrk;nimsdrk;E:\WINDOWS\system32\drivers\nimsdrk.dll [2005-10-06 13:19]
R3 nimstsk;nimstsk;E:\WINDOWS\system32\drivers\nimstsk.dll [2005-10-06 13:25]
R3 nimxdfk;nimxdfk;E:\WINDOWS\system32\drivers\nimxdfk.dll [2005-09-28 21:52]
R3 niorbk;niorbk;E:\WINDOWS\system32\drivers\niorbk.dll [2005-10-06 17:22]
R3 niscdk;niscdk;E:\WINDOWS\system32\drivers\niscdk.dll [2005-10-06 13:07]
S2 MksFwall;MksFwall;"E:\Program Files\mks_vir_2007\bin\MksFwall.exe" [2007-05-24 06:06]
S2 MksPC;MksPC;"E:\Program Files\mks_vir_2007\bin\MksPC.exe" [2007-05-24 06:06]
S2 MksUpdate;MksUpdate;"E:\Program Files\mks_vir_2007\bin\mksupdate.exe" [2007-05-24 06:06]
S3 MksMonEn;MksMonEn;E:\Program Files\mks_vir_2007\bin\MksMonEn.sys [2007-08-13 19:43]
S3 MksMonEv;MksMonEv;E:\Program Files\mks_vir_2007\bin\MksMonEv.sys [2007-05-24 06:06]
S3 MksMonFd;MksMonFd;E:\Program Files\mks_vir_2007\bin\MksMonFd.sys [2007-05-24 06:06]
S3 nidsark;nidsark;E:\WINDOWS\system32\drivers\nidsark.dll [2005-10-06 13:14]
S3 niesrk;niesrk;E:\WINDOWS\system32\drivers\niesrk.dll [2005-10-07 01:19]
S3 nimcdfxk;nimcdfxk;E:\WINDOWS\system32\drivers\nimcdfxk.dll [2005-09-14 11:45]
S3 nimcdlbk;nimcdlbk;E:\WINDOWS\system32\drivers\nimcdlbk.dll [2005-09-14 11:29]
S3 nimslk;nimslk;E:\WINDOWS\system32\drivers\nimslk.dll [2005-10-06 02:00]
S3 nimsrlk;nimsrlk;E:\WINDOWS\system32\drivers\nimsrlk.dll [2005-10-06 02:00]
S3 nisdigk;nisdigk;E:\WINDOWS\system32\drivers\nisdigk.dll [2005-10-07 01:06]
S3 nisftk;nisftk;E:\WINDOWS\system32\drivers\nisftk.dll [2005-10-06 12:48]
S3 nispdk;nispdk;E:\WINDOWS\system32\drivers\nispdk.dll [2005-10-06 13:07]
S3 nissrk;nissrk;E:\WINDOWS\system32\drivers\nissrk.dll [2005-10-07 01:20]
S3 nistc2k;nistc2k;E:\WINDOWS\system32\drivers\nistc2k.dll [2005-10-06 13:03]
S3 nistcrk;nistcrk;E:\WINDOWS\system32\drivers\nistcrk.dll [2005-10-10 21:07]
S3 nitiork;nitiork;E:\WINDOWS\system32\drivers\nitiork.dll [2005-10-07 01:54]
S3 NiViFWK;NI-VISA FireWire Driver;E:\WINDOWS\system32\drivers\NiViFWK.sys [2005-10-12 18:13]
S3 NiViPciK;NI-VISA PCI Driver;E:\WINDOWS\system32\drivers\NiViPciK.sys [2005-10-12 18:04]
S3 NiViPxiK;NI-VISA PXI Driver;E:\WINDOWS\system32\drivers\NiViPxiK.sys [2005-10-12 18:04]
S3 niwdk;niwdk;E:\WINDOWS\system32\drivers\niwdk.sys [2005-10-05 18:34]
S3 niwfrk;niwfrk;E:\WINDOWS\system32\drivers\niwfrk.dll [2005-10-07 01:20]
S3 nixsrk;nixsrk;E:\WINDOWS\system32\drivers\nixsrk.dll [2005-10-07 01:20]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{56dd7354-0570-11dd-a301-000102894ca9}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e7bbdef8-f4e3-11dc-a2f3-000102894ca9}]
\Shell\AutoRun\command - E:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
\Shell\Open(&0)\command - Recycled\ctfmon.exe
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-20 16:08:09
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: E:\WINDOWS\system32\lsass.exeE:\Program Files\mks_vir_2007\bin\mkslsp.dll
.
