ComboFix.txt

Podejrzenie infekcji - plik ctfxmon.exe

Witam Ostatnio zauważyłem, że w msconfig na liście uruchamianych programów występuje 2 razy plik C:\WINDOWS\ctfxmon.exe. W menedżerze zadań proces ten nie jest widoczny. Ponadto w tym samym katalogu był plik ctfxmon.dll Nie wiem czy jest to plik systemowy czy jakiś trojan. Komputer skanowałem NOD32 i nic nie znalazł. Natomiast program Spybot - Search & Destroy wykrył Zlob.Downloader.vcd - po naprawieniu zauważyłem, że ctfxmon.dll został usunięty, ale plik ctfxmon.exe pozostał. Dodatkowe objawy jakie zauważyłem: - czasem komputer wolniej chodzi - czasem w menedżerze mam uruchomiony proces calc.exe chociaż nie uruchamiam kalkulatora i przy zamykaniu systemu na moment pojawi się okno kalkulatora - czasem w procesach występuje 1 lub 2 razy cmd.exe chociaż nie uruchamiam wiersza poleceń Wynik skanowania na jotti pliku ctfxmon.exe jest tu: Link Znalazłem jeszcze 3 pliki, które mnie niepokoją (wszystkie są w tym samym folderze): :arrow: C:\Documents and Settings\LocalService\Dane aplikacji\Microsoft\binny.exe Wynik z jotti: Link :arrow: nouquesookequ.exe Wynik z jotti: Link :arrow: voorottoub.exe Wynik z jotti: Link W załączniku logi z HijackThis i ComboFix. Proszę o sprawdzenie logów. I jeszcze jedno, skanowanie ComboFixem mam robić w trybie awaryjnym czy normalnym? Z góry dziękuję za każdą pomoc.

Pobierz plik - link do postu

ComboFix 09-05-09.05 - marinip 2009-05-11 0:24.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.255.93 [GMT 2:00]
Uruchomiony z: c:\documents and settings\marinip\Pulpit\ComboFix.exe
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated)

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!
.

((((((((((((((((((((((((((((((((((((((( Usuniêto )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\IE4 Error Log.txt
c:\windows\system32\9481290341.dll
c:\windows\system32\config\33251072.Evt
c:\windows\system32\mdm.exe

.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Us³ugi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ASC3550P
-------\Service_asc3550p


((((((((((((((((((((((((( Pliki utworzone od 2009-04-10 do 2009-05-10 )))))))))))))))))))))))))))))))
.

2009-05-10 21:00 . 2009-05-10 22:03 -------- d-----w C:\LOGI
2009-05-10 20:37 . 2009-05-10 20:37 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\SUPERAntiSpyware.com
2009-05-10 20:36 . 2009-05-10 20:37 -------- d-----w c:\program files\SUPERAntiSpyware
2009-05-10 20:36 . 2009-05-10 20:36 -------- d-----w c:\documents and settings\marinip\Dane aplikacji\SUPERAntiSpyware.com
2009-05-10 20:35 . 2009-05-10 20:35 -------- d-----w c:\program files\Common Files\Wise Installation Wizard
2009-05-05 11:47 . 2009-05-05 11:47 21419 ----a-w c:\windows\system32\drivers\AegisP.sys
2009-05-05 11:47 . 2006-06-01 20:37 236800 ----a-w c:\windows\system32\drivers\RT2500.sys
2009-05-05 11:46 . 2006-09-07 10:45 385280 ----a-w c:\windows\system32\drivers\rt61.sys
2009-05-05 11:46 . 2006-06-20 20:53 319488 ----a-w c:\windows\system32\AegisI5.exe
2009-05-05 11:46 . 2006-06-17 10:05 295018 ----a-w c:\windows\system32\Install6x.dll
2009-05-05 11:46 . 2006-04-06 11:15 8192 ----a-w c:\windows\system32\drivers\RT2561s.bin
2009-05-05 11:46 . 2006-04-06 11:15 8192 ----a-w c:\windows\system32\drivers\RT2661.bin
2009-05-05 11:46 . 2006-04-06 11:15 8192 ----a-w c:\windows\system32\drivers\RT2561.bin
2009-05-05 11:18 . 2009-05-05 11:45 -------- d-----w c:\program files\RALINK
2009-05-04 15:38 . 2009-05-04 15:39 17 ----a-w c:\documents and settings\marinip\testy.bat
2009-04-28 08:01 . 2009-04-28 08:01 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\NevoSoft Games
2009-04-27 10:05 . 2009-04-27 10:05 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\iWin
2009-04-27 10:05 . 2009-04-27 10:05 -------- d-----w c:\documents and settings\marinip\Dane aplikacji\iWin
2009-04-26 18:06 . 2009-04-26 18:06 -------- d-----w c:\program files\Logomocja
2009-04-18 15:31 . 2009-04-18 15:31 53248 ----a-w c:\windows\ctfxmon.exe
2009-04-13 20:28 . 2009-04-13 20:28 23600 ----a-w c:\windows\system32\drivers\TVICHW32.SYS
2009-04-13 20:28 . 2009-04-13 20:28 -------- d-----w c:\documents and settings\marinip\Ustawienia lokalne\Dane aplikacji\eSupport.com
2009-04-13 15:26 . 2009-04-13 15:38 -------- d-----w c:\documents and settings\marinip\Dane aplikacji\PC Suite
2009-04-13 15:26 . 2009-04-13 15:38 -------- d-----w c:\documents and settings\marinip\Dane aplikacji\Nokia
2009-04-13 15:26 . 2009-04-13 15:26 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\PC Suite
2009-04-13 15:22 . 2009-04-13 15:22 -------- d-----w c:\program files\Common Files\PCSuite
2009-04-13 15:22 . 2009-04-13 15:22 -------- d-----w c:\program files\Common Files\Nokia
2009-04-13 15:20 . 2009-04-13 15:20 -------- d-----w c:\program files\DIFX
2009-04-13 15:20 . 2009-04-13 15:20 -------- d-----w c:\program files\PC Connectivity Solution
2009-04-13 15:19 . 2009-04-13 15:22 -------- d-----w c:\program files\Nokia
2009-04-13 14:51 . 2005-07-25 02:04 48640 ----a-r c:\windows\system32\drivers\ser2pl.sys
2009-04-13 13:44 . 2008-08-26 07:26 18816 ----a-w c:\windows\system32\drivers\pccsmcfd.sys

