x-kom hosting

Trojan ( Kamso ? )

ehugo1
utworzono
utworzono

Witam, mam ogromny problem, z którym nie umiem sobie poradzić i dlatego zwracam się do Was z gorącą prośbą o pomoc !

Na początek Avast zaczął wykrywać wirusy, których nie umiał naprawić, usunąć, ani nic. Strasznie mi się wieszał komputer, więc postanowiłem go sformatować. Po formacie Avast wciążwykrywał wirusy ale już tak nie mulił, po tygodniu nie dało się włączyć komputera, więc znowu sformatowałem :( no i teraz znowu nie muli, ale wirus jest, postanowiłem napisać do Was co z tym zrobić. Avast wykrywa go tak:

Znaleziono konia trojańskiego!

Plik: C:\Windows\System32\NMDFGDS0.DLL

Nazwa pasożyta: Win32:Kamso [Trj]

Typ pasożyta: Koń trojański

Wersja VPS: 090904-0, 2009-09-04

i wyskakuje jeszcze drugie okno z Avasta:

Znaleziono oprogramowanie typu rootkit!

Plik: C:\Windows\System32\nmdfgds0.dll

Typ: Rootkit: ukryty proces

Nazwa pasożyta: Win32: Kamso [Trj]

nie znam się na tym, ale wiem, że się jeszcze tu daje log z HiJackThis, wklejam:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:42:57, on 2009-09-05

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16876)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\AhnRpta.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\devldr32.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\HUGO\USTAWI~1\Temp\herss.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

--

End of file - 4295 bytes

Błagam, pomóżcie !

Nocturn
komentarz
komentarz

Proponuję pobrać Norton Internet Security z licencją na 15 dni. Zrobić scan. Moim zdaniem to wystarczy by rozwiązać problem

ehugo1
komentarz
komentarz

aha i zapomniałem dodać, że co jakis czas ( nawet gdy nie mam właczonej przegladarki )w prawym dolnym rogu czasami wyskakuje te male okienko, ze Zablokowano połączenie z niebezpieczną witryną, czy jakoś tak

a jak sciagne ten Norton Internet Security to musze odinstalowac Avasta, czy poprostu kliknąć na ZATRZYMAJ OCHRONĘ DOSTĘPOWĄ, czy w ogóle z nim nic nie robić ?

ehugo1
komentarz
komentarz

O, jeszcze mi znalazlo nastepnego konia trojanskiego:

C:\f2.bat

nazwa pasożyta: Win32:Crypt-EXP [Trj]

i jeszcze zauwazylem podejrzany process... AhnRpta.exe

pamietam tez, ze kiedys uzywalem bo ktos mi na forum polecil ComboFixa i mi pomoglo ale juz nie pamietam zabardzo jak tego uzywac moze tego sprobowac ?

a co do tego loga z OTL to program sie zatrzymuje podczas skanowania zawirusowanego pliku ;(

Gość
komentarz
komentarz

Użyj ComboFixa[/b i wklej z niego log.

.

ehugo1
komentarz
komentarz

log z combofixa:

ComboFix 09-09-04.02 - HUGO 2009-09-05 14:27.1.1 - FAT32x86

Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.767.497 [GMT 2:00]

Uruchomiony z: c:\documents and settings\HUGO\Pulpit\ComboFix.exe

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\autorun.inf

c:\docume~1\HUGO\USTAWI~1\Temp\cvasds0.dll

c:\docume~1\HUGO\USTAWI~1\Temp\cvasds1.dll

c:\documents and settings\HUGO\Ustawienia lokalne\Temp\cvasds0.dll

C:\f2.bat

c:\windows\AhnRpta.exe

c:\windows\system32\_000006_.tmp.dll

c:\windows\system32\_000007_.tmp.dll

c:\windows\system32\_000008_.tmp.dll

c:\windows\system32\_000009_.tmp.dll

c:\windows\system32\_000010_.tmp.dll

c:\windows\system32\_000019_.tmp.dll

c:\windows\system32\_000020_.tmp.dll

c:\windows\system32\_000021_.tmp.dll

c:\windows\system32\_000022_.tmp.dll

c:\windows\system32\e8main0.dll

c:\windows\system32\nmdfgds0.dll

c:\windows\system32\nmdfgds1.dll

c:\windows\system32\olhrwef.exe

D:\Autorun.inf

D:\f2.bat

D:\q8e6.bat

E:\autorun.inf

E:\f2.bat

E:\q8e6.bat

.

