Skocz do zawartości


Zdjęcie

Logi - Podejrzenie infekcji

Rozpoczęty przez Monis89 , 15 04 2009 13:58

  • Zamknięty Temat jest zamknięty
3 odpowiedzi w tym temacie

#1 Monis89

Monis89

    Obserwator

  • 5 postów

Napisano 15 04 2009 - 13:58

Ostatnio nie chciał mi się włączyć Windows, gdy był podłączony jeden z moich dysków, podejrzewam, że jest zainfekowany, dlatego prosze o sprawdzenie logów.

Log z Hijack
CODE-BOX
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:43:43, on 2009-04-15
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\PowerS.exe
D:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
D:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\Program Files\Brother\Brmfcmon\BrMfcmon.exe
C:\WINDOWS\ATKKBService.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
D:\Program Files\Mozilla Firefox\firefox.exe
G:\Download\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.megaupload.com/toolbar2.0/?c=uninstalled
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - d:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll (file missing)
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "D:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Rapget] G:\Download\rapget141\rapget.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O21 - SSODL: UpdateCheck - {EB695EB7-02D4-436D-AE3F-4CD9CA45764B} - C:\WINDOWS\system32\mstmdm.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6129 bytes

logi z Combofix
CODE-BOX
ComboFix 09-04-15.08 - Administrator 2009-04-15 13:46.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.511.143 [GMT 2:00]
Uruchomiony z: g:\download\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013
c:\recycler\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
c:\windows\system32\micr0st.dll

.
((((((((((((((((((((((((( Pliki utworzone od 2009-03-15 do 2009-04-15 )))))))))))))))))))))))))))))))
.

2009-04-15 11:11 . 2009-04-15 11:11 -------- d-----w c:\documents and settings\Administrator.MONIS\Ustawienia lokalne\Dane aplikacji\Nero
2009-04-15 10:59 . 2009-04-15 11:01 -------- d-----w c:\documents and settings\Administrator.MONIS\Dane aplikacji\Astroburn
2009-04-15 08:54 . 2009-04-15 08:54 -------- d-----w c:\documents and settings\Administrator.MONIS\Dane aplikacji\PC Suite
2009-04-15 08:46 . 2009-04-15 08:46 -------- d-----w c:\documents and settings\Administrator.MONIS\Dane aplikacji\DivX
2009-04-15 08:44 . 2009-04-15 08:52 -------- d-----w c:\windows\system32\NtmsData
2009-04-13 19:50 . 2009-04-13 19:50 -------- d-----w c:\windows\Downloaded Installations
2009-04-13 19:37 . 2009-04-13 19:37 -------- d-----w c:\documents and settings\Administrator.MONIS\Ustawienia lokalne\Dane aplikacji\Downloaded Installations
2009-04-13 17:23 . 2009-04-13 17:23 -------- d-----r c:\documents and settings\Administrator.MONIS\Dane aplikacji\Brother
2009-04-13 17:21 . 2009-04-13 17:21 -------- d-----w c:\documents and settings\Administrator.MONIS\Dane aplikacji\ScanSoft
2009-04-13 17:06 . 2009-04-15 11:12 69072 ----a-w c:\documents and settings\Administrator.MONIS\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-04-13 10:31 . 2009-04-13 10:31 -------- d-----w c:\documents and settings\Administrator.MONIS\Dane aplikacji\Nowe Gadu-Gadu
2009-04-11 23:56 . 2009-04-13 17:38 -------- d-----w c:\documents and settings\Administrator.MONIS\Dane aplikacji\uTorrent
2009-04-11 22:29 . 2009-04-13 09:37 -------- d-----w c:\documents and settings\Administrator.MONIS\Dane aplikacji\Winamp
2009-04-11 21:34 . 2009-04-11 21:34 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\nView_Profiles
2009-04-11 20:27 . 2009-04-11 20:27 -------- d-----w c:\documents and settings\Administrator.MONIS\Ustawienia lokalne\Dane aplikacji\Mozilla
2009-04-11 20:11 . 2009-04-11 20:26 -------- d-----w c:\documents and settings\Administrator.MONIS\Dane aplikacji\EmailNotifier
2009-04-11 20:10 . 2008-12-29 18:42 -------- d--h--w c:\documents and settings\Administrator.MONIS\Szablony
2009-04-11 20:10 . 2009-04-11 20:10 -------- d-----w c:\documents and settings\Administrator.MONIS
2009-04-11 19:35 . 2004-08-03 23:44 221184 ----a-w c:\windows\system32\wmpns.dll
2009-04-01 07:03 . 2009-04-01 07:03 -------- d-----w c:\documents and settings\Administrator\.gstreamer-0.10
2009-03-27 12:08 . 2006-09-13 17:18 25600 ----a-w c:\windows\system32\drivers\usbser.sys
2009-03-27 12:08 . 2009-03-27 12:08 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-03-27 12:07 . 2009-03-27 12:07 0 ---ha-w c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-03-27 12:07 . 2008-03-21 12:57 14640 ------w c:\windows\system32\spmsgXP_2k3.dll
2009-03-27 12:06 . 2009-03-27 12:08 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\PC Suite
2009-03-27 12:02 . 2008-08-26 08:26 18816 ----a-w c:\windows\system32\drivers\pccsmcfd.sys
2009-03-27 12:02 . 2008-09-15 06:56 8064 ----a-w c:\windows\system32\drivers\usbser_lowerfltj.sys
2009-03-27 12:02 . 2008-09-15 06:56 8064 ----a-w c:\windows\system32\drivers\usbser_lowerflt.sys
2009-03-27 12:02 . 2008-09-15 06:56 22016 ----a-w c:\windows\system32\drivers\ccdcmbo.sys
2009-03-27 12:02 . 2009-03-27 12:03 -------- dc----w c:\windows\system32\DRVSTORE
2009-03-27 12:02 . 2008-09-15 06:56 659968 ----a-w c:\windows\system32\nmwcdcocls.dll
2009-03-27 12:02 . 2008-09-15 06:56 17664 ----a-w c:\windows\system32\drivers\ccdcmb.sys
2009-03-27 12:02 . 2008-09-15 06:29 1112288 ----a-w c:\windows\system32\wdfcoinstaller01007.dll
2009-03-27 12:02 . 2008-09-15 06:56 91136 ----a-w c:\windows\system32\nmwcdcls.dll
2009-03-27 12:01 . 2009-03-27 12:01 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Installations

