x-kom hosting

tazebama.dll

Koza002
utworzono
utworzono

Siedzi mi na komputerze od 4 formatów, w tym dwóch globalnych, ręce mi opadają, po prostu nie mam sił. Proszę o pomoc, wklejam logi z ComboFixa.
[log]
ComboFix 10-07-24.01 - Alchem!st 2010-07-25 9:06.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.0.1250.48.1045.18.1023.635 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Alchem!st\Moje dokumenty\Pobieranie\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\documents and settings.\hook.dl_
c:\documents and settings.\tazebama.dl_
c:\documents and settings.\tazebama.dll
c:\program files\dfdsfs
c:\program files\dfdsfs\aliases.ini
c:\program files\dfdsfs\kiss.exe
c:\program files\dfdsfs\mirc.ini
c:\program files\dfdsfs\murd3r
c:\program files\dfdsfs\remote.ini
c:\program files\dfdsfs\S.exe
c:\program files\dfdsfs\Win32.rar
c:\windows\n.exe
c:\windows\system32\BlueSoleiI.exe
c:\windows\system32\dllcache\dev2si.zip
c:\windows\system32\dllcache\dr67rf.zip
c:\windows\system32\dllcache\ei7g.msp
c:\windows\system32\dllcache\l3ik7.zip
c:\windows\system32\dllcache\o1o2o3o4
c:\windows\system32\dllcache\si3sj9.dll
c:\windows\system32\dllcache\vcr32.zip
c:\windows\system32\dllcache\Winter.pif
c:\windows\system32\dsfds.exe
c:\windows\system32\g.exe
c:\windows\system32\ODCB.INI
c:\windows\system32\system
c:\windows\vch21.exe
C:\zPharaoh.exe
D:\Autorun.inf
D:\zPharaoh.exe
c:\documents and settings.\hook.dl_ . . . . nie udało się usunąć
c:\documents and settings.\tazebama.dl_ . . . . nie udało się usunąć
c:\documents and settings.\tazebama.dll . . . . nie udało się usunąć

c:\windows\system32\qmgr.dll . . . jest zainfekowany!!

.
((((((((((((((((((((((((( Pliki utworzone od 2010-06-25 do 2010-07-25 )))))))))))))))))))))))))))))))
.

2010-07-25 07:02 . 2010-07-25 07:02 -------- d-----w- c:\documents and settings\Alchem!st\Dane aplikacji\Gadu-Gadu
2010-07-25 06:55 . 2010-07-25 06:55 -------- d-----w- c:\program files\DComSoft
2010-07-25 06:53 . 2010-07-25 06:53 56 ---ha-w- c:\windows\system32\ezsidmv.dat
2010-07-25 06:53 . 2010-07-25 06:53 -------- d-----w- c:\documents and settings\Alchem!st\Dane aplikacji\skypePM
2010-07-25 06:52 . 2010-07-25 07:02 -------- d-----w- c:\documents and settings\Alchem!st\Dane aplikacji\Skype
2010-07-25 06:52 . 2010-07-25 06:52 -------- d-----w- c:\documents and settings\Alchem!st\Gadu-Gadu
2010-07-25 06:51 . 2010-07-25 06:51 -------- d-----w- c:\program files\Gadu-Gadu
2010-07-25 06:51 . 2010-07-25 06:51 -------- d-----w- c:\program files\Common Files\Skype
2010-07-25 06:51 . 2010-07-25 06:51 -------- d-----r- c:\program files\Skype
2010-07-25 06:50 . 2010-07-25 06:51 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Skype
2010-07-25 06:50 . 2010-07-25 06:50 -------- d-----w- c:\program files\CCleaner
2010-07-25 06:47 . 2010-07-25 07:09 32768 ----a-w- c:\documents and settings\tazebama.dll
2010-07-25 06:46 . 2010-07-25 06:46 12328 ----a-w- c:\documents and settings\Alchem!st\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2010-07-25 06:45 . 2010-07-25 06:45 -------- d-----w- c:\documents and settings\Alchem!st\Ustawienia lokalne\Dane aplikacji\ATI
2010-07-25 06:45 . 2010-07-25 06:45 -------- d-----w- c:\documents and settings\Alchem!st\Dane aplikacji\ATI
2010-07-25 06:45 . 2010-07-25 07:09 -------- d-----w- c:\documents and settings\Alchem!st\Ustawienia lokalne\Dane aplikacji\ApplicationHistory
2010-07-25 06:45 . 2010-07-25 06:45 134 ----a-w- c:\documents and settings\Alchem!st\Ustawienia lokalne\Dane aplikacji\fusioncache.dat
2010-07-25 06:43 . 2010-07-25 06:43 -------- d-----w- c:\program files\Common Files\ATI Technologies
2010-07-25 01:15 . 2010-07-25 01:15 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\McAfee Security Scan
2010-07-25 01:15 . 2010-07-25 01:15 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\McAfee
2010-07-25 01:15 . 2010-07-25 01:15 -------- d-----w- c:\program files\McAfee Security Scan
2010-07-24 21:00 . 2010-07-24 21:05 727458 ----a-w- c:\windows\system32\gh.com
2010-07-24 20:18 . 2010-07-24 20:18 894262 ----a-w- c:\windows\system32\bin.exe
2010-07-24 20:17 . 2010-07-24 20:47 503808 ----a-w- c:\windows\system32\gfdsfs.com
2010-07-24 20:16 . 2010-07-24 20:16 889767 ----a-w- c:\windows\system32\inanaged.exe
2010-07-24 20:14 . 2010-07-25 06:48 1046806 ----a-w- C:\vicer.exe
2010-07-24 20:14 . 2010-07-24 20:14 890383 ----a-w- c:\windows\system32\Whlep31.exe
2010-07-24 20:10 . 2010-07-24 20:10 -------- d-----w- c:\windows\system32\java
2010-07-24 20:10 . 2010-07-25 06:48 1027102 ----a-w- C:\vm.exe

