Elektroda.pl
Elektroda.pl
X
Servizza
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Prosze o sprawdzenie loga combofix

łoligator 12 Sty 2010 00:08 1010 4
  • #1 12 Sty 2010 00:08
    łoligator
    Poziom 2  

    Witam - rootkit asc3550p

    Programem malwarebytes usunalem kilka innych smieci jednak ten ciagle jest - wykrywa go i niby usuwa ale po kolejnym skanowaniu dalej tam jest - ponizej log z combofixa -oraz z malwarebytes- Prosze o pomoc !!!

    1


    Malwarebytes' Anti-Malware 1.44
    Wersja bazy definicji: 3510
    Windows 5.1.2600 Dodatek Service Pack 2
    Internet Explorer 6.0.2900.2180

    2010-01-11 21:52:52
    mbam-log-2010-01-11 (21-52-46).txt

    Typ skanowania: Szybkie skanowanie
    Przeskanowane obiekty: 111422
    Upłynęło: 9 minute(s), 53 second(s)

    Zainfekowane procesy w pamięci: 0
    Zainfekowane moduły pamięci: 0
    Zainfekowane klucze rejestru: 3
    Zainfekowane wartości rejestru: 0
    Zainfekowane pliki rejestru: 0
    Zainfekowane foldery: 0
    Zainfekowane pliki: 2

    Zainfekowane procesy w pamięci:
    (Nie wykryto groźnych plików)

    Zainfekowane moduły pamięci:
    (Nie wykryto groźnych plików)

    Zainfekowane klucze rejestru:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_RUNTIME (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\asc3550p (Rootkit.Agent) -> No action taken.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\runtime (Rootkit.Agent) -> No action taken.

    Zainfekowane wartości rejestru:
    (Nie wykryto groźnych plików)

    Zainfekowane pliki rejestru:
    (Nie wykryto groźnych plików)

    Zainfekowane foldery:
    (Nie wykryto groźnych plików)

    Zainfekowane pliki:
    C:\WINDOWS\system32\0_exception.nls (Trojan.Tibs) -> No action taken.
    C:\WINDOWS\HOSTS (Trojan.Agent) -> No action taken.



    2

    Malwarebytes' Anti-Malware 1.44
    Wersja bazy definicji: 3510
    Windows 5.1.2600 Dodatek Service Pack 2
    Internet Explorer 6.0.2900.2180

    2010-01-11 22:23:40
    mbam-log-2010-01-11 (22-23-34).txt

    Typ skanowania: Szybkie skanowanie
    Przeskanowane obiekty: 111475
    Upłynęło: 7 minute(s), 29 second(s)

    Zainfekowane procesy w pamięci: 0
    Zainfekowane moduły pamięci: 0
    Zainfekowane klucze rejestru: 1
    Zainfekowane wartości rejestru: 0
    Zainfekowane pliki rejestru: 0
    Zainfekowane foldery: 0
    Zainfekowane pliki: 0

    Zainfekowane procesy w pamięci:
    (Nie wykryto groźnych plików)

    Zainfekowane moduły pamięci:
    (Nie wykryto groźnych plików)

    Zainfekowane klucze rejestru:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\asc3550p (Rootkit.Agent) -> No action taken.

    Zainfekowane wartości rejestru:
    (Nie wykryto groźnych plików)

    Zainfekowane pliki rejestru:
    (Nie wykryto groźnych plików)

    Zainfekowane foldery:
    (Nie wykryto groźnych plików)

    Zainfekowane pliki:
    (Nie wykryto groźnych plików)











    log combofix





    ComboFix 10-01-11.01 - x 2010-01-11 23:43:37.1.1 - x86
    Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.503.237 [GMT 1:00]
    Uruchomiony z: c:\documents and settings\x\Pulpit\ComboFix.exe
    AV: avast! antivirus 4.8.1368 [VPS 100104-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

    UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!
    .

    ((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\desktop.ini
    c:\program files\Altnet
    c:\program files\Altnet\Download Manager\altinst1.dll
    c:\program files\Altnet\Download Manager\altinst2.dll
    c:\windows\system32\config\43066146.Evt
    c:\windows\system32\ieuinit.inf
    c:\windows\system32\P2P Networking
    c:\windows\system32\P2P Networking\P2P Networking.eng

    .
    ((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_NDNET1
    -------\Service_asc3550p


    ((((((((((((((((((((((((( Pliki utworzone od 2009-12-11 do 2010-01-11 )))))))))))))))))))))))))))))))
    .

