Belialek
Poziom 19
Joined: 01 Dec 2004
Posts: 612
Location: Wrocław
|
 #1
 11 May 2009 17:53 Pro¶ba o sprawdzenie loga |
|
|
|
Witam,
Ostatnio złapałem wirusa - Conficker. Moje próby walki z nim skończyły sie na formacie i reinstalce systemu. Ku mojemu zdziwieniu na nowo postawionym systemie chwile po zainstalowaniu Avasta pojawię się kolejny wirus... Bardzo możliwe że złapałem do z drugiego kompa i przeniosłem na pendrive (instalowałem system z niego, gdyż nie mam napędu cd w swoim netbooku) - jest to o tyle dziwne, iż na drugim komputerze nie mam żadnych problemów z wirusami, żaden program nie informował o obecno¶ci jakiegokolwiek (ten sam avast, najnowsza baza). Poniżej logi z Combofixa i HijackThis:
Combofix
| Code: |
ComboFix 09-05-11.01 - Administrator 09-05-11 18:33.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.1013.638 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Administrator\Pulpit\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090510-0] *On-access scanning enabled* (Updated)
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
C:\hkn6k.bat
c:\windows\system32\olhrwef.exe
G:\Autorun.inf
G:\boyedt.com
G:\hkn6k.bat
.
((((((((((((((((((((((((( Pliki utworzone od 2009-04-11 do 2009-05-11 )))))))))))))))))))))))))))))))
.
Nie utworzono żadnych nowych plików w tym okresie
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-11 16:26 . 2009-05-11 16:26 0 ----a-w c:\windows\nsreg.dat
2009-05-11 16:22 . 2009-05-11 14:16 448586 ----a-w c:\windows\system32\perfh015.dat
2009-05-11 16:22 . 2009-05-11 14:16 74648 ----a-w c:\windows\system32\perfc015.dat
2009-05-11 16:15 . 2009-05-11 16:16 92672 ------w c:\windows\system32\trz1.tmp
2009-05-11 16:13 . 2009-05-11 16:13 -------- d--h--w c:\program files\InstallShield Installation Information
2009-05-11 16:11 . 2009-05-11 16:11 -------- d-----w c:\program files\Alwil Software
2009-05-11 16:10 . 2009-05-11 16:10 215872 ----a-w c:\windows\system32\drivers\truecrypt.sys
2009-05-11 16:10 . 2009-05-11 16:10 -------- d-----w c:\program files\TrueCrypt
2009-05-11 15:54 . 2009-05-11 15:54 -------- d-----w c:\program files\microsoft frontpage
2009-05-11 15:53 . 2009-05-11 14:03 67 --sha-w c:\windows\Fonts\desktop.ini
2009-05-11 15:53 . 2009-05-11 15:53 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-05-11 15:52 . 2009-05-11 15:52 -------- d-----w c:\program files\Usługi online
2009-05-11 15:51 . 2009-05-11 15:51 21856 ----a-w c:\windows\system32\emptyregdb.dat
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domy¶lne, prawidłowe wpisy nie s± pokazane
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-19 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-19 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-19 131072]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\[u]0[/u]aswBoot.exe /M:1703d090
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [09-05-11 18:11 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [09-05-11 18:11 20560]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [09-05-11 18:13 712704]
--- Inne Usługi/Sterowniki w Pamięci ---
*NewlyCreated* - AAVMKER4
*NewlyCreated* - ASWFSBLK
*NewlyCreated* - ASWMON2
*NewlyCreated* - ASWRDR
*NewlyCreated* - ASWSP
*NewlyCreated* - ASWTDI
*NewlyCreated* - ASWUPDSV
*NewlyCreated* - AVAST!_ANTIVIRUS
*NewlyCreated* - AVAST!_MAIL_SCANNER
*NewlyCreated* - AVAST!_WEB_SCANNER
*NewlyCreated* - CLR_OPTIMIZATION_V2.0.50727_32
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\hkn6k.bat
\Shell\open\Command - G:\hkn6k.bat
.
.
------- Skan uzupełniaj±cy -------
.
uStart Page = hxxp://www.google.com
FF - ProfilePath - c:\documents and settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\idvdqshr.default\
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-11 18:36
Windows 5.1.2600 Dodatek Service Pack 3 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomy¶lnie ukończone
ukryte pliki: 0
**************************************************************************
.
Czas ukończenia: 2009-05-11 18:37
ComboFix-quarantined-files.txt 2009-05-11 16:37
Przed: 12 425 359 360 bajtów wolnych
Po: 12 432 977 920 bajtów wolnych
90
|
HijackThis
| Code: |
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:39:46, on 09-05-11
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\TrueCrypt\TrueCrypt.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ł±cza
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.google.com
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
--
End of file - 2608 bytes
|
Z góry dziękuje za pomoc.
|
|
