x-kom hosting

Problem z Win32:Dialer-970[Trj]

jarcko

jarcko

utworzono
utworzono

Cześć!

Zainfekowało mnie czymś takim jak w temacie i nie umiem tego usunąć. Nie pomogło nawet formatowanie partycji C. Po uruchominiu kompa i przeglądarki zaraz avast wyświetla komunikat 'znaleziono pasożyta' o takiej treści:

Plik: C:x3a3x4q7p6.exe[PESpin] Nazwa pasożyta: Win32:Dialer-970[Trj]

albo

Plik: C:o3e6o2y4l8o2.exe[PESpin] Nazwa pasożyta: Win32:Dialer-970[Trj]

oraz np:

Plik: C:Documents and SettingsLocalServiceUstawienia lokalneTemporary Internet FilesContent.IE58R8VY70Zdual[1].jpg[PESpin]Nazwa pasożyta: Win32:Dialer-970[Trj]

Szukałem już pomocy na innym forum ale tam mi nikt nie pomógł. Mam nadzieję że tutaj ktoś coś poradzi. Proszę o pomoc, jakieś wskazówki i w miare jasny sposób gdyż słabo się w tym orientuję.

CatchMe

CatchMe

komentarz
komentarz

Będą potrzebne logi HijackThis + ComboFix.

jarcko

jarcko

komentarz
  • Autor
komentarz

Nie wiem czy to ważne, ale jak wyświetlają się te komunikaty o pasożytach z avasta, to ja je zgodnie z poleceniem przekazuje do kwarantanny, a potem dopiero zrobiłem te logi:

