x-kom hosting

Rotkit,

Kubis
utworzono
utworzono

Dziś rano włączam kompa, i cóż mi avast pokazuje? 3 rotkity, wiem że z tym nie ma zabawy, więc od razu je usunąłem później wyczyściłem kompa combofix'em i oto logi z niego:

ComboFix 09-06-29.07 - xxx 2009-07-01  8:50.6 - NTFSx86Microsoft Windows XP Professional  5.1.2600.2.1250.48.1045.18.511.243 [GMT 2:00]Uruchomiony z: c:\documents and settings\xxx\Pulpit\ComboFix.exeAV: avast! antivirus 4.8.1229 [VPS 090630-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}.(((((((((((((((((((((((((((((((((((((((   Usunięto   ))))))))))))))))))))))))))))))))))))))))))))))))).c:\documents and settings\xxx\Dane aplikacji\wiaserva.logc:\documents and settings\xxx\Menu Start\Programy\Autostart\rncsys32.exe.(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Legacy_OREANS32-------\Service_glaide32-------\Service_oreans32(((((((((((((((((((((((((   Pliki utworzone od 2009-06-01 do 2009-07-01  ))))))))))))))))))))))))))))))).2009-06-30 13:08 . 2009-06-30 13:08	560640	----a-w-	c:\documents and settings\xxx\Dane aplikacji\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\pmv304-0906240-0-main.dll2009-06-30 13:08 . 2009-06-30 13:08	319488	----a-w-	c:\documents and settings\xxx\Dane aplikacji\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe2009-06-13 22:16 . 2009-06-13 22:16	--------	d-----w-	c:\documents and settings\xxx\Dane aplikacji\eSkiMoS R22009-06-13 21:54 . 2009-06-13 21:54	--------	d-----w-	c:\program files\Tasker2009-06-11 07:54 . 2009-06-08 12:00	110592	----a-w-	c:\documents and settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\1arwfk6r.default\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}\components\XpcomOpusConnector.dll2009-06-01 22:25 . 2009-06-01 22:25	--------	d-----w-	c:\windows\system32\KB9054742009-06-01 22:25 . 2009-03-10 20:26	1436544	----a-w-	c:\windows\system32\KB905474\wganotifypackageinner.exe2009-06-01 22:25 . 2009-03-10 20:18	455048	----a-w-	c:\windows\system32\KB905474\wgasetup.exe2009-06-01 22:22 . 2009-06-01 22:22	--------	d-----w-	c:\program files\MSXML 4.0.((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-06-30 06:02 . 2008-06-25 22:29	--------	d-----w-	c:\documents and settings\xxx\Dane aplikacji\gtk-2.02009-06-29 21:53 . 2008-04-28 19:35	--------	d-----w-	c:\documents and settings\xxx\Dane aplikacji\mIRC2009-06-29 17:55 . 2008-04-28 19:35	--------	d-----w-	c:\program files\mIRC2009-06-27 06:12 . 2008-06-04 19:22	--------	d-----w-	c:\program files\DC++2009-06-22 12:58 . 2008-07-16 20:45	--------	d-----w-	c:\program files\Dice! Plus2009-06-21 16:00 . 2009-05-31 13:29	--------	d-----w-	c:\program files\Norton Security Scan2009-06-19 17:38 . 2009-05-18 17:15	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\OpenFM2009-06-19 11:11 . 2008-08-29 22:38	--------	d-----w-	c:\documents and settings\xxx\Dane aplikacji\FileZilla2009-06-13 21:18 . 2009-03-06 21:36	--------	d-----w-	c:\program files\Nowe Gadu-Gadu2009-06-06 13:47 . 2009-04-05 10:30	--------	d-----w-	c:\documents and settings\xxx\Dane aplikacji\Xfire2009-06-04 15:29 . 2009-04-15 16:57	--------	d-----w-	c:\documents and settings\xxx\Dane aplikacji\Skype2009-06-04 15:26 . 2009-04-27 19:45	--------	d-----w-	c:\program files\English Translator 32009-06-02 08:15 . 2001-10-26 17:15	83266	----a-w-	c:\windows\system32\perfc015.dat2009-06-02 08:15 . 2001-10-26 17:15	487982	----a-w-	c:\windows\system32\perfh015.dat2009-05-31 16:24 . 2009-05-31 13:30	--------	d-----w-	c:\program files\Common Files\Symantec Shared2009-05-28 09:23 . 2009-05-28 09:23	42088	----a-w-	c:\documents and settings\xxx\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll2009-05-28 08:34 . 2009-05-28 08:34	11264	----a-w-	c:\documents and settings\xxx\Dane aplikacji\Nowe Gadu-Gadu\_userdata\npgg.1.dll2009-05-24 13:39 . 2009-03-06 21:37	--------	d-----w-	c:\documents and settings\xxx\Dane aplikacji\Nowe Gadu-Gadu2009-05-15 15:15 . 2009-04-05 10:30	--------	d-----w-	c:\program files\Xfire2009-05-08 18:57 . 2009-05-08 18:57	--------	d-----w-	c:\program files\Wisdom-soft ScreenHunter 5 Free2009-05-07 15:44 . 2004-08-03 22:44	346112	----a-w-	c:\windows\system32\localspl.dll2009-04-29 21:19 . 2009-04-29 21:19	41808	----a-w-	c:\windows\system32\xfcodec.dll2009-04-29 04:53 . 2004-08-03 22:44	662016	----a-w-	c:\windows\system32\wininet.dll2009-04-29 04:53 . 2004-08-03 22:44	81920	----a-w-	c:\windows\system32\ieencode.dll2009-04-19 20:11 . 2004-08-03 22:37	1846912	----a-w-	c:\windows\system32\win32k.sys2009-04-15 15:18 . 2004-08-03 22:44	584192	----a-w-	c:\windows\system32\rpcrt4.dll2009-04-14 05:59 . 2008-04-22 04:39	704448	----a-w-	c:\documents and settings\xxx\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-04-08 07:49 . 2009-03-30 14:38	703272	----a-w-	c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT.(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2008-03-20 2127296]"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 443968]"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-05-03 1630208][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360][HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"="c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"="c:\\Program Files\\Gadu-Gadu\\gg.exe"="e:\\program files\\TrackMania Nations ESWC\\TmNationsESWC.exe"="c:\\Program Files\\DC++\\DCPlusPlus.exe"="c:\\Documents and Settings\\All Users\\Dane aplikacji\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\Polish\\setup.exe"="d:\\Program Files\\Steam\\steam.exe"="d:\\Program Files\\Steam\\steamapps\\saverek\\counter-strike\\hl.exe"="d:\\Program Files\\Steam\\steamapps\\saverek\\counter-strike beta\\hl.exe"="d:\\Program Files\\Steam\\steamapps\\saverek\\deathmatch classic\\hl.exe"="d:\\Program Files\\Steam\\steamapps\\saverek\\ricochet\\hl.exe"="d:\\Program Files\\Steam\\steamapps\\saverek\\opposing force\\hl.exe"="d:\\Program Files\\Steam\\steamapps\\saverek\\day of defeat\\hl.exe"="d:\\Program Files\\Steam\\steamapps\\saverek\\team fortress classic\\hl.exe"="d:\\Program Files\\Steam\\steamapps\\saverek\\half-life\\hl.exe"="d:\\Program Files\\Steam\\steamapps\\saverek\\half-life blue shift\\hl.exe"="e:\\program files\\Activision\\Call of Duty 2\\CoD2MP_s.exe"="c:\\Program Files\\mIRC\\mirc.exe"="c:\\Documents and Settings\\xxx\\Pulpit\\FIFA08.exe"="c:\\Program Files\\Mozilla Firefox\\firefox.exe"="c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"="c:\\Documents and Settings\\xxx\\Dane aplikacji\\Macromedia\\Flash Player\\www.macromedia.com\\bin\\octoshape\\octoshape.exe"="c:\\Program Files\\Xfire\\Xfire.exe"="c:\\Program Files\\Skype\\Phone\\Skype.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"8461:TCP"= 8461:TCP:GoD High Port"8462:TCP"= 8462:TCP:GoD Low PortR1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-06-21 78416]R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-06-21 20560]S3 ChangeMe;ChangeMe;\??\c:\docume~1\xxx\USTAWI~1\Temp\ChangeMe.sys --> c:\docume~1\xxx\USTAWI~1\Temp\ChangeMe.sys [?]S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2008-12-23 50704]S3 PageFau1t;PageFau1t;\??\c:\documents and settings\xxx\Pulpit\sXe Hacked v6.9\PageFau1t.sys --> c:\documents and settings\xxx\Pulpit\sXe Hacked v6.9\PageFau1t.sys [?]S3 RenameMe;RenameMe;c:\windows\system32\RenameMe.sys [2008-05-20 8320]S3 x-tern;x-tern;\??\c:\documents and settings\xxx\Pulpit\Czity\X-Tern v2.0\x-tern.sys --> c:\documents and settings\xxx\Pulpit\Czity\X-Tern v2.0\x-tern.sys [?][HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7b0660ad-0fdd-11dd-94aa-806d6172696f}]\Shell\AutoRun\command - f:\setup\rsrc\autorun.exe\Shell\dinstall\command - f:\directx\dxsetup.exe.Zawartość folderu 'Zaplanowane zadania'2009-06-21 c:\windows\Tasks\Norton Security Scan for xxx.job- c:\program files\Norton Security Scan\Nss.exe [2009-03-13 15:20]2009-07-01 c:\windows\Tasks\WGASetup.job- c:\windows\system32\KB905474\wgasetup.exe [2009-06-01 20:18]..------- Skan uzupełniający -------.uStart Page = hxxp://www.google.pl/IE: &Winamp Search - c:\documents and settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.htmlIE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000FF - ProfilePath - c:\documents and settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\1arwfk6r.default\FF - component: c:\documents and settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\1arwfk6r.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dllFF - component: c:\documents and settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\1arwfk6r.default\extensions\{81BF1D23-5F17-408D-AC6B-BD6DF7CAF670}\components\XpcomOpusConnector.dllFF - plugin: c:\documents and settings\xxx\Dane aplikacji\Nowe Gadu-Gadu\_userdata\npgg.1.dllFF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dllFF - plugin: c:\program files\Mozilla Firefox\plugins\npCortona.dllFF - plugin: c:\program files\Opera\program\plugins\npdivx32.dllFF - HiddenExtension: Java Console: No Registry Reference - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA}.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-07-01 08:58Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ...  skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ...  skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'explorer.exe'(1012)c:\windows\system32\msi.dllc:\windows\system32\browselc.dllc:\program files\Microsoft Office\Office12\1045\GrooveIntlResource.dll.------------------------ Pozostałe uruchomione procesy ------------------------.c:\program files\Alwil Software\Avast4\aswUpdSv.exec:\program files\Alwil Software\Avast4\ashServ.exec:\windows\system32\nvsvc32.exec:\windows\system32\wdfmgr.exec:\windows\system32\rundll32.exec:\program files\Common Files\PCSuite\Services\ServiceLayer.exec:\windows\system32\wscntfy.exe.**************************************************************************.Czas ukończenia: 2009-07-01  9:04 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt  2009-07-01 07:04ComboFix2.txt  2008-09-03 15:26ComboFix3.txt  2008-08-19 14:25Przed: 2 366 185 472 bajtów wolnychPo: 2 279 182 336 bajtów wolnychWindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe[boot loader]timeout=2default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS[operating systems]c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdconsmulti(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect180	--- E O F ---	2009-06-10 10:11

