x-kom hosting

Prośba o sprawdzenie loga (HJT)

FrogsterPL
utworzono
utworzono

Niedawno "nałapałem" kilka wirusów, w związku z czym proszę o sprawdzenie loga:

Logfile of Trend Micro HijackThis v2.0.2Scan saved at 15:57:32, on 2008-08-04Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v7.00 (7.00.6000.16674)Boot mode: NormalRunning processes:D:\WINDOWS\System32\smss.exeD:\WINDOWS\system32\winlogon.exeD:\WINDOWS\system32\services.exeD:\WINDOWS\system32\lsass.exeD:\WINDOWS\system32\Ati2evxx.exeD:\WINDOWS\system32\svchost.exeD:\WINDOWS\System32\svchost.exeD:\WINDOWS\system32\Ati2evxx.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeD:\WINDOWS\Explorer.EXEC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeD:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exeD:\WINDOWS\system32\ctfmon.exeD:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exeD:\WINDOWS\system32\spoolsv.exeG:\Program Files\Nero\Nero8\InCD\InCDsrv.exeD:\Program Files\Common Files\LightScribe\LSSrvc.exeE:\Program Files\CDBurnerXP\NMSAccessU.exeD:\WINDOWS\system32\svchost.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeE:\Program Files\Gadu-Gadu\gg.exeE:\Program Files\Mozilla Firefox\firefox.exeG:\Program Files\Trend Micro\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaO2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Program Files\Java\jre1.6.0_03\bin\ssv.dllO4 - HKLM\..\Run: [Jet Detection] "D:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe"O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [WireLessMouse] E:\Program Files\Trust\Trust R-series Mouse And Keyboard\StartAutorun.exe MouseDrv.exeO4 - HKLM\..\Run: [startCCC] "D:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRunO4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exeO4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel presentO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_03\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Program Files\Java\jre1.6.0_03\bin\ssv.dllO9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exeO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exeO16 - DPF: {33DFB28A-9792-4AFC-B594-D589365DF67D} (Bahu Photo Uploader) - http://www.bahu.com/BahuPhotoUploader.cabO16 - DPF: {5CE72DD0-4695-4D18-A4D3-3367ACD37578} (F-Secure Health Check 1.0) - http://support.f-secure.com/enu/home/onlineservices/fshc/fscax.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1195304459796O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLLO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exeO23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exeO23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exeO23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exeO23 - Service: hpdj - HP - D:\DOCUME~1\UŻYTKO~1\USTAWI~1\Temp\hpdj.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exeO23 - Service: InCD Helper (InCDsrv) - Nero AG - G:\Program Files\Nero\Nero8\InCD\InCDsrv.exeO23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Program Files\Common Files\LightScribe\LSSrvc.exeO23 - Service: NMIndexingService - Nero AG - D:\Program Files\Common Files\Nero\Lib\NMIndexingService.exeO23 - Service: NMSAccessU - Unknown owner - E:\Program Files\CDBurnerXP\NMSAccessU.exeO23 - Service: PnkBstrA - Unknown owner - D:\WINDOWS\system32\PnkBstrA.exe (file missing)--End of file - 5781 bytes

SpyBot Search&Destroy 1.6 ani Avast nie potrafią sobie poradzić z problemem (tzn. niby sobie radzą, ale wiry potem znowu się włączają). Najbardziej widoczne "objawy" są takie:

- na ogół wraz z systemem uruchamia się "amvo.exe" (odpalam wtedy regedit i usuwam wszystkie wpisy do tego, ale nie pomaga)

- nie da się w ogóle włączyć pokazywania plików ukrytych (w tym ukrytych systemowych; "zwykłe" systemowe widzi) - w związku z tym nie mam jak wywalić plików, które, co najlepsze, wiem, gdzie się znajdują :/ (np. D:/Windows/system32/amvo.exe).

Mam też w planie odpalenie Windy 98 (odłączywszy przedtem kabel Ethernet od kompa, na wszelki wypadek) i przeskanowanie XPka z poziomu 98 - tym bardziej, że prawdopodobnie udałoby się wtedy wywalić te "ukryte" pliki.

EDIT:

Jeszcze jedno pytanko: jeśli w logu HJT widać jakieś elementy Nero (np. InCD), czy znaczy to, że są one odpalone w tle? Bo Nero przy starcie systemu nie jest mi w ogóle potrzebne, więc mógłbym to wyłączyć w razie czego :P

EDIT 2:

Wiry to (wg SpyBota) Win32.Rungbu.a (chyba "kava.exe") oraz Win32.Agent.frl (prawdopodobnie właśnie to jest to "amvo.exe", instalatory mają postać plików "autorun.inf" na partycjach C:/ i D:/).

Mateusz J.
komentarz
komentarz

Log z HijackThis przy tej infekcji nic nam nie da :)

Proszę o loga z ComboFix.

amvo.exe, autorun.inf - infekcja z pendrive.

O23 - Service: InCD Helper (InCDsrv) - Nero AG - G:\Program Files\Nero\Nero8\InCD\InCDsrv.exeO23 - Service: NMIndexingService - Nero AG - D:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

Nie Fixuj, tylko w Start > Panel Sterowania > Narzędie administracyjne > Usługi zatrzymaj NMIndexingService oraz InCD Helper (InCDsrv)

FrogsterPL
komentarz
komentarz
amvo.exe, autorun.inf - infekcja z pendrive.

