Forum komputerowe PC Town :: Zobacz temat - Prośba o przeanalizowanie loga z otl

Forum PC Town

Strona Główna

FAQ

Szukaj

Użytkownicy

Grupy

Rejestracja

Zaloguj

Forum komputerowe PC Town Strona Główna » Kompiradło » Bezpieczeństwo w sieci » Analiza logów » Prośba o przeanalizowanie loga z otl

Poprzedni temat :: Następny temat

Prośba o przeanalizowanie loga z otl

Autor

Wiadomość

southspain

Wysłany: 2010-02-25, 15:53 Prośba o przeanalizowanie loga z otl

Ostatnio komp sie całkiem przestał włączać, sformatowałem c i wrrzuciłem xp, drugi dysk zostawiłem nietknięty, potem dorzuciłem avasta i po scanie który wykrył dużo syfu komp ledwo co sie uruchamia, nie chce formatować drugiego dysku bo mam ważne rzeczy, da sie coś zrobić?

OTL.zip
log z otl

Pobierz Plik ściągnięto 58 raz(y) 23,85 KB

@Blade@

Pomógł: 8 razy

Wysłany: 2010-02-25, 16:48

Mógłbyś podać jakiś raport ze skanu avastem lub chociaż nazwy wirusów, które wykrył??? Bo te objawy mogą wskazywać na infekcję plików wykonywalnych.

Jest tu syf z pamięci przenośnej widocznej pod literką F i G. Podłącz tą pamięć (lub pamięci) na czas usuwania.

Uruchom OTL

w oknie Custom Scans/Fixes wklej:

Cytat:

:OTL
PRC - [2010-02-25 15:15:47 | 000,035,328 | ---- | M] (dchofl poj) -- c:\WINDOWS\Temp\a.exe
PRC - [2010-02-25 15:15:22 | 000,019,968 | ---- | M] (TWX Corp.) -- C:\Documents and Settings\Jazz\Ustawienia lokalne\Temp\382.exe
PRC - [2010-02-24 15:24:25 | 000,037,376 | ---- | M] () -- C:\Documents and Settings\Jazz\Ustawienia lokalne\Temp\rjvjlsvw.exe
PRC - [2010-02-24 15:24:25 | 000,037,376 | ---- | M] () -- c:\lsass.exe
PRC - [2008-04-15 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
SRV - [2010-02-24 15:24:24 | 000,047,104 | ---- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\mssrv32.exe -- (msupdate)
O4 - HKLM..\Run: [14739] C:\Documents and Settings\Jazz\Ustawienia lokalne\Temp\rjvjlsvw.exe ()
O20 - HKLM Winlogon: Shell - (rundll32.exe) - File not found
O20 - HKLM Winlogon: Shell - (helper.dll) - File not found
O20 - HKLM Winlogon: Shell - (run05-1417001333-1003) - File not found
O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-0145850905-5048810369-697956310-5518\wnzip32.exe) - C:\RECYCLER\S-1-5-21-0145850905-5048810369-697956310-5518\wnzip32.exe ()
O32 - AutoRun File - [2010-02-22 19:33:57 | 000,000,051 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-02-22 19:33:57 | 000,000,051 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{a71d1d6a-1fdb-11df-91f8-001b9ee34d94}\Shell\AutoRun\command - "" = F:\RECYCLER\autorun.exe -- File not found
O33 - MountPoints2\{a71d1d6a-1fdb-11df-91f8-001b9ee34d94}\Shell\open\command - "" = F:\RECYCLER\autorun.exe -- File not found
O33 - MountPoints2\{a71d1d6b-1fdb-11df-91f8-001b9ee34d94}\Shell\AutoRun\command - "" = G:\RECYCLER\autorun.exe -- File not found
O33 - MountPoints2\{a71d1d6b-1fdb-11df-91f8-001b9ee34d94}\Shell\open\command - "" = G:\RECYCLER\autorun.exe -- File not found

:Files
C:\WINDOWS\Temp
C:\Documents and Settings\Jazz\Ustawienia lokalne\Temp
C:\lsass.exe
C:\WINDOWS\system32\mssrv32.exe
C:\RECYCLER
D:\RECYCLER
F:\RECYCLER
G:\RECYCLER
C:\WINDOWS\System32\uktopdaz.exe
G:\autorun.inf
F:\autorun.inf

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]
[reboot]

Klikasz Run Fix. Dajesz log z usuwania + nowy log z OTL
Dodatkowo (najlepiej także z podłączonymi pamięciami) wykonaj pełne skanowanie Dr.Web CureIt - jeśli coś znajdzie wylecz/usuń i daj raport (Plik

Zapisz Listę Raportu)

southspain

Wysłany: 2010-02-26, 18:34

Obecnie przy włączaniu pokazuje sie ostrzeżenie o braku pliku rundll a potem o problemach z helper.dll, próbowałem odpalić otl'a z włączoną pamięcią ale kompletnie sie wszystko zawiesiło, w miarę normalnie chodzi tryb awaryjny, włączyć w nim ten Dr. Web Cureit czy wcześniej zrobić coś innego? Mogę zrobić format c i nowego windowsa tylko sie boję że syf jest na drugiej partycji której nie chce kasować.

