ComboFix2.txt

Podejrzenie infekcji - plik ctfxmon.exe

Dzięki za szybką odpowiedź. Zatem po kolei: Wlacz w msconfig usluge yweiudeaosf W msconfig nigdzie nie mam tej usługi. Co to za pliki? c:\documents and settings\xxxxxxx\testy.bat c:\documents and settings\xxxxxxx\jj2000.bat c:\documents and settings\xxxxxxx\jasper.bat Te 3 pliki są bezpieczne. Sam je zrobiłem, dają mi szybki dostęp do kilku katalogów. W hjt usunąłem te wpisy bez problemu. Natomiast w czasie usuwania w ComboFix'ie zobaczyłem niebieski ekran z komunikatem: INVALID_KERNEL_HANDLE 0x00000093 (0x00000BB0, 0x00000000, 0x00000000, 0x00000000) Zrestartowałem komputer i ComboFix dokończył skanowanie. Pliki i wpisy z rejestru zostały usunięte. Dr.Web CureIt nic nie znalazł, natomiast Malwarebytes Anti-Malware wykrył 2 zagrożenia (log w załączniku). Raczej jest to niegroźne, plik results.txt na jotti jest czysty, a jego zawartość jest taka: log=AegisP Protocol (network component): Uninstalled. message=Driver Uninstall was successful log=AegisP Protocol (device driver): Stopped. log=AegisP Protocol (C:\WINDOWS\inf\AegisP.PNF): Deleted. log=AegisP Protocol (C:\WINDOWS\inf\AegisP.inf): Deleted. log=AegisP Protocol (C:\WINDOWS\system32\drivers\AegisP.sys): Deleted. code=0 Plik ten prawdopodobnie powstał w czasie reinstalacji karty sieciowej i chyba mogę go już usunąć. W załączniku daję kontrolnie logi, ale już chyba powinno być czysto.


ComboFix 09-05-10.01 - marinip 2009-05-11 11:41.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.255.121 [GMT 2:00]
Uruchomiony z: c:\documents and settings\marinip\Pulpit\ComboFix.exe
U?yto nastepuj1cych komend :: c:\documents and settings\marinip\Pulpit\CFSCript.txt
AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated)

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!

FILE ::
c:\documents and settings\LocalService\Dane aplikacji\Microsoft\binny.exe
c:\documents and settings\LocalService\Dane aplikacji\Microsoft\nouquesookequ.exe
c:\documents and settings\LocalService\Dane aplikacji\Microsoft\voorottoub.exe
c:\windows\ctfxmon.exe
.

((((((((((((((((((((((((((((((((((((((( Usunieto )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\LocalService\Dane aplikacji\Microsoft\binny.exe
c:\documents and settings\LocalService\Dane aplikacji\Microsoft\nouquesookequ.exe
c:\documents and settings\LocalService\Dane aplikacji\Microsoft\voorottoub.exe
c:\windows\ctfxmon.exe

.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Us3ugi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_YWEIUDEAOSF
-------\Service_yweiudeaosf


((((((((((((((((((((((((( Pliki utworzone od 2009-04-11 do 2009-05-11 )))))))))))))))))))))))))))))))
.

