PDA

View Full Version : combofix



forrofo
2008-03-24, 01:34
Hello,
thanks in advance for any help provided.
I ran (against your recommendations :S) a combofix without "supervision", and it deleted (according to S&D teatimer) the following:

(this was apparently a worm system32.exe) value "" (new data: "") deleted in System Startup user entry!
value "Alcmtr" (new data: "") NOT deleted in System Startup global entry!
value "Search Page" (new data: "http://go.microsoft.com/fwlink/?LinkId=54896") changed in Browser page!
value "Default_Page_URL" (new data: "http://go.microsoft.com/fwlink/?LinkId=69157") changed in Browser page!
value "Default_Search_URL" (new data: "http://go.microsoft.com/fwlink/?LinkId=54896") changed in Browser page!
value "AutoRun" (new data: "") deleted in Command processor!
value "load" (new data: "") deleted in NT startup!
value "run" (new data: "") deleted in NT startup!
value "System" (new data: "") deleted in Winlogon!
value "scrnsave.exe" (new data: "") deleted in Desktop settings!

I wanted to make sure nothing is wrong with that- so far i haven't had any problems with these deletions.

also, i wanted to know if in these logs there's anything about the AGOBOT-KU Worm i supposedly had in my PC (even though it wasn't detected by AVG, S&D, Ad-Aware, or AVG Anti-rootkit)
is there anything out of place?


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:17:42 p.m., on 23/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe
C:\Archivos de programa\Windows Defender\MSASCui.exe
C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe
D:\Archivos de programa\2Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\Archivos comunes\Filseclab\FilMsg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
D:\Archivos de programa\2Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de programa\FlashGet\jccatch.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de programa\FlashGet\getflash.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] D:\Archivos de programa\2Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_02] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'Servicio de red')
O4 - HKUS\S-1-5-21-839522115-616249376-2147200963-1003\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (User 'Nina')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\ARCHIV~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O8 - Extra context menu item: &Download All with FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod Service - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5624 bytes


SmitFraudFix v2.304

Scan done at 18:52:07,34, 23/03/2008
Run from C:\Documents and Settings\Felipe\Escritorio\SmitfraudFix
OS: Microsoft Windows XP [Versi¢n 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 babe.the-killer.bz

[...] HUNDREDS OF HOSTS

127.0.0.1 www.x-webdesign.com

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{73D560D1-6C21-4F0A-876B-0CC454F9A379}: DhcpNameServer=200.49.130.25 200.49.130.24 200.49.130.33
HKLM\SYSTEM\CS1\Services\Tcpip\..\{73D560D1-6C21-4F0A-876B-0CC454F9A379}: DhcpNameServer=200.49.130.25 200.49.130.24 200.49.130.33
HKLM\SYSTEM\CS2\Services\Tcpip\..\{73D560D1-6C21-4F0A-876B-0CC454F9A379}: DhcpNameServer=200.49.130.25 200.49.130.24 200.49.130.33
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=200.49.130.25 200.49.130.24 200.49.130.33
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=200.49.130.25 200.49.130.24 200.49.130.33
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=200.49.130.25 200.49.130.24 200.49.130.33


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning not selected.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



NOTE:THIS LOG IS TRANSLATED, SOME WORDS MIGHT DIFFER

ComboFix 08-03-23.2 - Felipe 2008-03-23 19:33:20.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.54.3082.18.470 [GMT -3:00]
Run from: C:\Documents and Settings\Felipe\Escritorio\ComboFix.exe
* New restore point created

WARNING - THIS COMPUTER DOESN'T HAVE A RECOVERY CONSOLE INSTALLED!
.

(((((((((((((((((( Files created since 2008-02-23 - 2008-03-23 )))))))))))))))))))))))))))))))))
.

2008-03-14 18:47 . 2005-07-05 12:55 124,752 --a------ C:\WINDOWS\system32\xpacket.sys
2008-03-14 18:46 . 2008-03-14 18:46 <DIR> d-------- C:\Archivos de programa\Filseclab
2008-03-14 18:46 . 2008-03-14 18:47 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Filseclab
2008-03-12 19:51 . 2008-03-23 19:27 <DIR> d-------- C:\Archivos de programa\FlashGet
2008-03-12 18:51 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-03-12 18:51 . 2004-08-03 23:07 59,264 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-03-12 18:46 . 2004-08-03 23:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-03-12 18:46 . 2004-08-03 23:08 31,616 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-03-10 14:25 . 2004-12-18 20:32 38,229 --------- C:\WINDOWS\system32\drivers\StMp3Rec.sys
2008-03-03 15:51 . 2008-03-03 15:48 691,545 --a------ C:\WINDOWS\unins000.exe
2008-03-03 15:51 . 2008-03-03 15:51 2,553 --a------ C:\WINDOWS\unins000.dat
2008-03-03 02:11 . 2008-03-03 02:11 268 --ah----- C:\sqmdata06.sqm
2008-03-03 02:11 . 2008-03-03 02:11 244 --ah----- C:\sqmnoopt06.sqm
2008-03-02 23:56 . 2008-03-22 03:15 <DIR> d-a------ C:\Documents and Settings\All Users\Datos de programa\TEMP
2008-02-23 15:28 . 2008-02-23 15:28 <DIR> d-------- C:\Documents and Settings\Nina\Datos de programa\Talkback
2008-02-23 01:35 . 2008-02-23 01:35 <DIR> d-------- C:\Documents and Settings\Invitado\Datos de programa\Talkback