@Blade@

Pomógł: 8 razy

Wysłany: 2010-02-26, 20:36

Na razie przeskanuj Dr.Web CureIt i podaj z niego raport, żebyśmy wiedzieli z czym mamy do czynienia w ogóle.
_________________

southspain

Wysłany: 2010-02-27, 10:10

Zrobiłem skan, ale na razie mi sieć odłączyli, pamięci przenośne nie dizałają w awaryjnym a zwykły tryb praktycznie nie działa, sprubuję przepisać raport i wrzucę z innego kompa (tylko raport długi to i może trochę potrwać). [ Dodano: 2010-02-27, 19:30 ] Mam nadzięję że sie nie pomyliłem przy przepisywaniu autorun.inf;C:;Prawdopodobnie win32.HLLW.Autoruner.corrupted;Przeniesiony.; msxsltsso.dll;C:\WINDOWS\system32;BackDoor.Gootkit.15;Usunięty.; reader_s.exe;C:\WINDOWS\system32;Trojan.DownLoad.37236;Usunięty.; cffcebms.exe;C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp;Trojan.Botnetlog.11;Usunięty.; epxydgn.exe;C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp;Trojan.Siggen1.1385;Niewyleczalny.Przeniesiony.; gtk36.tmp;C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp;Prawdopodobnie DLOADER.PWS.Trojan;; halnyk.exe;C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp;Trojan.Download1.42325;Usunięty.; pyisiq.exe;C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp;Trojan.Packed.2936.Usunięty.; ~TM3B.tmp;C:DOCUME~1\ADMINI~1\USTAWI~1\Temp;Trojan..Botnetlog.11;Usunięty.; lsass.exe;C:\;Trojan.Download1.42325;Usunięty.; ihaupd32.exe;C:\documents and settings\administrator\menu start\programy\autostart;Trojan.Botnetlog.11;Usunięty.; sysfgs32.exe;C:\documents and settings\administrator\menu start\programy\autostart;Trojan.Botnetlog.126;Usunięty.; reader_s.exe;C:\documents and settings\administrator;Trojan.Download.37236;Usunięty.; rjvjlsvw.exe;C:\documents and settings\jazz\ustawienia lokalne\temp;Trojan.Download142325;Usunięty.; wnzip32.exe;C:recycler\s-1-5-21-0145850905-5048810369-697956310-5518;win32.HLLW.Lime.5;Usunięty.; Flash_Disinfector.exe/data002\nircmd.exe;C:\documents and settings\administrator\Pulpit\Flash_Disinfector.exe/data002;Tool.NirCmd.1;; data002;C:\documents and settings\administrator\Pulpit;Archiwum zawierające zainfekowane obiekty;; Flash_Disinfector.exe;C:\documents and settings\administrator\Pulpit;Kontener zawiera zainfekowane obiekty;; gtk36.tmp;C:\documents and settings\administrator\Ustawienia lokalne\Temp;Prawdopodobnie DLOADER.PWS.Trojan;; arzuoz[1].htm;C:\documents and settings\administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\9T555GXH;Trojan.Packed.2936;Usunięty.; txfdyselte[1].htm;C:\documents and settings\administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\9T555GXH;Trojan.Siggen1.1385;Niewyleczalny.Przeniesiony.; txfdyselte[3].htm;C:\documents and settings\administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\9T555GXH;Trojan.Siggen1.1385;Niewyleczalny.Przeniesiony.; zqksqlje[1].htm;C:documents and settings\administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\9T555GXH;Trojan.Botnetlog.11;Usunięty.: arzuoz[1].htm;C:\documents and settings\administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\A92S5ELT;Trojan.Packed.2936;Usunięty.; arzuoz[2].htm;C:\documents and settings\administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\A92S5ELT;Trojan.Packed.2936;Usunięty.; arzuoz[6].htm;C:\documents and settings\administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\A92S5ELT;Trojan.Packed.2936;Usunięty.; txfdyselte[1].htm;C:\documents and settings\administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\A92S5ELT;Trojan.Siggen1.1385;Niewyleczalny.Przeniesiony.; vzgomuf[1].htm;C:\documents and settings\administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\A92S5ELT;Prawdopodobnie BACKDOOR.Trojan;; vzgomuf[3].htm;C:\documents and settings\administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\A92S5ELT;Prawdopodobnie BACKDOOR.Trojan;; zqksqlje[1].htm;C:\documents and