log po použití combofixu

Zpráva

hulic · #1 Příspěvek od **hulic** » 16 zář 2015 13:41

zdravím, počítač již delší dobu blbne takovým stylem že se nemůžu přihlásit na qip, na icq jsem vidět offline i když jsem online, nefunguje mi mechanika jak by měla, nemůžu použít žádný antivirus atd. tak posílám log po použití combofixu, děkuju za odpovědi

ComboFix 15-09-07.01 - ervis 16.09.2015 13:23:38.1.2 - x86
Systém Microsoft Windows XP Professional 5.1.2600.2.1250.420.1029.18.447.173 [GMT 2:00]
Spuštěný z: d:\documents and settings\ervis\Dokumenty\Stažené soubory\hulic.exe
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
d:\documents and settings\ervis\WINDOWS
d:\windows\iun6002.exe
d:\windows\regedit.com
d:\windows\system32\Cache
d:\windows\system32\Cache\1d3bb00947663a21.fb
d:\windows\system32\Cache\20f8c3fae3ad7ead.fb
d:\windows\system32\Cache\26c630d098e22dd5.fb
d:\windows\system32\Cache\272512937d9e61a4.fb
d:\windows\system32\Cache\287204568329e189.fb
d:\windows\system32\Cache\28bc8f716fd76a47.fb
d:\windows\system32\Cache\2b048a6e5367b44c.fb
d:\windows\system32\Cache\2c53092c95605355.fb
d:\windows\system32\Cache\31a0997e9a5b5eb3.fb
d:\windows\system32\Cache\32c84fe32bb74d60.fb
d:\windows\system32\Cache\380a81852c7fea27.fb
d:\windows\system32\Cache\3917078cb68ec657.fb
d:\windows\system32\Cache\590ba23ce359fd0c.fb
d:\windows\system32\Cache\610289e025a3ee9a.fb
d:\windows\system32\Cache\651c5d3cdbfb8bd1.fb
d:\windows\system32\Cache\68d394925e9743ba.fb
d:\windows\system32\Cache\6a3b9c80470f5a9a.fb
d:\windows\system32\Cache\6c59ac5e7e7a3ad0.fb
d:\windows\system32\Cache\6d03dad1035885d3.fb
d:\windows\system32\Cache\6dd30a804553edca.fb
d:\windows\system32\Cache\7042822c78b57ed3.fb
d:\windows\system32\Cache\95f567698be8a182.fb
d:\windows\system32\Cache\a5ab6b8413b13505.fb
d:\windows\system32\Cache\a8556537add6dfc5.fb
d:\windows\system32\Cache\ad10a52aff5e038d.fb
d:\windows\system32\Cache\b052d82ed2db5a71.fb
d:\windows\system32\Cache\baf8fedd4789ff73.fb
d:\windows\system32\Cache\c1fa887b03019701.fb
d:\windows\system32\Cache\c4d28dca2e7648be.fb
d:\windows\system32\Cache\c8f677c35ff743bf.fb
d:\windows\system32\Cache\cc6c2d522cafb399.fb
d:\windows\system32\Cache\d201ef9910cd39de.fb
d:\windows\system32\Cache\d2e94710a5708128.fb
d:\windows\system32\Cache\d5897c7d71706953.fb
d:\windows\system32\Cache\d5e57d17f6b5dcb0.fb
d:\windows\system32\Cache\d79b9dfe81484ec4.fb
d:\windows\system32\Cache\e5ed3da9814f33d5.fb
d:\windows\system32\Cache\eae6873c4e92ebc0.fb
d:\windows\system32\Cache\f998975c9cc711ee.fb
d:\windows\system32\taskmgr.com
d:\windows\wininit.ini
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2015-08-16 do 2015-09-16 )))))))))))))))))))))))))))))))
.
.
2015-09-15 17:37 . 2015-06-18 06:41 121560 ----a-w- d:\windows\system32\drivers\mbamchameleon.sys
2015-09-15 17:37 . 2015-06-18 06:41 23256 ----a-w- d:\windows\system32\drivers\mbam.sys
2015-09-15 17:37 . 2015-09-15 17:37 -------- d-----w- d:\program files\Malwarebytes Anti-Malware
2015-09-15 14:00 . 2015-09-15 17:33 -------- d-----w- d:\documents and settings\All Users\Data aplikací\Spybot - Search & Destroy
2015-09-15 12:51 . 2015-09-15 12:51 -------- d---a-w- d:\windows\VDLL.DLL
2015-09-15 12:51 . 2015-09-15 12:51 -------- d---a-w- d:\windows\system32\runouce.exe
2015-09-15 12:51 . 2015-09-15 12:51 -------- d---a-w- d:\windows\rundll16.exe