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-15 11:03 . 2008-12-29 21:27 -------- d-----w c:\program files\AVS4YOU
2009-04-15 11:02 . 2008-12-29 21:26 -------- d-----w c:\program files\Common Files\AVSMedia
2009-04-11 20:11 . 2009-04-11 20:11 -------- d-----w c:\documents and settings\Administrator.MONIS\Dane aplikacji\Nero
2009-04-11 09:10 . 2001-10-26 17:15 85464 ----a-w c:\windows\system32\perfc015.dat
2009-04-11 09:10 . 2001-10-26 17:15 494500 ----a-w c:\windows\system32\perfh015.dat
2009-04-01 06:44 . 2009-04-01 06:43 -------- d-----w c:\program files\Nowe Gadu-Gadu
2009-03-27 12:03 . 2009-03-27 12:03 -------- d-----w c:\program files\Common Files\PCSuite
2009-03-27 12:03 . 2009-03-27 12:03 -------- d-----w c:\program files\Common Files\Nokia
2009-03-27 12:02 . 2009-03-27 12:02 -------- d-----w c:\program files\DIFX
2009-03-27 12:02 . 2009-03-27 12:02 -------- d-----w c:\program files\PC Connectivity Solution
2009-03-06 13:21 . 2008-12-29 19:08 -------- d--h--w c:\program files\InstallShield Installation Information
2009-03-06 13:10 . 2009-03-06 13:10 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Megaupload
2009-03-06 13:10 . 2009-03-06 13:10 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\EmailNotifier
2009-03-04 17:23 . 2009-01-10 12:55 -------- d-----w c:\program files\AstroburnBar
2009-02-13 19:14 . 2009-02-13 19:14 166592 ----a-w c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\FontCache3.0.0.0.dat
2009-01-28 10:43 . 2009-01-28 10:43 6688 ----a-w c:\windows\movexe.exe
.

