Prosze O Sprawdzenie Loga

Kov · 7 Kwietnia 2009

Mialem pare trojanow w systemie ktore usunal AVG. Chce miec pewnosc ze mam czysty system. Wystepuje tez dziwny problem z zewnetrznym dyskiem USB, po podlaczeniu i probie wejscia w dysk wyswietla sie okno aby wybrac program z listy aby otworzyc plik. Traktuje dysk jak plik.

» Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - "combofix log"

ComboFix 09-04-04.01 - ADI 2009-04-07 21:13:07.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.2047.1592 [GMT 2:00]

Uruchomiony z: C:\ComboFix.exe

AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)

* Utworzono nowy punkt przywracania

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\pthreadGC2.dll

.

((((((((((((((((((((((((( Pliki utworzone od 2009-03-07 do 2009-04-07 )))))))))))))))))))))))))))))))

.

2009-04-07 21:11 . 2009-04-07 21:09 3,067,803 -ra------ C:\ComboFix.exe

2009-04-07 02:15 . 2009-04-07 02:15 <DIR> d-------- c:\program files\7-Zip

2009-04-06 23:36 . 2009-04-07 20:35 <DIR> d--h----- C:\$AVG8.VAULT$

2009-04-05 11:47 . 2004-08-03 23:08 26,496 --a--c--- c:\windows\system32\dllcache\usbstor.sys

2009-04-05 10:50 . 2009-04-05 10:50 <DIR> d-------- c:\program files\HD Tune

2009-04-05 09:53 . 2009-04-05 09:53 <DIR> d-------- c:\program files\Common Files\Nero

2009-04-05 09:52 . 2009-04-05 09:52 <DIR> d-------- c:\program files\Common Files\LightScribe

2009-04-05 09:51 . 2009-04-05 09:51 <DIR> d-------- c:\program files\Common Files\Ahead

2009-04-05 09:51 . 2009-04-05 09:51 <DIR> d-------- c:\program files\Ahead

2009-04-05 09:51 . 2004-07-26 17:16 1,568,768 --------- c:\windows\system32\ImagX7.dll

2009-04-05 09:51 . 2004-07-26 17:16 476,320 --------- c:\windows\system32\ImagXpr7.dll

2009-04-05 09:51 . 2004-07-26 17:16 471,040 --------- c:\windows\system32\ImagXRA7.dll

2009-04-05 09:51 . 2004-07-26 17:16 262,144 --------- c:\windows\system32\ImagXR7.dll

2009-04-05 09:51 . 2001-07-09 11:50 155,648 --a------ c:\windows\system32\NeroCheck.exe

2009-04-05 09:51 . 2000-06-26 11:45 106,496 --a------ c:\windows\system32\TwnLib20.dll

2009-04-02 00:52 . 2009-04-02 00:53 <DIR> d-------- c:\program files\Common Files\Adobe

2009-04-01 13:21 . 2009-04-01 13:21 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\File dvd base road

2009-04-01 13:20 . 2009-04-01 13:21 <DIR> d-------- c:\documents and settings\net\Dane aplikacji\Gramforddent

2009-04-01 13:17 . 2009-04-01 14:59 <DIR> d-------- C:\downloadsy

2009-04-01 10:57 . 2009-04-01 11:12 <DIR> d-------- c:\documents and settings\net\Dane aplikacji\uTorrent

2009-03-31 22:52 . 2009-03-31 22:52 <DIR> d-------- c:\program files\PFConfig

2009-03-31 22:26 . 2009-03-31 22:26 <DIR> d-------- c:\program files\uTorrent

2009-03-31 22:26 . 2009-04-01 14:59 <DIR> d-------- c:\documents and settings\ADI\Dane aplikacji\uTorrent

2009-03-31 20:37 . 2009-03-31 20:37 <DIR> d-------- c:\program files\Simpli Software

2009-03-31 20:14 . 2009-03-31 20:14 <DIR> d-------- c:\windows\system32\temp

2009-03-31 20:14 . 2009-03-31 20:14 <DIR> d-------- c:\program files\BurnInTest

2009-03-31 20:14 . 2009-03-31 20:14 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\PassMark

2009-03-31 20:14 . 2009-03-09 15:27 4,178,264 --a------ c:\windows\system32\D3DX9_41.dll

2009-03-31 17:05 . 2009-03-31 17:05 <DIR> d-------- c:\program files\oZone3D

2009-03-31 11:20 . 2009-03-31 11:20 <DIR> d-------- c:\documents and settings\net\Dane aplikacji\Media Player Classic