((((((((((((((((((((((((( Pliki utworzone od 2009-08-05 do 2009-09-05 )))))))))))))))))))))))))))))))

.

2009-09-05 12:20 . 2009-09-05 12:20 16304 ----a-w- c:\documents and settings\HUGO\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-09-05 10:42 . 2009-09-05 10:42 -------- d-----w- c:\program files\Trend Micro

2009-09-05 10:25 . 2009-09-05 10:26 -------- d-----w- c:\windows\system32\KB905474

2009-09-05 10:25 . 2009-03-10 20:26 1436544 ----a-w- c:\windows\system32\KB905474\wganotifypackageinner.exe

2009-09-05 10:25 . 2009-03-10 20:18 455048 ----a-w- c:\windows\system32\KB905474\wgasetup.exe

2009-09-05 10:11 . 2009-09-05 10:11 -------- d-sh--w- C:\FOUND.000

2009-09-04 21:06 . 2001-10-26 17:28 61440 ----a-w- c:\windows\system32\dllcache\spcplui.dll

2009-09-04 21:06 . 2001-10-26 17:29 77824 ----a-w- c:\windows\system32\dllcache\spcommon.dll

2009-09-04 21:06 . 2001-10-26 17:29 774144 ----a-w- c:\windows\system32\dllcache\spttseng.dll

2009-09-04 21:06 . 2001-10-26 17:30 36864 ----a-w- c:\windows\system32\dllcache\sapisvr.exe

2009-09-04 21:06 . 2008-04-14 20:50 741376 ----a-w- c:\windows\system32\dllcache\sapi.dll

2009-09-04 21:06 . 2007-04-02 21:56 22016 ----a-w- c:\windows\system32\dllcache\agt0408.dll

2009-09-04 21:06 . 2007-04-02 21:56 19456 ----a-w- c:\windows\system32\dllcache\agt041f.dll

2009-09-04 21:06 . 2007-04-02 21:56 19456 ----a-w- c:\windows\system32\dllcache\agt0419.dll

2009-09-04 21:06 . 2007-04-02 21:56 19968 ----a-w- c:\windows\system32\dllcache\agt040e.dll

2009-09-04 21:06 . 2007-04-02 21:56 19456 ----a-w- c:\windows\system32\dllcache\agt0415.dll

2009-09-04 21:06 . 2007-04-02 21:56 19456 ----a-w- c:\windows\system32\dllcache\agt0405.dll

2009-09-04 21:06 . 2008-04-14 20:50 8704 ----a-w- c:\windows\system32\dllcache\batt.dll

2009-09-04 20:54 . 2008-06-14 17:36 273024 ------w- c:\windows\system32\drivers\bthport.sys

2009-09-04 20:54 . 2008-06-14 17:36 273024 ------w- c:\windows\system32\dllcache\bthport.sys

2009-09-04 20:47 . 2009-02-09 11:26 2190336 ------w- c:\windows\system32\dllcache\ntoskrnl.exe

2009-09-04 20:47 . 2009-02-09 11:26 2146816 ------w- c:\windows\system32\dllcache\ntkrnlmp.exe

2009-09-04 20:47 . 2009-02-09 11:26 2025472 ------w- c:\windows\system32\dllcache\ntkrpamp.exe

2009-09-04 20:45 . 2008-10-24 11:21 455296 ------w- c:\windows\system32\dllcache\mrxsmb.sys

2009-09-04 20:27 . 2008-07-09 07:57 26488 ----a-w- c:\windows\system32\spupdsvc.exe