2009-05-10 21:00 . 2009-05-11 09:29 -------- d-----w C:\LOGI
2009-05-10 20:37 . 2009-05-10 20:37 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\SUPERAntiSpyware.com
2009-05-10 20:36 . 2009-05-10 20:37 -------- d-----w c:\program files\SUPERAntiSpyware
2009-05-10 20:36 . 2009-05-10 20:36 -------- d-----w c:\documents and settings\marinip\Dane aplikacji\SUPERAntiSpyware.com
2009-05-10 20:35 . 2009-05-10 20:35 -------- d-----w c:\program files\Common Files\Wise Installation Wizard
2009-05-05 11:47 . 2009-05-05 11:47 21419 ----a-w c:\windows\system32\drivers\AegisP.sys
2009-05-05 11:47 . 2006-06-01 20:37 236800 ----a-w c:\windows\system32\drivers\RT2500.sys
2009-05-05 11:46 . 2006-09-07 10:45 385280 ----a-w c:\windows\system32\drivers\rt61.sys
2009-05-05 11:46 . 2006-06-20 20:53 319488 ----a-w c:\windows\system32\AegisI5.exe
2009-05-05 11:46 . 2006-06-17 10:05 295018 ----a-w c:\windows\system32\Install6x.dll
2009-05-05 11:46 . 2006-04-06 11:15 8192 ----a-w c:\windows\system32\drivers\RT2561s.bin
2009-05-05 11:46 . 2006-04-06 11:15 8192 ----a-w c:\windows\system32\drivers\RT2661.bin
2009-05-05 11:46 . 2006-04-06 11:15 8192 ----a-w c:\windows\system32\drivers\RT2561.bin
2009-05-05 11:18 . 2009-05-05 11:45 -------- d-----w c:\program files\RALINK
2009-05-04 15:38 . 2009-05-04 15:39 17 ----a-w c:\documents and settings\marinip\testy.bat
2009-04-28 08:01 . 2009-04-28 08:01 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\NevoSoft Games
2009-04-27 10:05 . 2009-04-27 10:05 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\iWin
2009-04-27 10:05 . 2009-04-27 10:05 -------- d-----w c:\documents and settings\marinip\Dane aplikacji\iWin
2009-04-26 18:06 . 2009-04-26 18:06 -------- d-----w c:\program files\Logomocja
2009-04-13 20:28 . 2009-04-13 20:28 23600 ----a-w c:\windows\system32\drivers\TVICHW32.SYS
2009-04-13 20:28 . 2009-04-13 20:28 -------- d-----w c:\documents and settings\marinip\Ustawienia lokalne\Dane aplikacji\eSupport.com
2009-04-13 15:26 . 2009-04-13 15:38 -------- d-----w c:\documents and settings\marinip\Dane aplikacji\PC Suite
2009-04-13 15:26 . 2009-04-13 15:38 -------- d-----w c:\documents and settings\marinip\Dane aplikacji\Nokia
2009-04-13 15:26 . 2009-04-13 15:26 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\PC Suite
2009-04-13 15:22 . 2009-04-13 15:22 -------- d-----w c:\program files\Common Files\PCSuite
2009-04-13 15:22 . 2009-04-13 15:22 -------- d-----w c:\program files\Common Files\Nokia
2009-04-13 15:20 . 2009-04-13 15:20 -------- d-----w c:\program files\DIFX
2009-04-13 15:20 . 2009-04-13 15:20 -------- d-----w c:\program files\PC Connectivity Solution
2009-04-13 15:19 . 2009-04-13 15:22 -------- d-----w c:\program files\Nokia
2009-04-13 14:51 . 2005-07-25 02:04 48640 ----a-r c:\windows\system32\drivers\ser2pl.sys
2009-04-13 13:44 . 2008-08-26 07:26 18816 ----a-w c:\windows\system32\drivers\pccsmcfd.sys

