Just nu i M3-nätverket
Jump to content

Behöver hjälp med Combofix logg


herrbrun

Recommended Posts

Hej!

 

Min dator hade Windows Recovery virus och jag följde de stegen i denna tråd: http://eforum.idg.se...ig-fa-bort-det/

 

Nu har jag kört combofix och jag ser att många mappar och program som tidigare hade försvunnit har kommit tillbaka. Det står att man ska visa loggen för någon admin som kan se om något mer behöver göras. Så här kommer min logg och hoppas någon kan titta igenom den! Vore jättesnällt!

Link to comment
Share on other sites

ComboFix 11-05-08.04 - Administrator 2011-05-09 13:43:15.1.2 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.46.1053.18.3567.3059 [GMT 2:00]

Körs från: c:\documents and settings\Administrator.STHLM\Skrivbord\ComboFix.exe

.

.

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\documents and settings\magnus\Application Data\EurekaLog

c:\program\pdfforge Toolbar\pdFForgetoolbarie.dll

c:\program\pdfforge Toolbar\SearchSettings.dll

c:\windows\system32\Cache

D:\Autorun.inf

.

.

((((((((((((((((((((((((((((((((((((((( Drivrutiner/Tjänster )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Legacy_USNJSVC

-------\Service_usnjsvc

.

.

(((((((((((((((((((((((( Filer Skapade från 2011-04-09 till 2011-05-09 ))))))))))))))))))))))))))))))

.

.

2011-05-09 11:47 . 2011-05-09 11:47 118784 ----a-w- c:\windows\system32\chg.exe

2011-05-09 10:44 . 2011-05-09 10:44 -------- d--h--w- c:\documents and settings\magnus\Application Data\Malwarebytes

2011-05-09 10:44 . 2010-12-20 16:09 38224 ---ha-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-05-09 10:44 . 2011-05-09 10:44 -------- d--h--w- c:\documents and settings\All Users\Application Data\Malwarebytes

2011-05-09 10:44 . 2010-12-20 16:08 20952 ---ha-w- c:\windows\system32\drivers\mbam.sys

2011-05-09 10:44 . 2011-05-09 10:44 -------- d--h--w- c:\program\Malwarebytes' Anti-Malware

2011-05-09 09:25 . 2011-05-09 09:25 1550012 ---ha-w- c:\windows\system32\PerfStringBackup.TMP

2011-05-09 08:53 . 2011-05-09 08:53 -------- d--h--w- c:\documents and settings\C712165

.

.

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-03-07 05:33 . 2004-08-04 08:33 692736 ---ha-w- c:\windows\system32\inetcomm.dll

2011-03-04 06:36 . 2004-08-04 08:34 420864 ---ha-w- c:\windows\system32\vbscript.dll

2011-03-03 13:53 . 2004-08-04 08:20 1857920 ---ha-w- c:\windows\system32\win32k.sys

2011-02-22 23:07 . 2004-08-04 08:34 916480 ---ha-w- c:\windows\system32\wininet.dll

2011-02-22 23:07 . 2004-08-04 08:34 1469440 ---h--w- c:\windows\system32\inetcpl.cpl

2011-02-22 23:07 . 2004-08-04 08:33 43520 ---ha-w- c:\windows\system32\licmgr10.dll

2011-02-22 11:43 . 2004-08-04 08:13 385024 ---ha-w- c:\windows\system32\html.iec

2011-02-17 13:18 . 2004-08-04 06:15 455936 ---ha-w- c:\windows\system32\drivers\mrxsmb.sys

2011-02-17 13:18 . 2004-08-04 06:14 357888 ---ha-w- c:\windows\system32\drivers\srv.sys

2011-02-17 12:54 . 2008-05-05 05:25 5120 ---ha-w- c:\windows\system32\xpsp4res.dll

2011-02-15 12:56 . 2004-08-04 08:30 290432 ---ha-w- c:\windows\system32\atmfd.dll

2011-02-09 13:54 . 2004-08-04 08:33 270848 ---ha-w- c:\windows\system32\sbe.dll

2011-02-09 13:54 . 2004-08-04 08:33 186880 ---ha-w- c:\windows\system32\encdec.dll

2011-02-08 13:33 . 2004-08-04 08:33 978944 ---h--w- c:\windows\system32\mfc42.dll

2011-02-08 13:33 . 2004-08-04 08:33 974848 ---ha-w- c:\windows\system32\mfc42u.dll

2008-02-19 08:26 . 2008-02-19 08:26 454656 ---ha-w- c:\program\putty.exe

.