2009-03-31 11:20 . 2009-03-31 11:20 <DIR> d-------- c:\documents and settings\net\Dane aplikacji\DivX

2009-03-31 11:19 . 2009-03-31 11:20 <DIR> d-------- c:\program files\K-Lite Codec Pack

2009-03-30 20:01 . 2009-03-30 20:01 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Fallout3

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-06 22:37 --------- d-----w c:\documents and settings\ADI\Dane aplikacji\AVGTOOLBAR

2009-03-30 18:01 --------- d--h--w c:\program files\InstallShield Installation Information

2009-02-12 21:50 --------- d-----w c:\documents and settings\net\Dane aplikacji\AVGTOOLBAR

2009-02-12 21:45 325,640 ----a-w c:\windows\system32\drivers\avgldx86.sys

2009-02-12 21:45 108,552 ----a-w c:\windows\system32\drivers\avgtdix.sys

2009-02-12 21:45 10,520 ----a-w c:\windows\system32\avgrsstx.dll

2009-02-12 21:44 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\avg8

2009-02-12 14:02 --------- d-----w c:\program files\AVG

2009-02-12 13:13 --------- d-----w c:\program files\AMD

2009-02-12 13:12 --------- d-----w c:\program files\ATI

2009-02-12 02:16 --------- d-----w c:\documents and settings\net\Dane aplikacji\ATI

2009-02-12 02:12 --------- d-----w c:\program files\Microsoft Games for Windows - LIVE

2009-02-12 01:37 --------- d-----w c:\program files\Bethesda Softworks

2009-02-12 01:35 --------- d-----w c:\program files\MSBuild

2009-02-12 01:33 --------- d-----w c:\program files\Reference Assemblies

2009-02-12 00:53 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\ATI

2009-02-12 00:53 --------- d-----w c:\documents and settings\ADI\Dane aplikacji\ATI

2009-02-12 00:50 --------- d-----w c:\program files\ATI Technologies

2009-02-12 00:49 --------- d-----w c:\program files\Common Files\InstallShield

2009-02-12 00:40 --------- d-----w c:\program files\VIA

2009-02-12 00:37 --------- d-----w c:\program files\Realtek

2009-02-12 00:37 --------- d-----w c:\documents and settings\ADI\Dane aplikacji\InstallShield

2009-02-12 00:28 --------- d-----w c:\program files\microsoft frontpage

2009-02-12 00:27 --------- d-----w c:\program files\Usługi online

2009-02-09 18:56 67,584 ----a-w c:\windows\system32\ff_vfw.dll

2009-02-04 05:57 11,702,272 ----a-w c:\windows\system32\atioglxx.dll

2009-02-04 05:03 290,816 ----a-w c:\windows\system32\atiok3x2.dll

2009-02-04 04:56 442,368 ----a-w c:\windows\system32\ATIDEMGX.dll

2009-02-04 04:55 324,096 ----a-w c:\windows\system32\ati2dvag.dll

2009-02-04 04:44 196,608 ----a-w c:\windows\system32\atipdlxx.dll

2009-02-04 04:44 155,648 ----a-w c:\windows\system32\Oemdspif.dll

2009-02-04 04:43 43,520 ----a-w c:\windows\system32\ati2edxx.dll

2009-02-04 04:43 26,112 ----a-w c:\windows\system32\Ati2mdxx.exe

2009-02-04 04:43 155,648 ----a-w c:\windows\system32\ati2evxx.dll

2009-02-04 04:41 602,112 ----a-w c:\windows\system32\ati2evxx.exe

2009-02-04 04:40 53,248 ----a-w c:\windows\system32\ATIDDC.DLL

2009-02-04 04:30 3,884,768 ----a-w c:\windows\system32\ati3duag.dll

2009-02-04 04:14 2,645,504 ----a-w c:\windows\system32\ativvaxx.dll

2009-02-04 03:58 49,664 ----a-w c:\windows\system32\amdpcom32.dll

2009-02-04 03:54 471,040 ----a-w c:\windows\system32\atikvmag.dll

2009-02-04 03:53 122,880 ----a-w c:\windows\system32\atiadlxx.dll

2009-02-04 03:52 17,408 ----a-w c:\windows\system32\atitvo32.dll

2009-02-04 03:46 626,688 ----a-w c:\windows\system32\ati2cqag.dll

2009-02-04 03:44 307,200 ----a-w c:\windows\system32\atiiiexx.dll

2009-02-04 02:43 45,056 ----a-w c:\windows\system32\aticalrt.dll

2009-02-04 02:42 45,056 ----a-w c:\windows\system32\aticalcl.dll

2009-02-04 02:40 3,244,032 ----a-w c:\windows\system32\aticaldd.dll

2009-02-03 20:05 593,920 ------w c:\windows\system32\ati2sgag.exe

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2009-01-09 33570816]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-02-03 61440]

