CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo Proszę o sprawdzenie loga z COMBOFIXA, brak dostępu do sieci Internet

Proszę o sprawdzenie loga z COMBOFIXA, brak dostępu do sieci Internet

Proszę o sprawdzenie loga. Komp załapał jakiegoś wira i utracił połączenie z netem.Wcześniej Internet udostępniony był z drugiego kompa przez WinRoute.Działało bezproblemowo. Dostęp do sieci jest przez NEO na modemie USB (512kbps).Czy można podzielić to jakoś inaczej, bez włączania macierzystego komputera? Na komputerze udostępniającym net jest zainstalowany WinXPPro, a kliencie WinXPHome.

Internet na kompie-serwerze działa ok. W razie potrzeby mogę wystawić również loga.

Log z komputera-klienta:

"REGENT" - 07-02-08 19:22:36 Dodatek Service Pack 2
ComboFix 07-01-25 - Running from: "D:\Programy\Combofix do LOGŕW"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\Program Files\Common Files\Yazzle1122OinUninstaller.exe
C:\Program Files\Common Files\{20C09~1
C:\Program Files\Common Files\{30C09~1
C:\Program Files\PrintView
~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
Folders Quarantined:
C:\qoobox\purity\DOCUME~1
C:\qoobox\purity\WINDOWS\ASKS~1
C:\qoobox\purity\WINDOWS\ASKS~1\?asks
C:\qoobox\purity\Program Files\Common Files\ASKS~1
C:\qoobox\purity\DOCUME~1\REGENT
C:\qoobox\purity\DOCUME~1\REGENT\Dane aplikacji
C:\qoobox\purity\DOCUME~1\REGENT\Dane aplikacji\from.txt
C:\qoobox\purity\DOCUME~1\REGENT\Dane aplikacji\ICROSO~1.NET

((((((((((((((((((((((((((((((( Files Created from 2007-01-08 to 2007-02-08 ))))))))))))))))))))))))))))))))))

2007-01-26 12:56 <DIR> d-------- C:\!KillBox
2007-01-26 12:47 <DIR> d-------- C:\DOCUME~1\WWOJCI~1\Dane aplikacji\Sports Interactive
2007-01-26 12:10 <DIR> d-------- C:\Program Files\InCode Solutions
2007-01-25 20:57 <DIR> d-------- C:\DOCUME~1\WWOJCI~1\Dane aplikacji\MEGAUPLOADTOOLBAR
2007-01-25 20:53 <DIR> d-------- C:\DOCUME~1\WWOJCI~1\Dane aplikacji\Folder przesyania Share-to-Web
2007-01-25 20:50 <DIR> dr-h----- C:\DOCUME~1\WWOJCI~1\Dane aplikacji
2007-01-25 20:50 <DIR> dr------- C:\DOCUME~1\WWOJCI~1\Ulubione
2007-01-25 20:50 <DIR> dr------- C:\DOCUME~1\WWOJCI~1\Moje dokumenty
2007-01-25 20:50 <DIR> dr------- C:\DOCUME~1\WWOJCI~1\Menu Start
2007-01-25 20:50 <DIR> d--h----- C:\DOCUME~1\WWOJCI~1\Ustawienia lokalne
2007-01-25 20:50 <DIR> d--h----- C:\DOCUME~1\WWOJCI~1\Szablony
2007-01-25 20:50 <DIR> d-------- C:\DOCUME~1\WWOJCI~1\Pulpit
2007-01-22 11:33 <DIR> d-------- C:\DOCUME~1\REGENT\Dane aplikacji\Sports Interactive
2007-01-21 19:04 <DIR> d-------- C:\DOCUME~1\Frej\Dane aplikacji\Sports Interactive
2007-01-21 14:56 <DIR> d-------- C:\DOCUME~1\REGENT\Dane aplikacji\MEGAUPLOADTOOLBAR
2007-01-21 10:55 <DIR> d-------- C:\Program Files\MegauploadToolbar
2007-01-21 10:55 <DIR> d-------- C:\DOCUME~1\Frej\Dane aplikacji\MegauploadToolbar
2007-01-21 10:55 <DIR> d-------- C:\DOCUME~1\Frej\Dane aplikacji\Megaupload
2007-01-21 09:53 <DIR> d-------- C:\DOCUME~1\Frej\Dane aplikacji\Lavasoft
2007-01-10 13:08 <DIR> d--hs---- C:\FOUND.037
2007-01-09 20:40 <DIR> d-------- C:\Program Files\Winamp
2007-01-09 20:36 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-01-09 20:36 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-01-09 20:36 129,784 --------- C:\WINDOWS\system32\pxafs.dll

