x-kom hosting

log do sprawdzenia

Michał90
utworzono
utworzono

Witam,

siedze sobie na kompie, a tu nagle wyskakuje Malware Doctor v.1.0, i zaczyna skanować, a ja szybko stop :P co to takiego ?

Log z ComboFix

ComboFix 09-05-22.01 - Michał 2009-05-22 19:59.4 - NTFSx86Microsoft Windows XP Home Edition  5.1.2600.2.1250.48.1045.18.2047.1429 [GMT 2:00]Uruchomiony z: c:\documents and settings\Michał\Pulpit\ComboFix.exeAV: avast! antivirus 4.8.1335 [VPS 090515-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}.(((((((((((((((((((((((((((((((((((((((   Usunięto   ))))))))))))))))))))))))))))))))))))))))))))))))).c:\documents and settings\LocalService\Dane aplikacji\916653139.exec:\windows\system32\1045g.exec:\windows\system32\sft.resD:\desktop.ini.(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Legacy_aspnet_statentmssvc-------\Service_aspnet_stateNtmsSvc(((((((((((((((((((((((((   Pliki utworzone od 2009-04-22 do 2009-05-22  ))))))))))))))))))))))))))))))).2009-05-22 14:44 . 2009-05-22 14:44	29184	----a-w	c:\windows\system32\jhxm32.dll2009-05-22 11:03 . 2009-05-22 11:03	32768	----a-w	c:\windows\system32\avast!Antivirus.exe2009-05-16 12:21 . 2009-05-22 18:02	117214	----a-w	c:\windows\system32\drivers\d9d67651.sys2009-05-16 12:21 . 2009-05-16 12:21	32	--s-a-w	c:\windows\system32\3829544837.dat2009-05-16 08:25 . 2009-05-16 08:25	--------	d-----w	c:\program files\Fotosik Manager2009-05-12 15:42 . 2009-05-22 14:44	664	----a-w	c:\windows\system32\d3d9caps.dat2009-05-12 06:42 . 2009-05-22 16:36	--------	d-----w	c:\documents and settings\Magda\Dane aplikacji\ipla2009-05-12 06:42 . 2009-05-12 06:42	--------	d-----w	c:\documents and settings\All Users\Dane aplikacji\ipla2009-05-12 06:41 . 2009-05-12 06:41	--------	d-----w	c:\program files\ipla2009-05-05 14:34 . 2009-05-05 14:34	--------	d-----w	c:\documents and settings\Magda\Ustawienia lokalne\Dane aplikacji\Help2009-05-05 10:36 . 2009-05-05 10:36	--------	d-----w	c:\program files\SolidDocuments2009-05-01 07:49 . 2009-05-01 07:49	--------	d-----w	c:\documents and settings\Magda\.gstreamer-0.102009-04-30 17:27 . 2009-04-30 17:27	--------	d--h--w	c:\windows\PIF2009-04-28 07:28 . 2009-04-28 07:28	1878984	----a-w	c:\documents and settings\Magda\Dane aplikacji\Macromedia\Flash Player\www.macromedia.com\bin\fpupdatepl\fpupdatepl.exe2009-04-27 15:54 . 2009-04-27 15:54	--------	d-----w	c:\program files\CCleaner2009-04-27 15:39 . 2009-04-27 15:39	--------	d-----w	c:\program files\VS Revo Group2009-04-24 12:02 . 2009-04-27 08:38	--------	d-----w	c:\program files\HyperVRE.((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-05-21 20:30 . 2009-03-18 11:43	--------	d-----w	c:\program files\Kalendarz XP2009-05-05 10:37 . 2009-03-18 08:59	--------	d-----w	c:\documents and settings\Magda\Dane aplikacji\SolidDocuments2009-05-02 08:31 . 2009-02-27 15:00	--------	d-----w	c:\documents and settings\Magda\Dane aplikacji\Skype2009-05-02 07:32 . 2009-02-27 15:03	--------	d-----w	c:\documents and settings\Magda\Dane aplikacji\skypePM2009-05-01 09:52 . 2009-01-21 18:44	--------	d--h--w	c:\program files\InstallShield Installation Information2009-04-22 08:29 . 2009-04-22 08:29	--------	d-----w	c:\documents and settings\Magda\Dane aplikacji\Nowe Gadu-Gadu2009-04-22 08:28 . 2009-04-22 08:28	--------	d-----w	c:\program files\Nowe Gadu-Gadu2009-04-22 08:25 . 2009-02-19 14:26	5018	--sha-w	c:\windows\system32\KGyGaAvL.sys2009-04-22 08:25 . 2009-02-19 14:26	88	--sh--r	c:\windows\system32\E16FD4D28D.sys2009-04-19 18:54 . 2009-04-19 17:20	--------	d-----w	c:\program files\PSPad editor2009-04-19 09:44 . 2009-04-19 09:44	--------	d-----w	c:\program files\nTechnology.pl2009-04-07 14:49 . 