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-07-25 07:10 . 2010-07-24 18:38 -------- d-----w- c:\program files\DialNet
2010-07-25 07:09 . 2010-07-25 07:09 155633 --sh--r- C:\zPharaoh.exe
2010-07-25 06:47 . 2001-10-26 17:29 224111 ----a-w- c:\windows\system32\notepad.exe
2010-07-25 06:42 . 2010-07-24 18:18 -------- d-----w- c:\program files\ATI Technologies
2010-07-25 06:41 . 2010-07-24 18:17 -------- d-----w- c:\program files\Common Files\InstallShield
2010-07-24 19:50 . 2010-07-24 19:50 158720 --sh--r- c:\windows\system32\bshfitf.exe
2010-07-24 19:50 . 2010-07-24 19:49 158720 ----a-r- c:\windows\system32\Tracker.exe
2010-07-24 19:21 . 2010-07-24 19:21 0 ----a-w- c:\windows\nsreg.dat
2010-07-24 19:20 . 2001-10-26 16:15 67298 ----a-w- c:\windows\system32\perfc015.dat
2010-07-24 19:20 . 2001-10-26 16:15 436322 ----a-w- c:\windows\system32\perfh015.dat
2010-07-24 18:38 . 2010-07-24 18:33 -------- d-----w- c:\program files\OSCAR Editor
2010-07-24 18:38 . 2010-07-24 18:18 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-07-24 18:38 . 2010-07-24 18:38 -------- d-----w- c:\documents and settings\Alchem!st\Dane aplikacji\InstallShield
2010-07-24 17:54 . 2010-07-24 17:54 -------- d-----w- c:\program files\microsoft frontpage
2010-07-24 17:53 . 2010-07-24 17:53 80007 ----a-w- c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat
2010-07-24 17:51 . 2010-07-24 17:51 21856 ----a-w- c:\windows\system32\emptyregdb.dat
2010-07-24 17:51 . 2010-07-24 17:51 -------- d-----w- c:\program files\Usługi online
.

------- Sigcheck -------



[-] 2004-07-09 02:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . c:\windows\system32\d3d9.dll

c:\windows\System32\wscntfy.exe ... - brak elementu !!
c:\windows\System32\xmlprov.dll ... - brak elementu !!
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"OscarEditor"="c:\program files\OSCAR Editor\OscarEditor.exe" [2008-07-30 2865152]
"Windows Microsoft Services"="bshfitf.exe" [2010-07-24 158720]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"a-winpoet-service"="c:\program files\DialNet\winpppoverethernet.exe" [2007-07-06 405504]
"z-WrDialer"="c:\program files\DialNet\wrdialer.exe" [2010-07-25 718191]
"Windows Microsoft Services"="bshfitf.exe" [2010-07-24 158720]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-10-26 13312]
"Windows Microsoft Services"="bshfitf.exe" [2010-07-24 158720]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^BlueSoleiI.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\BlueSoleiI.lnk
backup=c:\windows\pss\BlueSoleiI.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]
2010-07-25 07:09 2284335 ----a-w- c:\program files\Gadu-Gadu\gg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2010-07-25 07:10 26349207 ----a-w- c:\program files\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinXPService]
2004-11-16 00:06 574464 ----a-w- c:\windows\Installer\$PatchCache$\Managed\00002109F10090400000000000F01FEC\12.0.4518\iexplorer.com

R2 TopWinPoETDriver;WinPoET PPPoE Optimized Driver;c:\windows\system32\drivers\WrKPoET2000.sys [2010-07-24 52214]
R3 FPD;Fine Point Packet Service;c:\windows\system32\drivers\fpd.sys [2010-07-24 30336]
R3 ip100Avista;ASUS NX1001 Network Adapter NT Driver;c:\windows\system32\drivers\ipfnd51.sys [2010-07-24 29696]
R3 WrKPoET2000;WrKPoET2000;c:\program files\DialNet\WrKPoET2000.sys [2010-07-24 52214]
R3 WRSWanDD;WinPoET PPPoE Adapter;c:\windows\system32\drivers\WrKPoETNic2000.sys [2010-07-24 65604]
S2 silvirlight.microsoft.com;XP HOT Rebild;"c:\windows\System32\Win15763.exe" -netsvcs --> c:\windows\System32\Win15763.exe [?]
S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]