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-01-15 18:32 689280 --a------ C:\WINDOWS\system32\aswboot.exe
2007-01-15 18:26 23352 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-01-15 18:25 43176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-01-15 18:23 90112 --a------ C:\WINDOWS\system32\avastss.scr
2006-12-21 00:56 94424 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2006-12-21 00:56 85952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2006-12-21 00:51 31560 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2006-11-08 16:40 356352 --a------ C:\WINDOWS\cwshredder.dll

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Komunikator"="\"C:\\Program Files\\Tlen.pl\\tlen.exe\" "
"Phsa"="\"C:\\WINDOWS\\ASKS~1\\rundll.exe\" -vt ndrv"
"Locf"="C:\\Program Files\\Common Files\\?asks\\r?ndll.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"NeroCheck"="C:\\WINDOWS\\system32\\\\NeroCheck.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"HP Software Update"="C:\\Program Files\\Hewlett-Packard\\HP Software Update\\HPWuSchd2.exe"
"avast!"="D:\\AVAST4~2\\ashDisp.exe"
"DAEMON Tools-1033"="\"C:\\Program Files\\D-Tools\\daemon.exe\" -lang 1033"
"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_09\\bin\\jusched.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^BT2Net.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu Start\\Programy\\Autostart\\BT2Net.lnk"
"backup"="C:\\WINDOWS\\pss\\BT2Net.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\BT2Net\\bt2net.exe "
"item"="BT2Net"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^GStartup.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu Start\\Programy\\Autostart\\GStartup.lnk"
"backup"="C:\\WINDOWS\\pss\\GStartup.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\Program Files\\Common Files\\GMT\\GMT.exe /startup"
"item"="GStartup"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^HP Digital Imaging Monitor.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu Start\\Programy\\Autostart\\HP Digital Imaging Monitor.lnk"
"backup"="C:\\WINDOWS\\pss\\HP Digital Imaging Monitor.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HEWLET~1\\DIGITA~1\\bin\\hpqtra08.exe "
"item"="HP Digital Imaging Monitor"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CamMonitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="hpqcmon"
"hkey"="HKLM"
"command"="C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\\\Unload\\hpqcmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EdHTML]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="EdHTML"
"hkey"="HKCU"
"command"="C:\\Program Files\\Binboy\\EdHTMLv5.0\\EdHTML.exe /none"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Keep Logo Axis Skip]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="License Aim"
"hkey"="HKLM"
"command"="C:\\Documents and Settings\\All Users\\Dane aplikacji\\bend rule keep logo\\License Aim.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaEG8]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cgywbep"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\cgywbep.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Share-to-Web Namespace Daemon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="hpgs2wnd"
"hkey"="HKLM"
"command"="C:\\Program Files\\Hewlett-Packard\\HP Share-to-Web\\hpgs2wnd.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\signcool]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="JUNKBLUEJUMP"
"hkey"="HKCU"
"command"="C:\\DOCUME~1\\REGENT\\DANEAP~1\\FORKRU~1\\JUNKBLUEJUMP.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TeaTimer"
"hkey"="HKCU"
"command"="C:\\Program Files\\Spybot - Search & Destroy\\TeaTimer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\warez]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Warez"
"hkey"="HKCU"
"command"="\"C:\\Program Files\\Warez P2P Client\\Warez.exe\" -h"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Program Files\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{588599f4-de26-4c28-ba14-f4eb17e33481}"="emptins"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"emptins"="{588599f4-de26-4c28-ba14-f4eb17e33481}"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
 Source REG_SZ http://www.interia.pl/j/tn.png

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\I]
Shell\AutoRun\command I:\autorun.exe

Completion time: 07-02-08 19:25:05

Z góry dzięki za pomoc.

Odpowiedzi: 1

Przejrzałem ten raport, bo trochę się na raportach ComboFixa znam, ale tu niewiele pomogę: zbyt wiele nieznanych.
Ale może moje spostrzeżenie ułatwią komuś innemu w pomocy?

„Other Deletions” - w zasadzie usunięte, tylko infekcja „Purity scan” jest gdzieś w kwarantannie
(chyba była czymś wcześniej usuwana – usunąć C:\FOUND.037)
„Files Created..” --czysto!
„Find3M Report” - czysto!