------- Sigcheck -------

[-] 2008-12-29 20:39 360576 E7DFCFFA380749B8626AD71E8F367DCB c:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-03-30 5898240]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-03-30 86016]
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"SetDefPrt"="c:\program files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 49152]
"ControlCenter2.0"="c:\program files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 933888]
"PowerS"="c:\windows\PowerS.exe" [2001-08-03 159800]
"SunJavaUpdateSched"="d:\program files\Java\jre6\bin\jusched.exe" [2009-01-06 136600]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"NeroFilterCheck"="c:\program files\Common Files\Nero\Lib\NeroCheck.exe" [2008-02-28 570664]
"NBKeyScan"="d:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-03-30 1519616]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\documents and settings\Administrator.MONIS\Menu Start\Programy\Autostart\
Tworzenie wycink˘w ekranu i uruchamianie programu OneNote 2007.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Status Monitor.lnk - c:\program files\Brother\Brmfcmon\BrMfcWnd.exe [2008-12-29 802816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"UpdateCheck"= {EB695EB7-02D4-436D-AE3F-4CD9CA45764B} - c:\windows\system32\mstmdm.dll [2004-08-04 98304]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Program Files\\uTorrent\\uTorrent.exe"=
"d:\\Program Files\\Gadu-Gadu\\gg.exe"=
"d:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=
"e:\\uTorrent.exe"=
"d:\\Program Files\\Nero\\Nero8\\Nero Home\\NeroHome.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"31890:TCP"= 31890:TCP:utorrent
"31890:UDP"= 31890:UDP:utorrent1
"119:TCP"= 119:TCP:port TCP 119
"119:UDP"= 119:UDP:port UDP 119

R3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\System32\DRIVERS\ASPI32.sys [2002-07-17 16512]
S2 BT848;BtCap, WDM Video Capture;c:\windows\system32\drivers\BT848.SYS [2001-06-08 291648]
S2 BTTUNER;BtTuner, WDM TV Tuner;c:\windows\system32\drivers\BTTUNER.SYS [2001-07-03 21288]
S2 BTXBAR;BtXBar, WDM Crossbar;c:\windows\system32\drivers\BTXBAR.SYS [2001-07-03 12568]
S2 SVKP;SVKP;c:\windows\system32\SVKP.sys [2008-12-29 2368]

.
- - - - USUNIĘTO PUSTE WPISY - - - -

WebBrowser-{A057A204-BACC-4D26-C39E-35F1D2A32EC8} - (no file)
HKLM-Run-Rapget - g:\download\rapget141\rapget.exe


.
------- Skan uzupełniający -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.megaupload.com/toolbar2.0/?c=uninstalled
IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-15 13:48
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\ASFWHide]
"ImagePath"="\??\c:\docume~1\ADMINI~1\USTAWI~1\Temp\ASFWHide"
.
Czas ukończenia: 2009-04-15 13:50
ComboFix-quarantined-files.txt 2009-04-15 11:49

Przed: 898 711 552 bajtów wolnych
Po: 898 539 520 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4
161

Będę wdzięczna za pomoc.

  • 0

#2 karolkuich

karolkuich

    Początkujący

  • 141 postów

Napisano 15 04 2009 - 21:40

Wklej do notatnika :
Windows Registry Editor Version 5.00
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"119:TCP"=-
"119:UDP"=-

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG i uruchom z dwukliku.

Uruchom HijackThis :

Dołączona grafika

Zaznacz :
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = [url="http://www.megaupload.com/toolbar2.0/?c=uninstalled"]http://www.megaupload.com/toolbar2.0/?c=uninstalled[/url]
O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - d:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll (file missing)
Dołączona grafika

c:\windows\movexe.exe

http://www.tallemu.com/oasis2/search/file/movexe_exe

SVKP.sys

http://www.bleepingcomputer.com/startups/SVKP-11523.html

Czy ktoś się w hacking bawi ?