settings\administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\A92S5ELT.Trojan.Botnetlog.11;Usunięty.; zqksqlje[3].htm;C:\documents and settings\administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\A92S5ELT.Trojan.Botnetlog.11;Usunięty.; zqksqlje[6].htm;C:\documents and settings\administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\A92S5ELT.Trojan.Botnetlog.11;Usunięty.; arzuoz[1].htm;C:\documents and settings\administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OPWNKIYG;Trojan.Packed.2936;Usunięty.; protod[1].exe;C:\documents and settings\administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OPWNKIYG;Prawdopodobnie DLOADER.PWS.Trojan;; r64winnt[1].exe;C:\documents and settings\administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OPWNKIYG;Trojan.Download.37236;Usunięty.; zqksqlje[1].htm;C:\documents and settings\administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OPWNKIYG;Trojan.Botnerlog.11;Usunięty.; zqksqlje[2].htm;C:\documents and settings\administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OPWNKIYG;Trojan.Botnerlog.11;Usunięty.; zqksqlje[3].htm;C:\documents and settings\administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OPWNKIYG;Trojan.Botnerlog.11;Usunięty.; zqksqlje[5].htm;C:\documents and settings\administrator\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OPWNKIYG;Trojan.Botnerlog.11;Usunięty.; gtk1.tmp;C:\Documents and Settings\Jazz\Ustawienia lokalne\Temp;Prawdopodobnie DLOADER.PWS.Trojan;; vzgomuf[1].htm;C:\Documents and Settings\Jazz\Ustawienia lokalne\Temporary Internet Files\Content.IE5\A92S5ELT;Trojan.Download1.42325;Usunięty.; protod[1].exe;C:\Documents and Settings\Jazz\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OZYEI3O0;Prawdopodobnie DLOADER.PWS.Trojan;; A0000364.exe;C:\System Volume Information\_restore{E2F1188E-48A8-4BC2-ADF0-326767C88405}\RP3;Trojan.PWS.Wsgame.12661;Usunięty.; A0000370.exe;C:\System Volume Information\_restore{E2F1188E-48A8-4BC2-ADF0-326767C88405}\RP3;Trojan.Download1.42325;Usunięty.; A0001394.exe;C:\System Volume Information\_restore{E2F1188E-48A8-4BC2-ADF0-326767C88405}\RP3;Trojan.Download.37236;Usunięty.; A0001395.exe;C:\System Volume Information\_restore{E2F1188E-48A8-4BC2-ADF0-326767C88405}\RP3;Trojan.Download.37236;Usunięty.; A0002403.dll;C:\System Volume Information\_restore{E2F1188E-48A8-4BC2-ADF0-326767C88405}\RP3;Backdoor.Gootkit.15;Usunięty.; A0002404.exe;C:\System Volume Information\_restore{E2F1188E-48A8-4BC2-ADF0-326767C88405}\RP3;Trojan.Download.37236;Usunięty.; A0002405.exe;C:\System Volume Information\_restore{E2F1188E-48A8-4BC2-ADF0-326767C88405}\RP3;Trojan.Botnetlog.11;Usunięty.; A0002406.exe;C:\System Volume Information\_restore{E2F1188E-48A8-4BC2-ADF0-326767C88405}\RP3;Trojan.Siggen1.1385;Niewyleczalny.Przeniesiony.; A0002407.exe;C:\System Volume Information\_restore{E2F1188E-48A8-4BC2-ADF0-326767C88405}\RP3;Trojan.Download1.42325;Usunięty.; A0002408.exe;C:\System Volume Information\_restore{E2F1188E-48A8-4BC2-ADF0-326767C88405}\RP3;Trojan.Packed.2936;Usunięty.; A0002409.exe;C:\System Volume Information\_restore{E2F1188E-48A8-4BC2-ADF0-326767C88405}\RP3;Trojan.DownLoad1.42325;Usunięty.; A0002410.exe;C:\System Volume Information\_restore{E2F1188E-48A8-4BC2-ADF0-326767C88405}\RP3;Trojan.Botnetlog.11;Usunięty.; A0002411.exe;C:\System Volume Information\_restore{E2F1188E-48A8-4BC2-ADF0-326767C88405}\RP3;Trojan.Bothetlog.126;Usunięty.; A0002412.exe;C:\System Volume Information\_restore{E2F1188E-48A8-4BC2-ADF0-326767C88405}\RP3;Trojan.Download.37236;Usunięty.; A0002413.exe;C:\System Volume Information\_restore{E2F1188E-48A8-4BC2-ADF0-326767C88405}\RP3;Win32.HLLW.Lime.5;Usunięty,; A0002414.exe;C:\System Volume Information\_restore{E2F1188E-48A8-4BC2-ADF0-326767C88405}\RP3;Trojan.Download.37236;Usunięty.; A0000365.exe;C:\System Volume Information\_restore{E2F1188E-48A8-4BC2-ADF0-326767C88405}\RP3;Trojan.PWS.Wsgame.12661;Usunięty.;

