x-kom hosting

Problem z trojanem. Proszę o sprawdezenie logu

dilucasso
utworzono
utworzono (edytowane)

Kaspersky Anti-Virus wykrył mi Trojan-Clicker.Win32.Costrat.gb w pamięci systemowej. Kiedy próbuje go wyleczyć Kaspersky'm to w pewnym momencie wyskakuje okienko aby ponownie uruchomić komputer. Gdy to robie i komputer ponownie się włącza spowrotem jest to samo, cały czas wykrywa trojana. Co zrobić? Jak go usunąć?

Podaje log z ComboFix'a:

Log do sprawdzenia
ComboFix 09-08-07.09 - Łukasz 2009-08-08 13:27.1.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.3327.2746 [GMT 2:00]

Uruchomiony z: c:\documents and settings\Łukasz\Pulpit\ComboFix.exe

AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\drivers\143501b2.sys

c:\windows\system32\drivers\null.sys . . . brak pliku!!

.

((((((((((((((((((((((((( Pliki utworzone od 2009-07-08 do 2009-08-08 )))))))))))))))))))))))))))))))

.

2009-08-08 11:10 . 2009-08-08 11:19 -------- d---a-w- c:\documents and settings\All Users\Dane aplikacji\TEMP

2009-08-08 11:10 . 2006-06-19 11:01 69632 ----a-w- c:\windows\system32\ztvcabinet.dll

2009-08-08 11:10 . 2006-05-25 13:52 162304 ----a-w- c:\windows\system32\ztvunrar36.dll

2009-08-08 11:10 . 2005-08-25 23:50 77312 ----a-w- c:\windows\system32\ztvunace26.dll

2009-08-08 11:10 . 2003-02-02 18:06 153088 ----a-w- c:\windows\system32\UNRAR3.dll

2009-08-08 11:10 . 2002-03-05 23:00 75264 ----a-w- c:\windows\system32\unacev2.dll

2009-08-08 11:10 . 2009-08-08 11:10 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Simply Super Software

2009-07-26 18:45 . 2009-07-29 19:03 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Test Drive Unlimited

2009-07-26 17:51 . 2009-07-26 17:51 108144 ----a-w- c:\windows\system32\CmdLineExt.dll

2009-07-23 17:43 . 2009-07-23 17:43 4 ----a-w- c:\windows\system32\proc20744962.bin

2009-07-17 21:20 . 2009-07-17 21:20 -------- d--h--w- c:\windows\system32\GroupPolicy

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-08-08 11:32 . 2009-04-23 18:34 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab

2009-08-08 11:30 . 2009-04-23 18:34 4492 --sha-w- c:\windows\system32\drivers\fidbox2.idx

2009-08-08 11:30 . 2009-04-23 18:34 385056 --sha-w- c:\windows\system32\drivers\fidbox2.dat

2009-08-08 11:30 . 2009-04-23 18:34 2326048 --sha-w- c:\windows\system32\drivers\fidbox.dat

2009-08-08 11:30 . 2009-04-23 18:34 21348 --sha-w- c:\windows\system32\drivers\fidbox.idx

2009-08-08 06:20 . 2009-04-14 11:19 196608 ----a-w- c:\windows\system32\drivers\nStandard.bin

2009-07-21 12:09 . 2009-04-23 18:38 208616 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\avp.exe

2009-07-04 12:45 . 2009-04-18 20:46 -------- d-----w- c:\program files\Common Files\Adobe

2009-07-02 20:15 . 2009-04-14 11:47 -------- d-----w- c:\program files\Winamp

2009-05-24 11:56 . 2009-04-23 18:35 94643 ----a-w- c:\windows\system32\drivers\klick.dat

2009-05-24 11:56 . 2009-04-23 18:35 105395 ----a-w- c:\windows\system32\drivers\klin.dat

.