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LightScribe Control Panel"="c:\program\Delade filer\LightScribe\LightScribeControlPanel.exe" [2007-04-19 484904]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-07-20 8466432]

"RTHDCPL"="RTHDCPL.EXE" [2007-06-13 16377344]

"PDF Complete"="c:\program\PDF Complete\pdfsty.exe" [2007-06-25 331288]

"Recguard"="c:\windows\Sminst\Recguard.exe" [2006-05-12 1138688]

"Reminder"="c:\windows\Creator\Remind_XP.exe" [2006-03-31 761856]

"Scheduler"="c:\windows\SMINST\Scheduler.exe" [2006-07-10 872448]

"SearchSettings"="c:\program\pdfforge Toolbar\SearchSettings.exe" [2009-07-29 1024512]

"Net iD"="c:\program\Net iD\iid.exe" [2009-01-09 95472]

"Adobe Reader Speed Launcher"="c:\program\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]

"Adobe ARM"="c:\program\Delade filer\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

"QuickTime Task"="c:\program\QuickTime\qttask.exe" [2010-11-29 421888]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-513054192-2283468344-1881928237-1569\Scripts\Logon\0\0]

"Script"=\\sthlm.lindorff.se\NETLOGON\Connectprinters.vbs

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-513054192-2283468344-1881928237-1575\Scripts\Logon\0\0]

"Script"=\\Ran\SYSVOL\sthlm.lindorff.se\scripts\MapCICNet.bat

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-513054192-2283468344-1881928237-2214\Scripts\Logon\0\0]

"Script"=\\Ran\SYSVOL\sthlm.lindorff.se\scripts\MapCICNet.bat

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\SMINST\\Scheduler.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program\\UltraEdit-32\\uedit32.exe"=

"c:\\WINDOWS\\system32\\ftp.exe"=

"c:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

.

R2 MsDtsServer;SQL Server Integration Services;c:\program\Microsoft SQL Server\90\DTS\Binn\MsDtsSrvr.exe [2007-03-04 202096]

R2 pdfcDispatcher;PDF Document Manager;c:\program\PDF Complete\pdfsvc.exe [2008-02-19 540184]

R2 ReportServer;SQL Server Reporting Services (MSSQLSERVER);c:\program\Microsoft SQL Server\MSSQL.3\Reporting Services\ReportServer\bin\ReportingServicesService.exe [2007-03-04 17264]

S2 gupdate;Google Update Service (gupdate);c:\program\Google\Update\GoogleUpdate.exe [2010-01-11 135664]

S3 gupdatem;Tjänsten Google Update (gupdatem);c:\program\Google\Update\GoogleUpdate.exe [2010-01-11 135664]

S4 msvsmon80;Visual Studio 2005 Remote Debugger;c:\program\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe [2006-12-02 2805000]

S4 msvsmon90;Visual Studio 2008 Remote Debugger;c:\program\Microsoft Visual Studio 9.0\Common7\IDE\Remote Debugger\x86\msvsmon.exe [2007-11-07 3004416]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]

2007-04-19 12:23 452136 ---ha-w- c:\program\Delade filer\LightScribe\LSRunOnce.exe

.

Innehållet i mappen 'Schemalagda aktiviteter':

.

2011-05-09 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

.

2011-05-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program\Google\Update\GoogleUpdate.exe [2010-01-11 07:16]

.

2011-05-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program\Google\Update\GoogleUpdate.exe [2010-01-11 07:16]

.