Przeskanuj system MBAM: http://www.bezpieczenstwosystemow.pl/index.php?topic=4536.0

  • 0

#3 Monis89

Monis89

    Obserwator

  • 5 postów

Napisano 16 04 2009 - 00:38

hacking ? nic mi o tym nie wiadomo...

log z mbam'a
CODE-BOX
Malwarebytes' Anti-Malware 1.36
Wersja bazy definicji: 1987
Windows 5.1.2600 Dodatek Service Pack 2

2009-04-16 01:30:40
mbam-log-2009-04-16 (01-30-33).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|F:\|G:\|)
Przeskanowane obiekty: 126516
Upłynęło: 26 minute(s), 37 second(s)

Zainfekowane procesy w pamięci: 0
Zainfekowane moduły pamięci: 0
Zainfekowane klucze rejestru: 0
Zainfekowane wartości rejestru: 0
Zainfekowane pliki rejestru: 2
Zainfekowane foldery: 0
Zainfekowane pliki: 1

Zainfekowane procesy w pamięci:
(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:
(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:
(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:
(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Zainfekowane foldery:
(Nie wykryto groźnych plików)

Zainfekowane pliki:
C:\WINDOWS\system32\syssetub.dll (Trojan.Agent) -> No action taken.

użyłam opcji "usuń zaznaczone" i teraz moje logi wyglądają tak:
-mbam
CODE-BOX
Malwarebytes' Anti-Malware 1.36
Wersja bazy definicji: 1987
Windows 5.1.2600 Dodatek Service Pack 2

2009-04-16 01:42:15
mbam-log-2009-04-16 (01-42-15).txt

Typ skanowania: Pełne skanowanie (E:\|F:\|G:\|H:\|K:\|L:\|)
Przeskanowane obiekty: 79450
Upłynęło: 5 minute(s), 55 second(s)

Zainfekowane procesy w pamięci: 0
Zainfekowane moduły pamięci: 0
Zainfekowane klucze rejestru: 0
Zainfekowane wartości rejestru: 0
Zainfekowane pliki rejestru: 0
Zainfekowane foldery: 0
Zainfekowane pliki: 0

Zainfekowane procesy w pamięci:
(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:
(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:
(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:
(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:
(Nie wykryto groźnych plików)

Zainfekowane foldery:
(Nie wykryto groźnych plików)

Zainfekowane pliki:
(Nie wykryto groźnych plików)

-ComboFix
CODE-BOX
ComboFix 09-04-15.08 - Administrator 2009-04-16 1:45.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.511.157 [GMT 2:00]
Uruchomiony z: g:\download\ComboFix.exe
.

((((((((((((((((((((((((( Pliki utworzone od 2009-03-15 do 2009-04-15 )))))))))))))))))))))))))))))))
.