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-10 16:44 . 2008-02-12 10:27 -------- d-----w c:\program files\Debugging Tools for Windows
2009-05-09 07:56 . 2008-02-11 12:38 -------- d-----w c:\program files\GetRight
2009-05-05 11:18 . 2008-02-10 14:17 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-28 08:01 . 2008-02-10 14:35 1632 ----a-w c:\windows\system32\d3d8caps.dat
2009-04-24 09:37 . 2009-02-11 20:02 -------- d-----w c:\program files\Pajaczek 5 NxG
2009-04-20 20:47 . 2008-11-25 18:29 -------- d-----w c:\program files\ABBYY FineReader 9.0
2009-04-18 18:05 . 2008-02-10 14:33 1744 ----a-w c:\windows\system32\d3d9caps.dat
2009-04-09 14:55 . 2008-11-11 17:56 -------- d-----w c:\program files\Common Files\Adobe
2009-04-05 20:03 . 2008-04-01 10:07 -------- d-----w c:\program files\eMule
2009-03-30 18:39 . 2009-03-30 18:39 -------- d-----w c:\program files\ReflexiveArcade
2009-03-30 11:01 . 2001-10-26 18:15 74450 ----a-w c:\windows\system32\perfc015.dat
2009-03-30 11:01 . 2001-10-26 18:15 448348 ----a-w c:\windows\system32\perfh015.dat
2009-03-23 20:01 . 2009-03-23 20:01 55 ----a-w c:\documents and settings\marinip\jj2000.bat
2009-03-21 21:08 . 2008-08-23 16:28 -------- d-----w c:\program files\Spybot
2009-03-08 22:09 . 2009-02-25 16:37 19 ----a-w c:\documents and settings\marinip\jasper.bat
2009-03-08 03:34 . 2004-08-03 22:44 914944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 03:34 . 2004-08-03 22:44 43008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 03:33 . 2004-08-03 22:43 18944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 03:33 . 2004-08-03 22:44 420352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 03:32 . 2004-08-03 22:43 72704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 03:32 . 2004-08-03 22:44 71680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 03:31 . 2004-08-03 22:44 34816 ----a-w c:\windows\system32\imgutil.dll
2009-03-08 03:31 . 2004-08-03 22:42 48128 ----a-w c:\windows\system32\mshtmler.dll
2009-03-08 03:31 . 2004-08-03 22:44 45568 ----a-w c:\windows\system32\mshta.exe
2009-03-08 03:22 . 2001-10-26 19:26 156160 ----a-w c:\windows\system32\msls31.dll
2009-02-16 16:32 . 2008-02-10 14:00 44992 ----a-w c:\documents and settings\marinip\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyœlne, prawid³owe wpisy nie s¹ pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
" ctfmon.exe " = " c:\windows\system32\ctfmon.exe " [2004-08-03 15360]
" ctfxmon.exe " = " c:\windows\ctfxmon.exe " [2009-04-18 53248]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
" egui " = " c:\program files\ESET\ESET NOD32 Antivirus\egui.exe " [2007-11-23 1410304]
" NvCplDaemon " = " c:\windows\system32\NvCpl.dll " [2004-07-15 4112384]
" NvMediaCenter " = " c:\windows\system32\NvMcTray.dll " [2004-07-15 81920]
" IndexSearch " = " c:\program files\ScanSoft\PaperPort\IndexSearch.exe " [2005-03-17 40960]
" PaperPort PTD " = " c:\program files\ScanSoft\PaperPort\pptd40nt.exe " [2005-03-17 57393]
" SetDefPrt " = " c:\program files\Brother\BrStDvPt.exe " [2005-01-26 49152]
" SSBkgdUpdate " = " c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe " [2003-10-14 155648]
" ctfxmon.exe " = " c:\windows\ctfxmon.exe " [2009-04-18 53248]
" nwiz " = " nwiz.exe " - c:\windows\system32\nwiz.exe [2004-07-15 843776]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
" CTFMON.EXE " = " c:\windows\system32\CTFMON.EXE " [2004-08-03 15360]
" dawoz " = " c:\documents and settings\LocalService\Dane aplikacji\Microsoft\binny.exe " [2009-04-15 285184]
" ctfxmon.exe " = " c:\windows\ctfxmon.exe " [2009-04-18 53248]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2009-5-5 663552]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
" {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} " = " c:\program files\SUPERAntiSpyware\SASSEH.DLL " [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05 356352 ----a-w c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
" ABBYY.Licensing.FineReader.Professional.9.0 " =3 (0x3)
" yweiudeaosf " =2 (0x2)
" ServiceLayer " =3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
" UpdatesDisableNotify " =dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
" c:\\WINDOWS\\system32\\sessmgr.exe " =
" c:\\Program Files\\Gadu-Gadu\\gg.exe " =
" c:\\Program Files\\eMule\\emule.exe " =
" c:\\Program Files\\totalcmd\\TOTALCMD.EXE " =
" c:\\Program Files\\Java\\jdk1.6.0_04\\bin\\javaw.exe " =
" c:\\Program Files\\Tlen\\tlen.exe " =
" c:\\Program Files\\PDF Editor\\PDFEdit.exe " =