Completion time: 2008-05-20 16:09:11
ComboFix-quarantined-files.txt 2008-05-20 14:09:03
Pre-Run: 29,233,139,712 bajtów wolnych
Post-Run: 29,229,465,600 bajtów wolnych
150 --- E O F --- 2008-05-20 08:20:34
20 Maj 2008, 17:15
Podłącz pendrive
Opróżnij kosz
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Opróżnij kosz
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
- Kod:
File::
F:\autorun.0nf
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
Plik
zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
27 Maj 2008, 14:20
Witam ponownie po krotkiej przerwie.
Uruchomilem dwukrotnie Combofix z dwoma plikami.
Zawartosc plikow oraz logi z combofix zalaczam ponizej.
Pierwsze skanowanie
CFScript_used_2008-05-27, 13.51.txt
Pierwszy log z combofix
A teraz drugi plik , CFScript_used_2008-05-27,14.02.txt
Zapomnialem o pliku ctfmon.exe z partycji windows 98, co prawda plik ma popularne rozszerzenie "exe", ale z drugiej strony byl w katalogu Recycled, a nie systemowym windowsa... a to wydalo mi sie podejrzane.
I log z combofix
Zaraz zrobie restatr kompa i podrzuce loga z kaspersky'ego jak tylko bedzie gotowy.
Uruchomilem dwukrotnie Combofix z dwoma plikami.
Zawartosc plikow oraz logi z combofix zalaczam ponizej.
Pierwsze skanowanie
CFScript_used_2008-05-27, 13.51.txt
File::
E:\WINDOWS\system32\dllcache\ctfmon.exe
F:\autorun.0nf
F:\Recycled\ctfmon.0xe
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{56dd7354-0570-11dd-a301-000102894ca9}]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e7bbdef8-f4e3-11dc-a2f3-000102894ca9}]
Pierwszy log z combofix
ComboFix 08-05-26.2 - admin 2008-05-27 13:51:41.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.153 [GMT 2:00]
Running from: E:\Documents and Settings\admin\Pulpit\ComboFix.exe
Command switches used :: E:\Documents and Settings\admin\Pulpit\CFScript.txt
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
E:\WINDOWS\system32\dllcache\ctfmon.exe
F:\autorun.0nf
F:\Recycled\ctfmon.0xe
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
E:\WINDOWS\system32\dllcache\ctfmon.exe
F:\autorun.0nf
F:\Recycled\ctfmon.0xe
.
((((((((((((((((((((((((( Files Created from 2008-04-27 to 2008-05-27 )))))))))))))))))))))))))))))))
.
2008-05-20 13:21 . 2008-05-20 13:21 25 --a------ E:\WINDOWS\BRAINMAK.INI
2008-05-14 10:48 . 2008-05-14 10:48 <DIR> d-------- E:\WINDOWS\system32\Kaspersky Lab
2008-05-14 10:48 . 2008-05-14 10:48 <DIR> d-------- E:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-14 12:19 --------- d-----w E:\Documents and Settings\All Users\Dane aplikacji\Lavasoft
2008-04-18 14:24 --------- d-----w E:\Program Files\Lavasoft
2008-04-08 13:35 --------- d-----w E:\Documents and Settings\admin\Dane aplikacji\U3
2008-03-28 13:44 --------- d-----w E:\Program Files\MSXML 4.0
2008-03-25 04:52 621,344 ----a-w E:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:52 178,976 ----a-w E:\WINDOWS\system32\msjint40.dll
2008-03-20 08:09 1,845,504 ----a-w E:\WINDOWS\system32\win32k.sys
2008-03-01 13:02 826,368 ----a-w E:\WINDOWS\system32\wininet.dll
2005-10-13 08:55 88,761 ----a-w E:\WINDOWS\inf\pxiclean.exe
2004-03-15 16:51 114,688 ----a-w E:\Program Files\internet explorer\plugins\LV71ActiveXControl.dll
2003-05-01 08:36 114,688 ----a-w E:\Program Files\internet explorer\plugins\LV7ActiveXControl.dll