2009-01-21 17:52	156199	----a-w	c:\windows\hpoins21.dat2009-04-02 06:38 . 2006-03-02 12:00	75706	----a-w	c:\windows\system32\perfc015.dat2009-04-02 06:38 . 2006-03-02 12:00	451696	----a-w	c:\windows\system32\perfh015.dat2009-03-31 17:37 . 2009-03-31 17:37	57344	----a-w	c:\documents and settings\Magda\Dane aplikacji\Sun\Java\Deployment\cache\6.0\50\5b902232-317a747d-n\Decora-SSE.dll2009-03-31 17:37 . 2009-03-31 17:37	24064	----a-w	c:\documents and settings\Magda\Dane aplikacji\Sun\Java\Deployment\cache\6.0\15\4e09eacf-44c8788c-n\Decora-D3D.dll2009-03-31 17:37 . 2009-03-31 17:37	315392	----a-w	c:\documents and settings\Magda\Dane aplikacji\Sun\Java\Deployment\cache\6.0\62\6baea4fe-663ca672-n\jogl.dll2009-03-31 17:37 . 2009-03-31 17:37	20480	----a-w	c:\documents and settings\Magda\Dane aplikacji\Sun\Java\Deployment\cache\6.0\62\6baea4fe-663ca672-n\jogl_awt.dll2009-03-31 17:37 . 2009-03-31 17:37	114688	----a-w	c:\documents and settings\Magda\Dane aplikacji\Sun\Java\Deployment\cache\6.0\62\6baea4fe-663ca672-n\jogl_cg.dll2009-03-31 17:37 . 2009-03-31 17:37	20480	----a-w	c:\documents and settings\Magda\Dane aplikacji\Sun\Java\Deployment\cache\6.0\45\4f710eed-4c7b0429-n\gluegen-rt.dll2009-03-31 17:37 . 2009-03-31 17:37	499712	----a-w	c:\documents and settings\Magda\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\258cea61-60d23082-n\msvcp71.dll2009-03-31 17:37 . 2009-03-31 17:37	499712	----a-w	c:\documents and settings\Magda\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\258cea61-60d23082-n\jmc.dll2009-03-31 17:37 . 2009-03-31 17:37	348160	----a-w	c:\documents and settings\Magda\Dane aplikacji\Sun\Java\Deployment\cache\6.0\33\258cea61-60d23082-n\msvcr71.dll2009-03-30 10:32 . 2009-01-23 11:03	70048	----a-w	c:\documents and settings\Magda\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-03-23 18:37 . 2009-03-23 18:37	--------	d-----w	c:\program files\Trend Micro2009-03-09 16:43 . 2009-03-09 16:43	47360	----a-w	c:\windows\system32\drivers\pcouffin.sys2009-03-07 10:16 . 2009-03-07 10:16	720896	----a-w	c:\windows\iun6002.exe2009-02-27 15:03 . 2009-02-27 15:03	56	---ha-w	c:\windows\system32\ezsidmv.dat2009-02-24 19:17 . 2009-02-24 19:17	410984	----a-w	c:\windows\system32\deploytk.dll2009-01-27 16:52 . 2009-01-27 16:52	24	--sh--w	c:\windows\SE665FE29.tmp.(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-03-02 15360]"uTorrent"="d:\programy\uTorrent\uTorrent.exe" [2009-02-26 270128]"Steam"="e:\counter steam\Steam.exe" [2003-09-11 958464][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-02-08 7700480]"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-02-08 86016]"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 49152]"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352]"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-24 148888]"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-02-08 1622016][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-03-02 15360]c:\documents and settings\Magda\Menu Start\Programy\Autostart\Tworzenie wycink˘w ekranu i uruchamianie programu OneNote 2007.