Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:38:41, on 15.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Odkazy
O2 - BHO: Podpora odkazu pro Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportovat do aplikace Microsoft Office Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Zdroje informací - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = b04-514c.kn.vutbr.cz
O17 - HKLM\Software\..\Telephony: DomainName = b04-514c.kn.vutbr.cz
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = b04-514c.kn.vutbr.cz
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = b04-514c.kn.vutbr.cz
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
--
End of file - 5251 bytes
to je log z HijackThis je to pc kamarada
kontrola logu (nakazeni win32 conficker)
- kul1k
- Mírně pokročilý
-
- Registrován: 03. úno 2006
- Bydliště: Dolní Dobrouč, Purkyňovy koleje Brno
kontrola logu (nakazeni win32 conficker)
NB:Acer Aspire V3 571G
- jansv
- Mírně pokročilý
-
- Registrován: 16. lis 2008
Re: kontrola logu (nakazeni win32 conficker)
Ahoj, jaký program a kde hlásí nákazu? Log vypadá OK. Vlož ještě log z ComboFixu.
Citace:
Stáhněte a uložte na plochu ComboFix.
Spusťte pod účtem s Administrátorským oprávněním, před spuštěním vypněte všechny aplikace včetně Antiviru a Firewallu.
Celá akce trvá okolo 10 minut, někdy i déle.
Nelekněte se, když Váš stroj bude restartován.
Po restartu aplikace vytvoří log, uložený na C:/Combofix.txt (Při opakovaném použití jsou logy označeny Combofix2.txt atd.), JEHO OBSAH SEM VLOŽTE.
Citace:
Stáhněte a uložte na plochu ComboFix.
Spusťte pod účtem s Administrátorským oprávněním, před spuštěním vypněte všechny aplikace včetně Antiviru a Firewallu.
Celá akce trvá okolo 10 minut, někdy i déle.
Nelekněte se, když Váš stroj bude restartován.
Po restartu aplikace vytvoří log, uložený na C:/Combofix.txt (Při opakovaném použití jsou logy označeny Combofix2.txt atd.), JEHO OBSAH SEM VLOŽTE.
- kul1k
- Mírně pokročilý
-
- Registrován: 03. úno 2006
- Bydliště: Dolní Dobrouč, Purkyňovy koleje Brno
Re: kontrola logu (nakazeni win32 conficker)
ComboFix 08-12-14.05 - Gabriel 2008-12-15 16:58:50.5 - NTFSx86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.1014.600 [GMT 1:00]
Spuštěný z: c:\documents and settings\Gabriel\Plocha\ComboFix.exe
* Resident AV is active
.
((((((((((((((((((((((((( Soubory vytvořené od 2008-11-15 do 2008-12-15 )))))))))))))))))))))))))))))))
.
2008-12-15 16:38 . 2008-12-15 16:38 <DIR> d-------- c:\program files\Trend Micro
2008-12-15 15:49 . 2008-12-15 16:09 54,020 --a------ c:\windows\system32\x
2008-12-15 11:18 . 2008-12-15 11:18 1,088 --a------ c:\windows\udr7.dll
2008-11-26 15:24 . 2008-11-26 15:24 <DIR> d-------- C:\SIERRA
2008-11-26 15:22 . 2008-11-26 15:24 <DIR> d-------- c:\program files\Sierra On-Line