2005-10-12 15:04 131,072 ----a-w E:\Program Files\internet explorer\plugins\LV80ActiveXControl.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="E:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MKSRegmon"="E:\Program Files\mks_vir_2007\bin\mksregmon.exe" [2007-05-24 06:06 303104]
"mks_mail"="E:\Program Files\mks_vir_2007\bin\mks_mail.exe" [2007-05-24 06:06 520192]
"mkstray"="E:\Program Files\mks_vir_2007\bin\mkstray.exe" [2007-08-13 19:43 663552]
"niDevMon"="E:\Program Files\National Instruments\NI-DAQ\HWConfig\nidevmon.exe" [2005-10-06 12:49 263168]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="E:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MkS_Scan]
@="service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R0 mksidsa;mksidsa;E:\WINDOWS\system32\mksidsa.sys [2007-05-24 06:06]
R0 NIPALK;NIPALK;E:\WINDOWS\system32\drivers\nipalk.sys [2005-09-22 22:12]
R0 PCIIMAQ;National Instruments IMAQ Driver;E:\WINDOWS\system32\drivers\PCIIMAQ.sys [2005-08-30 11:38]
R1 hwinterface;hwinterface;E:\WINDOWS\system32\Drivers\hwinterface.sys [2008-02-05 13:43]
R1 mksfwallf;mksfwallf;E:\WINDOWS\system32\mksfwallf.sys [2007-05-24 06:06]
R1 mksfwallt;mksfwallt;E:\WINDOWS\system32\mksfwallt.sys [2007-05-24 06:06]
R2 cvintdrv;cvintdrv;E:\WINDOWS\system32\drivers\cvintdrv.sys [2005-06-10 11:01]
R2 gpib420;GPIB Analyzer;E:\WINDOWS\system32\drivers\gpib420.sys [2005-07-18 02:45]
R2 GpibPrtK;Gpib Port;E:\WINDOWS\system32\drivers\gpibprtk.sys [2005-07-18 02:25]
R2 lvalarmk;lvalarmk;E:\WINDOWS\system32\drivers\lvalarmk.dll [2005-07-27 09:58]
R2 mxssvr;NI Configuration Manager;"E:\Program Files\National Instruments\MAX\nimxs.exe" [2005-10-03 23:52]
R2 niarbk;niarbk;E:\WINDOWS\system32\drivers\niarbk.dll [2005-10-13 10:29]
R2 nibffrk;nibffrk;E:\WINDOWS\system32\drivers\nibffrk.dll [2005-10-13 10:29]
R2 nicanpk;nicanpk;E:\WINDOWS\system32\DRIVERS\nicanpk.dll [2005-10-24 13:30]
R2 Nidaq32k;Nidaq32k;E:\WINDOWS\system32\drivers\Nidaq32k.sys [2005-10-13 11:17]
R2 nidimk;nidimk;E:\WINDOWS\system32\drivers\nidimk.dll [2005-09-28 22:14]
R2 nidmmk;NI DMM and Data Logger Kernel Driver;E:\WINDOWS\system32\drivers\nidmmk.dll [2005-10-13 11:18]
R2 nidmxfk;nidmxfk;E:\WINDOWS\system32\drivers\nidmxfk.dll [2005-10-13 08:27]
R2 nidwgk;nidwgk;E:\WINDOWS\system32\drivers\nidwgk.dll [2005-09-20 21:48]
R2 niembrtk;niembrtk;E:\WINDOWS\system32\drivers\niembrtk.sys [2004-07-08 11:24]
R2 niemrk;niemrk;E:\WINDOWS\system32\drivers\niemrk.dll [2005-10-07 01:19]
R2 nifslk;nifslk;E:\WINDOWS\system32\drivers\nifslk.dll [2005-10-06 12:32]
R2 nigplk;nigplk;E:\WINDOWS\system32\drivers\nigplk.dll [2005-09-20 19:17]
R2 nihsdrk;nihsdrk;E:\WINDOWS\system32\drivers\nihsdrk.dll [2005-09-20 21:45]
R2 niimaqk;niimaqk;E:\WINDOWS\system32\drivers\niimaqk.dll [2005-09-21 16:41]
R2 nimdsk;nimdsk;E:\WINDOWS\system32\drivers\nimdsk.dll [2005-10-13 10:30]
R2 nimxpk;nimxpk;E:\WINDOWS\system32\drivers\nimxpk.dll [2005-10-06 13:31]
R2 nipxirmk;nipxirmk;E:\WINDOWS\system32\drivers\nipxirmk.dll [2005-09-21 12:30]
R2 niRTProxy;niRTProxy;E:\WINDOWS\system32\RTProxy.exe E:\WINDOWS\system32\RTProxy.exe []
R2 nisldk;nisldk;E:\WINDOWS\system32\drivers\nisldk.dll [2005-10-17 13:06]
R2 nisrcdk;nisrcdk;E:\WINDOWS\system32\drivers\nisrcdk.dll [2005-09-20 21:04]