R0 hptpro;hptpro;c:\windows\system32\drivers\hptpro.sys [2007-09-30 9809]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2007-11-23 30728]
R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2009-04-28 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2009-04-28 72944]
S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-04-28 7408]

--- Inne Us³ugi/Sterowniki w Pamiêci ---

*Deregistered* - ALG
*Deregistered* - AudioSrv
*Deregistered* - Brother XP spl Service
*Deregistered* - CryptSvc
*Deregistered* - DcomLaunch
*Deregistered* - Dhcp
*Deregistered* - dmserver
*Deregistered* - Dnscache
*Deregistered* - ekrn
*Deregistered* - ERSvc
*Deregistered* - EventSystem
*Deregistered* - FastUserSwitchingCompatibility
*Deregistered* - helpsvc
*Deregistered* - ImapiService
*Deregistered* - LmHosts
*Deregistered* - Netman
*Deregistered* - Nla
*Deregistered* - NVSvc
*Deregistered* - PolicyAgent
*Deregistered* - ProtectedStorage
*Deregistered* - RasMan
*Deregistered* - RemoteRegistry
*Deregistered* - RpcSs
*Deregistered* - SamSs
*Deregistered* - Schedule
*Deregistered* - seclogon
*Deregistered* - SENS
*Deregistered* - SharedAccess
*Deregistered* - ShellHWDetection
*Deregistered* - Spooler
*Deregistered* - SSDPSRV
*Deregistered* - stisvc
*Deregistered* - TapiSrv
*Deregistered* - TermService
*Deregistered* - Themes
*Deregistered* - TrkWks
*Deregistered* - W32Time
*Deregistered* - WebClient
*Deregistered* - winmgmt
*Deregistered* - wscsvc
*Deregistered* - wuauserv

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ & gt; {60B49E34-C7CC-11D0-8953-00A0C90347FF}]
" c:\windows\system32\rundll32.exe " " c:\windows\system32\iedkcs32.dll " ,BrandIEActiveSetup SIGNUP
.
.
------- Skan uzupe³niaj¹cy -------
.
uStart Page = hxxp://www.google.pl/
IE: Download with GetRight - c:\program files\GetRight\GRdownload.htm
IE: Open with GetRight Browser - c:\program files\GetRight\GRbrowse.htm
FF - ProfilePath - c:\documents and settings\marinip\Dane aplikacji\Mozilla\Firefox\Profiles\94c1sgja.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/ig?hl=pl
FF - component: c:\program files\Nokia\Nokia PC Suite 7\bkmrksync\components\BkMrkExt.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-11 00:35
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyœlnie ukoñczone
ukryte pliki: 0

**************************************************************************
.
--------------------- Pliki DLL ³adowane pod uruchomionymi procesami ---------------------

- - - - - - - & gt; 'winlogon.exe'(508)
c:\program files\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - & gt; 'explorer.exe'(960)
c:\windows\system32\msi.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
.
------------------------ Pozosta³e uruchomione procesy ------------------------
.
c:\windows\system32\brss01a.exe
c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Czas ukoñczenia: 2009-05-10 0:46 - komputer zosta³ uruchomiony ponownie
ComboFix-quarantined-files.txt 2009-05-10 22:45

Przed: 1 377 902 592 bajtów wolnych
Po: 1 313 935 360 bajtów wolnych

215