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-11 06:18 . 2008-02-11 08:39 -------- d-----w c:\program files\The Bat
2009-05-10 16:44 . 2008-02-12 10:27 -------- d-----w c:\program files\Debugging Tools for Windows
2009-05-09 07:56 . 2008-02-11 12:38 -------- d-----w c:\program files\GetRight
2009-05-05 11:18 . 2008-02-10 14:17 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-28 08:01 . 2008-02-10 14:35 1632 ----a-w c:\windows\system32\d3d8caps.dat
2009-04-24 09:37 . 2009-02-11 20:02 -------- d-----w c:\program files\Pajaczek 5 NxG
2009-04-20 20:47 . 2008-11-25 18:29 -------- d-----w c:\program files\ABBYY FineReader 9.0
2009-04-18 18:05 . 2008-02-10 14:33 1744 ----a-w c:\windows\system32\d3d9caps.dat
2009-04-09 14:55 . 2008-11-11 17:56 -------- d-----w c:\program files\Common Files\Adobe
2009-04-05 20:03 . 2008-04-01 10:07 -------- d-----w c:\program files\eMule
2009-03-30 18:39 . 2009-03-30 18:39 -------- d-----w c:\program files\ReflexiveArcade
2009-03-30 11:01 . 2001-10-26 18:15 74450 ----a-w c:\windows\system32\perfc015.dat
2009-03-30 11:01 . 2001-10-26 18:15 448348 ----a-w c:\windows\system32\perfh015.dat
2009-03-23 20:01 . 2009-03-23 20:01 55 ----a-w c:\documents and settings\marinip\jj2000.bat
2009-03-21 21:08 . 2008-08-23 16:28 -------- d-----w c:\program files\Spybot
2009-03-08 22:09 . 2009-02-25 16:37 19 ----a-w c:\documents and settings\marinip\jasper.bat
2009-03-08 03:34 . 2004-08-03 22:44 914944 ----a-w c:\windows\system32\wininet.dll
2009-03-08 03:34 . 2004-08-03 22:44 43008 ----a-w c:\windows\system32\licmgr10.dll
2009-03-08 03:33 . 2004-08-03 22:43 18944 ----a-w c:\windows\system32\corpol.dll
2009-03-08 03:33 . 2004-08-03 22:44 420352 ----a-w c:\windows\system32\vbscript.dll
2009-03-08 03:32 . 2004-08-03 22:43 72704 ----a-w c:\windows\system32\admparse.dll
2009-03-08 03:32 . 2004-08-03 22:44 71680 ----a-w c:\windows\system32\iesetup.dll
2009-03-08 03:31 . 2004-08-03 22:44 34816 ----a-w c:\windows\system32\imgutil.dll
2009-03-08 03:31 . 2004-08-03 22:42 48128 ----a-w c:\windows\system32\mshtmler.dll
2009-03-08 03:31 . 2004-08-03 22:44 45568 ----a-w c:\windows\system32\mshta.exe
2009-03-08 03:22 . 2001-10-26 19:26 156160 ----a-w c:\windows\system32\msls31.dll
2009-02-16 16:32 . 2008-02-10 14:00 44992 ----a-w c:\documents and settings\marinip\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyœlne, prawid3owe wpisy nie s1 pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
" ctfmon.exe " = " c:\windows\system32\ctfmon.exe " [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
" egui " = " c:\program files\ESET\ESET NOD32 Antivirus\egui.exe " [2007-11-23 1410304]
" NvCplDaemon " = " c:\windows\system32\NvCpl.dll " [2004-07-15 4112384]
" NvMediaCenter " = " c:\windows\system32\NvMcTray.dll " [2004-07-15 81920]
" IndexSearch " = " c:\program files\ScanSoft\PaperPort\IndexSearch.exe " [2005-03-17 40960]
" PaperPort PTD " = " c:\program files\ScanSoft\PaperPort\pptd40nt.exe " [2005-03-17 57393]
" SetDefPrt " = " c:\program files\Brother\BrStDvPt.exe " [2005-01-26 49152]
" SSBkgdUpdate " = " c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe " [2003-10-14 155648]
" nwiz " = " nwiz.exe " - c:\windows\system32\nwiz.exe [2004-07-15 843776]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
" CTFMON.EXE " = " c:\windows\system32\CTFMON.EXE " [2004-08-03 15360]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2009-5-5 663552]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
" {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} " = " c:\program files\SUPERAntiSpyware\SASSEH.DLL " [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05 356352 ----a-w c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
" yweiudeaosf " =2 (0x2)
" ServiceLayer " =3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
" UpdatesDisableNotify " =dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
" c:\\WINDOWS\\system32\\sessmgr.exe " =
" c:\\Program Files\\Gadu-Gadu\\gg.exe " =
" c:\\Program Files\\eMule\\emule.exe " =
" c:\\Program Files\\totalcmd\\TOTALCMD.EXE " =
" c:\\Program Files\\Java\\jdk1.6.0_04\\bin\\javaw.exe " =
" c:\\Program Files\\Tlen\\tlen.exe " =
" c:\\Program Files\\PDF Editor\\PDFEdit.exe " =