"amd_dc_opt"="c:\program files\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]

"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-02-12 1932568]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2009-02-12 23:45 10520 c:\windows\system32\avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\AVG\\AVG8\\avgemc.exe"=

"c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=

"c:\\Program Files\\AVG\\AVG8\\avgnsx.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\Documents and Settings\\net\\Pulpit\\utorrent.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-02-12 325640]

R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-02-12 108552]

R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2009-02-12 908056]

R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-02-12 298264]

R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [2009-02-12 993280]

.

Zawartość folderu 'Zaplanowane zadania'

2009-04-07 c:\windows\Tasks\ACC269A891321AAC.job

- c:\docume~1\net\daneap~1\gramfo~1\Less Amok Idol.exe [2009-04-01 13:21]

.

------- Skan uzupełniający -------

.

FF - ProfilePath - c:\documents and settings\ADI\Dane aplikacji\Mozilla\Firefox\Profiles\rsny3yk3.default\

FF - component: c:\program files\AVG\AVG8\Firefox\components\avgssff.dll

FF - component: c:\program files\AVG\AVG8\ToolbarFF\components\vmAVGConnector.dll

.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-07 21:13:44

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HDAudDeck = c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'winlogon.exe'(664)

c:\windows\system32\Ati2evxx.dll

.

Czas ukończenia: 2009-04-07 21:14:11

ComboFix-quarantined-files.txt 2009-04-07 19:14:10

Przed: 88 418 975 744 bajtów wolnych

Po: 88,832,610,304 bajtów wolnych

161

» Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - "hijakthis log"

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:20:45, on 2009-04-07

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\PROGRA~1\AVG\AVG8\avgemc.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\PROGRA~1\AVG\AVG8\avgnsx.exe

C:\Program Files\AVG\AVG8\avgcsrvx.exe

C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\explorer.exe

C:\hi jack this\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL

O4 - HKLM\..\Run: [HDAudDeck] C:\Program Files\VIA\VIAudioi\HDADeck\HDeck.exe 1

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

--

End of file - 3753 bytes

Edytowane 7 Kwietnia 2009 przez Kov

Kolobos · 7 Kwietnia 2009

Podlacz dysk i uzyj Flash Disinfector.

Uzyj CFScript.txt z combofix:

File::

c:\windows\Tasks\ACC269A891321AAC.job

Folder::

c:\documents and settings\All Users\Dane aplikacji\File dvd base road

c:\documents and settings\net\Dane aplikacji\Gramforddent

I daj nowy log.

Kov · 8 Kwietnia 2009

Skrypt uruchomiony. Nowy log

» Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - "combo"

ComboFix 09-04-04.01 - ADI 2009-04-08 10:45:53.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.2047.1630 [GMT 2:00]

Uruchomiony z: C:\ComboFix.exe

Użyto następujących komend :: c:\documents and settings\ADI\Pulpit\CFScript.txt

AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)

* Utworzono nowy punkt przywracania

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!

FILE ::

c:\windows\Tasks\ACC269A891321AAC.job

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\All Users\Dane aplikacji\File dvd base road

c:\documents and settings\All Users\Dane aplikacji\File dvd base road\Trans Mp3.dat

c:\documents and settings\All Users\Dane aplikacji\File dvd base road\Trans Mp3.exe

c:\documents and settings\net\Dane aplikacji\Gramforddent

c:\documents and settings\net\Dane aplikacji\Gramforddent\0

c:\documents and settings\net\Dane aplikacji\Gramforddent\Less Amok Idol.exe

c:\documents and settings\net\Dane aplikacji\Gramforddent\Livereadme.exe

c:\documents and settings\net\Dane aplikacji\Gramforddent\mrovrpkq.exe

c:\windows\Tasks\ACC269A891321AAC.job

.

((((((((((((((((((((((((( Pliki utworzone od 2009-03-08 do 2009-04-08 )))))))))))))))))))))))))))))))

.

2009-04-07 21:20 . 2009-04-07 21:20 <DIR> d-------- C:\hi jack this