2008-11-26 15:21 . 2008-11-26 15:24 385 --a------ c:\windows\SIERRA.INI
2008-11-26 15:20 . 2008-11-26 15:20 118,784 --a------ c:\windows\DiabUnin.exe
2008-11-26 15:20 . 2008-11-26 15:20 2,829 --a------ c:\windows\DiabUnin.pif
2008-11-26 15:19 . 2008-11-26 15:20 6,043 --a------ c:\windows\DiabUnin.dat
2008-11-24 15:56 . 2008-11-24 15:56 <DIR> d-------- c:\program files\7-Zip
2008-11-23 11:37 . 2008-11-23 11:48 52,736 --a------ c:\windows\ipuninst.exe
2008-11-19 11:04 . 2008-12-15 09:02 <DIR> d-------- c:\program files\Java
2008-11-19 11:04 . 2008-11-10 05:43 410,984 --a------ c:\windows\system32\deploytk.dll
2008-11-19 11:04 . 2008-11-10 03:39 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-11-19 10:41 . 2008-11-19 10:41 <DIR> d-------- c:\windows\UBISOFT
2008-11-18 19:29 . 2008-11-18 19:30 <DIR> d-------- c:\documents and settings\Gabriel\Data aplikací\PSpad
2008-11-18 19:29 . 2008-11-18 19:30 <DIR> d-------- c:\documents and settings\Gabriel\Data aplikací\PSpad
2008-11-18 19:29 . 2008-11-18 19:30 <DIR> d-------- c:\documents and settings\Gabriel\Data aplikací\PSpad
2008-11-18 19:27 . 2008-11-18 19:27 <DIR> d-------- c:\program files\PSPad editor
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-12 17:43 --------- d-----w c:\program files\SDAKAR STUDIO
2008-11-10 08:20 --------- d-----w c:\program files\NFS - Porsche Unleashed
2008-11-04 09:19 --------- d-----w c:\program files\FLVPlayer
2008-11-03 21:05 --------- d-----w c:\documents and settings\All Users\Data aplikací\Macrovision
2008-11-03 20:59 --------- d-----w c:\program files\Autodesk
2008-11-03 20:58 54,784 ----a-w c:\windows\system32\drivers\CDAC11BA.EXE
2008-11-03 20:58 12,464 ----a-w c:\windows\system32\drivers\CDAC15BA.SYS
2008-11-03 20:58 --------- d-----w c:\program files\Common Files\Macrovision Shared
2008-11-03 20:58 --------- d-----w c:\program files\Common Files\Autodesk Shared
2008-11-03 20:58 --------- d-----w c:\program files\AutoCAD 2004
2008-11-03 20:58 --------- d-----w c:\program files\AnswerWorks 4.0
2008-11-03 20:57 --------- d-----w c:\documents and settings\Gabriel\Data aplikací\Autodesk
2008-11-03 20:57 --------- d-----w c:\documents and settings\Gabriel\Data aplikací\Autodesk
2008-11-03 20:57 --------- d-----w c:\documents and settings\Gabriel\Data aplikací\Autodesk
2008-11-03 20:57 --------- d-----w c:\documents and settings\All Users\Data aplikací\Autodesk
2008-11-03 17:06 --------- d-----w c:\program files\MeeSoft
2008-10-22 09:40 --------- d-----w c:\documents and settings\Gabriel\Data aplikací\My Battle for Middle-earth Files
2008-10-22 09:40 --------- d-----w c:\documents and settings\Gabriel\Data aplikací\My Battle for Middle-earth Files
2008-10-22 09:40 --------- d-----w c:\documents and settings\Gabriel\Data aplikací\My Battle for Middle-earth Files
2008-09-19 07:11 920,088 ----a-w c:\windows\system32\igxpun.exe
.