    2010-01-11 20:37 . 2010-01-11 20:37 -------- d-----w- c:\documents and settings\x\Dane aplikacji\Malwarebytes
    2010-01-11 20:37 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-01-11 20:37 . 2010-01-11 20:37 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-01-11 20:37 . 2010-01-11 20:37 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Malwarebytes
    2010-01-11 20:37 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2009-12-26 16:34 . 2009-12-26 16:34 -------- d-----w- c:\documents and settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Google
    2009-12-26 16:25 . 2009-12-26 16:25 -------- d-----w- c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\Google
    2009-12-26 16:23 . 2009-12-26 16:23 -------- d-----w- c:\program files\Common Files\Skype

    .
    (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-01-11 21:47 . 2006-03-13 11:09 -------- d-----w- c:\documents and settings\x\Dane aplikacji\Skype
    2010-01-10 21:38 . 2009-10-18 09:17 -------- d-----w- c:\documents and settings\x\Dane aplikacji\HPAppData
    2010-01-01 12:06 . 2009-01-15 20:20 -------- d-----w- c:\documents and settings\x\Dane aplikacji\skypePM
    2009-12-29 21:30 . 2006-03-23 20:18 -------- d-----w- c:\program files\eMule
    2009-12-27 21:28 . 2006-02-26 09:55 -------- d--h--w- c:\program files\InstallShield Installation Information
    2009-12-27 21:26 . 2006-02-26 13:36 -------- d-----w- c:\program files\Winamp
    2009-12-27 21:18 . 2006-03-23 20:14 -------- d-----w- c:\program files\Common Files\ACD Systems
    2009-12-26 16:29 . 2006-10-03 18:26 -------- d-----w- c:\program files\Google
    2009-12-26 16:23 . 2006-03-13 11:09 -------- d-----r- c:\program files\Skype
    2009-12-26 16:23 . 2006-03-13 11:09 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Skype
    2009-12-18 20:10 . 2006-04-22 22:33 -------- d-----w- c:\program files\Neostrada TP
    2009-12-15 13:16 . 2001-10-26 16:15 51166 ----a-w- c:\windows\system32\perfc015.dat
    2009-12-15 13:16 . 2001-10-26 16:15 359284 ----a-w- c:\windows\system32\perfh015.dat
    2009-12-11 17:06 . 2007-03-11 15:54 -------- d-----w- c:\documents and settings\x\Dane aplikacji\MSN6
    2009-11-24 23:54 . 2006-02-26 19:30 1280480 ----a-w- c:\windows\system32\aswBoot.exe
    2009-11-24 23:51 . 2006-02-26 19:30 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
    2009-11-24 23:50 . 2006-02-26 19:30 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
    2009-11-24 23:50 . 2008-04-05 10:13 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
    2009-11-24 23:50 . 2008-04-05 10:13 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
    2009-11-24 23:49 . 2006-02-26 19:30 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
    2009-11-24 23:48 . 2006-02-26 19:30 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
    2009-11-24 23:47 . 2006-02-26 19:30 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
    2009-11-24 23:47 . 2006-02-26 19:30 97480 ----a-w- c:\windows\system32\AVASTSS.scr
    2009-10-17 12:12 . 2009-10-17 11:45 169856 ----a-w- c:\windows\hpoins29.dat
    2007-03-19 18:13 . 2007-04-18 22:40 6422611 ----a-w- c:\program files\frostwire-4.13.1.6.windows.exe
    .

    ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-21 68856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "HControl"="c:\windows\ATK0100\HControl.exe" [2005-07-28 102400]
    "SoundMan"="SOUNDMAN.EXE" [2005-03-07 77824]
    "SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2004-10-28 98394]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2004-10-28 688218]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
    "igfxtray"="c:\windows\system32\igfxtray.exe" [2006-02-07 94208]
    "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-02-07 77824]
    "igfxpers"="c:\windows\system32\igfxpers.exe" [2006-02-07 118784]
    "RemoteControl"="c:\program files\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768]
    "WooCnxMon"="c:\progra~1\NEOSTR~1\CnxMon.exe" [2003-10-16 24576]
    "WOOWATCH"="c:\progra~1\NEOSTR~1\Watch.exe" [2003-10-16 20480]
    "WOOTASKBARICON"="c:\progra~1\NEOSTR~1\TaskbarIcon.exe" [2003-10-16 53248]
    "LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
    "HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb05.exe" [2002-03-28 188416]
    "Google Desktop Search"="c:\program files\Google\Google Desktop Search\GoogleDesktop.exe" [2009-12-01 30192]
    "HP Software Update"="d:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152]
    "hpqSRMon"="d:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

    c:\documents and settings\All Users\Menu Start\Programy\Autostart\
    Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
    HP Digital Imaging Monitor.lnk - d:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]
    Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2007-1-26 925696]