--- Inne Usługi/Sterowniki w Pamięci ---

*NewlyCreated* - ALG
*NewlyCreated* - IPNAT
.
.
------- Skan uzupełniający -------
.
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
FF - ProfilePath - c:\documents and settings\Alchem!st\Dane aplikacji\Mozilla\Firefox\Profiles\8l6p3jz6.default\
FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll

---- FIREFOX - SPOSÓB POSTĘPOWANIA ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - USUNIĘTO PUSTE WPISY - - - -

HKLM-Run-kiss - c:\program files\dfdsfs\S.exe
HKLM-Run-XP HOT Rebild - Win15763.exe
HKU-Default-Run-XP HOT Rebild - Win15763.exe
HKU-Default-RunOnce-XP HOT Rebild - Win15763.exe
MSConfigStartUp-FixBluetooth - c:\windows\system32\BlueSoleiI.exe
AddRemove-m1RC - c:\windows\system32\System -uninstall
AddRemove-mIRC - c:\program files\dfdsfs\kiss.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [url="http://www.gmer.net"]http://www.gmer.net[/url]
Rootkit scan 2010-07-25 09:10
Windows 5.1.2600 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'winlogon.exe'(652)
c:\windows\system32\ODBC32.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'lsass.exe'(708)
c:\windows\system32\mswsock.dll
c:\windows\System32\wshtcpip.dll
c:\windows\System32\dssenh.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\System32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\windows\System32\bshfitf.exe
c:\documents and settings\tazebama.dl_
c:\program files\DialNet\WrOS.EXE
c:\windows\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Czas ukończenia: 2010-07-25 09:12:28 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2010-07-25 07:12

Przed: 6 487 937 024 bajtów wolnych
Po: 6 442 135 552 bajtów wolnych

WinXP_PL_PRO_BF.EXE
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect

- - End Of File - - CEBDB97A92CE0DA4A9A11DD0DEB5F9CA[/log]

Tomek01
komentarz
komentarz

Wygląda to na infekcję plików wykonywalnych.

Kilka wskazówek: http://www.forumpc.pl/index.php?showtopic=167074

I daj znać jak poszło.

Koza002
komentarz
komentarz (edytowane)

Przeskanowałem tym do podałeś w temacie, jak narazie w procesach jest spokój, aczkolwiek w Documents and Setting dalej spoczywają dwa pliki, tazemba.dll i hook.

@UP. Wirus siedzi nadal, nie mam już sił;/

Sohei
komentarz
komentarz

zacznijmy od tego czy dr web pokazal infekcje win32.sectorB(bądź tym podobnym) ? sality ? virut?
Jeśli któraś z tych infeckji widniała w logu jest to infekcja wykonywalnych.Wykonujesz
[b]Do ponownego postawienia systemu może być potrzebna płytka z systemem.[/b]
Pobierz i nagraj na płytkę na [b]niezainfekowanym[/b] komputerze [url=http://www.freedrweb.pl/livecd.php][b]DR Web LiveCD[/b][/url].
Włóż płytkę do zainfekowanego komputera, zakładając, że wcześniej ustawiłeś w BIOS-ie na startowanie kompa z CD/DVD, więc po restarcie powinien się uruchomić się skaner.
Wykonujesz pełny skan, leczysz co się da, reszta do usunięcia.
Skanujesz tyle razy, aż skaner nic nie znajdzie.
Jeśli po usuwaniu system się nie uruchomi, wkładasz do komputera płytkę z systemem i wykonujesz [url=http://www.searchengines.pl/index.php?showtopic=24500&view=findpost&p=109540]instalację nakładkową Windows[/url].
Po ewentualnej instalacji nakładkowej [b]wyłącz i włącz Przywracanie systemu[/b] na wszystkich dyskach. Instrukcja [url=http://support.microsoft.com/kb/310405/pl][b]XP[/b][/url] lub [url=http://windowshelp.microsoft.com/Windows/pl-PL/Help/517d3b8e-3379-46c1-b479-05b30d6fb3f01045.mspx][b]Vista[/b][/url].
Wykonaj pełny skan [url=http://dobreprogramy.pl/index.php?dz=2&id=1998][b]DR WEB CureIt[/b][/url].
Jeśli skaner nic nie znajdzie, dla pewności podaj log z [url=http://forum.dobreprogramy.pl/post1170959.html#p1170959][b]Combofix[/b][/url] i wyłącz ponownie przywracanie systemu włączone przez Combofixa.

Koza002
komentarz
komentarz

Mam pytanie, już od dawna planuje kupno dysku, więc też planuje to zrobić. Tylko obawiam się jednego, co jeśli ten wirus siedzi w biosie?

Sohei
komentarz
komentarz

nie siedzi: )
Jest to po prostu infekcja plikow wykonywalnych i wystarczy ze chociażby 1 plik pozostanie zarażony i będzie ciągle infekował komputer. Są 2 opcje albo robisz wskazówki z mojego posta albo formatujesz wszystkie partycje bez pozostawiania plików! Jedynie zdjecia, pliki tekstowe , muzyka i filmy mogą zostać

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.