Logfile of HijackThis v1.99.1Scan saved at 14:03, on 2007-08-09Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)Running processes:C:WINDOWSSystem32smss.exeC:WINDOWSsystem32winlogon.exeC:WINDOWSsystem32services.exeC:WINDOWSsystem32lsass.exeC:WINDOWSSystem32Ati2evxx.exeC:WINDOWSsystem32svchost.exeC:WINDOWSSystem32svchost.exeC:Program FilesAlwil SoftwareAvast4aswUpdSv.exeC:Program FilesAlwil SoftwareAvast4ashServ.exeC:WINDOWSsystem32Ati2evxx.exeC:WINDOWSExplorer.exeC:WINDOWSsystem32spoolsv.exeC:WINDOWSSOUNDMAN.EXEC:Program FilesATI TechnologiesATI.ACEcli.exeC:PROGRA~1ALWILS~1Avast4ashDisp.exeC:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exeC:Program FilesGadu-Gadugg.exeC:Program FilesATI TechnologiesATI.ACECLI.exeC:WINDOWSSCardClnt.exeC:Program FilesAlwil SoftwareAvast4ashMaiSv.exeC:Program FilesAlwil SoftwareAvast4ashWebSv.exeC:Documents and SettingsjarckoPulpithijackthisHijackThis.exeR0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.wp.pl/R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = ŁączaF2 - REG:system.ini: Shell=Explorer.exe %WINDIR%SCardClnt.exeO2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocxO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar1.dllO2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:Program FilesGoogleGoogleToolbarNotifier2.0.301.7164swg.dllO3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar1.dllO4 - HKLM..Run: [soundMan] SOUNDMAN.EXEO4 - HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exeO4 - HKLM..Run: [ATICCC] "C:Program FilesATI TechnologiesATI.ACEcli.exe" runtimeO4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exeO4 - HKLM..Run: [a-squared Anti-Dialer] "C:Program Filesa-squared Anti-Dialera2adguard.exe" /d=60O4 - HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exeO4 - HKCU..Run: [Gadu-Gadu] "C:Program FilesGadu-Gadugg.exe" /trayO4 - Global Startup: ATI CATALYST System Tray.lnk = C:Program FilesATI TechnologiesATI.ACECLI.exeO4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXEO12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dllO16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cabO16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cabO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:WINDOWSSystem32Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - C:WINDOWSsystem32ati2sgag.exeO23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exeO23 - Service: avast! Mail Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe" /service (file missing)O23 - Service: avast! Web Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe" /service (file missing)O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exeO23 - Service: Smart Card Client  - Unknown owner - C:WINDOWSSCardClnt.exe
ComboFix 07-08-04.3 - "jarcko" 2007-08-09 14:14:22.4 [GMT 2:00] - [b]FAT32[/b] Microsoft Windows XP Professional  5.1.2600.1.1250.1.1045.18.Prawda(((((((((((((((((((((((((   Files Created from 2007-07-09 to 2007-08-09  )))))))))))))))))))))))))))))))2007-08-08 21:57	656,384	-r-hs----	C:WINDOWSSCardClnt.exe2007-08-08 12:36	<DIR>	d--------	C:DOCUME~1jarckoDANEAP~1Gadu-Gadu2007-08-08 12:30	<DIR>	d--------	C:Program FilesGadu-Gadu2007-08-08 12:30	<DIR>	d--------	C:DOCUME~1jarckoGadu-Gadu2007-08-07 22:09	90,112	--a------	C:WINDOWSsystem32RegDACL.exe2007-08-07 22:09	9,006	--a------	C:clean.bat2007-08-07 22:09	53,248	--a------	C:WINDOWSsystem32process.exe2007-08-07 22:09	4,096	--a------	C:WINDOWSsystem32reboot.exe2007-08-07 22:04	<DIR>	d--h-----	C:Program FilesCommon Filesdelsim2007-08-07 14:24	<DIR>	d--------	C:Program Filesa-squared Anti-Dialer2007-08-07 14:08	<DIR>	d--------	C:Program Filesa-squared Free2007-08-07 10:51	51,200	--a------	C:WINDOWSnircmd.exe2007-08-06 20:06	<DIR>	d--------	C:WINDOWSProfiles2007-08-06 20:06	<DIR>	d--------	C:DOCUME~1jarckoDANEAP~1InterTrust2007-08-06 12:44	<DIR>	d--------	C:Program FilesGoogle2007-08-06 12:44	<DIR>	d--------	C:DOCUME~1jarckoDANEAP~1Google2007-08-06 12:44	<DIR>	d--------	C:DOCUME~1ALLUSE~1DANEAP~1Google2007-08-06 12:43	<DIR>	d---s----	C:DOCUME~1jarckoUserData2007-08-05 20:19	<DIR>	d--------	C:Program FilesKajko i Kokosz - Szkoa latania2007-08-05 01:42	<DIR>	d--------	C:WINDOWSShellNew2007-08-05 01:41	<DIR>	d--------	C:DOCUME~1jarckoDANEAP~1Microsoft Web Folders2007-08-05 01:17	683,008	-r-hs----	C:WINDOWSBTStack.exe2007-08-05 01:04	95,608	--a------	C:WINDOWSsystem32AvastSS.scr2007-08-05 01:04	94,416	--a------	C:WINDOWSsystem32driversaswmon2.sys2007-08-05 01:04	92,848	--a------	C:WINDOWSsystem32driversaswmon.sys2007-08-05 01:04	783,224	--a------	C:WINDOWSsystem32aswBoot.exe2007-08-05 01:04	499,712	--a------	C:WINDOWSsystem32MSVCP71.dll2007-08-05 01:04	42,912	--a------	C:WINDOWSsystem32driversaswTdi.sys2007-08-05 01:04	26,624	--a------	C:WINDOWSsystem32driversaavmker4.sys2007-08-05 01:04	23,152	--a------	C:WINDOWSsystem32driversaswRdr.sys2007-08-05 01:04	<DIR>	d--------	C:Program FilesAlwil Software2007-08-05 00:48	<DIR>	d--hs----	C:Recycled2007-08-05 00:45	<DIR>	d--------	C:DOCUME~1jarckoDANEAP~1ATI2007-08-05 00:43	98,816	--a------	C:WINDOWSsystem32dmstyle.dll2007-08-05 00:43	98,816	--a------	C:WINDOWSsystem32dllcachedmstyle.dll2007-08-05 00:43	974,848	--a------	C:WINDOWSsystem32dxdiag.exe2007-08-05 00:43	974,848	--a------	C:WINDOWSsystem32dllcachedxdiag.exe2007-08-05 00:43	83,968	--a------	C:WINDOWSsystem32driversnabtsfec.sys2007-08-05 00:43	83,968	--a------	C:WINDOWSsystem32dllcachenabtsfec.sys2007-08-05 00:43	80,896	--a------	C:WINDOWSsystem32dpvsetup.exe2007-08-05 00:43	80,896	--a------	C:WINDOWSsystem32dllcachedpvsetup.exe2007-08-05 00:43	8,192	--a------	C:WINDOWSsystem32dllcached3d8thk.dll2007-08-05 00:43	8,192	--a------	C:WINDOWSsystem32d3d8thk.dll2007-08-05 00:43	797,184	--a------	C:WINDOWSsystem32dllcached3dim700.dll2007-08-05 00:43	797,184	--a------	C:WINDOWSsystem32d3dim700.dll2007-08-05 00:43	79,360	--a------	C:WINDOWSsystem32dpwsockx.dll2007-08-05 00:43	79,360	--a------	C:WINDOWSsystem32dllcachedpwsockx.dll2007-08-05 00:43	77,824	--a------	C:WINDOWSsystem32dpmodemx.dll2007-08-05 00:43	77,824	