2015-09-15 12:51 . 2015-09-15 12:51 -------- d---a-w- d:\windows\RUNDL132.EXE
2015-09-15 12:51 . 2015-09-15 12:51 -------- d---a-w- d:\windows\logo1_.exe
2015-09-15 12:51 . 2015-09-15 12:51 -------- d---a-w- d:\windows\logo_1.exe
2015-09-15 12:30 . 2015-09-15 12:30 632064 ----a-w- d:\windows\system32\msvcr80.dll
2015-09-15 12:30 . 2015-09-15 12:30 554240 ----a-w- d:\windows\system32\msvcp80.dll
2015-09-15 12:30 . 2015-09-15 12:30 34048 ----a-w- d:\windows\system32\eEmpty.exe
2015-09-15 12:30 . 2004-08-17 14:49 147968 ----a-w- d:\windows\R.COM
2015-09-15 12:30 . 2004-08-17 14:49 137216 ----a-w- d:\windows\system32\T.COM
2015-09-15 12:30 . 2015-09-15 12:30 -------- d-----w- d:\program files\Common Files\MicroWorld
2015-09-15 12:30 . 2015-09-15 12:30 -------- d-----w- d:\documents and settings\All Users\Data aplikací\MicroWorld
2015-09-14 14:11 . 2015-09-14 14:12 -------- d-----w- d:\program files\ICQ Ignore Checker
2015-09-12 10:06 . 2015-09-12 10:06 -------- d-----w- d:\windows\system32\wbem\Repository
2015-08-25 14:45 . 2015-09-14 14:01 -------- d-----w- d:\program files\QIP
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2015-08-25 09:49 . 2013-09-09 21:58 778440 ----a-w- d:\windows\system32\FlashPlayerApp.exe
2015-08-25 09:49 . 2013-09-09 21:58 142536 ----a-w- d:\windows\system32\FlashPlayerCPLApp.cpl
2015-07-18 08:56 . 2015-03-05 15:05 21840 ----atw- d:\windows\system32\SIntfNT.dll
2015-07-18 08:56 . 2015-03-05 15:05 17212 ----atw- d:\windows\system32\SIntf32.dll
2015-07-18 08:56 . 2015-03-05 15:05 12067 ----atw- d:\windows\system32\SIntf16.dll
2015-06-26 12:49 . 2015-06-26 12:49 348160 ----a-w- d:\windows\system32\msvcr71.dll
2015-06-26 12:49 . 2015-06-26 12:49 1060864 ----a-w- d:\windows\system32\mfc71.dll
2015-06-26 12:49 . 2015-06-26 12:49 1700352 ----a-w- d:\windows\system32\gdiplus.dll
2011-09-29 07:07 . 2015-08-03 10:13 134104 ----a-w- d:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CCleaner Monitoring"="d:\program files\CCleaner\CCleaner.exe" [2014-10-23 4825880]
"icq"="d:\documents and settings\ervis\Data aplikací\ICQM\icq.exe" [2015-08-09 36705800]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="d:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-10-28 344064]
"RTHDCPL"="RTHDCPL.EXE" [2009-05-21 17881600]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2004-08-17 15360]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0\0sdnclean.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
d:\windows\system32\dumprep 0 -k [X]
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CCleaner Monitoring]
2014-10-23 15:21 4825880 ----a-w- d:\program files\CCleaner\CCleaner.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-17 14:49 15360 ----a-w- d:\windows\system32\ctfmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\vProt]
2015-04-07 12:08 2503704 ----a-w- d:\program files\AVG Secure Search\vprot.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"Adobe ARM"="d:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"SunJavaUpdateSched"="d:\program files\Common Files\Java\Java Update\jusched.exe"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Program Files\\Winamp\\winamp.exe"=
"d:\\Program Files\\Valve\\hl.exe"=
"d:\\WINDOWS\\system32\\msiexec.exe"=