2009-04-15 23:02 . 2009-04-15 23:02 -------- d-----w c:\documents and settings\Administrator.MONIS\Dane aplikacji\Malwarebytes
2009-04-15 23:02 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-15 23:02 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-15 23:01 . 2009-04-15 23:01 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Malwarebytes
2009-04-15 22:10 . 2009-04-15 22:10 -------- d-----w c:\windows\system32\xircom
2009-04-15 11:11 . 2009-04-15 11:11 -------- d-----w c:\documents and settings\Administrator.MONIS\Ustawienia lokalne\Dane aplikacji\Nero
2009-04-15 10:59 . 2009-04-15 11:01 -------- d-----w c:\documents and settings\Administrator.MONIS\Dane aplikacji\Astroburn
2009-04-15 08:54 . 2009-04-15 08:54 -------- d-----w c:\documents and settings\Administrator.MONIS\Dane aplikacji\PC Suite
2009-04-15 08:46 . 2009-04-15 08:46 -------- d-----w c:\documents and settings\Administrator.MONIS\Dane aplikacji\DivX
2009-04-15 08:44 . 2009-04-15 08:52 -------- d-----w c:\windows\system32\NtmsData
2009-04-13 19:50 . 2009-04-13 19:50 -------- d-----w c:\windows\Downloaded Installations
2009-04-13 19:37 . 2009-04-13 19:37 -------- d-----w c:\documents and settings\Administrator.MONIS\Ustawienia lokalne\Dane aplikacji\Downloaded Installations
2009-04-13 17:23 . 2009-04-13 17:23 -------- d-----r c:\documents and settings\Administrator.MONIS\Dane aplikacji\Brother
2009-04-13 17:21 . 2009-04-13 17:21 -------- d-----w c:\documents and settings\Administrator.MONIS\Dane aplikacji\ScanSoft
2009-04-13 17:06 . 2009-04-15 11:12 69072 ----a-w c:\documents and settings\Administrator.MONIS\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-04-13 10:31 . 2009-04-13 10:31 -------- d-----w c:\documents and settings\Administrator.MONIS\Dane aplikacji\Nowe Gadu-Gadu
2009-04-11 23:56 . 2009-04-13 17:38 -------- d-----w c:\documents and settings\Administrator.MONIS\Dane aplikacji\uTorrent
2009-04-11 22:29 . 2009-04-13 09:37 -------- d-----w c:\documents and settings\Administrator.MONIS\Dane aplikacji\Winamp
2009-04-11 21:34 . 2009-04-11 21:34 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\nView_Profiles
2009-04-11 20:27 . 2009-04-11 20:27 -------- d-----w c:\documents and settings\Administrator.MONIS\Ustawienia lokalne\Dane aplikacji\Mozilla
2009-04-11 20:11 . 2009-04-11 20:26 -------- d-----w c:\documents and settings\Administrator.MONIS\Dane aplikacji\EmailNotifier
2009-04-11 20:10 . 2008-12-29 18:42 -------- d--h--w c:\documents and settings\Administrator.MONIS\Szablony
2009-04-11 20:10 . 2009-04-11 20:10 -------- d-----w c:\documents and settings\Administrator.MONIS
2009-04-11 19:35 . 2004-08-03 23:44 221184 ----a-w c:\windows\system32\wmpns.dll
2009-04-01 07:03 . 2009-04-01 07:03 -------- d-----w c:\documents and settings\Administrator\.gstreamer-0.10
2009-03-27 12:08 . 2006-09-13 17:18 25600 ----a-w c:\windows\system32\drivers\usbser.sys
2009-03-27 12:08 . 2009-03-27 12:08 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_ccdcmb_01007.Wdf
2009-03-27 12:07 . 2009-03-27 12:07 0 ---ha-w c:\windows\system32\drivers\MsftWdf_Kernel_01007_Coinstaller_Critical.Wdf
2009-03-27 12:07 . 2008-03-21 12:57 14640 ------w c:\windows\system32\spmsgXP_2k3.dll
2009-03-27 12:06 . 2009-03-27 12:08 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\PC Suite
2009-03-27 12:02 . 2008-08-26 08:26 18816 ----a-w c:\windows\system32\drivers\pccsmcfd.sys
2009-03-27 12:02 . 2008-09-15 06:56 8064 ----a-w c:\windows\system32\drivers\usbser_lowerfltj.sys
2009-03-27 12:02 . 2008-09-15 06:56 8064 ----a-w c:\windows\system32\drivers\usbser_lowerflt.sys
2009-03-27 12:02 . 2008-09-15 06:56 22016 ----a-w c:\windows\system32\drivers\ccdcmbo.sys
2009-03-27 12:02 . 2009-03-27 12:03 -------- dc----w c:\windows\system32\DRVSTORE
2009-03-27 12:02 . 2008-09-15 06:56 659968 ----a-w c:\windows\system32\nmwcdcocls.dll
2009-03-27 12:02 . 2008-09-15 06:56 17664 ----a-w c:\windows\system32\drivers\ccdcmb.sys
2009-03-27 12:02 . 2008-09-15 06:29 1112288 ----a-w c:\windows\system32\wdfcoinstaller01007.dll
2009-03-27 12:02 . 2008-09-15 06:56 91136 ----a-w c:\windows\system32\nmwcdcls.dll
2009-03-27 12:01 . 2009-03-27 12:01 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Installations