--a------	C:WINDOWSsystem32dllcachedpmodemx.dll2007-08-05 00:43	76,800	--a------	C:WINDOWSsystem32dmscript.dll2007-08-05 00:43	76,800	--a------	C:WINDOWSsystem32dllcachedmscript.dll2007-08-05 00:43	733,184	--a------	C:WINDOWSsystem32qedwipes.dll2007-08-05 00:43	733,184	--a------	C:WINDOWSsystem32dllcacheqedwipes.dll2007-08-05 00:43	723,968	--a------	C:WINDOWSsystem32dpnet.dll2007-08-05 00:43	723,968	--a------	C:WINDOWSsystem32dllcachedpnet.dll2007-08-05 00:43	7,424	--a------	C:WINDOWSsystem32driversmskssrv.sys2007-08-05 00:43	7,424	--a------	C:WINDOWSsystem32dllcachemskssrv.sys2007-08-05 00:43	68,096	--a------	C:WINDOWSsystem32dpnhupnp.dll2007-08-05 00:43	68,096	--a------	C:WINDOWSsystem32dllcachedpnhupnp.dll2007-08-05 00:43	64,512	--a------	C:WINDOWSsystem32dllcacheamstream.dll2007-08-05 00:43	64,512	--a------	C:WINDOWSsystem32amstream.dll2007-08-05 00:43	602,624	--a------	C:WINDOWSsystem32dx7vb.dll2007-08-05 00:43	602,624	--a------	C:WINDOWSsystem32dllcachedx7vb.dll2007-08-05 00:43	58,368	--a------	C:WINDOWSsystem32dmcompos.dll2007-08-05 00:43	58,368	--a------	C:WINDOWSsystem32dllcachedmcompos.dll2007-08-05 00:43	52,096	--a------	C:WINDOWSsystem32driversmsdv.sys2007-08-05 00:43	52,096	--a------	C:WINDOWSsystem32dllcachemsdv.sys2007-08-05 00:43	5,504	--a------	C:WINDOWSsystem32driversmstee.sys2007-08-05 00:43	5,504	--a------	C:WINDOWSsystem32dllcachemstee.sys2007-08-05 00:43	5,248	--a------	C:WINDOWSsystem32driversmspclock.sys2007-08-05 00:43	5,248	--a------	C:WINDOWSsystem32dllcachemspclock.sys2007-08-05 00:43	491,520	--a------	C:WINDOWSsystem32dsdmoprp.dll2007-08-05 00:43	491,520	--a------	C:WINDOWSsystem32dllcachedsdmoprp.dll2007-08-05 00:43	48,512	--a------	C:WINDOWSsystem32driversstream.sys2007-08-05 00:43	48,512	--a------	C:WINDOWSsystem32dllcachestream.sys2007-08-05 00:43	470,528	--a------	C:WINDOWSsystem32qdvd.dll2007-08-05 00:43	470,528	--a------	C:WINDOWSsystem32dllcacheqdvd.dll2007-08-05 00:43	47,104	--a------	C:WINDOWSsystem32wstdecod.dll2007-08-05 00:43	47,104	--a------	C:WINDOWSsystem32dllcachewstdecod.dll2007-08-05 00:43	46,592	--a------	C:WINDOWSsystem32dxdllreg.exe2007-08-05 00:43	4,608	--a------	C:WINDOWSsystem32driversmspqm.sys2007-08-05 00:43	4,608	--a------	C:WINDOWSsystem32dllcachemspqm.sys2007-08-05 00:43	4,096	--a------	C:WINDOWSsystem32ksuser.dll2007-08-05 00:43	4,096	--a------	C:WINDOWSsystem32driversswenum.sys2007-08-05 00:43	4,096	--a------	C:WINDOWSsystem32dllcacheswenum.sys2007-08-05 00:43	4,096	--a------	C:WINDOWSsystem32dllcacheksuser.dll2007-08-05 00:43	381,952	--a------	C:WINDOWSsystem32dsound.dll2007-08-05 00:43	381,952	--a------	C:WINDOWSsystem32dpvoice.dll2007-08-05 00:43	381,952	--a------	C:WINDOWSsystem32dllcachedsound.dll2007-08-05 00:43	381,952	--a------	C:WINDOWSsystem32dllcachedpvoice.dll2007-08-05 00:43	354,816	--a------	C:WINDOWSsystem32psisdecd.dll2007-08-05 00:43	354,816	--a------	C:WINDOWSsystem32dllcachepsisdecd.dll2007-08-05 00:43	34,304	--a------	C:WINDOWSsystem32mciqtz32.dll2007-08-05 00:43	34,304	--a------	C:WINDOWSsystem32dllcachemciqtz32.dll2007-08-05 00:43	33,280	--a------	C:WINDOWSsystem32dmloader.dll2007-08-05 00:43	33,280	--a------	C:WINDOWSsystem32dllcachedmloader.dll2007-08-05 00:43	324,096	--a------	C:WINDOWSsystem32mswebdvd.dll2007-08-05 00:43	324,096	--a------	C:WINDOWSsystem32dllcachemswebdvd.dll2007-08-05 00:43	32,768	--a------	C:WINDOWSsystem32dpnhpast.dll2007-08-05 00:43	32,768	--a------	C:WINDOWSsystem32dllcachedpnhpast.dll((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))2007-08-09 14:02	42496	--a------	C:WINDOWSsystem32ftp.exe2007-08-09 14:02	42496	--a------	C:WINDOWSsystem32dllcacheftp.exe2007-08-09 14:02	16896	--a------	C:WINDOWSsystem32tftp.exe2007-08-09 14:02	16896	--a------	C:WINDOWSsystem32dllcachetftp.exe2007-08-07 11:36	67078	--a------	C:WINDOWSsystem32perfc015.dat2007-08-07 11:36	435978	--a------	C:WINDOWSsystem32perfh015.dat2007-08-05 01:17	133632	--a------	C:WINDOWSsystem32sfc_os.dll	---------		C:Program FilesUsługi online	---------		C:Program FilesKajko i Kokosz - Szkoła latania(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))*Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]"SoundMan"="SOUNDMAN.EXE" [2004-07-01 12:23 C:WINDOWSSOUNDMAN.EXE]"ATIPTA"="C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe" [2004-09-29 07:15]"ATICCC"="C:Program FilesATI TechnologiesATI.ACEcli.exe" [2004-09-29 10:37]"avast!"="C:PROGRA~1ALWILS~1Avast4ashDisp.exe" [2007-07-28 00:03]"a-squared Anti-Dialer"="C:Program Filesa-squared Anti-Dialera2adguard.exe" [][HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]"swg"="C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe" [2007-08-07 16:30]"Gadu-Gadu"="C:Program FilesGadu-Gadugg.exe" [2007-07-09 09:39][HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionrun]"<NO NAME>"="ATICCC"="C:Program FilesATI TechnologiesATI.ACEcli.exe" runtimeC:Documents and SettingsAll UsersMenu StartProgramyAutostartATI CATALYST System Tray.lnk - C:Program FilesATI TechnologiesATI.ACECLI.exe [2004-09-29 10:37:26]Microsoft Office.lnk - C:Program FilesMicrosoft OfficeOfficeOSA9.EXE [1999-02-17 20:05:56]R2 Smart Card Client;Smart Card Client;"C:WINDOWSSCardClnt.exe"R3 ALCXSENS;Service for WDM 3D Audio Driver;C:WINDOWSSystem32driversALCXSENS.SYSR3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service;C:WINDOWSSystem32DRIVERSfetnd5b.sysR3 ms_mpu401;Sterownik portu MIDI UART Microsoft MPU-401;C:WINDOWSSystem32driversmsmpu401.sysS3 FETNDIS;Sterownik NT karty VIA PCI 10/100Mb Fast Ethernet;C:WINDOWSSystem32DRIVERSfetnd5.sysS3 NTSIM;NTSIM;??C:WINDOWSSystem32ntsim.sys**************************************************************************catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2007-08-09 14:14:45Windows 5.1.2600 Dodatek Service Pack. 1 FAT NTAPIscanning hidden processes ...scanning hidden autostart entries ...scanning hidden files ...scan completed successfullyhidden files: 0**************************************************************************Completion time: 2007-08-09 14:15:02	--- E O F ---
GoBi

