dilucasso utworzono 8 sierpnia 2009 utworzono 8 sierpnia 2009 (edytowane) Kaspersky Anti-Virus wykrył mi Trojan-Clicker.Win32.Costrat.gb w pamięci systemowej. Kiedy próbuje go wyleczyć Kaspersky'm to w pewnym momencie wyskakuje okienko aby ponownie uruchomić komputer. Gdy to robie i komputer ponownie się włącza spowrotem jest to samo, cały czas wykrywa trojana. Co zrobić? Jak go usunąć? Podaje log z ComboFix'a: Log do sprawdzenia ComboFix 09-08-07.09 - Łukasz 2009-08-08 13:27.1.1 - NTFSx86Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.3327.2746 [GMT 2:00] Uruchomiony z: c:\documents and settings\Łukasz\Pulpit\ComboFix.exe AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0} . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\drivers\143501b2.sys c:\windows\system32\drivers\null.sys . . . brak pliku!! . ((((((((((((((((((((((((( Pliki utworzone od 2009-07-08 do 2009-08-08 ))))))))))))))))))))))))))))))) . 2009-08-08 11:10 . 2009-08-08 11:19 -------- d---a-w- c:\documents and settings\All Users\Dane aplikacji\TEMP 2009-08-08 11:10 . 2006-06-19 11:01 69632 ----a-w- c:\windows\system32\ztvcabinet.dll 2009-08-08 11:10 . 2006-05-25 13:52 162304 ----a-w- c:\windows\system32\ztvunrar36.dll 2009-08-08 11:10 . 2005-08-25 23:50 77312 ----a-w- c:\windows\system32\ztvunace26.dll 2009-08-08 11:10 . 2003-02-02 18:06 153088 ----a-w- c:\windows\system32\UNRAR3.dll 2009-08-08 11:10 . 2002-03-05 23:00 75264 ----a-w- c:\windows\system32\unacev2.dll 2009-08-08 11:10 . 2009-08-08 11:10 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Simply Super Software 2009-07-26 18:45 . 2009-07-29 19:03 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Test Drive Unlimited 2009-07-26 17:51 . 2009-07-26 17:51 108144 ----a-w- c:\windows\system32\CmdLineExt.dll 2009-07-23 17:43 . 2009-07-23 17:43 4 ----a-w- c:\windows\system32\proc20744962.bin 2009-07-17 21:20 . 2009-07-17 21:20 -------- d--h--w- c:\windows\system32\GroupPolicy . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-08-08 11:32 . 2009-04-23 18:34 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab 2009-08-08 11:30 . 2009-04-23 18:34 4492 --sha-w- c:\windows\system32\drivers\fidbox2.idx 2009-08-08 11:30 . 2009-04-23 18:34 385056 --sha-w- c:\windows\system32\drivers\fidbox2.dat 2009-08-08 11:30 . 2009-04-23 18:34 2326048 --sha-w- c:\windows\system32\drivers\fidbox.dat 2009-08-08 11:30 . 2009-04-23 18:34 21348 --sha-w- c:\windows\system32\drivers\fidbox.idx 2009-08-08 06:20 . 2009-04-14 11:19 196608 ----a-w- c:\windows\system32\drivers\nStandard.bin 2009-07-21 12:09 . 2009-04-23 18:38 208616 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe 2009-07-04 12:45 . 2009-04-18 20:46 -------- d-----w- c:\program files\Common Files\Adobe 2009-07-02 20:15 . 2009-04-14 11:47 -------- d-----w- c:\program files\Winamp 2009-05-24 11:56 . 2009-04-23 18:35 94643 ----a-w- c:\windows\system32\drivers\klick.dat 2009-05-24 11:56 . 2009-04-23 18:35 105395 ----a-w- c:\windows\system32\drivers\klin.dat . ------- Sigcheck ------- [-] 2009-08-01 19:07 61696 2F21F86B55C11CE807CC127E5B5E606E c:\windows\system32\dllcache\null.sys . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2009-04-10 9818728] "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-12 8429568] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-12 81920] "GamerOSD"="c:\program files\ASUS\GamerOSD\GamerOSD.exe" [2007-02-14 380928] "Adobe Reader Speed Launcher"="d:\programy\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-05-27 413696] "Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744] "AVP"="d:\programy\KIS 2009\avp.exe" [2009-07-21 208616] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-25 148888] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152] "GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016] "TrojanScanner"="d:\programy\Trojan Remover\Trjscan.exe" [2009-08-08 1068424] "SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488] "RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-10-30 16269312] "nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-04-12 1626112] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2009-7-4 113664] HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472] HP Photosmart Premier - Szybkie uruchomienie.