x-kom hosting

Combo po raz 4

qnick
utworzono
utworzono
ComboFix 09-04-23.04 - x 2009-04-23 11:04.2 - NTFSx86Microsoft Windows XP Professional  5.1.2600.2.1250.48.1045.18.2039.1640 [GMT 2:00]Uruchomiony z: c:\documents and settings\x\Pulpit\ComboFix.exeUżyto następujących komend :: c:\documents and settings\x\Pulpit\CFScript.txt * Utworzono nowy punkt przywracaniaUWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.(((((((((((((((((((((((((   Pliki utworzone od 2009-05-23 do 2009-4-23  ))))))))))))))))))))))))))))))).2009-04-23 08:53 . 2009-04-23 08:53	301996	----a-w	C:\CFCollect_Prep.cmd.zip2009-04-23 08:49 . 2009-04-23 08:49	--------	d-----w	c:\windows\Sun2009-04-21 19:38 . 2009-04-21 20:01	--------	d-----w	c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\The Weather Channel2009-04-20 00:26 . 2009-04-20 00:26	20480	--sha-w	c:\windows\system32\2052z.dll2009-04-20 00:16 . 2009-04-20 00:26	84	--s-a-w	c:\windows\system32\3573425748.dat2009-04-12 09:39 . 1998-11-13 11:10	307200	----a-w	c:\windows\IsUn0415.exe2009-03-26 18:09 . 2009-03-26 18:09	--------	d-----w	c:\documents and settings\x\.gstreamer-0.10.((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-04-21 20:03 . 2009-03-18 18:48	--------	d-----w	c:\documents and settings\x\Dane aplikacji\Nowe Gadu-Gadu2009-04-21 20:01 . 2009-04-21 19:46	--------	d-----w	c:\program files\The Weather Channel FW2009-04-21 19:38 . 2009-04-21 19:38	--------	d-----w	c:\program files\AskSearch2009-04-21 19:38 . 2009-04-21 19:38	--------	d-----w	c:\program files\AskBarDis2009-04-18 14:39 . 2009-01-10 11:49	--------	d-----w	c:\program files\ALLPlayer2009-04-12 15:38 . 2009-04-12 15:38	--------	d-----w	c:\program files\Terminal Reality2009-04-12 09:50 . 2009-04-12 09:50	--------	d-----w	c:\program files\directx2009-04-12 09:47 . 2009-04-12 09:47	--------	d-----w	c:\program files\Eidos Interactive2009-04-06 15:52 . 2009-01-10 16:47	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\ipla2009-04-06 12:03 . 2001-10-30 12:00	49712	----a-w	c:\windows\system32\perfc015.dat2009-04-06 12:03 . 2001-10-30 12:00	355830	----a-w	c:\windows\system32\perfh015.dat2009-03-30 13:33 . 2009-01-10 11:49	--------	d-----w	c:\program files\NAPI-PROJEKT2009-03-18 18:47 . 2009-03-18 18:47	--------	d-----w	c:\program files\Nowe Gadu-Gadu2009-03-18 16:03 . 2008-12-29 15:00	23720	----a-w	c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-03-17 19:54 . 2009-03-17 19:54	--------	d-----w	c:\program files\JRE2009-03-17 19:54 . 2009-01-09 10:42	--------	d-----w	c:\program files\OpenOffice.org 32009-03-17 19:53 . 2009-01-23 20:24	--------	d-----w	c:\program files\Java2009-03-17 19:52 . 2009-03-17 19:52	--------	d-----w	c:\program files\Common Files\Java2009-03-17 10:51 . 2009-01-16 07:53	--------	d-----w	c:\program files\Finale 20082009-03-08 14:43 . 2008-12-30 21:47	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab2009-02-03 18:38 . 2009-02-03 18:38	172032	----a-w	c:\windows\system32\cncs32.dll2009-02-03 18:17 . 2009-02-03 18:17	724992	----a-w	c:\windows\iun6002.exe2009-01-23 20:24 . 2009-01-23 20:24	410984	----a-w	c:\windows\system32\deploytk.dll2009-01-23 20:21 . 2009-01-23 20:21	681368	----a-w	C:\jre-6u11-windows-i586-p-iftw.exe.(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  REGEDIT4[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]2008-08-06 13:20	279944	----a-w	c:\program files\AskBarDis\bar\bin\askBar.dll[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-08-06 279944][HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}][HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}][HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\program files\AskBarDis\bar\bin\askBar.dll" [2008-08-06 279944][HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}][HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}][HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-02-13 16857600][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\a2service.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ArcaCheck.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\arcavir.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ashDisp.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ashEnhcd.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ashServ.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ashUpd.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\aswUpdSv.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avcls.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avz.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avz4.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\avz_se.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\bdinit.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\caav.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\caavguiscan.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\casecuritycenter.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ccupdate.