((((((((((((((((((((((((((((( snapshot@2008-11-19_ 7.37.20,31 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-11-10 04:43:37 144,792 ----a-w c:\windows\system32\java.exe
+ 2008-11-10 04:43:38 144,792 ----a-w c:\windows\system32\javaw.exe
+ 2008-11-10 04:43:39 148,888 ----a-w c:\windows\system32\javaws.exe
- 2008-11-19 06:37:05 62,156 ----a-w c:\windows\system32\perfc005.dat
+ 2008-12-15 08:02:28 62,156 ----a-w c:\windows\system32\perfc005.dat
- 2008-11-19 06:37:05 52,962 ----a-w c:\windows\system32\perfc009.dat
+ 2008-12-15 08:02:28 52,962 ----a-w c:\windows\system32\perfc009.dat
- 2008-11-19 06:37:05 379,532 ----a-w c:\windows\system32\perfh005.dat
+ 2008-12-15 08:02:28 379,532 ----a-w c:\windows\system32\perfh005.dat
- 2008-11-19 06:37:05 380,548 ----a-w c:\windows\system32\perfh009.dat
+ 2008-12-15 08:02:28 380,548 ----a-w c:\windows\system32\perfh009.dat
+ 2008-12-15 13:24:06 16,384 ----atw c:\windows\temp\Perflib_Perfdata_cc.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-06-12 53248]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-12-21 1443072]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-09-11 143360]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-09-11 172032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-09-11 143360]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-29 c:\windows\RTHDCPL.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\ICQ6\\ICQ.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\DC++\\DCPlusPlus.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Hry\\Program Files\\Microsoft Games\\Age of Empires II\\age2_x1\\age2_x1.exe"=
"c:\\Hry\\Program Files\\EA GAMES\\The Battle for Middle-earth (tm)\\game.dat"=
R1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys [2007-12-21 33800]
R2 ekrn;Eset Service;"c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe" [2007-12-21 468224]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\DRIVERS\psched.sys [2004-08-03 69120]
S0 ElbyVCD;ElbyVCD;c:\windows\system32\DRIVERS\ElbyVCD.sys []
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www/
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Gabriel\Data aplikací\Mozilla\Firefox\Profiles\vkkbje6w.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-15 16:59:29
Windows 5.1.2600 Service Pack 2 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
.
Celkový čas: 2008-12-15 17:00:14
ComboFix-quarantined-files.txt 2008-12-15 15:59:51
ComboFix2.txt 2008-12-15 15:10:54
ComboFix3.txt 2008-12-15 15:03:19
ComboFix4.txt 2008-12-15 14:59:56
ComboFix5.txt 2008-12-15 15:58:38
Před spuštěním: Volných bajtů: 22 693 642 240
Po spuštění: Volných bajtů: 22,684,835,840
130
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.1014.600 [GMT 1:00]
Spuštěný z: c:\documents and settings\Gabriel\Plocha\ComboFix.exe
* Resident AV is active
.
((((((((((((((((((((((((( Soubory vytvořené od 2008-11-15 do 2008-12-15 )))))))))))))))))))))))))))))))
.
2008-12-15 16:38 . 2008-12-15 16:38 <DIR> d-------- c:\program files\Trend Micro
2008-12-15 15:49 . 2008-12-15 16:09 54,020 --a------ c:\windows\system32\x
2008-12-15 11:18 . 2008-12-15 11:18 1,088 --a------ c:\windows\udr7.dll
2008-11-26 15:24 . 2008-11-26 15:24 <DIR> d-------- C:\SIERRA
2008-11-26 15:22 . 2008-11-26 15:24 <DIR> d-------- c:\program files\Sierra On-Line
2008-11-26 15:21 . 2008-11-26 15:24 385 --a------ c:\windows\SIERRA.INI
2008-11-26 15:20 . 2008-11-26 15:20 118,784 --a------ c:\windows\DiabUnin.exe
2008-11-26 15:20 . 2008-11-26 15:20 2,829 --a------ c:\windows\DiabUnin.pif