Gość
komentarz
komentarz

Ogólnie jest OK. Następnym razem nie używaj ComboFixa bez zezwolenia.! :)

1. Do Notatnika wklej:

Windows Registry Editor Version 5.00[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"=-"Gadu-Gadu"=-"Picasa Media Detector"=-"DAEMON Tools Lite"=-[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"NvCplDaemon"=-"SunJavaUpdateSched"=-"NvMediaCenter"=-"nwiz"=-[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7b0660ad-0fdd-11dd-94aa-806d6172696f}]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako FIX.REG>>>

plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru).

Zrestartuj komputer.

2. Pobierz ---> The Avenger.

Wklej do niego ten tekst:

Drivers to delete:ChangeMePageFau1tRenameMex-tern

Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt.

3. Posprzątaj po ComboFixie i różnych narzędziach >>> OTCleanIt.

4. Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

5. Użyj programu Malwarebytes.

Wciskamy Skanuj, wybieramy dyski do skanowania i Rozpoczynamy skanowanie, na końcu wciskamy Usuń zaznaczone jak będą i Ok.

Wrzuć wygenerowany raport po usuwaniu MBAMem.

.

Kubis
komentarz
komentarz (edytowane)

Wybacz, wyjechałem. Już wszystko robię :D.

Aj, te Gadu-Gadu, Picasa i Demon, to dla tego, że przy resie kompa same się włączyły ; DD.

AVENGER:

Logfile of The Avenger Version 2.0, ? by Swandog46http://swandog46.geekstogo.comPlatform:  Windows XP*******************Script file opened successfully.Script file read successfully.Backups directory opened successfully at C:\Avenger*******************Beginning to process script file:Rootkit scan active.No rootkits found!Driver "ChangeMe" deleted successfully.Driver "PageFau1t" deleted successfully.Driver "RenameMe" deleted successfully.Driver "x-tern" deleted successfully.Completed script processing.*******************Finished!  Terminate.

Kaspersky nic nie wykrył :).

Gość
komentarz
komentarz

Czyli powinno być OK.! :)

.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.