@Blade@

Pomógł: 8 razy

Wysłany: 2010-02-28, 08:28

No dobra, w takim razie wykonaj teraz operację z OTL i podaj logi.
_________________

southspain

Wysłany: 2010-02-28, 15:31

W załączeniu log z naprawy i zwykły

otl z naprawy.zip

Pobierz Plik ściągnięto 29 raz(y) 25,57 KB

@Blade@

Pomógł: 8 razy

Wysłany: 2010-02-28, 19:55

No nie ciekawie dalej to wygląda, użyj Combofix i daj log z niego.
_________________

southspain

Wysłany: 2010-03-01, 09:21

Gotowe ComboFix 10-02-25.02 - Administrator 2010-03-01 9:09.1.1 - x86 MINIMAL Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.1014.854 [GMT 1:00] Uruchomiony z: c:\documents and settings\Administrator\Pulpit\ComboFix.exe AV: avast! Antivirus On-access scanning enabled (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D} . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\Administrator\Dane aplikacji\avdrn.dat c:\documents and settings\Administrator\Dane aplikacji\wiaservg.log c:\windows\system32\ieuinit.inf Zainfekowana kopia c:\windows\system32\drivers\ndis.sys została znaleziona. Problem naprawiono Plik odzyskano z - c:\system volume information\_restore{E2F1188E-48A8-4BC2-ADF0-326767C88405}\RP3\A0001369.sys . ((((((((((((((((((((((((( Pliki utworzone od 2010-02-01 do 2010-03-01 ))))))))))))))))))))))))))))))) . 2010-02-26 20:14 . 2010-02-26 20:15 -------- d-----w- c:\documents and settings\Administrator\DoctorWeb 2010-02-26 14:59 . 2010-02-26 14:59 -------- d-----w- C:\_OTL 2010-02-25 14:39 . 2010-02-25 14:39 148 ----a-w- c:\windows\system32\fjhdyfhsn.bat 2010-02-25 14:15 . 2010-02-26 14:58 35328 ----a-w- c:\windows\system32\qqamevnx.exe 2010-02-24 16:01 . 2001-10-26 15:57 12160 -c--a-w- c:\windows\system32\dllcache\mouhid.sys 2010-02-24 16:01 . 2001-10-26 15:57 12160 ----a-w- c:\windows\system32\drivers\mouhid.sys 2010-02-24 16:01 . 2008-04-13 23:15 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys 2010-02-24 16:01 . 2008-04-13 23:15 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys 2010-02-24 14:25 . 2008-04-13 23:10 34688 -c--a-w- c:\windows\system32\dllcache\lbrtfdc.sys 2010-02-24 14:25 . 2008-04-13 23:10 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys 2010-02-24 14:25 . 2008-04-13 23:11 8576 -c--a-w- c:\windows\system32\dllcache\i2omgmt.sys 2010-02-24 14:25 . 2008-04-13 23:11 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys 2010-02-24 14:25 . 2008-04-13 23:11 8192 -c--a-w- c:\windows\system32\dllcache\changer.sys 2010-02-24 14:25 . 2008-04-13 23:11 8192 ----a-w- c:\windows\system32\drivers\Changer.sys 2010-02-24 14:23 . 2010-02-22 17:28 180224 ----a-w- c:\windows\system32\igfxres.dll 2010-02-22 18:29 . 2008-04-13 23:15 6272 -c--a-w- c:\windows\system32\dllcache\splitter.sys 2010-02-22 18:29 . 2008-04-13 23:15 6272 ----a-w- c:\windows\system32\drivers\splitter.sys 2010-02-22 18:18 . 2010-02-22 18:18 -------- d-----w- c:\windows\system32\Lang 2010-02-22 18:18 . 2010-02-22 18:18 -------- d-----w- c:\windows\system32\x64 2010-02-22 18:18 . 2010-02-22 17:28 399896 ----a-w- c:\windows\system32\igxpun.exe 2010-02-22 18:17 . 2010-02-22 18:17 -------- dc----w- c:\windows\system32\DRVSTORE 2010-02-22 18:17 . 2010-02-22 17:28 319456 ----a-w- c:\windows\system32\difxapi.dll 2010-02-22 18:07 . 2008-04-14 22:50 54784 ----a-w- c:\windows\system32\vfwwdm32.dll 2010-02-22 18:07 . 2008-04-14 21:50 4096 -c--a-w- c:\windows\system32\dllcache\ksuser.dll 2010-02-22 18:07 . 2008-04-14 21:50 4096 ----a-w- c:\windows\system32\ksuser.dll 2010-02-22 18:07 . 2008-04-14 00:16 121984 ----a-w- c:\windows\system32\drivers\usbvideo.sys 2010-02-22 18:07 . 2008-04-14 21:35 58880 ----a-w- c:\windows\system32\drivers\redbook.sys 2010-02-22 18:07 . 2008-04-14 21:25 23296 ----a-w- c:\windows\system32\drivers\mouclass.sys 2010-02-22 18:07 . 2008-04-14 22:50 77312 ----a-w- c:\windows\system32\usbui.dll 2010-02-22 18:06 . 2008-04-14 00:06 10240 ----a-w- c:\windows\system32\drivers\compbatt.sys 2010-02-22 18:06 . 2008-04-14 00:06 14208 ----a-w- c:\windows\system32\drivers\battc.sys 2010-02-22 18:06 . 2008-04-14 00:06 13952 ----a-w- c:\windows\system32\drivers\cmbatt.sys 2010-02-22 18:04 . 2010-03-01 08:13 -------- d-----w- c:\windows\system32\CatRoot2 2010-02-22 18:04 . 2010-02-22 18:04 -------- d-----w- c:\windows\system32\CatRoot 2010-02-22 18:04 . 2010-02-22 18:05 -------- d--h--r- c:\documents and settings\Default User\Dane aplikacji 2010-02-22 18:04 . 