.

------- Extra genomsökning -------

.

uStart Page = about:blank

IE: E&xportera till Microsoft Excel - c:\program\MICROS~3\Office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\program\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html

FF - ProfilePath -

.

.

------- Filassociationer -------

.

.txt=UltraEdit.txt

.

- - - - FÖRÄLDRALÖSA POSTER SOM TAGITS BORT - - - -

.

AddRemove-Knowledge Xpert - c:\program files\quest software\Quest Installer\qi.exe

AddRemove-Knowledge Xpert for PLSQL V9.0 - c:\program\QUESTS~1\KNOWLE~1\PLSQL\UNWISE.EXE

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-05-09 13:48

Windows 5.1.2600 Service Pack 3 NTFS

.

scanning hidden processes ...

.

scanning hidden autostart entries ...

.

scanning hidden files ...

.

scan completed successfully

hidden files: 0

.

**************************************************************************

.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msftesql]

"ImagePath"="\"c:\program\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe\" -s:MSSQL.1 -f:MSSQLSERVER"

--

.

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pdfcDispatcher]

"ImagePath"="c:\program\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

.

[HKEY_USERS\S-1-5-21-513054192-2283468344-1881928237-500\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (Administrator)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,52,34,2d,94,d8,ce,dc,49,90,26,3a,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,52,34,2d,94,d8,ce,dc,49,90,26,3a,\

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10p_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10p_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

.

- - - - - - - > 'explorer.exe'(3216)

c:\windows\system32\webcheck.dll

.

------------------------ Andra processer som körs ------------------------

.

c:\windows\system32\inetsrv\inetinfo.exe

c:\program\Delade filer\LightScribe\LSSrvc.exe

c:\windows\system32\nvsvc32.exe

c:\windows\RTHDCPL.EXE

c:\program\Microsoft SQL Server\90\Shared\sqlwriter.exe

c:\windows\System32\SCardSvr.exe

.

**************************************************************************

.

Sluttid: 2011-05-09 13:53:57 - datorn startades om.

ComboFix-quarantined-files.txt 2011-05-09 11:53

.

Före genomsökningen: 439 343 427 584 byte ledigt

Efter genomsökningen: 440 853 016 576 byte ledigt

.

WindowsXP-KB310994-SP2-Pro-BootDisk-SVE.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

.

- - End Of File - - 5FE9FF86316A4000746E26E1D235EBC9

 

 

 

Link to comment
Share on other sites

Hej,

vilka mappar och program har kommit tillbaka?

Kan du posta loggarna från DDS, (DDS.txt och Attach.txt).

Samt loggen från Malwarebytes, så att vi får se vad du drabbats av.

Det kan ju finnas mer än Microsoft Recovery virus att ta hänsyn till.

Mvh

Mats H

Link to comment
Share on other sites

Hej, vidare, kan du kolla denna fil ( c:\windows\system32\chg.exe ) på Virustotal, hittas här:

http://www.virustotal.com/

Tryck på bläddraknappen, leta reda på filen, Tryck Send File.

Återkom med svarslänken, färdiganalyserad.

 

Är detta en företagsdator?

Mvh

Mats H

Link to comment
Share on other sites

Hej, vidare, kan du kolla denna fil ( c:\windows\system32\chg.exe ) på Virustotal, hittas här:

http://www.virustotal.com/

Tryck på bläddraknappen, leta reda på filen, Tryck Send File.

Återkom med svarslänken, färdiganalyserad.

 

Är detta en företagsdator?

Mvh

Mats H

 

Ja detta är företagsdator. Jag återkommer med alla loggar o sånt snart!

Link to comment
Share on other sites

Ja detta är företagsdator.
Observera att MBAM inte är gratis på företagsdatorer. Om du inte har betalat för en företagslicens så avinstallera MBAM.

 

Vare sig ComboFix, Mats eller jag lovar att datorn kan anslutas till företagsdomänen utan problem efter en rensning eftersom ett företag kan ha särskilda inställningar som kommer att ändras.

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...