R2 nistck;nistck;E:\WINDOWS\system32\drivers\nistck.dll [2005-10-13 10:30]
R2 niswdk;niswdk;E:\WINDOWS\system32\drivers\niswdk.dll [2005-10-08 02:08]
R2 NITaggerService;National Instruments Variable Engine;"E:\Program Files\National Instruments\Shared\Tagger\tagsrv.exe" [2005-11-11 12:00]
R2 usb6xxxk;usb6xxxk;E:\WINDOWS\system32\drivers\usb6xxxk.dll [2005-10-07 01:06]
R3 mksidsf;mksidsf;E:\WINDOWS\system32\mksidsf.sys [2007-05-24 06:06]
R3 nicdrk;nicdrk;E:\WINDOWS\system32\drivers\nicdrk.dll [2005-10-06 12:56]
R3 nimdbgk;nimdbgk;E:\WINDOWS\system32\drivers\nimdbgk.dll [2005-09-28 21:07]
R3 nimru2k;nimru2k;E:\WINDOWS\system32\drivers\nimru2k.dll [2005-09-28 22:54]
R3 nimsdrk;nimsdrk;E:\WINDOWS\system32\drivers\nimsdrk.dll [2005-10-06 13:19]
R3 nimstsk;nimstsk;E:\WINDOWS\system32\drivers\nimstsk.dll [2005-10-06 13:25]
R3 nimxdfk;nimxdfk;E:\WINDOWS\system32\drivers\nimxdfk.dll [2005-09-28 21:52]
R3 niorbk;niorbk;E:\WINDOWS\system32\drivers\niorbk.dll [2005-10-06 17:22]
R3 niscdk;niscdk;E:\WINDOWS\system32\drivers\niscdk.dll [2005-10-06 13:07]
S2 MksFwall;MksFwall;"E:\Program Files\mks_vir_2007\bin\MksFwall.exe" [2007-05-24 06:06]
S2 MksPC;MksPC;"E:\Program Files\mks_vir_2007\bin\MksPC.exe" [2007-05-24 06:06]
S2 MksUpdate;MksUpdate;"E:\Program Files\mks_vir_2007\bin\mksupdate.exe" [2007-05-24 06:06]
S3 MksMonEn;MksMonEn;E:\Program Files\mks_vir_2007\bin\MksMonEn.sys [2007-08-13 19:43]
S3 MksMonEv;MksMonEv;E:\Program Files\mks_vir_2007\bin\MksMonEv.sys [2007-05-24 06:06]
S3 MksMonFd;MksMonFd;E:\Program Files\mks_vir_2007\bin\MksMonFd.sys [2007-05-24 06:06]
S3 nidsark;nidsark;E:\WINDOWS\system32\drivers\nidsark.dll [2005-10-06 13:14]
S3 niesrk;niesrk;E:\WINDOWS\system32\drivers\niesrk.dll [2005-10-07 01:19]
S3 nimcdfxk;nimcdfxk;E:\WINDOWS\system32\drivers\nimcdfxk.dll [2005-09-14 11:45]
S3 nimcdlbk;nimcdlbk;E:\WINDOWS\system32\drivers\nimcdlbk.dll [2005-09-14 11:29]
S3 nimslk;nimslk;E:\WINDOWS\system32\drivers\nimslk.dll [2005-10-06 02:00]
S3 nimsrlk;nimsrlk;E:\WINDOWS\system32\drivers\nimsrlk.dll [2005-10-06 02:00]
S3 nisdigk;nisdigk;E:\WINDOWS\system32\drivers\nisdigk.dll [2005-10-07 01:06]
S3 nisftk;nisftk;E:\WINDOWS\system32\drivers\nisftk.dll [2005-10-06 12:48]
S3 nispdk;nispdk;E:\WINDOWS\system32\drivers\nispdk.dll [2005-10-06 13:07]
S3 nissrk;nissrk;E:\WINDOWS\system32\drivers\nissrk.dll [2005-10-07 01:20]
S3 nistc2k;nistc2k;E:\WINDOWS\system32\drivers\nistc2k.dll [2005-10-06 13:03]
S3 nistcrk;nistcrk;E:\WINDOWS\system32\drivers\nistcrk.dll [2005-10-10 21:07]
S3 nitiork;nitiork;E:\WINDOWS\system32\drivers\nitiork.dll [2005-10-07 01:54]
S3 NiViFWK;NI-VISA FireWire Driver;E:\WINDOWS\system32\drivers\NiViFWK.sys [2005-10-12 18:13]
S3 NiViPciK;NI-VISA PCI Driver;E:\WINDOWS\system32\drivers\NiViPciK.sys [2005-10-12 18:04]
S3 NiViPxiK;NI-VISA PXI Driver;E:\WINDOWS\system32\drivers\NiViPxiK.sys [2005-10-12 18:04]
S3 niwdk;niwdk;E:\WINDOWS\system32\drivers\niwdk.sys [2005-10-05 18:34]
S3 niwfrk;niwfrk;E:\WINDOWS\system32\drivers\niwfrk.dll [2005-10-07 01:20]
S3 nixsrk;nixsrk;E:\WINDOWS\system32\drivers\nixsrk.dll [2005-10-07 01:20]
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-27 13:53:14
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: E:\WINDOWS\system32\lsass.exe
.