GoBi

komentarz
komentarz

Zablokuj porty programami WWDC i Seconfig XP

Skasuj pliki ( w trybie awaryjnym ) pogrubione i wpisy:

hijackthis

C:WINDOWSSCardClnt.exe

F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%SCardClnt.exe

O23 - Service: Smart Card Client - Unknown owner - C:WINDOWSSCardClnt.exe

ComboFix

R2 Smart Card Client ;Smart Card Client ;"C:WINDOWSSCardClnt.exe"
jarcko

jarcko

komentarz
  • Autor
komentarz

Porty zablokowałem. Jednak jak skasować pliki i wpisy oraz jak wejść w tryb awaryjny to nie wiem. Proszę o jakieś wskazówki jak to zrobić.

jarcko

jarcko

komentarz
  • Autor
komentarz

Usunąłem ten plik C:WINDOWSSCardClnt.exe a te wpisy w hijackthis to same zniknęły, nie musiałem ich usuwać. Nie wiem jednak jak usunąć wpisy w ComboFix.

Generalnie nic się nie zmieniło dalej avast powiadamia o tym pasożycie. Nieco zmieniła się jego nazwa. Teraz tak to wygląda:

Plik: C:b8r1k6m7x2t5.exe[PESpin] Nazwa pasożyta: Win32:Dialer-970[Trj]

Jest on zarówno bezpośrednio na dysku C jak i w folderze !KillBox gdzie także widzę ikonkę SCardClnt.

GoBi

GoBi

komentarz
komentarz

To coś napewno avast źle pokazuje - niczego dobrego po nim nie można się spodziewać, albo wykrywa wirusa którego nie ma lub wogóle nie wykrywa... zmień antywirusa najlepiej.

jarcko

jarcko

komentarz
  • Autor
komentarz

Ale Avira to samo mi pokazywała. To jednak jest coś na rzeczy. Zmieniłem ją na avast, bo przeczytałem że jest najlepszy z darmowych. Teraz Ty piszesz że niekoniecznie... Poza tym ja widzę to paskudztwo, tak jak napisałem powyżej. Ikonka tego czegoś jest zarówno na dysku C: jak i w folderze C:!KillBox . Oczywiście usuwanie tego nic nie daje, bo po każdym restarcie znowu to się pojawia.

GoBi

GoBi

komentarz
komentarz

- Sprawdz na http://www.virustotal.com ten plik.

CatchMe

CatchMe

komentarz
komentarz

Wklej te logi wreszcie - daj mi popracować. :)

jarcko

jarcko

komentarz
  • Autor
komentarz

Dzisiaj mogę działać już tylko w trybie awaryjnym. Po uruchomieniu w normalnym trybie pojawia się komunikat avasta o wirusie i na tym koniec - na cokolwiek bym kliknął to nic się nie otwiera. Jest normalnie pulpit i ikony, ale kompletnie nic nie działa.

