Trojany - Forum IDG.pl - miejsce dyskusji o IT

Log znajduje się też w tym temacie.

Został wykonany po usunięciu wymienionych trojanów. Po wykonaniu loga uruchomiłem komputer jeszcze raz i pojawił się alert powiązany z IE.

Oto log:

Cytuj

ComboFix 09-03-04.01 - PeCha 2009-03-05 11:43:45.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1045.18.1023.550 [GMT 1:00]
Uruchomiony z: c:\documents and settings\PeCha\Pulpit\ComboFix.exe
AV: ArcaVir *On-access scanning disabled* (Updated)
FW: ArcaFirewall 2008 *disabled*
* Utworzono nowy punkt przywracania
.

((((((((((((((((((((((((( Pliki utworzone od 2009-02-05 do 2009-03-05 )))))))))))))))))))))))))))))))
.

2009-02-25 19:17 . 1996-09-16 03:00 202,240 --ah----- C:\setup95.exe
2009-02-25 19:17 . 2009-02-25 19:17 30 --a------ c:\windows\wininit.ini
2009-02-24 20:34 . 2009-02-24 20:34 98,304 --a------ c:\windows\system32\CmdLineExt.dll
2009-02-24 20:33 . 2009-02-24 20:33 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\InstallShield
2009-02-24 20:30 . 2004-04-16 11:24 61,440 --a------ c:\windows\system32\ISUSPM.cpl
2009-02-24 19:47 . 2009-02-24 19:47 271,360 --a------ c:\windows\system32\drivers\atksgt.sys
2009-02-24 19:47 . 2009-02-24 19:47 18,048 --a------ c:\windows\system32\drivers\lirsgt.sys
2009-02-23 20:00 . 2009-02-23 20:00 <DIR> d-------- c:\program files\Lavalys
2009-02-18 14:46 . 2009-02-18 14:46 <DIR> d-------- c:\program files\Common Files\Skype
2009-02-18 09:06 . 2001-08-17 21:56 7,552 --a------ c:\windows\system32\drivers\SONYPVU1.SYS
2009-02-18 09:06 . 2001-08-17 21:56 7,552 --a--c--- c:\windows\system32\dllcache\sonypvu1.sys

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-05 10:36 --------- d---a-w c:\documents and settings\All Users\Dane aplikacji\TEMP
2009-03-05 07:54 --------- d-----w c:\program files\Spyware Doctor
2009-03-04 15:18 --------- d-----w c:\program files\PeerGuardian2
2009-03-04 12:52 --------- d-----w c:\documents and settings\PeCha\Dane aplikacji\Skype
2009-03-04 07:05 --------- d-----w c:\documents and settings\PeCha\Dane aplikacji\skypePM
2009-02-26 16:51 --------- d--h--w c:\program files\InstallShield Installation Information
2009-02-25 18:21 --------- d-----w c:\program files\OpenOfficeT7 2.3
2009-02-24 19:30 --------- d-----w c:\program files\Common Files\InstallShield
2009-02-18 13:46 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Skype
2009-02-18 13:46 --------- d-----r c:\program files\Skype
2009-02-11 13:56 --------- d-----w c:\program files\Nowe Gadu-Gadu
2009-02-10 00:17 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\ArcaBit
2009-02-06 20:53 --------- d-----w c:\program files\Microsoft ActiveSync
2009-01-25 13:57 --------- d-----w c:\program files\Microsoft Games
2009-01-23 00:24 --------- d-----w c:\program files\NAPI-PROJEKT
2009-01-16 00:19 --------- d-----w c:\program files\PowerISO
2009-01-15 12:19 --------- d-----w c:\documents and settings\PeCha\Dane aplikacji\OpenOfficeT72
2009-01-07 19:42 --------- d-----w c:\program files\Google
2009-01-07 17:22 --------- d-----w c:\program files\IsoBuster
2009-01-07 17:18 --------- d-----w c:\program files\CyberLink
2009-01-07 10:14 --------- d-----w c:\documents and settings\PeCha\Dane aplikacji\PC Tools
2008-12-20 23:03 826,368 ----a-w c:\windows\system32\wininet.dll
2008-12-06 17:26 58,149 ----a-w c:\windows\system32\Uninstal.exe
2007-11-25 11:10 32 ----a-w c:\documents and settings\All Users\Dane aplikacji\ezsid.dat
2008-09-08 08:45 32,768 --sha-w c:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\MSHist012008090820080909\index.dat
.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]
"avp"="c:\recycler\S-1-5-21-7301217740-5939823767-371144353-4316\hdav.exe" [2009-02-02 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"USB Storage Toolbox"="c:\program files\USB Disk Win98 Driver\Res.EXE" [2005-09-14 65536]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-10-19 286720]
"AvMenu"="c:\program files\ArcaBit\ArcaVir\AVMenu.exe" [2008-12-17 514568]
"ArcaCheck"="c:\program files\ArcaBit\ArcaVir\ArcaCheck.exe" [2008-09-22 630784]
"ABRegmon"="c:\program files\ArcaBit\ArcaVir\ABregmon.exe" [2007-10-23 348160]
"ISTray"="c:\program files\Spyware Doctor\pctsTray.exe" [2008-08-25 1168264]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 196608]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-04-13 69632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-08-18 113664]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\AutorunsDisabled
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-04 258048]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.sl_anet"= c:\progra~1\ACEMEG~1\SystemS\sl_anet.acm
"vidc.yv12"= c:\progra~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL
"vidc.divx"= c:\progra~1\ACEMEG~1\SystemS\DivX\DivX520.dll
"vidc.iyuv"= c:\progra~1\ACEMEG~1\SystemS\Intel\iyuv_32.dll
"vidc.yvu9"= c:\progra~1\ACEMEG~1\SystemS\Intel\Iyvu9_32.dll
"vidc.uyvy"= c:\progra~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll
"vidc.yuy2"= c:\progra~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll
"vidc.yvyu"= c:\progra~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll
"msacm.msaudio1"= c:\progra~1\ACEMEG~1\SystemS\MICROS~1\msaud32.acm
"vidc.vp31"= vp31vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-10-15 01:04 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
--a------ 2006-11-13 15:57 1289000 c:\program files\Microsoft ActiveSync\wcescomm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PeerGuardian]
--a------ 2005-09-18 18:40 1421824 c:\program files\PeerGuardian2\pg2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]
--a------ 2008-11-02 09:38 167936 c:\program files\PowerISO\PWRISOVM.EXE