Completion time: 2008-05-27 13:54:13
ComboFix-quarantined-files.txt 2008-05-27 11:54:11
Pre-Run: 29,321,969,664 bajtów wolnych
Post-Run: 29,315,895,296 bajtów wolnych
148 --- E O F --- 2008-05-20 08:20:34
A teraz drugi plik , CFScript_used_2008-05-27,14.02.txt
Zapomnialem o pliku ctfmon.exe z partycji windows 98, co prawda plik ma popularne rozszerzenie "exe", ale z drugiej strony byl w katalogu Recycled, a nie systemowym windowsa... a to wydalo mi sie podejrzane.
File::
c:\Recycled\ctfmon.exe
I log z combofix
ComboFix 08-05-26.2 - admin 2008-05-27 14:02:26.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.143 [GMT 2:00]
Running from: E:\Documents and Settings\admin\Pulpit\ComboFix.exe
Command switches used :: E:\Documents and Settings\admin\Pulpit\CFScript.txt
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
FILE ::
c:\Recycled\ctfmon.exe
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\Recycled\ctfmon.exe
.
((((((((((((((((((((((((( Files Created from 2008-04-27 to 2008-05-27 )))))))))))))))))))))))))))))))
.
2008-05-20 13:21 . 2008-05-20 13:21 25 --a------ E:\WINDOWS\BRAINMAK.INI
2008-05-14 10:48 . 2008-05-14 10:48 <DIR> d-------- E:\WINDOWS\system32\Kaspersky Lab
2008-05-14 10:48 . 2008-05-14 10:48 <DIR> d-------- E:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-14 12:19 --------- d-----w E:\Documents and Settings\All Users\Dane aplikacji\Lavasoft
2008-04-18 14:24 --------- d-----w E:\Program Files\Lavasoft
2008-04-08 13:35 --------- d-----w E:\Documents and Settings\admin\Dane aplikacji\U3
2008-03-28 13:44 --------- d-----w E:\Program Files\MSXML 4.0
2008-03-25 04:52 621,344 ----a-w E:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:52 178,976 ----a-w E:\WINDOWS\system32\msjint40.dll
2008-03-20 08:09 1,845,504 ----a-w E:\WINDOWS\system32\win32k.sys
2008-03-01 13:02 826,368 ----a-w E:\WINDOWS\system32\wininet.dll
2005-10-13 08:55 88,761 ----a-w E:\WINDOWS\inf\pxiclean.exe
2004-03-15 16:51 114,688 ----a-w E:\Program Files\internet explorer\plugins\LV71ActiveXControl.dll
2003-05-01 08:36 114,688 ----a-w E:\Program Files\internet explorer\plugins\LV7ActiveXControl.dll
2005-10-12 15:04 131,072 ----a-w E:\Program Files\internet explorer\plugins\LV80ActiveXControl.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="E:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MKSRegmon"="E:\Program Files\mks_vir_2007\bin\mksregmon.exe" [2007-05-24 06:06 303104]
"mks_mail"="E:\Program Files\mks_vir_2007\bin\mks_mail.exe" [2007-05-24 06:06 520192]
"mkstray"="E:\Program Files\mks_vir_2007\bin\mkstray.exe" [2007-08-13 19:43 663552]
"niDevMon"="E:\Program Files\National Instruments\NI-DAQ\HWConfig\nidevmon.exe" [2005-10-06 12:49 263168]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="E:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MkS_Scan]
@="service"