2010-02-22 17:58 -------- d--h--r- c:\documents and settings\All Users\Dane aplikacji 2010-02-22 18:04 . 2010-03-01 08:08 -------- d--h--w- c:\documents and settings\Default User 2010-02-22 18:04 . 2010-02-25 14:37 -------- d-----w- C:\Documents and Settings 2010-02-22 18:04 . 2010-02-22 17:16 -------- d-----w- c:\documents and settings\All Users . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-02-26 14:58 . 2010-02-25 14:15 35328 ----a-w- c:\windows\system32\borpcrec.exe 2010-02-25 14:39 . 2010-02-25 14:39 12 ----a-w- c:\documents and settings\NetworkService\Dane aplikacji\pdytbs.dat 2010-02-24 14:20 . 2010-02-22 17:16 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat 2010-02-22 17:58 . 2010-02-22 17:58 -------- d-----w- c:\program files\Alwil Software 2010-02-22 17:58 . 2010-02-22 17:58 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Alwil Software 2010-02-22 17:31 . 2007-12-26 10:20 288000 ----a-w- c:\windows\system32\drivers\RTL8187B.sys 2010-02-22 17:29 . 2007-11-20 18:15 1826816 ----a-w- c:\windows\SkyTel.exe 2010-02-22 17:29 . 2006-07-21 16:14 86016 ----a-w- c:\windows\SOUNDMAN.EXE 2010-02-22 17:29 . 2007-11-07 17:31 1191936 ----a-w- c:\windows\RtlUpd.exe 2010-02-22 17:29 . 2007-03-23 19:19 9715200 ----a-w- c:\windows\RTLCPL.EXE 2010-02-22 17:29 . 2008-01-30 11:28 4725760 ----a-w- c:\windows\system32\drivers\rtkhdaud.sys 2010-02-22 17:29 . 2008-01-29 15:47 16859648 ----a-w- c:\windows\RTHDCPL.EXE 2010-02-22 17:29 . 2007-06-28 16:44 2165760 ----a-w- c:\windows\MicCal.exe 2010-02-22 17:29 . 2006-05-04 16:26 2808832 ----a-w- c:\windows\ALCWZRD.EXE 2010-02-22 17:29 . 2005-05-03 18:43 69632 ----a-w- c:\windows\ALCMTR.EXE 2010-02-22 17:29 . 2008-01-03 22:10 105856 ----a-w- c:\windows\system32\drivers\Rtenicxp.sys 2010-02-22 17:23 . 2008-04-15 12:00 49910 ----a-w- c:\windows\system32\perfc015.dat 2010-02-22 17:23 . 2008-04-15 12:00 356068 ----a-w- c:\windows\system32\perfh015.dat 2010-02-22 17:17 . 2010-02-22 17:17 -------- d-----w- c:\program files\microsoft frontpage 2010-02-22 17:15 . 2010-02-22 17:15 -------- d-----w- c:\program files\Usługi online 2010-02-22 17:13 . 2010-02-22 17:13 21856 ----a-w- c:\windows\system32\emptyregdb.dat 2010-02-11 18:53 . 2010-02-22 17:58 38848 ----a-w- c:\windows\system32\avastSS.scr 2010-02-11 18:53 . 2010-02-22 17:58 153184 ----a-w- c:\windows\system32\aswBoot.exe 2010-02-11 18:42 . 2010-02-22 17:58 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys 2010-02-11 18:42 . 2010-02-22 17:58 162512 ----a-w- c:\windows\system32\drivers\aswSP.sys 2010-02-11 18:39 . 2010-02-22 17:58 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys 2010-02-11 18:38 . 2010-02-22 17:58 100432 ----a-w- c:\windows\system32\drivers\aswMon2.sys 2010-02-11 18:38 . 2010-02-22 17:58 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys 2010-02-11 18:38 . 2010-02-22 17:58 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys 2010-02-11 18:38 . 2010-02-22 17:58 28880 ----a-w- c:\windows\system32\drivers\Aavmker4.sys . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . Uwaga puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2010-02-22 162512] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2010-02-22 19024] R3 RTL8187B;Realtek RTL8187B bezprzewodowe 802.11b/g 54Mbps USB 2.0 karta sieciowa ;c:\windows\system32\drivers\RTL8187B.sys [2007-12-26 288000] . . ------- Skan uzupełniający ------- . uStart Page = hxxp://www.google.pl/ . - - - - USUNIĘTO PUSTE WPISY - - - - HKLM-Run-autoruns - c:\windows\system32\jxontyve.exe ************************************************************************ catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-03-01 09:14 Windows 5.1.2600 Dodatek Service Pack 3 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ********************************************************************** . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\program files\Alwil Software\Avast5\AvastSvc.exe c:\windows\system32\lghropli.exe c:\windows\system32\wscntfy.exe c:\program files\Alwil Software\Avast5\defs\10022401\Sf.bin . ************************************************************************ . Czas ukończenia: 2010-03-01 09:15:33 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2010-03-01 08:15 Przed: 48 074 268 672 bajtów wolnych Po: 48 041 144 320 bajtów wolnych - - End Of File - - 7C52C4CDB19B93CF0A6BFB83BE97929B