Natomiast kilka niewiadomych widać w kluczach rejestru:

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Phsa"="\"C:\\WINDOWS\\ASKS~1\\rundll.exe\" -vt ndrv"   ------------to chyba po infekcji "Purity scan"
"Locf"="C:\\Program Files\\Common Files\\?asks\\r?ndll.exe" ---to po usunięciu „Purity scan”

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^GStartup.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menu Start\\Programy\\Autostart\\GStartup.lnk"
"backup"="C:\\WINDOWS\\pss\\GStartup.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\Program Files\\Common Files\\GMT\\GMT.exe /startup"
"item"="GStartup" ------------------------------------------------------- dotyczy tego: czytaj niżej

Zrób log z : HijackThis.
Jeśli będzie tam wpis:
O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe - to zrób:
1)pozamykaj porty przed robakami przy pomocy [Windows Worms Doors Cleaner.(niestety, ta strona często się zacina-trzeba czekać)
2)Wchodzisz w tryb awaryjny ( jak wejść, masz napisane TUTAJ ) i kasujesz co następuje:

To usuń ręcznie (pogrubione):
C:\Program Files\Common Files\GMT\GMT.exe

To usuwasz "fixem" w Hijacku, a pogrubione kasujesz ręcznie z dysku (jeśli jeszcze jest ta kopia):

O4 - Global Startup: GStartup.lnk = C:\Program Files\Common Files\GMT\GMT.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Keep Logo Axis Skip]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="License Aim" ---------------------------nie znam tego!
"hkey"="HKLM"
"command"="C:\\Documents and Settings\\All Users\\Dane aplikacji\\bend rule keep logo\\License Aim.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaEG8]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cgywbep" ---------------------------nie znam tego!
"hkey"="HKLM"
"command"="C:\\WINDOWS\\cgywbep.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\signcool]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="JUNKBLUEJUMP" - ---------------------------nie znam tego!
"hkey"="HKCU"
"command"="C:\\DOCUME~1\\REGENT\\DANEAP~1\\FORKRU~1\\JUNKBLUEJUMP.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{588599f4-de26-4c28-ba14-f4eb17e33481}"="emptins"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"emptins"="{588599f4-de26-4c28-ba14-f4eb17e33481}"

Jeśli nie było usuwania przy pomocy SmitfraudFixa lub w logu z Hijacka jest ten wpis:
O21 - SSODL: emptins - {588599f4-de26-4c28-ba14-f4eb17e33481} - C:\WINDOWS\System32\xxfgmy.dll (file missing)

to użyj SmitfraudFix z opcji 2 – czyli wstukaj „dwójkę” z klawiatury itd.
I wklej do postu tutaj raport z C:\ SmitfraudFix.txt

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\I]
Shell\AutoRun\command I:\autorun.exe --------------nie wiem, co to tu robi – być może była jakaś optymalizacja systemu!

Ewentualną naprawą niżej wymienionych kluczy rejestru może zajmie się tutaj ktoś inny
(ja potrafię tylko naprawiać klucze rejestru przy pomocy GMERa, a nie „ręcznie”).

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{588599f4-de26-4c28-ba14-f4eb17e33481}"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"emptins"=-

-[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\signcool]

-[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaEG8]

-[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Keep Logo Axis Skip]

-[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^GStartup.lnk]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Phsa"=-

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Locf"=-

morda

Dodano: 14.02.2007 03:21:22

morda 15.02.2007 19:19:44

Chciałbym przy okazji uprzedzić, że stosowanie ComboFixa jest od dzisiaj (15.II.2007) bardzo ryzykowne. Twórca ComboFixa umieścił komunikat, że właśnie pojawił się nowy Rootkit. Jeśli ktoś ma już tego Rootkita na swoim komputerze i potem ściągnie i uruchomi ComboFixa, to w ciągu kilku sekund zniszczony zostanie całkowicie jego system!
greg_FSD 18.02.2007 13:06:38

Dzięki za podjęcie tematu :)Spróbuję zrobić tak jak mówiłeś. Postaram się jeszcze wystawić loga z HijackThis. A co do combofixa, już nie będę używał tego narzędzia.pozdrawiam,greg.

greg_FSD

Dodano:: 10.02.2007 20:56:19
Komentarzy:: 1

Strona 1 / 1