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R0 mksidsa;mksidsa;E:\WINDOWS\system32\mksidsa.sys [2007-05-24 06:06]
R0 NIPALK;NIPALK;E:\WINDOWS\system32\drivers\nipalk.sys [2005-09-22 22:12]
R0 PCIIMAQ;National Instruments IMAQ Driver;E:\WINDOWS\system32\drivers\PCIIMAQ.sys [2005-08-30 11:38]
R1 hwinterface;hwinterface;E:\WINDOWS\system32\Drivers\hwinterface.sys [2008-02-05 13:43]
R1 mksfwallf;mksfwallf;E:\WINDOWS\system32\mksfwallf.sys [2007-05-24 06:06]
R1 mksfwallt;mksfwallt;E:\WINDOWS\system32\mksfwallt.sys [2007-05-24 06:06]
R2 cvintdrv;cvintdrv;E:\WINDOWS\system32\drivers\cvintdrv.sys [2005-06-10 11:01]
R2 gpib420;GPIB Analyzer;E:\WINDOWS\system32\drivers\gpib420.sys [2005-07-18 02:45]
R2 GpibPrtK;Gpib Port;E:\WINDOWS\system32\drivers\gpibprtk.sys [2005-07-18 02:25]
R2 lvalarmk;lvalarmk;E:\WINDOWS\system32\drivers\lvalarmk.dll [2005-07-27 09:58]
R2 mxssvr;NI Configuration Manager;"E:\Program Files\National Instruments\MAX\nimxs.exe" [2005-10-03 23:52]
R2 niarbk;niarbk;E:\WINDOWS\system32\drivers\niarbk.dll [2005-10-13 10:29]
R2 nibffrk;nibffrk;E:\WINDOWS\system32\drivers\nibffrk.dll [2005-10-13 10:29]
R2 nicanpk;nicanpk;E:\WINDOWS\system32\DRIVERS\nicanpk.dll [2005-10-24 13:30]
R2 Nidaq32k;Nidaq32k;E:\WINDOWS\system32\drivers\Nidaq32k.sys [2005-10-13 11:17]
R2 nidimk;nidimk;E:\WINDOWS\system32\drivers\nidimk.dll [2005-09-28 22:14]
R2 nidmmk;NI DMM and Data Logger Kernel Driver;E:\WINDOWS\system32\drivers\nidmmk.dll [2005-10-13 11:18]
R2 nidmxfk;nidmxfk;E:\WINDOWS\system32\drivers\nidmxfk.dll [2005-10-13 08:27]
R2 nidwgk;nidwgk;E:\WINDOWS\system32\drivers\nidwgk.dll [2005-09-20 21:48]
R2 niembrtk;niembrtk;E:\WINDOWS\system32\drivers\niembrtk.sys [2004-07-08 11:24]
R2 niemrk;niemrk;E:\WINDOWS\system32\drivers\niemrk.dll [2005-10-07 01:19]
R2 nifslk;nifslk;E:\WINDOWS\system32\drivers\nifslk.dll [2005-10-06 12:32]
R2 nigplk;nigplk;E:\WINDOWS\system32\drivers\nigplk.dll [2005-09-20 19:17]
R2 nihsdrk;nihsdrk;E:\WINDOWS\system32\drivers\nihsdrk.dll [2005-09-20 21:45]
R2 niimaqk;niimaqk;E:\WINDOWS\system32\drivers\niimaqk.dll [2005-09-21 16:41]
R2 nimdsk;nimdsk;E:\WINDOWS\system32\drivers\nimdsk.dll [2005-10-13 10:30]
R2 nimxpk;nimxpk;E:\WINDOWS\system32\drivers\nimxpk.dll [2005-10-06 13:31]
R2 nipxirmk;nipxirmk;E:\WINDOWS\system32\drivers\nipxirmk.dll [2005-09-21 12:30]
R2 niRTProxy;niRTProxy;E:\WINDOWS\system32\RTProxy.exe E:\WINDOWS\system32\RTProxy.exe []
R2 nisldk;nisldk;E:\WINDOWS\system32\drivers\nisldk.dll [2005-10-17 13:06]
R2 nisrcdk;nisrcdk;E:\WINDOWS\system32\drivers\nisrcdk.dll [2005-09-20 21:04]
R2 nistck;nistck;E:\WINDOWS\system32\drivers\nistck.dll [2005-10-13 10:30]
R2 niswdk;niswdk;E:\WINDOWS\system32\drivers\niswdk.dll [2005-10-08 02:08]
R2 NITaggerService;National Instruments Variable Engine;"E:\Program Files\National Instruments\Shared\Tagger\tagsrv.exe" [2005-11-11 12:00]
R2 usb6xxxk;usb6xxxk;E:\WINDOWS\system32\drivers\usb6xxxk.dll [2005-10-07 01:06]