Wysłałem ten plik na http://www.virustotal.com i oto raport:

Plik b8r1k6m7x2t5.exe otrzymany 2007.08.13 18:48:23 (CET)Antywirus	Wersja	Ostatnia aktualizacja	WynikAhnLab-V3	2007.8.9.2	2007.08.13	-AntiVir	7.4.0.60	2007.08.13	DIAL/52224.A.15Authentium	4.93.8	2007.08.11	-Avast	4.7.1029.0	2007.08.13	Win32:Dialer-970AVG	7.5.0.476	2007.08.13	Potentially harmful program Dialer.EQJBitDefender	7.2	2007.08.13	Packer.PESpin.ACAT-QuickHeal	9.00	2007.08.13	(Suspicious) - DNAScanClamAV	0.91	2007.08.13	Dialer-1067DrWeb	4.33	2007.08.13	Dialer.RadiuseSafe	7.0.15.0	2007.08.10	Suspicious Trojan/WormeTrust-Vet	31.1.5055	2007.08.13	-Ewido	4.0	2007.08.13	-FileAdvisor	1	2007.08.13	-Fortinet	2.91.0.0	2007.08.13	Misc/DialF-Prot	4.3.2.48	2007.08.10	-F-Secure	6.70.13030.0	2007.08.13	-Ikarus	T3.1.1.12	2007.08.13	not-a-virus:Monitor.Win32.Ardamax.kKaspersky	4.0.2.24	2007.08.13	not-a-virus:Dialer.Win32.Agent.bMcAfee	5096	2007.08.13	potentially unwanted program Dialer-GenericMicrosoft	1.2704	2007.08.13	-NOD32v2	2456	2007.08.13	a variant of Win32/Dialer.DelsimNorman	5.80.02	2007.08.13	-Panda	9.0.0.4	2007.08.12	-Prevx1	V2	2007.08.13	Trojan.MeheerwarRising	19.36.02.00	2007.08.13	Trojan.Dialer.hsiSophos	4.20.0	2007.08.12	Dial/Dialer-EQSunbelt	2.2.907.0	2007.08.11	VIPRE.SuspiciousSymantec	10	2007.08.13	Dialer.TrafficjamTheHacker	6.1.8.167	2007.08.13	-VBA32	3.12.2.2	2007.08.13	-VirusBuster	4.3.26:9	2007.08.13	-Webwasher-Gateway	6.0.1	2007.08.13	Dialer.52224.A.15Dodatkowe informacjeFile size: 52224 bytesMD5: ac3bbe7277925d9914d606dab1427e3cSHA1: 4bc49e4b7203b0d171690155f6df1099b1c9348cpackers: PESpinpackers: PESPINpackers: Troj-Crypt.EPrevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=6FC82C94004ABA40CCDB00039DB62100F10202E1Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

CatchMe, przecież logi wkleiłem już na początku. Mogę to zrobić jeszcze raz, tylko że w trybie awaryjnym, może być? A może Ty chcesz żebym przeszedł na to drugie forum? Weź mi napisz konkretnie co chcesz żebym zrobił, bo ciągle są jakieś niedomówienia.

CatchMe

CatchMe

komentarz
komentarz

Piszę wyraźnie abyś logi wkleił ! To takie trudne? :)

jarcko

jarcko

komentarz
  • Autor
komentarz

Uruchomiłem jednak komputer w trybie normalnym, ale musiałem wyłączyc avast. Gdy jest on włączony to jak pisałem wyżej nic nie działa.

I znowu pojawiła się na C:Program FilesCommon Filesdelsim ikonka o nazwie del która wygląda identycznie jak ta C:b8r1k6m7x2t5.exe (na czarnym tle czerwony krzyż taki jakby niemiecki)

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:39:45, on 2007-08-14

Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

Running processes:

C:WINDOWSSystem32smss.exe

C:WINDOWSsystem32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSSystem32Ati2evxx.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe

C:WINDOWSsystem32Ati2evxx.exe

C:WINDOWSExplorer.exe

C:WINDOWSSOUNDMAN.EXE

C:Program FilesATI TechnologiesATI.ACEcli.exe

C:PROGRA~1ALWILS~1Avast4ashDisp.exe

C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe

C:WINDOWSsystem32spoolsv.exe

C:Program FilesATI TechnologiesATI.ACECLI.exe

C:WINDOWSQuickTime.exe

C:Program FilesAlwil SoftwareAvast4ashWebSv.exe

C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe

C:Program FilesGadu-Gadugg.exe

C:Documents and SettingsjarckoPulpitHiJackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.wp.pl/

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza

F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%QuickTime.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:program filesgooglegoogletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:Program FilesGoogleGoogleToolbarNotifier2.0.301.7164swg.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWSSystem32msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:program filesgooglegoogletoolbar1.dll

O4 - HKLM..Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM..Run: [ATIPTA] C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe

O4 - HKLM..Run: [ATICCC] "C:Program FilesATI TechnologiesATI.ACEcli.exe" runtime

O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe

O4 - HKLM..Run: [a-squared Anti-Dialer] "C:Program Filesa-squared Anti-Dialera2adguard.exe" /d=60