@Blade@

Pomógł: 8 razy

Wysłany: 2010-03-01, 16:29

Wklej do notatnika:

Cytat:

File::
c:\windows\system32\fjhdyfhsn.bat
c:\windows\system32\qqamevnx.exe
c:\windows\system32\borpcrec.exe
c:\windows\system32\dllcache\lbrtfdc.sys
c:\windows\system32\drivers\lbrtfdc.sys
c:\windows\system32\dllcache\i2omgmt.sys
c:\windows\system32\drivers\i2omgmt.sys
c:\windows\system32\dllcache\changer.sys
c:\windows\system32\drivers\Changer.sys
c:\documents and settings\NetworkService\Dane aplikacji\pdytbs.dat

Plik

zapisz jako

CFScript.txt
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

Rozpocznie się usuwanie i powstanie log, który dajesz na forum.

southspain

Wysłany: 2010-03-01, 20:45

ComboFix 10-02-25.02 - Administrator 2010-03-01 20:09:35.2.1 - x86 MINIMAL Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.1014.860 [GMT 1:00] Uruchomiony z: c:\documents and settings\Administrator\Pulpit\ComboFix.exe Użyto następujących komend :: c:\documents and settings\Administrator\Pulpit\CFScript.txt AV: avast! Antivirus On-access scanning enabled (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D} FILE :: "c:\documents and settings\NetworkService\Dane aplikacji\pdytbs.dat" "c:\windows\system32\borpcrec.exe" "c:\windows\system32\dllcache\changer.sys" "c:\windows\system32\dllcache\i2omgmt.sys" "c:\windows\system32\dllcache\lbrtfdc.sys" "c:\windows\system32\drivers\Changer.sys" "c:\windows\system32\drivers\i2omgmt.sys" "c:\windows\system32\drivers\lbrtfdc.sys" "c:\windows\system32\fjhdyfhsn.bat" "c:\windows\system32\qqamevnx.exe" . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\NetworkService\Dane aplikacji\pdytbs.dat c:\windows\system32\dllcache\changer.sys c:\windows\system32\dllcache\i2omgmt.sys c:\windows\system32\dllcache\lbrtfdc.sys c:\windows\system32\drivers\Changer.sys c:\windows\system32\drivers\i2omgmt.sys c:\windows\system32\drivers\lbrtfdc.sys c:\windows\system32\fjhdyfhsn.bat c:\windows\system32\qqamevnx.exe . ((((((((((((((((((((((((( Pliki utworzone od 2010-02-01 do 2010-03-01 ))))))))))))))))))))))))))))))) . 2010-02-26 20:14 . 2010-02-26 20:15 -------- d-----w- c:\documents and settings\Administrator\DoctorWeb 2010-02-26 14:59 . 2010-02-26 14:59 -------- d-----w- C:\_OTL 2010-02-25 14:15 . 2010-02-26 14:58 35328 ----a-w- c:\windows\system32\cwcpjgps.exe 2010-02-24 16:01 . 2001-10-26 15:57 12160 -c--a-w- c:\windows\system32\dllcache\mouhid.sys 2010-02-24 16:01 . 2001-10-26 15:57 12160 ----a-w- c:\windows\system32\drivers\mouhid.sys 2010-02-24 16:01 . 2008-04-13 23:15 10368 -c--a-w- c:\windows\system32\dllcache\hidusb.sys 2010-02-24 16:01 . 2008-04-13 23:15 10368 ----a-w- c:\windows\system32\drivers\hidusb.sys 2010-02-24 14:23 . 2010-02-22 17:28 180224 ----a-w- c:\windows\system32\igfxres.dll 2010-02-22 18:29 . 2008-04-13 23:15 6272 -c--a-w- c:\windows\system32\dllcache\splitter.sys 2010-02-22 18:29 . 2008-04-13 23:15 6272 ----a-w- c:\windows\system32\drivers\splitter.sys 2010-02-22 18:18 . 2010-02-22 18:18 -------- d-----w- c:\windows\system32\Lang 2010-02-22 18:18 . 2010-02-22 18:18 -------- d-----w- c:\windows\system32\x64 2010-02-22 18:18 . 2010-02-22 17:28 399896 ----a-w- c:\windows\system32\igxpun.exe 2010-02-22 18:17 . 2010-02-22 18:17 -------- dc----w- c:\windows\system32\DRVSTORE 2010-02-22 18:17 . 2010-02-22 17:28 319456 ----a-w- c:\windows\system32\difxapi.dll 2010-02-22 18:07 . 2008-04-14 22:50 54784 ----a-w- c:\windows\system32\vfwwdm32.dll 2010-02-22 18:07 . 2008-04-14 21:50 4096 -c--a-w- c:\windows\system32\dllcache\ksuser.dll 2010-02-22 18:07 . 2008-04-14 21:50 4096 ----a-w- c:\windows\system32\ksuser.dll 2010-02-22 18:07 . 2008-04-14 00:16 121984 ----a-w- c:\windows\system32\drivers\usbvideo.sys 2010-02-22 18:07 . 2008-04-14 21:35 58880 ----a-w- c:\windows\system32\drivers\redbook.sys 2010-02-22 18:07 . 2008-04-14 21:25 23296 ----a-w- c:\windows\system32\drivers\mouclass.sys 2010-02-22 18:07 . 2008-04-14 22:50 77312 ----a-w- c:\windows\system32\usbui.dll 2010-02-22 18:06 . 2008-04-14 00:06 10240 ----a-w- c:\windows\system32\drivers\compbatt.sys 2010-02-22 18:06 . 2008-04-14 00:06 14208 ----a-w- c:\windows\system32\drivers\battc.sys 2010-02-22 18:06 . 