
Mam gorącą prośbę o analizę loga z ComboFixa. Komputer restartuje się tuż po komunikacie błędu z programu temp2.exe. Komunikat ten wyskakiwał tuż po zalogowaniu a zaraz po tym restart komputera.
Uruchomienie ComboFixa nie pomogło. Komunikat błędu z programu temp2.exe już nie występuje ale komputer restartuje się nadal. Log znajduje się poniżej. Z góry dziękuje za pomoc.
Pozdrawiam,
mrudolf
- Kod: Zaznacz wszystko
ComboFix 08-11-18.02 - Administrator 2008-11-18 22:39:26.1 - NTFSx86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.363 [GMT 1:00]
Uruchomiony z: \\ibm\odzysk\ComboFix.exe
.
((((((((((((((((((((((((((((((((((((((( Usuniêto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
C:\copy.exe
c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\inetinfo.exe
c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\lsass.exe
c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\services.exe
c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\winlogon.exe
c:\documents and settings\BAJBUS\Ustawienia lokalne\Dane aplikacji\inetinfo.exe
c:\documents and settings\BAJBUS\Ustawienia lokalne\Dane aplikacji\lsass.exe
c:\documents and settings\BAJBUS\Ustawienia lokalne\Dane aplikacji\services.exe
c:\documents and settings\BAJBUS\Ustawienia lokalne\Dane aplikacji\winlogon.exe
C:\host.exe
c:\program files\DITel\mazowieckie2007\images\html\wg\kontimex_2283387_pliki\_desktop.ini
c:\program files\DITel\mazowieckie2007\images\html\wg\marico_2284246_pliki\_desktop.ini
c:\program files\DITel\mazowieckie2007\images\html\wg\meble_targowa_2283485_pliki\_desktop.ini
c:\program files\DITel\mazowieckie2007\images\html\wg\meyer_2284008_pliki\_desktop.ini
c:\program files\DITel\mazowieckie2007\images\html\wg\mitexservice_2291268_pliki\_desktop.ini
c:\program files\DITel\mazowieckie2007\images\html\wg\oficyna_wydawnicza_mh_2284239_pliki\_desktop.ini
c:\program files\DITel\mazowieckie2007\images\html\wg\parkett_2284659_pliki\_desktop.ini
c:\program files\DITel\mazowieckie2007\images\html\wg\ppks_2283949_pliki\_desktop.ini
c:\program files\DITel\mazowieckie2007\images\html\wg\psa_2269597_pliki\_desktop.ini
c:\program files\DITel\mazowieckie2007\images\html\wg\ravbod_2284310_pliki\_desktop.ini
c:\program files\DITel\mazowieckie2007\images\html\wg\rockfin_2273073_pliki\_desktop.ini
c:\program files\DITel\mazowieckie2007\images\html\wg\rubikon_2284380_pliki\_desktop.ini
c:\program files\DITel\mazowieckie2007\images\html\wg\technokabel_1080337_pliki\_desktop.ini
c:\program files\DITel\mazowieckie2007\images\html\wg\urga_2284135_pliki\_desktop.ini
c:\program files\DITel\mazowieckie2007\images\html\wg\volumen_2283415_pliki\_desktop.ini
c:\program files\DITel\mazowieckie2007\images\html\wg\wytwarzanie_transport_2284159_pliki\_desktop.ini
c:\program files\DITel\mazowieckie2007\images\html\wg\zalpol_2283953_pliki\_desktop.ini
c:\program files\DITel\mazowieckie2007\images\html\wg\zeller_plastik_2284147_pliki\_desktop.ini
c:\program files\DITel\mazowieckie2007\images\html\wg\zto_2278003_pliki\_desktop.ini
c:\program files\DITel\mazowieckie2007\images\html\wl\img_zlogo\_desktop.ini
c:\windows\autorun.inf
c:\windows\svchost.exe
c:\windows\system32\temp1.exe
c:\windows\system32\temp2.exe
c:\windows\xcopy.exe
D:\Autorun.inf
D:\copy.exe
D:\host.exe
.
((((((((((((((((((((((((( Pliki utworzone od 2008-10-18 do 2008-11-18 )))))))))))))))))))))))))))))))
.
