x-kom hosting

Dziwne procesy w autostarcie, poblokowane strony internetowe.

michalkas
utworzono
utworzono

Witam,
Chyba mam wirusa ;-) Być może zaczęło się to od infekcji z pendrive.
Problem polega na tym, że nie mam dostępu do stron microsoftu, stron antywirusów itp.
W menedżerze zadań egzystują procesy takie jak IEXPLORE.EXE lub tez notepad.exe (nie mam włączonego IE ani notatnika). Wygląda jakby proces włączał się ponownie po próbie wyłączenia go. (Nie da się go wyłączyć)
Uprzejmie proszę o pomoc w rozwiązaniu tego problemu.

Podaję log z ComboFix:
[log]
ComboFix 10-05-16.06 - Kasa 2010-05-18 21:02:54.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.255.126 [GMT 2:00]
Uruchomiony z: d:\pobieranie\ComboFix.exe

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!
.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Dokumenty\Settings
c:\documents and settings\All Users\Dokumenty\Settings\cbss.dll
c:\windows\system32\mjuzxin.dll

.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ICF
-------\Service_ICF
-------\Legacy_lnsgnola
-------\Service_lnsgnola


((((((((((((((((((((((((( Pliki utworzone od 2010-04-18 do 2010-05-18 )))))))))))))))))))))))))))))))
.

2010-05-18 18:27 . 2010-05-18 18:27 -------- d-----w- c:\documents and settings\Kasa\Dane aplikacji\Grisoft
2010-05-18 18:27 . 2007-05-30 12:10 10872 ----a-w- c:\windows\system32\drivers\AvgAsCln.sys
2010-05-18 18:27 . 2010-05-18 18:27 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Grisoft
2010-05-18 18:18 . 2010-05-18 18:19 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2010-05-18 18:18 . 2010-05-18 18:18 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-05-18 17:59 . 2010-05-18 18:03 -------- d-----w- c:\program files\RegCleaner
2010-05-18 12:11 . 2010-05-18 12:11 -------- d--h--w- c:\windows\$hf_mig$
2010-05-18 11:05 . 2010-05-18 11:05 3584 ----a-r- c:\documents and settings\Kasa\Dane aplikacji\Microsoft\Installer\{121634B0-2F4B-11D3-ADA3-00C04F52DD52}\Icon386ED4E3.exe
2010-05-18 11:05 . 2010-05-18 11:05 -------- d-----w- c:\program files\Windows Installer Clean Up
2010-05-18 11:05 . 2010-05-18 11:05 -------- d-----w- c:\program files\MSECACHE
2010-05-18 09:31 . 2010-05-18 09:52 -------- d-----w- c:\windows\system32\oodag
2010-05-18 09:29 . 2010-05-18 09:29 -------- d-----w- c:\documents and settings\Kasa\Ustawienia lokalne\Dane aplikacji\O&O
2010-05-18 09:28 . 2010-05-18 09:28 -------- d-----w- c:\program files\OO Software
2010-05-18 09:18 . 2010-05-18 09:18 19728 ----a-w- c:\windows\system32\pgdfgsvc.exe
2010-05-17 22:00 . 2010-05-17 22:09 -------- d-----w- c:\documents and settings\Kasa\Ustawienia lokalne\Dane aplikacji\Temp
2010-05-17 22:00 . 2010-05-17 22:09 -------- d-----w- c:\documents and settings\Kasa\Ustawienia lokalne\Dane aplikacji\Google
2010-05-17 17:48 . 2010-05-17 18:36 -------- d-----w- c:\windows\SxsCaPendDel
2010-05-16 16:39 . 2004-05-22 21:27 115712 ----a-w- c:\windows\system\APPHELP.DLL
2010-05-15 21:54 . 2010-05-18 17:34 -------- d-----w- c:\windows\system32\NtmsData
2010-05-15 10:56 . 2010-05-15 10:56 -------- d-----w- c:\documents and settings\Kasa\Dane aplikacji\Locktime
2010-05-14 22:37 . 2010-05-14 22:37 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Locktime
2010-05-13 19:07 . 2010-05-13 19:07 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\BVRP Software
2010-05-13 19:05 . 2010-05-17 15:32 -------- d-----w- c:\program files\Sony Ericsson
2010-05-09 15:24 . 2010-05-09 15:24 -------- d-----w- c:\documents and settings\Kasa\Ustawienia lokalne\Dane aplikacji\Identities
2010-05-07 20:38 . 2010-02-19 19:07 85504 ----a-w- c:\windows\system32\ff_vfw.dll
2010-05-07 20:38 . 2010-05-07 20:38 -------- d-----w- c:\program files\ffdshow
2010-05-07 20:11 . 2010-05-07 20:11 28672 ----a-r- c:\documents and settings\Kasa\Dane aplikacji\Microsoft\Installer\{A05BE20E-6510-44BC-95ED-6E6D730407D3}\_CA18F2C35CF8_400D_9D49_6D74AFB2D0CC.exe
2010-05-07 20:11 . 2010-05-07 20:11 -------- d-----w- c:\program files\Vplayer
2010-05-07 19:31 . 2010-05-18 09:21 -------- d-----w- c:\program files\Defraggler
2010-04-26 12:05 . 2008-04-13 22:15 32128 ----a-w- c:\windows\system32\drivers\usbccgp.sys