------- Sigcheck -------

[-] 2009-08-01 19:07 61696 2F21F86B55C11CE807CC127E5B5E606E c:\windows\system32\dllcache\null.sys

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2009-04-10 9818728]

"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-12 8429568]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-12 81920]

"GamerOSD"="c:\program files\ASUS\GamerOSD\GamerOSD.exe" [2007-02-14 380928]

"Adobe Reader Speed Launcher"="d:\programy\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2008-05-27 413696]

"Sony Ericsson PC Suite"="c:\program files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]

"AVP"="d:\programy\KIS 2009\avp.exe" [2009-07-21 208616]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-04-25 148888]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]

"TrojanScanner"="d:\programy\Trojan Remover\Trjscan.exe" [2009-08-08 1068424]

"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-10-30 16269312]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-04-12 1626112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\

Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2009-7-4 113664]

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]

HP Photosmart Premier - Szybkie uruchomienie.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2006-2-10 73728]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=

"d:\\Programy\\uTorrent\\uTorrent.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"d:\\Programy\\SopCast\\adv\\SopAdver.exe"=

"d:\\Programy\\SopCast\\SopCast.exe"=

"d:\\GRY\\Test Drive Unlimited\\TestDriveUnlimited.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [2008-01-29 33808]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2008-04-30 24592]

.

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://kxp.pl/wrzuta/

IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\oggleccn.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.wp.pl/

FF - plugin: c:\program files\Mozilla Firefox\plugins\NPCARDS.dll

FF - plugin: d:\programy\Adobe\Reader 8.0\Reader\browser\nppdf32.dll

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-08-08 13:32

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_USERS\S-1-5-21-1957994488-796845957-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:69,4e,78,39,94,d2,3d,10,1e,4f,d7,4f,2e,29,5e,a3,b8,6d,82,6b,5b,11,5a,

17,9a,00,55,01,52,e5,1a,73,96,86,51,4b,3e,30,8a,47,42,0f,70,13,0c,64,83,68,\

"??"=hex:c9,99,6c,1b,c8,05,2d,0d,97,ec,c2,b2,b9,91,f0,10

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\windows\ATKKBService.exe

c:\windows\system32\rundll32.exe

c:\program files\Common Files\Teleca Shared\CapabilityManager.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe

c:\program files\HP\Digital Imaging\bin\hpqimzone.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\wdfmgr.exe

c:\program files\HP\Digital Imaging\bin\hpqste08.exe

c:\windows\system32\wscntfy.exe

c:\program files\Common Files\Teleca Shared\Generic.exe

c:\program files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

c:\windows\system32\wbem\wmiapsrv.exe

.

**************************************************************************

.

Czas ukończenia: 2009-08-08 13:34 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2009-08-08 11:34

Przed: 19 684 536 320 bajtów wolnych

Po: 19 782 193 152 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

156

Gość
komentarz
komentarz

Następnym razem = nie używaj ComboFixa jeżeli ktoś Ciebie nie prosi, ale tym razem Ci wybaczę, ComboFix usunął plik Rootkita.

c:\windows\system32\drivers\null.sys . . . brak pliku!!

Pobierz ten plik: KLIK i wlep ten plik do katalogu c:\windows\system32\drivers...

1. Posprzątaj szczątki ComboFixa programem OTC.

2.Użyj programu Malwarebytes.

Wciskamy Skanuj, wybieramy dyski do skanowania i Rozpoczynamy skanowanie, na końcu wciskamy Usuń zaznaczone jak będą i Ok.

Wrzuć wygenerowany raport po usuwaniu MBAMem.

Gdzie Kaspersky wykrywa tego wirusa?

.

dilucasso
komentarz
komentarz (edytowane)

Ok. Nie wiedziałem.

zrobiłem wszystko według instrukcji.

W Kaspersky'm w miejscu w którym powinna być lokalizacja zainfekowanego pliku pisze po prostu "System memory"

Gość
komentarz
komentarz

To chyba to był raczej ten Rootkit - został on usunięty.

W takim razie powinno być OK.

.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.