2009-09-04 20:26 . 2009-09-04 20:26 -------- d-----w- c:\documents and settings\HUGO\Dane aplikacji\Gadu-Gadu

2009-09-04 20:21 . 2009-09-04 20:21 -------- d-----w- c:\windows\ShellNew

2009-09-04 20:10 . 2009-09-04 20:10 -------- d-----w- c:\program files\VideoLAN

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-05 11:14 . 2001-10-26 14:15 49492 ----a-w- c:\windows\system32\perfc015.dat

2009-09-05 11:14 . 2001-10-26 14:15 355486 ----a-w- c:\windows\system32\perfh015.dat

2009-09-04 20:34 . 2009-09-04 19:47 117153 --sh--r- C:\cj3k.exe

2009-09-04 19:52 . 2009-09-04 19:52 -------- d-----w- c:\program files\Winamp

2009-09-04 19:52 . 2009-09-04 19:52 -------- d-----w- c:\documents and settings\HUGO\Dane aplikacji\Winamp

2009-09-04 19:41 . 2009-09-04 19:41 0 ----a-w- c:\windows\nsreg.dat

2009-09-04 19:39 . 2009-09-04 19:39 114404 --sh--r- C:\qv9qc9f.exe

2009-09-04 19:38 . 2009-09-04 19:38 -------- d-----w- c:\program files\Alwil Software

2009-09-04 19:38 . 2009-09-04 19:38 -------- d-----w- c:\program files\Gadu-Gadu

2009-09-04 19:27 . 2009-09-04 19:27 -------- d-----w- c:\program files\microsoft frontpage

2009-09-04 19:24 . 2009-09-04 19:24 -------- d-----w- c:\program files\Usługi online

2009-09-04 19:22 . 2009-09-04 19:22 21856 ----a-w- c:\windows\system32\emptyregdb.dat

2009-09-04 19:21 . 2009-09-04 19:21 -------- d-----w- c:\program files\Windows Media Connect 2

2009-08-05 09:01 . 2008-04-14 18:50 205312 ----a-w- c:\windows\system32\mswebdvd.dll

2009-07-29 04:37 . 2008-04-14 18:50 119808 ----a-w- c:\windows\system32\t2embed.dll

2009-07-29 04:37 . 2008-04-14 18:50 81920 ----a-w- c:\windows\system32\fontsub.dll

2009-07-19 13:31 . 2009-07-19 13:31 3597824 ----a-w- c:\windows\system32\SET90.tmp

2009-07-19 13:31 . 2009-07-19 13:31 6067200 ----a-w- c:\windows\system32\SET98.tmp

2009-07-17 19:04 . 2009-07-17 19:04 58880 ----a-w- c:\windows\system32\SET83.tmp

2009-07-13 21:43 . 2008-05-08 16:01 286208 ----a-w- c:\windows\system32\wmpdxm.dll

2009-06-29 15:59 . 2009-06-29 15:59 827392 ----a-w- c:\windows\system32\SET87.tmp

2009-06-29 15:59 . 2009-06-29 15:59 233472 ----a-w- c:\windows\system32\SET88.tmp

2009-06-29 15:59 . 2009-06-29 15:59 1159680 ----a-w- c:\windows\system32\SET89.tmp

2009-06-29 15:59 . 2009-06-29 15:59 105984 ----a-w- c:\windows\system32\SET8A.tmp

2009-06-29 15:59 . 2009-06-29 15:59 52224 ----a-w- c:\windows\system32\SET91.tmp

2009-06-29 15:59 . 2009-06-29 15:59 459264 ----a-w- c:\windows\system32\SET92.tmp

2009-06-29 15:59 . 2009-06-29 15:59 268288 ----a-w- c:\windows\system32\SET96.tmp

2009-06-29 15:59 . 2009-06-29 15:59 63488 ----a-w- c:\windows\system32\SETA0.tmp

2009-06-29 15:59 . 2009-06-29 15:59 380928 ----a-w- c:\windows\system32\SET9A.tmp