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-15 22:10 . 2009-04-15 22:10 -------- d-----w c:\program files\microsoft frontpage
2009-04-15 11:03 . 2008-12-29 21:27 -------- d-----w c:\program files\AVS4YOU
2009-04-15 11:02 . 2008-12-29 21:26 -------- d-----w c:\program files\Common Files\AVSMedia
2009-04-11 20:11 . 2009-04-11 20:11 -------- d-----w c:\documents and settings\Administrator.MONIS\Dane aplikacji\Nero
2009-04-11 09:10 . 2001-10-26 17:15 85464 ----a-w c:\windows\system32\perfc015.dat
2009-04-11 09:10 . 2001-10-26 17:15 494500 ----a-w c:\windows\system32\perfh015.dat
2009-04-01 06:44 . 2009-04-01 06:43 -------- d-----w c:\program files\Nowe Gadu-Gadu
2009-03-27 12:03 . 2009-03-27 12:03 -------- d-----w c:\program files\Common Files\PCSuite
2009-03-27 12:03 . 2009-03-27 12:03 -------- d-----w c:\program files\Common Files\Nokia
2009-03-27 12:02 . 2009-03-27 12:02 -------- d-----w c:\program files\DIFX
2009-03-27 12:02 . 2009-03-27 12:02 -------- d-----w c:\program files\PC Connectivity Solution
2009-03-06 13:21 . 2008-12-29 19:08 -------- d--h--w c:\program files\InstallShield Installation Information
2009-03-06 13:10 . 2009-03-06 13:10 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Megaupload
2009-03-06 13:10 . 2009-03-06 13:10 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\EmailNotifier
2009-03-04 17:23 . 2009-01-10 12:55 -------- d-----w c:\program files\AstroburnBar
2009-02-13 19:14 . 2009-02-13 19:14 166592 ----a-w c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\FontCache3.0.0.0.dat
2009-01-28 10:43 . 2009-01-28 10:43 6688 ----a-w c:\windows\movexe.exe
.

------- Sigcheck -------

[-] 2008-12-29 20:39 360576 E7DFCFFA380749B8626AD71E8F367DCB c:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((( SnapShot@2009-04-15_11.48.47 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-04-15 23:34 . 2009-04-15 23:34 16384 c:\windows\Temp\Perflib_Perfdata_f4.dat
+ 2009-04-15 23:02 . 2009-04-06 13:32 38496 c:\windows\system32\drivers\mbamswissarmy.sys
+ 2009-04-15 23:02 . 2009-04-06 13:32 15504 c:\windows\system32\drivers\mbam.sys
+ 2008-12-29 19:23 . 2009-04-15 22:10 287704 c:\windows\system32\FNTCACHE.DAT
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 1828136]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-03-30 5898240]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-03-30 86016]
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="c:\program files\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="c:\program files\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"SetDefPrt"="c:\program files\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 49152]
"ControlCenter2.0"="c:\program files\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 933888]
"PowerS"="c:\windows\PowerS.exe" [2001-08-03 159800]
"SunJavaUpdateSched"="d:\program files\Java\jre6\bin\jusched.exe" [2009-01-06 136600]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"NeroFilterCheck"="c:\program files\Common Files\Nero\Lib\NeroCheck.exe" [2008-02-28 570664]
"NBKeyScan"="d:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-03-30 1519616]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\documents and settings\Administrator.MONIS\Menu Start\Programy\Autostart\
Tworzenie wycink˘w ekranu i uruchamianie programu OneNote 2007.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 98632]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Status Monitor.lnk - c:\program files\Brother\Brmfcmon\BrMfcWnd.exe [2008-12-29 802816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"UpdateCheck"= {EB695EB7-02D4-436D-AE3F-4CD9CA45764B} - c:\windows\system32\mstmdm.dll [2004-08-04 98304]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Program Files\\uTorrent\\uTorrent.exe"=
"d:\\Program Files\\Gadu-Gadu\\gg.exe"=
"d:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=
"e:\\uTorrent.exe"=
"d:\\Program Files\\Nero\\Nero8\\Nero Home\\NeroHome.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"31890:TCP"= 31890:TCP:utorrent
"31890:UDP"= 31890:UDP:utorrent1
"119:TCP"= 119:TCP:port TCP 119
"119:UDP"= 119:UDP:port UDP 119