2008-04-14 00:06 13952 ----a-w- c:\windows\system32\drivers\cmbatt.sys 2010-02-22 18:04 . 2010-03-01 19:09 -------- d-----w- c:\windows\system32\CatRoot2 2010-02-22 18:04 . 2010-02-22 18:04 -------- d-----w- c:\windows\system32\CatRoot 2010-02-22 18:04 . 2010-02-22 18:05 -------- d--h--r- c:\documents and settings\Default User\Dane aplikacji 2010-02-22 18:04 . 2010-02-22 17:58 -------- d--h--r- c:\documents and settings\All Users\Dane aplikacji 2010-02-22 18:04 . 2010-03-01 08:08 -------- d--h--w- c:\documents and settings\Default User 2010-02-22 18:04 . 2010-02-25 14:37 -------- d-----w- C:\Documents and Settings 2010-02-22 18:04 . 2010-02-22 17:16 -------- d-----w- c:\documents and settings\All Users . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-02-24 14:20 . 2010-02-22 17:16 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat 2010-02-22 17:58 . 2010-02-22 17:58 -------- d-----w- c:\program files\Alwil Software 2010-02-22 17:58 . 2010-02-22 17:58 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Alwil Software 2010-02-22 17:31 . 2007-12-26 10:20 288000 ----a-w- c:\windows\system32\drivers\RTL8187B.sys 2010-02-22 17:29 . 2007-11-20 18:15 1826816 ----a-w- c:\windows\SkyTel.exe 2010-02-22 17:29 . 2006-07-21 16:14 86016 ----a-w- c:\windows\SOUNDMAN.EXE 2010-02-22 17:29 . 2007-11-07 17:31 1191936 ----a-w- c:\windows\RtlUpd.exe 2010-02-22 17:29 . 2007-03-23 19:19 9715200 ----a-w- c:\windows\RTLCPL.EXE 2010-02-22 17:29 . 2008-01-30 11:28 4725760 ----a-w- c:\windows\system32\drivers\rtkhdaud.sys 2010-02-22 17:29 . 2008-01-29 15:47 16859648 ----a-w- c:\windows\RTHDCPL.EXE 2010-02-22 17:29 . 2007-06-28 16:44 2165760 ----a-w- c:\windows\MicCal.exe 2010-02-22 17:29 . 2006-05-04 16:26 2808832 ----a-w- c:\windows\ALCWZRD.EXE 2010-02-22 17:29 . 2005-05-03 18:43 69632 ----a-w- c:\windows\ALCMTR.EXE 2010-02-22 17:29 . 2008-01-03 22:10 105856 ----a-w- c:\windows\system32\drivers\Rtenicxp.sys 2010-02-22 17:23 . 2008-04-15 12:00 49910 ----a-w- c:\windows\system32\perfc015.dat 2010-02-22 17:23 . 2008-04-15 12:00 356068 ----a-w- c:\windows\system32\perfh015.dat 2010-02-22 17:17 . 2010-02-22 17:17 -------- d-----w- c:\program files\microsoft frontpage 2010-02-22 17:15 . 2010-02-22 17:15 -------- d-----w- c:\program files\Usługi online 2010-02-22 17:13 . 2010-02-22 17:13 21856 ----a-w- c:\windows\system32\emptyregdb.dat 2010-02-11 18:53 . 2010-02-22 17:58 38848 ----a-w- c:\windows\system32\avastSS.scr 2010-02-11 18:53 . 2010-02-22 17:58 153184 ----a-w- c:\windows\system32\aswBoot.exe 2010-02-11 18:42 . 2010-02-22 17:58 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys 2010-02-11 18:42 . 2010-02-22 17:58 162512 ----a-w- c:\windows\system32\drivers\aswSP.sys 2010-02-11 18:39 . 2010-02-22 17:58 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys 2010-02-11 18:38 . 2010-02-22 17:58 100432 ----a-w- c:\windows\system32\drivers\aswMon2.sys 2010-02-11 18:38 . 2010-02-22 17:58 94800 ----a-w- c:\windows\system32\drivers\aswmon.sys 2010-02-11 18:38 . 2010-02-22 17:58 19024 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys 2010-02-11 18:38 . 2010-02-22 17:58 28880 ----a-w- c:\windows\system32\drivers\Aavmker4.sys . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . Uwaga puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "autoruns"="c:\windows\system32\lghropli.exe" [BU] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [2010-02-22 162512] S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2010-02-22 19024] S3 RTL8187B;Realtek RTL8187B bezprzewodowe 802.11b/g 54Mbps USB 2.0 karta sieciowa ;c:\windows\system32\drivers\RTL8187B.sys [2007-12-26 288000] . ************************************************************************ catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-03-01 20:12 Windows 5.1.2600 Dodatek Service Pack 3 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************ . Czas ukończenia: 2010-03-01 20:14:31 ComboFix-quarantined-files.txt 2010-03-01 19:14 ComboFix2.txt 2010-03-01 08:15 Przed: 48 046 436 352 bajtów wolnych Po: 48 014 393 344 bajtów wolnych - - End Of File - - 64867DFC364CE17309328B87CB91C7FB