2009-06-29 15:59 . 2009-06-29 15:59 124928 ----a-w- c:\windows\system32\SETA4.tmp

2009-06-29 15:59 . 2008-05-08 16:01 78336 ----a-w- c:\windows\system32\ieencode.dll

2009-06-29 15:59 . 2008-05-08 16:01 17408 ----a-w- c:\windows\system32\corpol.dll

2009-06-29 08:33 . 2009-06-29 08:33 2452872 ----a-w- c:\windows\system32\SET9B.tmp

2009-06-15 10:45 . 2008-04-14 18:51 82944 ----a-w- c:\windows\system32\tlntsess.exe

2009-06-15 10:45 . 2008-04-14 18:51 78336 ----a-w- c:\windows\system32\telnet.exe

2009-06-10 14:15 . 2008-04-14 18:50 84992 ----a-w- c:\windows\system32\avifil32.dll

2009-06-10 07:22 . 2009-09-04 19:20 2066432 ----a-w- c:\windows\system32\mstscax.dll

2009-06-10 06:16 . 2008-04-14 18:50 132096 ----a-w- c:\windows\system32\wkssvc.dll

.

------- Sigcheck -------

[-] 2008-05-08 16:02 1571840 9F02C1CF7C3100E4AEA7DD8B6A86A01B c:\windows\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2007-07-09 2119104]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Gadu-Gadu\\gg.exe"=

.

Zawartość folderu 'Zaplanowane zadania'

2009-09-05 c:\windows\Tasks\WGASetup.job

- c:\windows\system32\KB905474\wgasetup.exe [2009-09-05 20:18]

.

.

------- Skan uzupełniający -------

.

IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\HUGO\Dane aplikacji\Mozilla\Firefox\Profiles\f9u7zjt3.default\

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-05 14:32

Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPI

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

@Denied: (A 2) (Everyone)

@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'explorer.exe'(1360)

c:\windows\system32\ieframe.dll

c:\windows\system32\wpdshserviceobj.dll

c:\windows\system32\portabledevicetypes.dll

c:\windows\system32\portabledeviceapi.dll

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\windows\system32\devldr32.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Czas ukończenia: 2009-09-05 14:33 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2009-09-05 12:33

Przed: 18 115 297 280 bajtów wolnych

Po: 18 118 852 608 bajtów wolnych

187 --- E O F --- 2009-09-05 10:27

Gość
komentarz
komentarz

Wklej do Notatnika:

KillAll::File::C:\cj3k.exeD:\cj3k.exeE:\cj3k.exeC:\qv9qc9f.exeD:\qv9qc9f.exeE:\qv9qc9f.exec:\windows\system32\SET90.tmpc:\windows\system32\SET98.tmpc:\windows\system32\SET83.tmpc:\windows\system32\SET87.tmpc:\windows\system32\SET88.tmpc:\windows\system32\SET89.tmpc:\windows\system32\SET8A.tmpc:\windows\system32\SET91.tmpc:\windows\system32\SET92.tmpc:\windows\system32\SET96.tmpc:\windows\system32\SETA0.tmpc:\windows\system32\SET9A.tmpc:\windows\system32\SETA4.tmpc:\windows\system32\SET9B.tmpFolder::C:\FOUND.000Reboot::

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-->cfscriptb5b4me3.gif

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.

.

ehugo1
komentarz
komentarz

log z combofixa:

ComboFix 09-09-04.02 - HUGO 2009-09-05 15:46.2.1 - FAT32x86

Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.767.501 [GMT 2:00]

Uruchomiony z: c:\documents and settings\HUGO\Pulpit\ComboFix.exe

Użyto następujących komend :: c:\documents and settings\HUGO\Pulpit\CFScript.txt

AV: avast! antivirus 4.8.1351 [VPS 090817-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!