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-18 18:02 . 2008-04-14 22:51 24064 ----a-w- c:\windows\system32\ctfmon.exe
2010-05-18 17:44 . 2010-04-12 15:35 -------- d-----w- c:\program files\SequoiaView
2010-05-18 17:34 . 2001-10-26 19:15 84406 ----a-w- c:\windows\system32\perfc015.dat
2010-05-18 17:34 . 2001-10-26 19:15 491390 ----a-w- c:\windows\system32\perfh015.dat
2010-05-17 17:33 . 2010-03-18 22:43 -------- d-----w- c:\documents and settings\Kasa\Dane aplikacji\Dev-Cpp
2010-05-17 17:32 . 2010-03-22 13:07 -------- d-----w- c:\program files\Wykresy
2010-05-17 17:31 . 2010-03-26 17:52 -------- d-----w- c:\program files\MoorHunt
2010-05-14 23:11 . 2008-04-14 22:51 14336 ----a-w- c:\windows\system32\svchost.exe
2010-05-13 19:05 . 2010-03-18 21:04 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-05-08 13:59 . 2010-03-19 09:48 -------- d-----w- c:\program files\SubEdit-Player
2010-04-14 18:00 . 2010-03-19 09:26 17976 ----a-w- c:\documents and settings\Kasa\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2010-04-14 17:23 . 2010-04-14 17:23 -------- d-----w- c:\program files\Microsoft.NET
2010-04-14 17:20 . 2010-04-14 17:11 -------- d-----w- c:\documents and settings\Kasa\Dane aplikacji\DAEMON Tools Pro
2010-04-14 17:13 . 2010-04-14 17:13 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-04-14 17:13 . 2010-04-14 17:13 -------- d-----w- c:\program files\DAEMON Tools Pro
2010-04-14 17:13 . 2010-04-14 17:11 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\DAEMON Tools Pro
2010-03-29 15:41 . 2010-03-18 12:48 -------- d-----w- c:\program files\Windows Media Connect 2
2010-03-26 11:12 . 2010-03-26 11:12 66040 ----a-w- c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\FontCache3.0.0.0.dat
2010-03-26 11:06 . 2010-03-26 11:06 -------- d-----w- c:\program files\MSBuild
2010-03-26 11:01 . 2010-03-26 11:01 -------- d-----w- c:\program files\Reference Assemblies
2010-03-21 18:59 . 2010-03-21 18:59 -------- d-----w- c:\program files\NAPI-PROJEKT
2010-03-19 19:17 . 2010-03-19 19:17 -------- d-----w- c:\documents and settings\Kasa\Dane aplikacji\Media Player Classic
2010-03-18 21:11 . 2010-03-18 21:11 766 ----a-r- c:\documents and settings\Kasa\Dane aplikacji\Microsoft\Installer\{66742ACA-008A-4790-B74B-FB182DD0AEE6}\NewShortcut1_32499C24015C4E15B2C987EB5925AC8D.exe
2010-03-18 21:11 . 2010-03-18 21:11 10134 ----a-r- c:\documents and settings\Kasa\Dane aplikacji\Microsoft\Installer\{66742ACA-008A-4790-B74B-FB182DD0AEE6}\ARPPRODUCTICON.exe
2010-03-18 16:44 . 2010-03-18 12:55 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-03-18 13:22 . 2010-03-18 13:22 0 ----a-w- c:\windows\nsreg.dat
2010-03-18 12:49 . 2010-03-18 12:49 21856 ----a-w- c:\windows\system32\emptyregdb.dat
.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Kasa\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" [2010-05-17 136176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AtiPTA"="Atiptaxx.exe" [2001-09-19 245760]
"OODefragTray"="c:\program files\OO Software\Defrag\oodtray.exe" [2009-09-11 2524416]
"!AVG Anti-Spyware"="c:\program files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 6731312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2010-05-18 24064]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoThumbnailCache"= 1 (0x1)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R3 ati2mpab;ati2mpab;c:\windows\system32\drivers\ati2mpab.sys [2010-03-21 299776]
R3 cwrwdm;Sterownik SoundFusion(tm) WDM;c:\windows\system32\drivers\cwrwdm.sys [2010-03-18 48640]
S2 lnsgnola;Microsoft System;c:\windows\system32\svchost.exe -k netsvcs [2008-04-15 14336]
S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [2010-05-13 89256]
S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [2010-05-13 15016]
S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [2010-05-13 120744]
S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [2010-05-13 114216]
S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [2010-05-13 25512]
S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [2010-05-13 110632]
S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [2010-05-13 115752]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2010-04-14 691696]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
lnsgnola