.
(((((((((((((((((((((((((((((((((((((( Report Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-23 22:30 --------- d-----w C:\Documents and Settings\Felipe\Datos de programa\AVG7
2008-03-23 22:16 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\avg7
2008-03-23 16:19 --------- d-----w C:\Documents and Settings\Nina\Datos de programa\AVG7
2008-03-22 06:15 --------- d-----w C:\Archivos de programa\SpywareBlaster
2008-03-14 22:54 --------- d-----w C:\Documents and Settings\Felipe\Datos de programa\Apple Computer
2008-03-14 21:46 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-03-10 17:25 --------- d-----w C:\Archivos de programa\iPod
2008-03-03 18:54 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-03-03 18:53 --------- d-----w C:\Archivos de programa\Spybot - Search & Destroy
2008-02-18 22:26 --------- d-----w C:\Documents and Settings\Invitado\Datos de programa\Carpeta de carga de Share-to-Web
2008-02-17 01:44 --------- d-----w C:\Documents and Settings\Invitado\Datos de programa\AVG7
2008-02-13 21:44 --------- d-----w C:\Archivos de programa\Microsoft Silverlight
2008-02-12 16:16 --------- d-----w C:\Documents and Settings\Felipe\Datos de programa\LimeWire
2008-02-02 19:22 --------- d-----w C:\Documents and Settings\Nina\Datos de programa\DivX
2008-01-26 02:32 --------- d-----w C:\Documents and Settings\Felipe\Datos de programa\DivX
.

((((((((((((((((((((((((((((((((( Loading Reg Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* empty & legitimate entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ZipFile]
@={2D7E38A6-A604-45AE-9A87-4F5F25760650}

[HKEY_CLASSES_ROOT\CLSID\{2D7E38A6-A604-45AE-9A87-4F5F25760650}]
C:\WINDOWS\System32\winsdrv.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-30 19:35 7634944]
"nwiz"="nwiz.exe" [2006-10-30 19:35 1622016 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-10-30 19:35 86016 C:\WINDOWS\system32\nvmctray.dll]
"SkyTel"="SkyTel.EXE" [2006-05-16 07:04 2879488 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-02-26 04:03 16125440 C:\WINDOWS\RTHDCPL.exe]
"Corel Reminder"="" []
"AVG7_CC"="C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe" [2007-12-20 22:38 579072]
"Windows Defender"="C:\Archivos de programa\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]
"HP Software Update"="C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2002-12-17 11:40 49152]
"DeviceDiscovery"="D:\Archivos de programa\2Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2002-12-02 20:56 40960]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"AVG7_Run"="C:\ARCHIV~1\Grisoft\AVG7\avgw.exe" [2007-11-27 12:03 219136]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
Filseclab Messenger.lnk - C:\Archivos de programa\Archivos comunes\Filseclab\FilMsg.exe [2008-03-14 18:47:00 315652]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Corel\\Graphics10\\Register\\NAVBrowser.exe"=
"C:\\Archivos de programa\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Archivos de programa\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Archivos de programa\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Archivos de programa\\Grisoft\\AVG7\\avgemc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Anterior\\Archivos de programa\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Anterior\\Archivos de programa\\LimeWire\\LimeWire.exe"=
"D:\\gavaa\\Half-Life\\hl.exe"=
"C:\\Archivos de programa\\iTunes\\iTunes.exe"=
"C:\\Archivos de programa\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Archivos de programa\\FlashGet\\flashget.exe"=

R0 XPacket;Filseclab Packet Filter;C:\WINDOWS\system32\xpacket.sys [2005-07-05 12:55]
R3 BENDER;Pinnacle DV/AV Capture;C:\WINDOWS\system32\drivers\bender.sys [2003-07-09 14:35]
S3 ddsxeiservice;ddsxeiservice2;C:\Archivos de programa\sXe Injected\ddsxei.sys []

.
Content of folder 'Scheduled Tasks'
"2008-03-23 22:18:37 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Archivos de programa\Windows Defender\MpCmdRun.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-23 19:35:37
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scanning successfully completed
hidden files: 0

**************************************************************************
.
Finish time: 2008-03-23 19:37:12
ComboFix-quarantined-files.txt 2008-03-23 22:37:09
.
2008-03-22 07:24:26 --- E O F ---