FILE ::

"C:\cj3k.exe"

"C:\qv9qc9f.exe"

"c:\windows\system32\SET83.tmp"

"c:\windows\system32\SET87.tmp"

"c:\windows\system32\SET88.tmp"

"c:\windows\system32\SET89.tmp"

"c:\windows\system32\SET8A.tmp"

"c:\windows\system32\SET90.tmp"

"c:\windows\system32\SET91.tmp"

"c:\windows\system32\SET92.tmp"

"c:\windows\system32\SET96.tmp"

"c:\windows\system32\SET98.tmp"

"c:\windows\system32\SET9A.tmp"

"c:\windows\system32\SET9B.tmp"

"c:\windows\system32\SETA0.tmp"

"c:\windows\system32\SETA4.tmp"

"D:\cj3k.exe"

"D:\qv9qc9f.exe"

"E:\cj3k.exe"

"E:\qv9qc9f.exe"

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\cj3k.exe

C:\FOUND.000

c:\found.000\FILE0000.CHK

c:\found.000\FILE0001.CHK

c:\found.000\FILE0002.CHK

C:\qv9qc9f.exe

c:\windows\system32\SET83.tmp

c:\windows\system32\SET87.tmp

c:\windows\system32\SET88.tmp

c:\windows\system32\SET89.tmp

c:\windows\system32\SET8A.tmp

c:\windows\system32\SET90.tmp

c:\windows\system32\SET91.tmp

c:\windows\system32\SET92.tmp

c:\windows\system32\SET96.tmp

c:\windows\system32\SET98.tmp

c:\windows\system32\SET9A.tmp

c:\windows\system32\SET9B.tmp

c:\windows\system32\SETA0.tmp

c:\windows\system32\SETA4.tmp

D:\cj3k.exe

D:\qv9qc9f.exe

E:\cj3k.exe

E:\qv9qc9f.exe

.

((((((((((((((((((((((((( Pliki utworzone od 2009-08-05 do 2009-09-05 )))))))))))))))))))))))))))))))

.

2009-09-05 13:17 . 2009-08-17 16:04 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2009-09-05 13:17 . 2009-08-17 16:04 51376 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2009-09-05 13:17 . 2009-08-17 16:03 26944 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2009-09-05 13:17 . 2009-08-17 16:02 97480 ----a-w- c:\windows\system32\AvastSS.scr

2009-09-05 13:17 . 2009-08-17 16:06 93392 ----a-w- c:\windows\system32\drivers\aswmon.sys

2009-09-05 13:17 . 2009-08-17 16:06 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2009-09-05 13:17 . 2009-08-17 16:05 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys

2009-09-05 13:17 . 2009-08-17 16:05 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2009-09-05 13:17 . 2009-08-17 16:10 1279456 ----a-w- c:\windows\system32\aswBoot.exe

2009-09-05 12:40 . 2009-09-05 12:40 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Symantec

2009-09-05 12:39 . 2009-09-05 12:39 -------- d-----w- c:\documents and settings\HUGO\Ustawienia lokalne\Dane aplikacji\Tific

2009-09-05 12:38 . 2009-09-05 12:38 -------- d-----w- c:\documents and settings\HUGO\Dane aplikacji\Tific

2009-09-05 12:38 . 2009-09-05 12:38 -------- d-----w- c:\documents and settings\HUGO\Ustawienia lokalne\Dane aplikacji\Symantec

2009-09-05 12:37 . 2009-09-05 12:37 -------- d-----w- c:\windows\system32\drivers\NIS

2009-09-05 12:37 . 2009-09-05 12:37 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Norton

2009-09-05 12:36 . 2009-09-05 12:36 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\NortonInstaller

2009-09-05 12:20 . 2009-09-05 12:20 16304 ----a-w- c:\documents and settings\HUGO\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-09-05 10:42 . 2009-09-05 10:42 -------- d-----w- c:\program files\Trend Micro

2009-09-05 10:25 . 2009-09-05 10:26 -------- d-----w- c:\windows\system32\KB905474

2009-09-05 10:25 . 2009-03-10 20:26 1436544 ----a-w- c:\windows\system32\KB905474\wganotifypackageinner.exe