2008-11-26 15:19 . 2008-11-26 15:20 6,043 --a------ c:\windows\DiabUnin.dat
2008-11-24 15:56 . 2008-11-24 15:56 <DIR> d-------- c:\program files\7-Zip
2008-11-23 11:37 . 2008-11-23 11:48 52,736 --a------ c:\windows\ipuninst.exe
2008-11-19 11:04 . 2008-12-15 09:02 <DIR> d-------- c:\program files\Java
2008-11-19 11:04 . 2008-11-10 05:43 410,984 --a------ c:\windows\system32\deploytk.dll
2008-11-19 11:04 . 2008-11-10 03:39 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-11-19 10:41 . 2008-11-19 10:41 <DIR> d-------- c:\windows\UBISOFT
2008-11-18 19:29 . 2008-11-18 19:30 <DIR> d-------- c:\documents and settings\Gabriel\Data aplikací\PSpad
2008-11-18 19:29 . 2008-11-18 19:30 <DIR> d-------- c:\documents and settings\Gabriel\Data aplikací\PSpad
2008-11-18 19:29 . 2008-11-18 19:30 <DIR> d-------- c:\documents and settings\Gabriel\Data aplikací\PSpad
2008-11-18 19:27 . 2008-11-18 19:27 <DIR> d-------- c:\program files\PSPad editor
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-12 17:43 --------- d-----w c:\program files\SDAKAR STUDIO
2008-11-10 08:20 --------- d-----w c:\program files\NFS - Porsche Unleashed
2008-11-04 09:19 --------- d-----w c:\program files\FLVPlayer
2008-11-03 21:05 --------- d-----w c:\documents and settings\All Users\Data aplikací\Macrovision
2008-11-03 20:59 --------- d-----w c:\program files\Autodesk
2008-11-03 20:58 54,784 ----a-w c:\windows\system32\drivers\CDAC11BA.EXE
2008-11-03 20:58 12,464 ----a-w c:\windows\system32\drivers\CDAC15BA.SYS
2008-11-03 20:58 --------- d-----w c:\program files\Common Files\Macrovision Shared
2008-11-03 20:58 --------- d-----w c:\program files\Common Files\Autodesk Shared
2008-11-03 20:58 --------- d-----w c:\program files\AutoCAD 2004
2008-11-03 20:58 --------- d-----w c:\program files\AnswerWorks 4.0
2008-11-03 20:57 --------- d-----w c:\documents and settings\Gabriel\Data aplikací\Autodesk
2008-11-03 20:57 --------- d-----w c:\documents and settings\Gabriel\Data aplikací\Autodesk
2008-11-03 20:57 --------- d-----w c:\documents and settings\Gabriel\Data aplikací\Autodesk
2008-11-03 20:57 --------- d-----w c:\documents and settings\All Users\Data aplikací\Autodesk
2008-11-03 17:06 --------- d-----w c:\program files\MeeSoft
2008-10-22 09:40 --------- d-----w c:\documents and settings\Gabriel\Data aplikací\My Battle for Middle-earth Files
2008-10-22 09:40 --------- d-----w c:\documents and settings\Gabriel\Data aplikací\My Battle for Middle-earth Files
2008-10-22 09:40 --------- d-----w c:\documents and settings\Gabriel\Data aplikací\My Battle for Middle-earth Files
2008-09-19 07:11 920,088 ----a-w c:\windows\system32\igxpun.exe
.
((((((((((((((((((((((((((((( snapshot@2008-11-19_ 7.37.20,31 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-11-10 04:43:37 144,792 ----a-w c:\windows\system32\java.exe
+ 2008-11-10 04:43:38 144,792 ----a-w c:\windows\system32\javaw.exe
+ 2008-11-10 04:43:39 148,888 ----a-w c:\windows\system32\javaws.exe
- 2008-11-19 06:37:05 62,156 ----a-w c:\windows\system32\perfc005.dat
+ 2008-12-15 08:02:28 62,156 ----a-w c:\windows\system32\perfc005.dat
- 2008-11-19 06:37:05 52,962 ----a-w c:\windows\system32\perfc009.dat
+ 2008-12-15 08:02:28 52,962 ----a-w c:\windows\system32\perfc009.dat
- 2008-11-19 06:37:05 379,532 ----a-w c:\windows\system32\perfh005.dat
+ 2008-12-15 08:02:28 379,532 ----a-w c:\windows\system32\perfh005.dat
- 2008-11-19 06:37:05 380,548 ----a-w c:\windows\system32\perfh009.dat
+ 2008-12-15 08:02:28 380,548 ----a-w c:\windows\system32\perfh009.dat