R3 mksidsf;mksidsf;E:\WINDOWS\system32\mksidsf.sys [2007-05-24 06:06]
R3 nicdrk;nicdrk;E:\WINDOWS\system32\drivers\nicdrk.dll [2005-10-06 12:56]
R3 nimdbgk;nimdbgk;E:\WINDOWS\system32\drivers\nimdbgk.dll [2005-09-28 21:07]
R3 nimru2k;nimru2k;E:\WINDOWS\system32\drivers\nimru2k.dll [2005-09-28 22:54]
R3 nimsdrk;nimsdrk;E:\WINDOWS\system32\drivers\nimsdrk.dll [2005-10-06 13:19]
R3 nimstsk;nimstsk;E:\WINDOWS\system32\drivers\nimstsk.dll [2005-10-06 13:25]
R3 nimxdfk;nimxdfk;E:\WINDOWS\system32\drivers\nimxdfk.dll [2005-09-28 21:52]
R3 niorbk;niorbk;E:\WINDOWS\system32\drivers\niorbk.dll [2005-10-06 17:22]
R3 niscdk;niscdk;E:\WINDOWS\system32\drivers\niscdk.dll [2005-10-06 13:07]
S2 MksFwall;MksFwall;"E:\Program Files\mks_vir_2007\bin\MksFwall.exe" [2007-05-24 06:06]
S2 MksPC;MksPC;"E:\Program Files\mks_vir_2007\bin\MksPC.exe" [2007-05-24 06:06]
S2 MksUpdate;MksUpdate;"E:\Program Files\mks_vir_2007\bin\mksupdate.exe" [2007-05-24 06:06]
S3 MksMonEn;MksMonEn;E:\Program Files\mks_vir_2007\bin\MksMonEn.sys [2007-08-13 19:43]
S3 MksMonEv;MksMonEv;E:\Program Files\mks_vir_2007\bin\MksMonEv.sys [2007-05-24 06:06]
S3 MksMonFd;MksMonFd;E:\Program Files\mks_vir_2007\bin\MksMonFd.sys [2007-05-24 06:06]
S3 nidsark;nidsark;E:\WINDOWS\system32\drivers\nidsark.dll [2005-10-06 13:14]
S3 niesrk;niesrk;E:\WINDOWS\system32\drivers\niesrk.dll [2005-10-07 01:19]
S3 nimcdfxk;nimcdfxk;E:\WINDOWS\system32\drivers\nimcdfxk.dll [2005-09-14 11:45]
S3 nimcdlbk;nimcdlbk;E:\WINDOWS\system32\drivers\nimcdlbk.dll [2005-09-14 11:29]
S3 nimslk;nimslk;E:\WINDOWS\system32\drivers\nimslk.dll [2005-10-06 02:00]
S3 nimsrlk;nimsrlk;E:\WINDOWS\system32\drivers\nimsrlk.dll [2005-10-06 02:00]
S3 nisdigk;nisdigk;E:\WINDOWS\system32\drivers\nisdigk.dll [2005-10-07 01:06]
S3 nisftk;nisftk;E:\WINDOWS\system32\drivers\nisftk.dll [2005-10-06 12:48]
S3 nispdk;nispdk;E:\WINDOWS\system32\drivers\nispdk.dll [2005-10-06 13:07]
S3 nissrk;nissrk;E:\WINDOWS\system32\drivers\nissrk.dll [2005-10-07 01:20]
S3 nistc2k;nistc2k;E:\WINDOWS\system32\drivers\nistc2k.dll [2005-10-06 13:03]
S3 nistcrk;nistcrk;E:\WINDOWS\system32\drivers\nistcrk.dll [2005-10-10 21:07]
S3 nitiork;nitiork;E:\WINDOWS\system32\drivers\nitiork.dll [2005-10-07 01:54]
S3 NiViFWK;NI-VISA FireWire Driver;E:\WINDOWS\system32\drivers\NiViFWK.sys [2005-10-12 18:13]
S3 NiViPciK;NI-VISA PCI Driver;E:\WINDOWS\system32\drivers\NiViPciK.sys [2005-10-12 18:04]
S3 NiViPxiK;NI-VISA PXI Driver;E:\WINDOWS\system32\drivers\NiViPxiK.sys [2005-10-12 18:04]
S3 niwdk;niwdk;E:\WINDOWS\system32\drivers\niwdk.sys [2005-10-05 18:34]
S3 niwfrk;niwfrk;E:\WINDOWS\system32\drivers\niwfrk.dll [2005-10-07 01:20]
S3 nixsrk;nixsrk;E:\WINDOWS\system32\drivers\nixsrk.dll [2005-10-07 01:20]
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-27 14:03:41
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: E:\WINDOWS\system32\lsass.exe
.