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\cfp.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\cfpupdat.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\cmdagent.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\DRWEB32.EXE]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FAMEH32.EXE]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FPAVServer.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\fpscan.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FPWin.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\fsav32.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\fsgk32st.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\FSMA32.EXE]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\guardxservice.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\guardxup.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\navigator.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\NAVSTUB.EXE]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Nvcc.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\outpost.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\preupd.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\pskdr.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\SfFnUp.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Vba32arkit.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\vba32ldr.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Zanda.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\zapro.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\Zlh.exe]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\zoneband.dll]"Debugger"=ntsd -d[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001"AntiVirusOverride"=dword:00000001"FirewallOverride"=dword:00000001"UacDisableNotify"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]"AntiVirusOverride"=dword:00000001"AntiVirusDisableNotify"=dword:00000001"FirewallDisableNotify"=dword:00000001"FirewallOverride"=dword:00000001"UpdatesDisableNotify"=dword:00000001"UacDisableNotify"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="c:\\Program Files\\Gadu-Gadu\\gg.exe"="c:\\Program Files\\CyberLink\\PowerDVD8\\PowerDVD8.exe"="c:\\Program Files\\Opera\\opera.exe"="c:\\Program Files\\Lionhead Studios Ltd\\Black & White\\runblack.exe"="c:\\WINDOWS\\system32\\igfxtray.exe"="c:\\WINDOWS\\ALCMTR.EXE"="c:\\Program Files\\CyberLink\\PowerDVD8\\Language\\Language.exe"="c:\\Program Files\\ipla\\ipla.exe"="c:\\Program Files\\OpenOffice.org 3\\program\\soffice.bin"="c:\\Program Files\\OpenOffice.org 3\\program\\quickstart.exe"="c:\\Program Files\\DAEMON Tools Lite\\daemon.exe"="c:\\WINDOWS\\RTHDCPL.EXE"="c:\\Program Files\\OpenOffice.org 3\\program\\soffice.exe"="c:\\WINDOWS\\system32\\igfxpers.exe"="c:\\WINDOWS\\system32\\hkcmd.exe"="c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"="c:\\Program Files\\Nowe Gadu-Gadu\\spellchecker_gg.exe"="c:\\Program Files\\Java\\jre6\\bin\\jucheck.exe"="c:\\WINDOWS\\system32\\netsh.exe"="c:\\WINDOWS\\system32\\sol.exe"="c:\\Program Files\\Winamp\\winampa.exe"="c:\\WINDOWS\\System32\\svchost.exe"="c:\\Program Files\\Java\\jre6\\bin\\java.exe"="c:\\WINDOWS\\system32\\userinit.exe"=R2 ws2_32sik;ws2_32sik;c:\windows\system32\drivers\ws2_32sik.sys [2001-10-30 30464]R3 abp470n5;abp470n5; [x]R3 s716bus;Sony Ericsson Device 716 driver (WDM);c:\windows\system32\DRIVERS\s716bus.sys [2007-06-28 83208]S2 npf;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2008-06-01 34064][HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{00c094bc-d836-11dd-b9e6-001fd016c43c}]\shell\AutoPLay\cOMmAnd - H:\knuclx.cmd\shell\AutoRun\command - H:\knuclx.cmd\shell\eXplOre\CommaND - H:\knuclx.cmd\shell\Open\coMMand - H:\knuclx.cmd[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72eeeb85-d7ea-11dd-b9e4-001fd016c43c}]\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72eeec06-d7ea-11dd-b9e4-001fd016c43c}]\Shell\aUtOpLAy\coMMAnd - I:\vsxy.pif\Shell\AutoRun\command - I:\vsxy.pif\Shell\eXpLORE\Command - I:\vsxy.pif\Shell\oPen\comManD - I:\vsxy.pif[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fb6f3732-da8f-11dd-b9f0-001fd016c43c}]\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs..------- Skan uzupełniający -------.uStart Page = hxxp://www.worldusa.commStart Page = hxxp://www.yahoo.comuInternet Connection Wizard,ShellNext = iexploreuSearchURL,(Default) = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13157&gct=&gc=1&q=%sIE: &Winamp Search - c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-04-23 11:04Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ...  skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ...  skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'explorer.exe'(2600)c:\windows\system32\msi.dll.Czas ukończenia: 2009-04-23 11:05ComboFix-quarantined-files.txt  2009-04-23 09:05ComboFix2.txt  2009-04-23 09:02Przed: 55 174 021 120 bajtów wolnychPo: 55 168 045 056 bajtów wolnych240