+ 2008-12-15 13:24:06 16,384 ----atw c:\windows\temp\Perflib_Perfdata_cc.dat
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-06-12 53248]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-12-21 1443072]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-09-11 143360]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-09-11 172032]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-09-11 143360]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-11-10 136600]
"RTHDCPL"="RTHDCPL.EXE" [2007-05-29 c:\windows\RTHDCPL.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\ICQ6\\ICQ.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"c:\\Program Files\\DC++\\DCPlusPlus.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Hry\\Program Files\\Microsoft Games\\Age of Empires II\\age2_x1\\age2_x1.exe"=
"c:\\Hry\\Program Files\\EA GAMES\\The Battle for Middle-earth (tm)\\game.dat"=
R1 epfwtdir;epfwtdir;c:\windows\system32\DRIVERS\epfwtdir.sys [2007-12-21 33800]
R2 ekrn;Eset Service;"c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe" [2007-12-21 468224]
R3 PSched;Plánovač paketů technologie QoS;c:\windows\system32\DRIVERS\psched.sys [2004-08-03 69120]
S0 ElbyVCD;ElbyVCD;c:\windows\system32\DRIVERS\ElbyVCD.sys []
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://www/
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xportovat do aplikace Microsoft Office Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Gabriel\Data aplikací\Mozilla\Firefox\Profiles\vkkbje6w.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.seznam.cz/
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-15 16:59:29
Windows 5.1.2600 Service Pack 2 NTFS
skenování skrytých procesů ...
skenování skrytých položek 'Po spuštění' ...
skenování skrytých souborů ...
sken byl úspešně dokončen
skryté soubory: 0
**************************************************************************
.
Celkový čas: 2008-12-15 17:00:14
ComboFix-quarantined-files.txt 2008-12-15 15:59:51
ComboFix2.txt 2008-12-15 15:10:54
ComboFix3.txt 2008-12-15 15:03:19
ComboFix4.txt 2008-12-15 14:59:56
ComboFix5.txt 2008-12-15 15:58:38
Před spuštěním: Volných bajtů: 22 693 642 240
Po spuštění: Volných bajtů: 22,684,835,840
130
NB:Acer Aspire V3 571G
- jansv
- Mírně pokročilý
-
- Registrován: 16. lis 2008
Re: kontrola logu (nakazeni win32 conficker)
Ptal jsem se, jaký program a kde hlásí win32 conficker?
Tyto soubory:
c:\windows\system32\x
c:\windows\udr7.dll
c:\windows\DiabUnin.exe
c:\windows\DiabUnin.pif
c:\windows\DiabUnin.dat
Otestujte na VIRUSTOTAL (Jestli nějaký ze souborů znáte, nemusíte jej testovat)
Návod prostý: Po načtení stránky klikněte na tlačítko Procházet, zkopírujte cestu k výše zmíněnému souboru a klikněte na tlačítko Odeslat soubor; dejte skenerům nějakých deset minut; výsledek sem vložte (Až se to dotestuje tak zkopírujte odkaz nahoře v prohlížečí a ten sem vložte). Pokud se Vám výsledky objeví okamžitě, bez testování, tak klikněte na Reanalyse file now.
Tyto soubory:
c:\windows\system32\x
c:\windows\udr7.dll
c:\windows\DiabUnin.exe
c:\windows\DiabUnin.pif
c:\windows\DiabUnin.dat
Otestujte na VIRUSTOTAL (Jestli nějaký ze souborů znáte, nemusíte jej testovat)
Návod prostý: Po načtení stránky klikněte na tlačítko Procházet, zkopírujte cestu k výše zmíněnému souboru a klikněte na tlačítko Odeslat soubor; dejte skenerům nějakých deset minut; výsledek sem vložte (Až se to dotestuje tak zkopírujte odkaz nahoře v prohlížečí a ten sem vložte). Pokud se Vám výsledky objeví okamžitě, bez testování, tak klikněte na Reanalyse file now.