"d:\\Documents and Settings\\ervis\\Data aplikací\\ICQM\\icq.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3965:TCP"= 3965:TCP:cmhgyfy
.
R0 Bhbase;Baidu Hook Base;d:\windows\system32\drivers\Bhbase.sys [23.6.2015 15:53 46440]
S2 ldhcvxjzz;Support Center;d:\windows\system32\svchost.exe -k netsvcs [17.8.2004 16:49 14336]
S3 Ambfilt;Ambfilt;d:\windows\system32\drivers\Ambfilt.sys [9.7.2012 23:06 1684736]
S3 BprotectEx;Baidu ProtectEx;\??\d:\windows\System32\drivers\BprotectEx.sys --> d:\windows\System32\drivers\BprotectEx.sys [?]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ldhcvxjzz
.
Obsah adresáře 'Naplánované úlohy'
.
2015-09-16 d:\windows\Tasks\Adobe Flash Player Updater.job
- d:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-08 09:49]
.
2015-06-19 d:\windows\Tasks\GlaryInitialize.job
- d:\program files\Glary Utilities\initialize.exe [2012-08-19 06:46]
.
.
------- Doplňkový sken -------
.
uStart Page = hxxp://search.yahoo.com/?fr=avantsearch6
IE: E&xportovat do aplikace Microsoft Office Excel - d:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 46.33.112.42
FF - ProfilePath - d:\documents and settings\ervis\Data aplikací\Mozilla\Firefox\Profiles\cyjyep9n.default\
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
MSConfigStartUp-SuperbirdUpdater - d:\program files\SuperBird\miniupdater.exe
AddRemove-Cool's_Codec_pack_4.12 - d:\windows\iun6002.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2015-09-16 13:32
Windows 5.1.2600 Service Pack 2 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@d:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_16_0_0_296_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\LocalServer32]
@="d:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_16_0_0_296_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{B019E3BF-E7E5-453C-A2E4-D2C18CA0866F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}]
@Denied: (A 2) (Everyone)
@="IFlashBroker6"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{299817DA-1FAC-4CE2-8F48-A108237013BD}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(728)
d:\windows\system32\Ati2evxx.dll
.
Celkový čas: 2015-09-16 13:35:05
ComboFix-quarantined-files.txt 2015-09-16 11:35
.
Před spuštěním: Volných bajtů: 23 274 057 728
Po spuštění: Volných bajtů: 23 271 366 656
.
- - End Of File - - 4DE88A0783778931B072EDE59C60E301
413FC2A0C716421B3158746D63736515

#2 Příspěvek od **vyosek** » 16 zář 2015 13:46

Zdravim

Co se tyce ComboFixu, tak na zaklade licence a pravidel fora ptam, umite s nim pracovat (spusteni, rozlusteni logu, napsani skriptu)

Licencni podminky ComboFixu hovori jasne "Nikdy by nemel byt pouzit v prostredi bez dozoru zkusene osoby"
Obrázek

Nebezpeci CFka

Je urcen primarne pro radce - jeho svevolnym pouzitim ztracite narok na podporu
Maze stopy po haveti, takze v logu z RSIT neni nic videt
Jeho log je treba dolustit, jelikoz neumi smazat vse - to ovsem tezko zvladnete pokud k tomu nejste vyskolen
CF muze mit bug = sunda Vam system, pokud nevite kam co uklada, jak co obnovit, mate system v kytkam a ceka Vas reinstal
CF taky bohuzel prozatim nekontroluje nektere dulezite knihovny (napr. hal.dll) - ty treba mazou nektere typy haveti (napr. angela) - smaze Vam po restartu hal.dll = nenajede Vam system a jste o radek vyse = reinstal

VIRY.CZ

log po použití combofixu

log po použití combofixu

Re: log po použití combofixu