O4 - HKCU..Run: [swg] C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe

O4 - HKCU..Run: [Gadu-Gadu] "C:Program FilesGadu-Gadugg.exe" /tray

O4 - HKUSS-1-5-18..Run: [] (User 'SYSTEM')

O4 - HKUSS-1-5-18..Run: [ATICCC] "C:Program FilesATI TechnologiesATI.ACEcli.exe" runtime (User 'SYSTEM')

O4 - HKUS.DEFAULT..Run: [] (User 'Default user')

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:Program FilesATI TechnologiesATI.ACECLI.exe

O4 - Global Startup: Microsoft Office.lnk = C:Program FilesMicrosoft OfficeOfficeOSA9.EXE

O12 - Plugin for .spop: C:Program FilesInternet ExplorerPluginsNPDocBox.dll

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:WINDOWSSystem32Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:WINDOWSsystem32ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe

O23 - Service: QuickTime - Unknown owner - C:WINDOWSQuickTime.exe

O23 - Service: Smart Card Client - Unknown owner - C:WINDOWSSCardClnt.exe (file missing)

--

End of file - 4217 bytes

ComboFix 07-08-04.3 - "jarcko" 2007-08-14 10:41:51.7 [GMT 2:00] - FAT32

Microsoft Windows XP Professional 5.1.2600.1.1250.1.1045.18.Prawda

((((((((((((((((((((((((( Files Created from 2007-07-14 to 2007-08-14 )))))))))))))))))))))))))))))))