Gość
komentarz
komentarz

Proszę zainstalaować i przeskanować tym --> MBAM, (pełne skanowanie, po znalezieniu proszę zaznaczyć "Usuń zaznaczone".)

I potem najnowszy log z ComboFixa. ;)

.

Gość
komentarz
komentarz (edytowane)

Ależ syfu!

Bez zgody profesjonalisty nic nie rób!

Napiszę tego posta, aby sprawdził go profesjonalista i powiedział czy dobrze zauważyłem

infekcje, więc tak:

File::c:\windows\system32\3573425748.datc:\windows\system32\2052z.dllc:\windows\iun6002.exeC:\jre-6u11-windows-i586-p-iftw.exeRegistry::[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72eeeb85-d7ea-11dd-b9e4-001fd016c43c}]

To jest dla mnie podejrzane:

c:\\WINDOWS\\system32\\sol.exe

A jeżeli to nic to mój błąd i złe podejrzenia.

I te pliki są dla mnie nie wiadome:

c:\windows\system32\drivers\npf.sysc:\windows\system32\DRIVERS\s716bus.sys
Dezaktywuj i wyeliminowania npf.sys Natychmiast. Proces ten jest identyfikowany jako wirus lub koń trojański..

źródło http://www.spycheck.pl/genera.php?processfile=npf.sys

//Sprawdzanie logów lepiej zostaw profesjonalistom ;)

//Następnym razem będzie warn za złe doradzanie i wprowadzanie w błąd

//Michał Paluch

Gość
komentarz
komentarz
Ależ syfu!

Bez zgody profesjonalisty nic nie rób!

Napiszę tego posta, aby sprawdził go profesjonalista i powiedział czy dobrze zauważyłem

infekcje, więc tak:

File::c:\windows\system32\3573425748.datc:\windows\system32\2052z.dllc:\windows\iun6002.exeC:\jre-6u11-windows-i586-p-iftw.exeRegistry::[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72eeeb85-d7ea-11dd-b9e4-001fd016c43c}]

To jest dla mnie podejrzane:

c:\\WINDOWS\\system32\\sol.exe

A jeżeli to nic to mój błąd i złe podejrzenia.

I te pliki są dla mnie nie wiadome:

c:\windows\system32\drivers\npf.sysc:\windows\system32\DRIVERS\s716bus.sys

źródło http://www.spycheck.pl/genera.php?processfile=npf.sys

Może lepiej nie wykonuj tego. ;)

.

snip91
komentarz
komentarz

Proszę Cię w imieniu userów, którym możesz zwalić system - nie sprawdzaj logów, jeśli nie potrafisz!

Jeśli takie zachowanie będzie się powtarzało, będzie karane. Nie jesteś pewny - zostaw to nam lub spytaj kogoś, kto się na tym zna.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.