2008-11-18 20:56 . 2008-11-18 21:10 <DIR> d---s---- c:\documents and settings\Administrator\UserData
2008-11-18 20:56 . 2008-11-18 21:09 <DIR> d-------- c:\documents and settings\Administrator\Pulpit
2008-11-18 20:08 . 2001-08-17 22:02 9,600 --a------ c:\windows\system32\drivers\hidusb.sys
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-18 20:09 --------- d-----w c:\program files\Google
2006-02-07 02:12 299,008 ----a-w c:\program files\bestplayer1.0.exe
2005-02-25 02:22 208,896 ----a-w c:\windows\inf\MSI\SlowDownCPU\SlowDownCPU.exe
2005-02-22 06:47 39,040 ----a-w c:\windows\inf\MSI\SlowDownCPU\RushTop.sys
2005-02-22 06:47 143,360 ----a-w c:\windows\inf\MSI\SlowDownCPU\RushTop.dll
2004-11-01 09:12 23,424 ----a-w c:\windows\inf\MSI\SlowDownCPU\NTGLM7X.SYS
2004-11-01 09:11 94,208 ----a-w c:\windows\inf\MSI\SlowDownCPU\GLM7x.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyœlne, prawid³owe wpisy nie s¹ pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-04 1667584]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-08-09 1961984]
"OM_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master\Monitor.exe" [2005-06-02 57344]
"Tok-Cirrhatus-3444"="c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\br7911on.exe" [2008-01-01 44417]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SlowDownCPU"="c:\windows\INF\MSI\SlowDownCPU\SlowDownCPU.exe" [2005-02-25 208896]
"SoundMAXPnP"="c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-12 344064]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2005-05-13 32768]
"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 32768]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2006-01-30 35328]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-06-30 77824]
"OM_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master\FirstStart.exe" [2005-06-02 40960]
"DaemonTools_WhenUSaveNow_Installer"="c:\program files\DaemonTools_WhenUSaveNow_Installer\DaemonTools_WhenUSaveNow_Installer.exe" [2006-03-30 148480]
"OBSWATCH"="c:\progra~1\OrangeBs\Watch.exe" [2005-09-07 20480]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
c:\documents and settings\Administrator\Menu Start\Programy\Autostart\
Empty.pif [2008-01-01 44417]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
ATI CATALYST System Tray.lnk - c:\program files\ATI Technologies\ATI.ACE\CLI.exe [2005-05-13 32768]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.MJPG"= pvmjpg21.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
S2 Kmm4xNT;Kmm4xNT;c:\windows\system32\drivers\Kmm4xNT.sys [2006-03-12 95484]
S3 GTFFBUS;GT FF BUS;c:\windows\system32\DRIVERS\gtffbus.sys [2007-10-23 16128]
S3 GTMMDMUSB;GT M 3G+ USB MDM;c:\windows\system32\DRIVERS\gtmmdmusb.sys [2007-10-23 25344]
S3 GTMNDISIRPXP;GT M 3G+ IRP NDIS;c:\windows\system32\DRIVERS\Gtm51Irp.sys [2007-10-23 112000]
S3 GTMSERUSB;GT M 3G+ USB SER;c:\windows\system32\DRIVERS\gtmserusb.sys [2007-10-23 21760]
S3 GTPTSER;GT PT SER;c:\windows\system32\DRIVERS\gtptser.sys [2007-10-23 8064]
S3 GTSCSER;GT SC SER;c:\windows\system32\DRIVERS\gtscser.sys [2007-10-23 19328]
S3 GtVUsb;GlobeTrotter 3G+ Viper Filter Service;c:\windows\system32\DRIVERS\GtVUsb.sys [2007-10-23 5120]
S3 RushTopDevice;RushTopDevice;\??\c:\windows\INF\MSI\SlowDownCPU\RushTop.sys [2006-01-31 39040]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\E:\NTGLM7X.sys []
S3 SlowDownCPU;SlowDownCPU;\??\c:\windows\INF\MSI\SlowDownCPU\NTGLM7X.sys [2006-01-31 23424]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\LaunchU3.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{266f2d4a-2342-11dc-96ea-0013d33856c4}]
\Shell\AutoRun\command - G:\LaunchU3.exe
*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
.
------- Skan uzupe³niaj¹cy -------
.
uStart Page = hxxp://www.google.pl/
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
c:\windows\system32\SkanerOnlineUninstall.exe - c:\windows\system32\SkanerOnline.dll
O16 -: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7}
hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
c:\windows\Downloaded Program Files\SkanerOnline.inf
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-18 22:40:31
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyœlnie ukoñczone
ukryte pliki: 0
**************************************************************************
.
Czas ukoñczenia: 2008-11-18 22:40:58
ComboFix-quarantined-files.txt 2008-11-18 21:40:56
Przed: 7 755 051 008 bajtów wolnych
Po: 8,475,545,600 bajtów wolnych
WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
155