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\BlueSoleil\\BlueSoleilCS.exe"=
"c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"d:\\BearShare\\BearShare.exe"=
"d:\\Przemek\\Gry\\[ PC Games ] - Age of Empires II(FULL)(2)\\age2_x1.exe"=
"d:\\BitComet\\BitComet.exe"=
"c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=
"c:\\Program Files\\Java\\jre1.6.0_03\\bin\\javaw.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 ABTDI;ABTDI;c:\program files\ArcaBit\ArcaVir\ABTDI.sys [2008-02-26 51208]
R1 Dev_UNIDRV;Dev_UNIDRV;c:\windows\system32\drivers\UNIDRV.SYS [2007-10-17 6080]
R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 PE Licensing Service;c:\program files\Common Files\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe [2007-12-06 660768]
R2 ABFileMon;ArcaBit FileMonitor;c:\program files\ArcaBit\ArcaVir\FileMonSV.exe [2008-09-15 158216]
R2 ArcaBit.TaskScheduler;ArcaBit.TaskScheduler;c:\program files\ArcaBit\Common\taskscheduler.exe [2007-10-25 151552]
R2 AVUpdate;ArcaBit Update Service;c:\progra~1\ArcaBit\ARCAUP~1\update.exe [2008-03-29 117256]
R2 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2009-01-07 356920]
R3 ABFLT;ArcaBit File Monitor Driver;c:\progra~1\ArcaBit\ArcaVir\ABFLT.sys [2007-12-10 37896]
R3 ArcaBit.Core.Configurator;ArcaBit.Core.Configurator;c:\program files\ArcaBit\Common\ArcaBit.Core.Configurator2.exe [2008-01-30 200704]
R3 ArcaBit.Core.LoggingService;ArcaBit.Core.LoggingService;c:\program files\ArcaBit\Common\ArcaBit.Core.LoggingService.exe [2008-09-05 241664]
S3 cdiskdun;cdiskdun;\??\c:\docume~1\PeCha\USTAWI~1\Temp\cdiskdun.sys --> c:\docume~1\PeCha\USTAWI~1\Temp\cdiskdun.sys [?]
S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [2008-12-23 89256]
S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [2008-12-23 15016]
S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [2008-12-23 120744]
S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [2008-12-23 114216]
S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [2008-12-23 25512]
S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [2008-12-23 110632]
S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [2008-12-23 115752]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\drivers\s115bus.sys [2008-12-23 83208]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\drivers\s115mdfl.sys [2008-12-23 15112]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\drivers\s115mdm.sys [2008-12-23 108680]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s115mgmt.sys [2008-12-23 100488]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\drivers\s115obex.sys [2008-12-23 98568]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);c:\windows\system32\drivers\s816bus.sys [2008-09-26 81832]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;c:\windows\system32\drivers\s816mdfl.sys [2008-09-26 13864]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;c:\windows\system32\drivers\s816mdm.sys [2008-09-26 107304]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s816mgmt.sys [2008-09-26 99112]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);c:\windows\system32\drivers\s816nd5.sys [2008-09-26 21928]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;c:\windows\system32\drivers\s816obex.sys [2008-09-26 97320]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);c:\windows\system32\drivers\s816unic.sys [2008-09-26 97704]