@Blade@

Pomógł: 8 razy

Wysłany: 2010-03-01, 22:01

Pobierz The Avenger w pole Input script here wklej poniższy tekst:

Kod:

Files to delete:
c:\windows\system32\cwcpjgps.exe

klikasz Execute

Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt

_________________

southspain

Wysłany: 2010-03-01, 22:47

////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Dodatek Service Pack 3) Mon Mar 01 22:35:42 2010 22:35:41: Error: Invalid script. A valid script must begin with a command directive. Aborting execution! ////////////////////////////////////////// Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ***************** Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger *************** Beginning to process script file: Rootkit scan active. No rootkits found! File "c:\windows\system32\cwcpjgps.exe" deleted successfully. Completed script processing. ***************** Finished! Terminate.

@Blade@

Pomógł: 8 razy

Wysłany: 2010-03-02, 09:08

Ok, więcej nic tu nie widzę. W OTL kliknij CleanUp Przeczyść dysk oraz rejestr CCleaner Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport
_________________

southspain

Wysłany: 2010-03-02, 17:53

Zrobiłem clean up otlem, zrobił restart i uruchomił sie juz w trybie normalnym i podobnie jak do tej pory, tapeta jest, pasek jest ale na pasku brak ikon tylko zegar, po najechaniu na pasek robi sie klepsydra, alt ctrl del nie działa, i musiąłem wyłączyć na siłę bo nic nie reaguje - nie wiem czy to dobrze i czy ruszać z ccleanem i następnymi rzeczami?

Forum komputerowe PC Town Strona Główna » Kompiradło » Bezpieczeństwo w sieci » Analiza logów » Prośba o przeanalizowanie loga z otl

Możesz pisać nowe tematy
Możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Możesz ściągać załączniki na tym forum

Dodaj temat do Ulubionych
Wersja do druku

system walidacji dla gości opracował Petermechanic Forum komputerowe

Strona wygenerowana w 0,18 sekundy. Zapytań do SQL: 14