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\Skype\\Phone\\Skype.exe"=

    R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-05 114768]
    R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-04-05 20560]
    S2 gupdate1ca864812cad832;Usługa Google Update (gupdate1ca864812cad832);c:\program files\Google\Update\GoogleUpdate.exe [2009-12-26 133104]
    S3 GoogleDesktopManager-110309-193829;Google Desktop Manager 5.9.911.3589;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2008-01-10 30192]
    S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\drivers\WlanBZXP.sys [2007-01-26 402432]
    S3 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS --> c:\windows\system32\ZDCndis5.SYS [?]
    S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2006-02-26 642560]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
    .
    Zawartość folderu 'Zaplanowane zadania'

    2010-01-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-12-26 16:25]

    2010-01-11 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
    - c:\program files\Google\Update\GoogleUpdate.exe [2009-12-26 16:25]
    .
    .
    ------- Skan uzupełniający -------
    .
    uStart Page = hxxp://www.onet.pl/
    uSearch Page = hxxp://www.google.com
    uSearch Bar = hxxp://www.google.com/ie
    mDefault_Search_URL = hxxp://www.google.com/ie
    uInternet Connection Wizard,ShellNext = iexplore
    uSearchAssistant = hxxp://www.google.com/ie
    uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
    mSearchAssistant = hxxp://www.google.com/ie
    IE: &Winamp Toolbar Search - c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
    IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
    IE: { - c:\program files\Messenger\msmsgs.exe
    DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
    DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
    DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} - hxxps://www.bph.pl/sezam/components/SignActivX.cab
    DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} - hxxp://gizycko.axiscam.net/activex/AMC.cab
    .
    - - - - USUNIĘTO PUSTE WPISY - - - -

    HKLM-Run-WinampAgent - c:\program files\Winamp\winampa.exe
    HKU-Default-RunOnce-IETI - c:\program files\Skype\Phone\IEPlugin\unins000.exe
    AddRemove-P2P Networking - c:\windows\system32\P2P Networking\P2P Networking.exe



    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-01-11 23:52
    Windows 5.1.2600 Dodatek Service Pack 2 NTFS

    skanowanie ukrytych procesów ...

    skanowanie ukrytych wpisów autostartu ...

    skanowanie ukrytych plików ...

    skanowanie pomyślnie ukończone
    ukryte pliki: 0

    **************************************************************************
    .
    ------------------------ Pozostałe uruchomione procesy ------------------------
    .
    c:\program files\Alwil Software\Avast4\aswUpdSv.exe
    c:\program files\Alwil Software\Avast4\ashServ.exe
    c:\windows\ATKKBService.exe
    c:\program files\Common Files\LightScribe\LSSrvc.exe
    c:\windows\system32\wdfmgr.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\SOUNDMAN.EXE
    c:\windows\ATK0100\ATKOSD.exe
    c:\program files\Alwil Software\Avast4\ashMaiSv.exe
    c:\program files\Alwil Software\Avast4\ashWebSv.exe
    d:\program files\HP\Digital Imaging\bin\hpqSTE08.exe
    d:\program files\HP\Digital Imaging\bin\hpqbam08.exe
    d:\program files\HP\Digital Imaging\bin\hpqgpc01.exe
    .
    **************************************************************************
    .
    Czas ukończenia: 2010-01-11 23:56:05 - komputer został uruchomiony ponownie
    ComboFix-quarantined-files.txt 2010-01-11 22:56

    Przed: 5 342 748 672 bajtów wolnych
    Po: 6 292 103 168 bajtów wolnych

    - - End Of File - - 2AC01A29CA8F1D66CDCE526027ED2142

    0 4
  • Servizza
  • #2 12 Sty 2010 00:33
    Kolobos
    Spec od komputerów

    Log jest ok, zrob jeszcze pelny skan przy pomocy cureit.

    0
  • Servizza
  • #3 12 Sty 2010 00:42
    łoligator
    Poziom 2  

    Ten pelny skan zrobic malwarebytes ? Komp jak sie dlugo wlaczal to i teraz tak samo.

    0
  • Pomocny post
    #4 12 Sty 2010 00:59
    Kolobos
    Spec od komputerów

    > Ten pelny skan zrobic malwarebytes ?

    Przeczytaj to co napisalem i sam sobie odpowiedz.

    > ale komp jak sie dlugo wlanczal to i teraz tak samo

    W wyrazie wlaczal nie ma N. Powodow dlugiego uruchamiania moze byc wiele. Jednak infekcji juz nie ma.

    0
  • #5 12 Sty 2010 01:50
    łoligator
    Poziom 2  

    Thx:)

    0