2007-08-13 20:36 <DIR> d--h----- C:Program FilesCommon Filesdelsim

2007-08-13 18:40 <DIR> d--hs---- C:WINDOWSCSC

2007-08-13 18:38 52,224 --a------ C:b8r1k6m7x2t5.exe

2007-08-12 17:41 36,528 --------- C:WINDOWSsystem32driversPxHelp20.sys

2007-08-12 17:41 2,560 --------- C:WINDOWSsystem32driverscdralw2k.sys

2007-08-12 17:41 2,432 --------- C:WINDOWSsystem32driverscdr4_xp.sys

2007-08-12 17:41 129,784 --------- C:WINDOWSsystem32pxafs.dll

2007-08-12 17:41 115,880 --------- C:WINDOWSsystem32pxinsi64.exe

2007-08-12 17:29 <DIR> d-------- C:Program FilesWinamp

2007-08-11 18:10 <DIR> d-------- C:!KillBox

2007-08-11 12:40 599,040 -r-hs---- C:WINDOWSQuickTime.exe

2007-08-10 17:46 <DIR> d-------- C:Program FilesCombined Community Codec Pack

2007-08-08 12:36 <DIR> d-------- C:DOCUME~1jarckoDANEAP~1Gadu-Gadu

2007-08-08 12:30 <DIR> d-------- C:Program FilesGadu-Gadu

2007-08-08 12:30 <DIR> d-------- C:DOCUME~1jarckoGadu-Gadu

2007-08-07 22:09 90,112 --a------ C:WINDOWSsystem32RegDACL.exe

2007-08-07 22:09 9,006 --a------ C:clean.bat

2007-08-07 22:09 53,248 --a------ C:WINDOWSsystem32process.exe

2007-08-07 22:09 4,096 --a------ C:WINDOWSsystem32reboot.exe

2007-08-07 10:51 51,200 --a------ C:WINDOWSnircmd.exe

2007-08-06 20:06 <DIR> d-------- C:WINDOWSProfiles

2007-08-06 20:06 <DIR> d-------- C:DOCUME~1jarckoDANEAP~1InterTrust

2007-08-06 12:44 <DIR> d-------- C:Program FilesGoogle

2007-08-06 12:44 <DIR> d-------- C:DOCUME~1jarckoDANEAP~1Google

2007-08-06 12:44 <DIR> d-------- C:DOCUME~1ALLUSE~1DANEAP~1Google

2007-08-06 12:43 <DIR> d---s---- C:DOCUME~1jarckoUserData

2007-08-05 20:19 <DIR> d-------- C:Program FilesKajko i Kokosz - Szkoa latania

2007-08-05 01:42 <DIR> d-------- C:WINDOWSShellNew

2007-08-05 01:41 <DIR> d-------- C:DOCUME~1jarckoDANEAP~1Microsoft Web Folders

2007-08-05 01:17 683,008 -r-hs---- C:WINDOWSBTStack.exe

2007-08-05 01:04 95,608 --a------ C:WINDOWSsystem32AvastSS.scr

2007-08-05 01:04 94,416 --a------ C:WINDOWSsystem32driversaswmon2.sys

2007-08-05 01:04 92,848 --a------ C:WINDOWSsystem32driversaswmon.sys

2007-08-05 01:04 783,224 --a------ C:WINDOWSsystem32aswBoot.exe

2007-08-05 01:04 499,712 --a------ C:WINDOWSsystem32MSVCP71.dll

2007-08-05 01:04 42,912 --a------ C:WINDOWSsystem32driversaswTdi.sys

2007-08-05 01:04 26,624 --a------ C:WINDOWSsystem32driversaavmker4.sys

2007-08-05 01:04 23,152 --a------ C:WINDOWSsystem32driversaswRdr.sys

2007-08-05 01:04 <DIR> d-------- C:Program FilesAlwil Software

2007-08-05 00:48 <DIR> d--hs---- C:Recycled

2007-08-05 00:45 <DIR> d-------- C:DOCUME~1jarckoDANEAP~1ATI

2007-08-05 00:43 98,816 --a------ C:WINDOWSsystem32dmstyle.dll

2007-08-05 00:43 98,816 --a------ C:WINDOWSsystem32dllcachedmstyle.dll

2007-08-05 00:43 974,848 --a------ C:WINDOWSsystem32dxdiag.exe

2007-08-05 00:43 974,848 --a------ C:WINDOWSsystem32dllcachedxdiag.exe

2007-08-05 00:43 83,968 --a------ C:WINDOWSsystem32driversnabtsfec.sys

2007-08-05 00:43 83,968 --a------ C:WINDOWSsystem32dllcachenabtsfec.sys

2007-08-05 00:43 80,896 --a------ C:WINDOWSsystem32dpvsetup.exe

2007-08-05 00:43 80,896 --a------ C:WINDOWSsystem32dllcachedpvsetup.exe

2007-08-05 00:43 8,192 --a------ C:WINDOWSsystem32dllcached3d8thk.dll

2007-08-05 00:43 8,192 --a------ C:WINDOWSsystem32d3d8thk.dll

2007-08-05 00:43 797,184 --a------ C:WINDOWSsystem32dllcached3dim700.dll

2007-08-05 00:43 797,184 --a------ C:WINDOWSsystem32d3dim700.dll

2007-08-05 00:43 79,360 --a------ C:WINDOWSsystem32dpwsockx.dll

2007-08-05 00:43 79,360 --a------ C:WINDOWSsystem32dllcachedpwsockx.dll

2007-08-05 00:43 77,824 --a------ C:WINDOWSsystem32dpmodemx.dll

2007-08-05 00:43 77,824 --a------ C:WINDOWSsystem32dllcachedpmodemx.dll

2007-08-05 00:43 76,800 --a------ C:WINDOWSsystem32dmscript.dll

2007-08-05 00:43 76,800 --a------ C:WINDOWSsystem32dllcachedmscript.dll

2007-08-05 00:43 733,184 --a------ C:WINDOWSsystem32qedwipes.dll

2007-08-05 00:43 733,184 --a------ C:WINDOWSsystem32dllcacheqedwipes.dll

2007-08-05 00:43 723,968 --a------ C:WINDOWSsystem32dpnet.dll

2007-08-05 00:43 723,968 --a------ C:WINDOWSsystem32dllcachedpnet.dll

2007-08-05 00:43 7,424 --a------ C:WINDOWSsystem32driversmskssrv.sys

2007-08-05 00:43 7,424 --a------ C:WINDOWSsystem32dllcachemskssrv.sys

2007-08-05 00:43 68,096 --a------ C:WINDOWSsystem32dpnhupnp.dll

2007-08-05 00:43 68,096 --a------ C:WINDOWSsystem32dllcachedpnhupnp.dll

2007-08-05 00:43 64,512 --a------ C:WINDOWSsystem32dllcacheamstream.dll

2007-08-05 00:43 64,512 --a------ C:WINDOWSsystem32amstream.dll

2007-08-05 00:43 602,624 --a------ C:WINDOWSsystem32dx7vb.dll

2007-08-05 00:43 602,624 --a------ C:WINDOWSsystem32dllcachedx7vb.dll

2007-08-05 00:43 58,368 --a------ C:WINDOWSsystem32dmcompos.dll