2009-09-05 10:25 . 2009-03-10 20:18 455048 ----a-w- c:\windows\system32\KB905474\wgasetup.exe

2009-09-04 21:06 . 2001-10-26 17:28 61440 ----a-w- c:\windows\system32\dllcache\spcplui.dll

2009-09-04 21:06 . 2001-10-26 17:29 77824 ----a-w- c:\windows\system32\dllcache\spcommon.dll

2009-09-04 21:06 . 2001-10-26 17:29 774144 ----a-w- c:\windows\system32\dllcache\spttseng.dll

2009-09-04 21:06 . 2001-10-26 17:30 36864 ----a-w- c:\windows\system32\dllcache\sapisvr.exe

2009-09-04 21:06 . 2008-04-14 20:50 741376 ----a-w- c:\windows\system32\dllcache\sapi.dll

2009-09-04 21:06 . 2007-04-02 21:56 22016 ----a-w- c:\windows\system32\dllcache\agt0408.dll

2009-09-04 21:06 . 2007-04-02 21:56 19456 ----a-w- c:\windows\system32\dllcache\agt041f.dll

2009-09-04 21:06 . 2007-04-02 21:56 19456 ----a-w- c:\windows\system32\dllcache\agt0419.dll

2009-09-04 21:06 . 2007-04-02 21:56 19968 ----a-w- c:\windows\system32\dllcache\agt040e.dll

2009-09-04 21:06 . 2007-04-02 21:56 19456 ----a-w- c:\windows\system32\dllcache\agt0415.dll

2009-09-04 21:06 . 2007-04-02 21:56 19456 ----a-w- c:\windows\system32\dllcache\agt0405.dll

2009-09-04 21:06 . 2008-04-14 20:50 8704 ----a-w- c:\windows\system32\dllcache\batt.dll

2009-09-04 20:54 . 2008-06-14 17:36 273024 ------w- c:\windows\system32\drivers\bthport.sys

2009-09-04 20:54 . 2008-06-14 17:36 273024 ------w- c:\windows\system32\dllcache\bthport.sys

2009-09-04 20:47 . 2009-02-09 11:26 2190336 ------w- c:\windows\system32\dllcache\ntoskrnl.exe

2009-09-04 20:47 . 2009-02-09 11:26 2146816 ------w- c:\windows\system32\dllcache\ntkrnlmp.exe

2009-09-04 20:47 . 2009-02-09 11:26 2025472 ------w- c:\windows\system32\dllcache\ntkrpamp.exe

2009-09-04 20:45 . 2008-10-24 11:21 455296 ------w- c:\windows\system32\dllcache\mrxsmb.sys

2009-09-04 20:27 . 2008-07-09 07:57 26488 ----a-w- c:\windows\system32\spupdsvc.exe

2009-09-04 20:26 . 2009-09-04 20:26 -------- d-----w- c:\documents and settings\HUGO\Dane aplikacji\Gadu-Gadu

2009-09-04 20:21 . 2009-09-04 20:21 -------- d-----w- c:\windows\ShellNew

2009-09-04 20:10 . 2009-09-04 20:10 -------- d-----w- c:\program files\VideoLAN

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-05 11:14 . 2001-10-26 14:15 49492 ----a-w- c:\windows\system32\perfc015.dat

2009-09-05 11:14 . 2001-10-26 14:15 355486 ----a-w- c:\windows\system32\perfh015.dat

2009-09-04 19:52 . 2009-09-04 19:52 -------- d-----w- c:\program files\Winamp

2009-09-04 19:52 . 2009-09-04 19:52 -------- d-----w- c:\documents and settings\HUGO\Dane aplikacji\Winamp

2009-09-04 19:41 . 2009-09-04 19:41 0 ----a-w- c:\windows\nsreg.dat

2009-09-04 19:38 . 2009-09-04 19:38 -------- d-----w- c:\program files\Alwil Software

2009-09-04 19:38 . 2009-09-04 19:38 -------- d-----w- c:\program files\Gadu-Gadu

2009-09-04 19:27 . 2009-09-04 19:27 -------- d-----w- c:\program files\microsoft frontpage