R0 hptpro;hptpro;c:\windows\system32\drivers\hptpro.sys [2007-09-30 9809]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2007-11-23 30728]
R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2009-04-28 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2009-04-28 72944]
S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2009-04-28 7408]

--- Inne Us3ugi/Sterowniki w Pamieci ---

*Deregistered* - ALG
*Deregistered* - AudioSrv
*Deregistered* - Brother XP spl Service
*Deregistered* - CryptSvc
*Deregistered* - DcomLaunch
*Deregistered* - Dhcp
*Deregistered* - dmserver
*Deregistered* - Dnscache
*Deregistered* - ekrn
*Deregistered* - ERSvc
*Deregistered* - EventSystem
*Deregistered* - FastUserSwitchingCompatibility
*Deregistered* - helpsvc
*Deregistered* - ImapiService
*Deregistered* - LmHosts
*Deregistered* - Netman
*Deregistered* - Nla
*Deregistered* - NVSvc
*Deregistered* - PolicyAgent
*Deregistered* - ProtectedStorage
*Deregistered* - RasMan
*Deregistered* - RemoteRegistry
*Deregistered* - RpcSs
*Deregistered* - SamSs
*Deregistered* - Schedule
*Deregistered* - seclogon
*Deregistered* - SENS
*Deregistered* - SharedAccess
*Deregistered* - ShellHWDetection
*Deregistered* - Spooler
*Deregistered* - srservice
*Deregistered* - SSDPSRV
*Deregistered* - stisvc
*Deregistered* - TapiSrv
*Deregistered* - TermService
*Deregistered* - Themes
*Deregistered* - TrkWks
*Deregistered* - W32Time
*Deregistered* - WebClient
*Deregistered* - winmgmt
*Deregistered* - wscsvc
*Deregistered* - wuauserv

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ & gt; {60B49E34-C7CC-11D0-8953-00A0C90347FF}]
" c:\windows\system32\rundll32.exe " " c:\windows\system32\iedkcs32.dll " ,BrandIEActiveSetup SIGNUP
.
.
------- Skan uzupe3niaj1cy -------
.
uStart Page = hxxp://www.google.pl/
IE: Download with GetRight - c:\program files\GetRight\GRdownload.htm
IE: Open with GetRight Browser - c:\program files\GetRight\GRbrowse.htm
FF - ProfilePath - c:\documents and settings\marinip\Dane aplikacji\Mozilla\Firefox\Profiles\94c1sgja.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/ig?hl=pl
FF - component: c:\program files\Nokia\Nokia PC Suite 7\bkmrksync\components\BkMrkExt.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-11 11:53
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyœlnie ukonczone
ukryte pliki: 0

**************************************************************************
.
--------------------- Pliki DLL 3adowane pod uruchomionymi procesami ---------------------

- - - - - - - & gt; 'winlogon.exe'(512)
c:\program files\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - & gt; 'explorer.exe'(344)
c:\windows\system32\msi.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
.
------------------------ Pozosta3e uruchomione procesy ------------------------
.
c:\windows\system32\brss01a.exe
c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Czas ukonczenia: 2009-05-11 12:03 - komputer zosta3 uruchomiony ponownie
ComboFix-quarantined-files.txt 2009-05-11 10:03

Przed: 1 320 964 096 bajtów wolnych
Po: 1 272 918 016 bajtów wolnych

217


Pobierz plik - link do postu