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]c:\documents and settings\Micha\Menu Start\Programy\Autostart\Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]c:\documents and settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-24 29696]HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520][HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"="c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="c:\\Documents and Settings\\All Users\\Dane aplikacji\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\Polish\\setup.exe"="f:\\usr\\SMTP Server\\localsrv.exe"="d:\\Programy\\totalcmd\\TOTALCMD.EXE"="f:\\usr\\apache\\Apache.exe"="c:\\Documents and Settings\\Michał\\Dane aplikacji\\Thinstall\\APCS3E\\4000005700003i\\mDNSResponder.exe"="c:\\Program Files\\InterVideo\\DVD5\\WinDVD.exe"="c:\\Program Files\\Gadu-Gadu\\gg.exe"="d:\\Programy\\uTorrent\\uTorrent.exe"="c:\\Program Files\\Skype\\Phone\\Skype.exe"="c:\\Program Files\\Java\\jre6\\launch4j-tmp\\frd.exe"=R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-01-22 114768]R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-01-22 20560]R2 avast!antivirus;avast!antivirus;c:\windows\System32\avast!Antivirus.exe -k netsvcs --> c:\windows\System32\avast!Antivirus.exe -k netsvcs [?]R2 SCPDFReadSpool;SolidConverterPDFReadSpool;c:\windows\Installer\MSICB.tmp [2009-05-05 189696]R3 TIACXLN;22M WLAN Adapter;c:\windows\system32\drivers\TIACXLN.sys [2009-01-21 155392][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc..------- Skan uzupełniający -------.uStart Page = hxxp://google.pl/uInternet Settings,ProxyOverride = *.localIE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-05-22 20:02Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ...  skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ...  skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySql]"ImagePath"="F:/usr/mysql/bin/mysqld-nt.exe"[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MySql]"ImagePath"="F:/usr/mysql/bin/mysqld-nt.exe"[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SCPDFReadSpool]"ImagePath"="c:\windows\Installer\MSICB.tmp"[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\d9d67651]"ImagePath"="\SystemRoot\System32\drivers\d9d67651.sys".--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'explorer.exe'(3328)c:\windows\system32\msi.dllc:\windows\system32\WPDShServiceObj.dllc:\windows\system32\PortableDeviceTypes.dllc:\windows\system32\PortableDeviceApi.dll.------------------------ Pozostałe uruchomione procesy ------------------------.c:\program files\Alwil Software\Avast4\aswUpdSv.exec:\program files\Alwil Software\Avast4\ashServ.exec:\windows\system32\avast!Antivirus.exec:\program files\Java\jre6\bin\jqs.exef:\usr\mysql\bin\mysqld-nt.exec:\program files\Common Files\Nero\Nero BackItUp 4\NBService.exec:\windows\system32\nvsvc32.exec:\windows\system32\PSIService.exec:\windows\system32\rundll32.exec:\program files\Alwil Software\Avast4\ashMaiSv.exec:\program files\Alwil Software\Avast4\ashWebSv.exec:\windows\system32\wbem\wmiapsrv.exec:\program files\HP\Digital Imaging\bin\hpqste08.exe.**************************************************************************.Czas ukończenia: 2009-05-22 20:04 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt  2009-05-22 18:04ComboFix2.txt  2009-04-27 11:31Przed: 36 215 361 536 bajtów wolnychPo: 38 414 680 064 bajtów wolnych189

Pozdrawiam

Gość
komentarz
komentarz

W logu widać kilka Rootkitów...

1. Wklej do Notatnika:

File::c:\windows\system32\jhxm32.dllc:\windows\system32\drivers\d9d67651.sysc:\windows\system32\3829544837.datDriver::SCPDFReadSpoold9d67651Registry::[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SCPDFReadSpool][-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\d9d67651]

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->cfscriptb5b4me3.gif

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.

2. Użyj programu Malwarebytes' Anti-Malware i daj z niego raport.

Tak więc:

>>> Wracasz z najnowszym logiem z ComboFixa (po użyciu Scripta).

>>> Wracasz z raportem z MBAM'a.

.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.