--- Inne Usługi/Sterowniki w Pamięci ---

*Deregistered* - mchInjDrv

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6a352e3b-9567-11dc-b87a-000b6a700927}]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
.
Zawartość folderu 'Zaplanowane zadania'

2008-01-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]

2009-03-04 c:\windows\Tasks\HPpromotions journeysoftware.job
- c:\program files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe [2005-04-22 17:36]
.
- - - - USUNIĘTO PUSTE WPISY - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl

.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.onet.pl/
IE: {{40525A66-DB98-480D-BCF9-7AF88C1AF438} - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - c:\program files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll
DPF: {92ECE6FA-AC2E-4042-BFAE-0C8608E52A43} - hxxps://www.bph.pl/pi/components/SignActivX.cab
FF - ProfilePath - c:\documents and settings\PeCha\Dane aplikacji\Mozilla\Firefox\Profileswsh9eyc.default\
FF - prefs.js: browser.startup.homepage - www.onet.pl
FF - component: c:\documents and settings\PeCha\Dane aplikacji\Mozilla\Firefox\Profileswsh9eyc.default\extensions\{3b56bcc7-54e5-44a2-9b44-66c3ef58c13e}\components\nstidy.dll
FF - component: c:\program files\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll
FF - component: c:\program files\Mozilla Firefox\extensions\arcabit@www.arcabit.pl\components\ArcaExt.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npagent.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-05 11:46:37
Windows 5.1.2600 Dodatek Service Pack 3 NTFS

detected NTDLL code modification:
ZwClose

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_USERS\S-1-5-21-343818398-287218729-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{EF9CD8C0-7DFB-BD98-5B4B-CAEEACE1D118}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"gaafdfkenaplaa"=hex:61,69,6a,6f,66,6d,6e,64,66,69,63,67,6c,6c,6b,61,6c,67,61,
62,6d,62,61,67,6c,66,65,66,65,68,6e,6f,6b,66,6f,67,6a,67,6c,6f,6d,67,70,6f,\
.
Czas ukończenia: 2009-03-05 11:48:50
ComboFix-quarantined-files.txt 2009-03-05 10:48:45
ComboFix2.txt 2008-04-24 10:09:33

Przed: 7 516 434 432 bajtów wolnych
Po: 7,726,493,696 bajtów wolnych

WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

197 --- E O F --- 2009-02-25 08:33:35

*Jeżeli chodzi o:

avp"="c:\recycler\S-1-5-21-7301217740-5939823767-371144353-4316\hdav.exe

to w msconfig znalazłem taka ścieżkę z zakładce "Uruchamianie" ale wpis wygląda tak:

Element startowy: hdav
Polecenie: c:\recycler\S-1-5-21-7301217740-5939823767-371144353-4316\hdav.exe
Lokalizacja: HKCU\SOFTWARE\Micrsoft\Windows\CurrentVersion\Run

*Jeżeli chodzi o:

"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 196608]

to w msconfig znalazłem taka ścieżkę z zakładce "Uruchamianie" ale wpis wygląda tak:

El. startowy: isispm
Polecenie: c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe-start
Lokalizacja: HKLM\SOFTWARE\Micrsoft\Windows\CurrentVersion\Run

*Jeżeli natomiast idzie o:

"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-04-13 69632]

to w msconfig znalazłem taka ścieżkę z zakładce "Uruchamianie" ale wpis wygląda tak:

El. startowy: issch
Polecenie: c:\program files\Common Files\InstallShield\UpdateService\issch.exe-start
Lokalizacja: HKLM\SOFTWARE\Micrsoft\Windows\CurrentVersion\Run

Moje pytanie brzmi czy mam w Narzędziach Konfiguracji Systemu w zakładce "Uruchamianie" odznaczyć to co znalazłem, czy w Rejestrze usunąć powyższe wpisy. Pytam mimo wyraźnej rady żeby w msconfig "odznaczyć" te wpisy, bo w msconfig one nie są dokładnie takie jak napisałeś a jeżeli jest jakakolwiek różnica wolę zapytać

Forum IDG.pl - miejsce dyskusji o IT: Trojany - Forum IDG.pl - miejsce dyskusji o IT

Zasady forum eksperckiego

Trojany Oceń temat:

#1 Bober_1982

#2 repylek

#3 Bober_1982

#4 repylek

#5 Bober_1982

#6 repylek

Prześlij ten temat:

Podobne tematy

1 Użytkowników czyta ten temat
0 użytkowników, 1 gości, 0 anonimowych użytkowników

Usuń post

Podobne aktualności

Reklama

Skin i Język

Statystyki wykonywania