Completion time: 2008-05-27 14:04:37
ComboFix-quarantined-files.txt 2008-05-27 12:04:32
Pre-Run: 29,321,564,160 bajtów wolnych
Post-Run: 29,315,579,904 bajtów wolnych
144 --- E O F --- 2008-05-20 08:20:34
Zaraz zrobie restatr kompa i podrzuce loga z kaspersky'ego jak tylko bedzie gotowy.
27 Maj 2008, 15:23
Oto wspomniany log z kaspersky'ego. Wedlug mnie tu nic nie ma, ale moze ktos inny cos ciekawego wypatrzy...
Mam nadzieje ze jednak wszytko jest juz ok
Mam nadzieje ze jednak wszytko jest juz ok
27 maj 2008 15:16:08
System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)
Kaspersky Online Scanner wersja: 5.0.98.0
Ostatnia aktualizacja Kaspersky Anti-Virus27/05/2008
Liczba wpisów w bazie danych Kaspersky Anti-Virus801429
Ustawienia skanowania
Skanowanie przy użyciu następujących baz danych rozszerzone
Skanuj archiwa tak
Skanuj pocztowe bazy danych tak
Obszar skanowania Mój komputer
A:\
C:\
D:\
E:\
F:\
Statystyki skanowania
Liczba skanowanych obiektów 53260
Liczba wykrytych wirusów 0
Liczba zainfekowanych obiektów 0
Liczba podejrzanych obiektów 0
Czas trwania skanowania 00:45:22
Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie
E:\Documents and Settings\admin\Cookies\index.dat Object is locked pominięty
E:\Documents and Settings\admin\NTUSER.DAT Object is locked pominięty
E:\Documents and Settings\admin\ntuser.dat.LOG Object is locked pominięty
E:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Feeds Cache\index.dat Object is locked pominięty
E:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
E:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
E:\Documents and Settings\admin\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
E:\Documents and Settings\admin\Ustawienia lokalne\Historia\History.IE5\MSHist012008052720080528\index.dat Object is locked pominięty
E:\Documents and Settings\admin\Ustawienia lokalne\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked pominięty
E:\Documents and Settings\admin\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
E:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty
E:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty
E:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty
E:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
E:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
E:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
E:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
E:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty
E:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty
E:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
E:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
E:\Program Files\National Instruments\MAX\Data\config3.mxd Object is locked pominięty
E:\Program Files\National Instruments\MAX\Data\config3.mxs Object is locked pominięty
E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
E:\System Volume Information\_restore{E69F0A28-6327-4E67-8AE1-FDD086745CE3}\RP1\change.log Object is locked pominięty
E:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty
E:\WINDOWS\SchedLgU.Txt Object is locked pominięty
E:\WINDOWS\SoftwareDistribution\EventCache\{1EC0BEB6-8FA5-49D8-ADFA-897C94CE6A98}.bin Object is locked pominięty
E:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty
E:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty
E:\WINDOWS\system32\config\default Object is locked pominięty
E:\WINDOWS\system32\config\default.LOG Object is locked pominięty
E:\WINDOWS\system32\config\Internet.evt Object is locked pominięty
E:\WINDOWS\system32\config\SAM Object is locked pominięty
E:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty
E:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty
E:\WINDOWS\system32\config\SECURITY Object is locked pominięty
E:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty
E:\WINDOWS\system32\config\software Object is locked pominięty
E:\WINDOWS\system32\config\software.LOG Object is locked pominięty
E:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty
E:\WINDOWS\system32\config\system Object is locked pominięty
E:\WINDOWS\system32\config\system.LOG Object is locked pominięty
E:\WINDOWS\system32\h323log.txt Object is locked pominięty
E:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty
E:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty
E:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty
E:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty
E:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty
E:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty
E:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty
E:\WINDOWS\WindowsUpdate.log Object is locked pominięty
Proces skanowania został zakończony.
27 Maj 2008, 15:39
W logach czysto w skanerze też powinno być ok