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2006-2-10 73728] [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"= "d:\\Programy\\uTorrent\\uTorrent.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"= "c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"= "c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"= "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"= "c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"= "d:\\Programy\\SopCast\\adv\\SopAdver.exe"= "d:\\Programy\\SopCast\\SopCast.exe"= "d:\\GRY\\Test Drive Unlimited\\TestDriveUnlimited.exe"= R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808] R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592] . . ------- Skan uzupełniający ------- . uStart Page = hxxp://kxp.pl/wrzuta/ IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 FF - ProfilePath - c:\documents and settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\oggleccn.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.wp.pl/ FF - plugin: c:\program files\Mozilla Firefox\plugins\NPCARDS.dll FF - plugin: d:\programy\Adobe\Reader 8.0\Reader\browser\nppdf32.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-08-08 13:32 Windows 5.1.2600 Dodatek Service Pack 3 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- [HKEY_USERS\S-1-5-21-1957994488-796845957-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*] "??"=hex:69,4e,78,39,94,d2,3d,10,1e,4f,d7,4f,2e,29,5e,a3,b8,6d,82,6b,5b,11,5a, 17,9a,00,55,01,52,e5,1a,73,96,86,51,4b,3e,30,8a,47,42,0f,70,13,0c,64,83,68,\ "??"=hex:c9,99,6c,1b,c8,05,2d,0d,97,ec,c2,b2,b9,91,f0,10 . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\windows\ATKKBService.exe c:\windows\system32\rundll32.exe c:\program files\Common Files\Teleca Shared\CapabilityManager.exe c:\program files\Java\jre6\bin\jqs.exe c:\program files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe c:\program files\HP\Digital Imaging\bin\hpqimzone.exe c:\windows\system32\nvsvc32.exe c:\windows\system32\wdfmgr.exe c:\program files\HP\Digital Imaging\bin\hpqste08.exe c:\windows\system32\wscntfy.exe c:\program files\Common Files\Teleca Shared\Generic.exe c:\program files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe c:\windows\system32\wbem\wmiapsrv.exe . ************************************************************************** . Czas ukończenia: 2009-08-08 13:34 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2009-08-08 11:34 Przed: 19 684 536 320 bajtów wolnych Po: 19 782 193 152 bajtów wolnych WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer 156
Gość komentarz 8 sierpnia 2009 komentarz 8 sierpnia 2009 Następnym razem = nie używaj ComboFixa jeżeli ktoś Ciebie nie prosi, ale tym razem Ci wybaczę, ComboFix usunął plik Rootkita. c:\windows\system32\drivers\null.sys . . . brak pliku!! Pobierz ten plik: KLIK i wlep ten plik do katalogu c:\windows\system32\drivers... 1. Posprzątaj szczątki ComboFixa programem OTC. 2.Użyj programu Malwarebytes. Wciskamy Skanuj, wybieramy dyski do skanowania i Rozpoczynamy skanowanie, na końcu wciskamy Usuń zaznaczone jak będą i Ok. Wrzuć wygenerowany raport po usuwaniu MBAMem. Gdzie Kaspersky wykrywa tego wirusa? .
dilucasso komentarz 8 sierpnia 2009 Autor komentarz 8 sierpnia 2009 (edytowane) Ok. Nie wiedziałem. zrobiłem wszystko według instrukcji. W Kaspersky'm w miejscu w którym powinna być lokalizacja zainfekowanego pliku pisze po prostu "System memory"
Gość komentarz 8 sierpnia 2009 komentarz 8 sierpnia 2009 To chyba to był raczej ten Rootkit - został on usunięty. W takim razie powinno być OK. .
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.