2007-08-05 00:43 58,368 --a------ C:WINDOWSsystem32dllcachedmcompos.dll

2007-08-05 00:43 52,096 --a------ C:WINDOWSsystem32driversmsdv.sys

2007-08-05 00:43 52,096 --a------ C:WINDOWSsystem32dllcachemsdv.sys

2007-08-05 00:43 5,504 --a------ C:WINDOWSsystem32driversmstee.sys

2007-08-05 00:43 5,504 --a------ C:WINDOWSsystem32dllcachemstee.sys

2007-08-05 00:43 5,248 --a------ C:WINDOWSsystem32driversmspclock.sys

2007-08-05 00:43 5,248 --a------ C:WINDOWSsystem32dllcachemspclock.sys

2007-08-05 00:43 491,520 --a------ C:WINDOWSsystem32dsdmoprp.dll

2007-08-05 00:43 491,520 --a------ C:WINDOWSsystem32dllcachedsdmoprp.dll

2007-08-05 00:43 48,512 --a------ C:WINDOWSsystem32driversstream.sys

2007-08-05 00:43 48,512 --a------ C:WINDOWSsystem32dllcachestream.sys

2007-08-05 00:43 470,528 --a------ C:WINDOWSsystem32qdvd.dll

2007-08-05 00:43 470,528 --a------ C:WINDOWSsystem32dllcacheqdvd.dll

2007-08-05 00:43 47,104 --a------ C:WINDOWSsystem32wstdecod.dll

2007-08-05 00:43 47,104 --a------ C:WINDOWSsystem32dllcachewstdecod.dll

2007-08-05 00:43 46,592 --a------ C:WINDOWSsystem32dxdllreg.exe

2007-08-05 00:43 4,608 --a------ C:WINDOWSsystem32driversmspqm.sys

2007-08-05 00:43 4,608 --a------ C:WINDOWSsystem32dllcachemspqm.sys

2007-08-05 00:43 4,096 --a------ C:WINDOWSsystem32ksuser.dll

2007-08-05 00:43 4,096 --a------ C:WINDOWSsystem32driversswenum.sys

2007-08-05 00:43 4,096 --a------ C:WINDOWSsystem32dllcacheswenum.sys

2007-08-05 00:43 4,096 --a------ C:WINDOWSsystem32dllcacheksuser.dll

2007-08-05 00:43 381,952 --a------ C:WINDOWSsystem32dsound.dll

2007-08-05 00:43 381,952 --a------ C:WINDOWSsystem32dpvoice.dll

2007-08-05 00:43 381,952 --a------ C:WINDOWSsystem32dllcachedsound.dll

2007-08-05 00:43 381,952 --a------ C:WINDOWSsystem32dllcachedpvoice.dll

2007-08-05 00:43 354,816 --a------ C:WINDOWSsystem32psisdecd.dll

2007-08-05 00:43 354,816 --a------ C:WINDOWSsystem32dllcachepsisdecd.dll

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-14 09:59 42496 --a------ C:WINDOWSsystem32ftp.exe

2007-08-14 09:59 42496 --a------ C:WINDOWSsystem32dllcacheftp.exe

2007-08-14 09:59 16896 --a------ C:WINDOWSsystem32tftp.exe

2007-08-14 09:59 16896 --a------ C:WINDOWSsystem32dllcachetftp.exe

2007-08-07 11:36 67078 --a------ C:WINDOWSsystem32perfc015.dat

2007-08-07 11:36 435978 --a------ C:WINDOWSsystem32perfh015.dat

2007-08-05 01:17 133632 --a------ C:WINDOWSsystem32sfc_os.dll

--------- C:Program FilesUsługi online

--------- C:Program FilesKajko i Kokosz - Szkoła latania

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"SoundMan"="SOUNDMAN.EXE" [2004-07-01 12:23 C:WINDOWSSOUNDMAN.EXE]

"ATIPTA"="C:Program FilesATI TechnologiesATI Control Panelatiptaxx.exe" [2004-09-29 07:15]

"ATICCC"="C:Program FilesATI TechnologiesATI.ACEcli.exe" [2004-09-29 10:37]

"avast!"="C:PROGRA~1ALWILS~1Avast4ashDisp.exe" [2007-07-28 00:03]

"a-squared Anti-Dialer"="C:Program Filesa-squared Anti-Dialera2adguard.exe" []

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]

"swg"="C:Program FilesGoogleGoogleToolbarNotifierGoogleToolbarNotifier.exe" [2007-08-07 16:30]

"Gadu-Gadu"="C:Program FilesGadu-Gadugg.exe" [2007-07-09 09:39]

[HKEY_USERS.defaultsoftwaremicrosoftwindowscurrentversionrun]

"<NO NAME>"=

"ATICCC"="C:Program FilesATI TechnologiesATI.ACEcli.exe" runtime

C:Documents and SettingsAll UsersMenu StartProgramyAutostart

ATI CATALYST System Tray.lnk - C:Program FilesATI TechnologiesATI.ACECLI.exe [2004-09-29 10:37:26]

Microsoft Office.lnk - C:Program FilesMicrosoft OfficeOfficeOSA9.EXE [1999-02-17 20:05:56]

R2 QuickTime;QuickTime;"C:WINDOWSQuickTime.exe"

R3 ALCXSENS;Service for WDM 3D Audio Driver;C:WINDOWSSystem32driversALCXSENS.SYS

R3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service;C:WINDOWSSystem32DRIVERSfetnd5b.sys

R3 ms_mpu401;Sterownik portu MIDI UART Microsoft MPU-401;C:WINDOWSSystem32driversmsmpu401.sys

S2 Smart Card Client ;Smart Card Client ;"C:WINDOWSSCardClnt.exe"

S3 FETNDIS;Sterownik NT karty VIA PCI 10/100Mb Fast Ethernet;C:WINDOWSSystem32DRIVERSfetnd5.sys

S3 NTSIM;NTSIM;??C:WINDOWSSystem32ntsim.sys

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-08-14 10:42:25

Windows 5.1.2600 Dodatek Service Pack. 1 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

Completion time: 2007-08-14 10:42:48

C:ComboFix3.txt ... 2007-08-11 19:31

C:ComboFix2.txt ... 2007-08-11 23:59

--- E O F ---

[ Dodano: 2007-08-16, 19:34 ]

CatchMe, logi już wkleiłem. Możesz coś poradzić?

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

Zadaj pytanie bez logowania
Przejdź do listy tematów
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.

  Akceptuję