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{111b710b-3290-11df-9bb1-00105a0edb0a}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
.
Zawartość folderu 'Zaplanowane zadania'

2010-05-17 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1060284298-688789844-2146763411-1003Core.job
- c:\documents and settings\Kasa\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2010-05-17 21:59]

2010-05-18 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1060284298-688789844-2146763411-1003UA.job
- c:\documents and settings\Kasa\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2010-05-17 21:59]
.
.
------- Skan uzupełniający -------
.
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.
.
------- Skojarzenia plików -------
.
.txt=
.
- - - - USUNIĘTO PUSTE WPISY - - - -

SafeBoot-AVG Anti-Spyware Driver
AddRemove-Google Chrome - c:\documents and settings\Kasa\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\4.1.249.1064\Installer\setup.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-18 21:13
Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\lnsgnola]
"ServiceDll"="c:\windows\system32\mjuzxin.dll"
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'explorer.exe'(1444)
c:\windows\system\appHelp.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\program files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
c:\program files\OO Software\Defrag\oodag.exe
c:\windows\system32\Atiptaxx.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Czas ukończenia: 2010-05-18 21:20:02 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2010-05-18 19:19

Przed: 721 547 264 bajtów wolnych
Po: 672 972 800 bajtów wolnych

- - End Of File - - CA8E234F19F93119D4DC33B44517955D

[/log]

Tomek01
komentarz
komentarz

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!!
To jest właśnie przykład że nie powinno się stosować Combofix'a na własną rękę !
Jakby wywalił CI jakiś plik systemowy to miałbyś kłopoty z systemem.

Obowiązkowa lektura dla Ciebie: http://www.forumpc.pl/index.php?showtopic=117447


Zastosuj [b][color=#0000CD][url=http://download.bleepingcomputer.com//sUBs/Flash_Disinfector.exe]Flash Disinfector[/url][/color][/b], najlepiej z podpiętym pendrive'm.


Do notatnika systemowego wklej taki tekst, (bez frazy kod):
[code]Windows Registry Editor Version 5.00

[ -HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{111b710b-3290-11df-9bb1-00105a0edb0a}][/code]
Plik zapisz jako/zmień rozszerzenie na wszystkie pliki/zapisz jako fix.reg/dwuklikiem dodajesz do rejestru.

Następnie załączasz logi:RSIT [url="http://images.malwareremoval.com/random/RSIT.exe"][b]Random System Information Tool[/b][/url] oraz OTL [url="http://oldtimer.geekstogo.com/OTL.exe"][b]OTL[/b][/url]

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.