2009-09-04 19:24 . 2009-09-04 19:24 -------- d-----w- c:\program files\Usługi online

2009-09-04 19:22 . 2009-09-04 19:22 21856 ----a-w- c:\windows\system32\emptyregdb.dat

2009-09-04 19:21 . 2009-09-04 19:21 -------- d-----w- c:\program files\Windows Media Connect 2

2009-08-05 09:01 . 2008-04-14 18:50 205312 ----a-w- c:\windows\system32\mswebdvd.dll

2009-07-29 04:37 . 2008-04-14 18:50 119808 ----a-w- c:\windows\system32\t2embed.dll

2009-07-29 04:37 . 2008-04-14 18:50 81920 ----a-w- c:\windows\system32\fontsub.dll

2009-07-13 21:43 . 2008-05-08 16:01 286208 ----a-w- c:\windows\system32\wmpdxm.dll

2009-06-29 15:59 . 2008-05-08 16:01 78336 ----a-w- c:\windows\system32\ieencode.dll

2009-06-29 15:59 . 2008-05-08 16:01 17408 ----a-w- c:\windows\system32\corpol.dll

2009-06-15 10:45 . 2008-04-14 18:51 82944 ----a-w- c:\windows\system32\tlntsess.exe

2009-06-15 10:45 . 2008-04-14 18:51 78336 ----a-w- c:\windows\system32\telnet.exe

2009-06-10 14:15 . 2008-04-14 18:50 84992 ----a-w- c:\windows\system32\avifil32.dll

2009-06-10 07:22 . 2009-09-04 19:20 2066432 ----a-w- c:\windows\system32\mstscax.dll

2009-06-10 06:16 . 2008-04-14 18:50 132096 ----a-w- c:\windows\system32\wkssvc.dll

.

------- Sigcheck -------

[-] 2008-05-08 16:02 1571840 9F02C1CF7C3100E4AEA7DD8B6A86A01B c:\windows\system32\sfcfiles.dll

.

((((((((((((((((((((((((((((( SnapShot@2009-09-05_12.32.33 )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-09-05 13:51 . 2009-09-05 13:51 16384 c:\windows\temp\Perflib_Perfdata_528.dat

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2007-07-09 2119104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Gadu-Gadu\\gg.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-09-05 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-09-05 20560]

.

Zawartość folderu 'Zaplanowane zadania'

2009-09-05 c:\windows\Tasks\WGASetup.job

- c:\windows\system32\KB905474\wgasetup.exe [2009-09-05 20:18]

.

.

------- Skan uzupełniający -------

.

IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\HUGO\Dane aplikacji\Mozilla\Firefox\Profiles\f9u7zjt3.default\

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-05 15:51

Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPI

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_USERS\S-1-5-21-299502267-1993962763-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

@Denied: (A 2) (Everyone)

@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'explorer.exe'(3044)

c:\windows\system32\ieframe.dll

c:\windows\system32\wpdshserviceobj.dll

c:\windows\system32\portabledevicetypes.dll

c:\windows\system32\portabledeviceapi.dll

.

------------------------ Pozostałe uruchomione procesy ------------------------

.

c:\program files\Alwil Software\Avast4\aswUpdSv.exe

c:\program files\Alwil Software\Avast4\ashServ.exe

c:\windows\system32\devldr32.exe

c:\program files\Alwil Software\Avast4\ashMaiSv.exe

c:\program files\Alwil Software\Avast4\ashWebSv.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Czas ukończenia: 2009-09-05 15:53 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2009-09-05 13:53

ComboFix2.txt 2009-09-05 12:33

Przed: 17 841 274 880 bajtów wolnych

Po: 17 821 761 536 bajtów wolnych

224 --- E O F --- 2009-09-05 10:27

i jak ten moj log ? teraz mi wykrylo znowu wira ;/

Gość
komentarz
komentarz

Log jest OK.

Gdzie wykryło tego wirusa? ;>

.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.