R3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\System32\DRIVERS\ASPI32.sys [2002-07-17 16512]
S2 BT848;BtCap, WDM Video Capture;c:\windows\system32\drivers\BT848.SYS [2001-06-08 291648]
S2 BTTUNER;BtTuner, WDM TV Tuner;c:\windows\system32\drivers\BTTUNER.SYS [2001-07-03 21288]
S2 BTXBAR;BtXBar, WDM Crossbar;c:\windows\system32\drivers\BTXBAR.SYS [2001-07-03 12568]
S2 SVKP;SVKP;c:\windows\system32\SVKP.sys [2008-12-29 2368]

.
.
------- Skan uzupełniający -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.megaupload.com/toolbar2.0/?c=uninstalled
IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-16 01:47
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\ASFWHide]
"ImagePath"="\??\c:\docume~1\ADMINI~1\USTAWI~1\Temp\ASFWHide"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'explorer.exe'(292)
c:\windows\system32\msi.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\mstmdm.dll
c:\windows\system32\PortableDeviceApi.dll
.
Czas ukończenia: 2009-04-15 1:49
ComboFix-quarantined-files.txt 2009-04-15 23:49
ComboFix2.txt 2009-04-15 11:50

Przed: 924 274 688 bajtów wolnych
Po: 919 638 016 bajtów wolnych

Current=3 Default=3 Failed=2 LastKnownGood=4 Sets=1,2,3,4
164

-Hijackthis
CODE-BOX
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:55:11, on 2009-04-16
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
C:\Program Files\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\PowerS.exe
D:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
D:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
C:\WINDOWS\ATKKBService.exe
D:\Program Files\Java\jre6\bin\jqs.exe
D:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
G:\Download\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.megaupload.com/toolbar2.0/?c=uninstalled
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: Java™ Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Program Files\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Program Files\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [PowerS] C:\WINDOWS\PowerS.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "D:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O21 - SSODL: UpdateCheck - {EB695EB7-02D4-436D-AE3F-4CD9CA45764B} - C:\WINDOWS\system32\mstmdm.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 6108 bytes

niepokoi mnie fakt, iż pojawiły mi się w każdej partycji mojego dysku foldery "autorun.inf" i nadal nie znikneły po wykonaniu w/w czynności - czy to źle ?

będę wdzięczna za odpowiedź.
  • 0

#4 karolkuich

karolkuich

    Początkujący

  • 141 postów

Napisano 17 04 2009 - 19:55

nic mi o tym nie wiadomo...


W takim razie usuniemy.

pojawiły mi się w każdej partycji mojego dysku foldery "autorun.inf"


W logach nie widać, zresztą Combo powinien je automatycznie usunąć. Dodam do skryptu.

Wklej do notatnika : 
File:: 
C:\autorun.inf 
D:\autorun.inf 
E:\autorun.inf 
F:\autorun.inf 
G:\autorun.inf 
c:\windows\movexe.exe
c:\windows\system32\mstmdm.dll
c:\windows\system32\SVKP.sys

Registry:: 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] 
"UpdateCheck"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"119:TCP"=-
"119:UDP"=-

Driver::
SVKP
Plik zapisz jako CFScript.txt , przeciągnij i upuść na ikonkę ComboFixa. Wklej loga, który powstanie po usuwaniu.

Przeskanuj system DrWeb CureIt : http://www.bezpieczenstwosystemow.pl/index.php?topic=3332.0

  • 0
Wróć do Bezpieczeństwo (wirusy i trojany)


Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych

  1. Forum Komputerowe Tweaks.pl
  2. Oprogramowanie
  3. Bezpieczeństwo (wirusy i trojany)
  4. Polityka prywatności
  5. Szukaj
  6. Regulamin Forum ·