Masz na myśli, że mi się to niby przeniosło z jakiegoś pendrive? Nie sądzę, w ostatnim czasie nie używałem :D Używałem co prawda karty pamięci (SecureDigital), ale to między kompem i aparatem - aparat raczej mi jej nie zawirusował xD U kumpla też tej karty używałem, ale wir "wrył" się znacznie później, podejrzewam że z netu.

ComboFixa odpalę potem, bo teraz jestem trochę zajęty i nie mogę restartować kompa (w okienku CF napisane jest, że jak znajdzie infekcję to automatycznie odpali kompa ponownie). Loga wrzucę więc potem ;)

Aha, co do usług - NMIndexingService jakimś cudem zatrzymać się nie da (nie ma takiej opcji), ale InCD i cośtam z LightScribe'em się udało ;)

Mateusz J.
komentarz
komentarz
Masz na myśli, że mi się to niby przeniosło z jakiegoś pendrive? Nie sądzę, w ostatnim czasie nie używałem biggrin.gif Używałem co prawda karty pamięci (SecureDigital), ale to między kompem i aparatem - aparat raczej mi jej nie zawirusował xD U kumpla też tej karty używałem, ale wir "wrył" się znacznie później, podejrzewam że z netu.

Ta infekcja jest przenoszona przez różne urządzenia np.mp3, mp4, ogólnie wszystko co działa jak przenośna pamięć.

Napisałem pendrive, bo tak jest najczęściej.

podejrzewam że z netu.

Nie spotkałem się z takim przypadkiem :)

Ale może może... :P

FrogsterPL
komentarz
komentarz

Działa działa działa działa!! :w00t: Tzn. nie wiem, czy ComboFix wywalił wszystko, ale już da się wyświetlać ukryte pliki bez żadnego problemu :D To dobry znak :D

Tu log:

ComboFix 08-08-03.05 - Użytkownik 2008-08-04 18:20:05.1 - [color=red][b]FAT32[/b][/color]x86Microsoft Windows XP Home Edition  5.1.2600.2.1250.1.1045.18.633 [GMT 2:00]Running from: G:\Downloads\ComboFix.exe[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color].(((((((((((((((((((((((((((((((((((((((   Other Deletions   ))))))))))))))))))))))))))))))))))))))))))))))))).C:\1rfw8hjr.comC:\Autorun.infC:\g.comC:\kdxdweli.cmdD:\1rfw8hjr.comD:\autorun.infD:\Documents and Settings\Użytkownik\Dane aplikacji\macromedia\Flash Player\#SharedObjects\2X5U4AVJ\interclick.comD:\Documents and Settings\Użytkownik\Dane aplikacji\macromedia\Flash Player\#SharedObjects\2X5U4AVJ\interclick.com\ud.solD:\Documents and Settings\Użytkownik\Dane aplikacji\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.comD:\Documents and Settings\Użytkownik\Dane aplikacji\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.solD:\g.comD:\kdxdweli.cmdD:\WINDOWS\system32\amvo.exeD:\WINDOWS\system32\amvo0.dllD:\WINDOWS\system32\amvo1.dllE:\1rfw8hjr.comE:\Autorun.infE:\g.comE:\kdxdweli.cmdG:\1rfw8hjr.comG:\Autorun.infG:\g.comG:\kdxdweli.cmdH:\1rfw8hjr.comH:\Autorun.infH:\g.comH:\kdxdweli.cmdI:\1rfw8hjr.comI:\Autorun.infI:\g.comI:\kdxdweli.cmdJ:\1rfw8hjr.comJ:\Autorun.infJ:\g.comJ:\kdxdweli.cmdK:\1rfw8hjr.comK:\Autorun.infK:\g.comK:\kdxdweli.cmd.(((((((((((((((((((((((((   Files Created from 2008-07-04 to 2008-08-04  ))))))))))))))))))))))))))))))).2008-08-03 19:55 . 2008-08-04 12:31	88,916	-r-hs----	D:\knupkb.com2008-07-30 11:13 . 2008-07-31 08:24	88,782	-r-hs----	D:\uis.com2008-07-29 20:20 . 2008-07-29 20:20	<DIR>	d--------	D:\Documents and Settings\All Users\Dane aplikacji\Lavasoft2008-07-29 13:41 . 2008-07-29 17:30	69	--a------	D:\WINDOWS\NeroDigital.ini2008-07-28 18:10 . 2008-07-28 18:10	<DIR>	d--------	D:\Documents and Settings\All Users\Dane aplikacji\LightScribe2008-07-28 18:08 . 2008-07-28 18:08	<DIR>	d--------	D:\Program Files\Common Files\LightScribe2008-07-28 18:03 . 2008-07-28 18:03	<DIR>	d--------	D:\Program Files\Common Files\Nero2008-07-28 18:03 . 2008-07-28 18:03	<DIR>	d--------	D:\Documents and Settings\All Users\Dane aplikacji\Nero2008-07-24 16:39 . 2008-07-25 19:39	87,297	-r-hs----	D:\g2pfnid.com2008-07-24 16:33 . 2008-07-24 16:33	<DIR>	d--------	D:\Garmin2008-07-24 16:33 . 2007-03-08 17:18	18,432	--a------	D:\WINDOWS\system32\drivers\grmngen.sys2008-07-24 16:33 . 2007-03-08 17:18	8,320	--a------	D:\WINDOWS\system32\drivers\grmnusb.sys2008-07-24 16:11 . 2008-07-25 12:11	86,970	-r-hs----	D:\e.com2008-07-24 16:09 . 2008-07-18 19:40	116,311	-r-hs----	D:\f0.cmd2008-07-20 15:32 . 2008-07-20 15:32	<DIR>	d--------	D:\Program Files\directx2008-07-14 23:00 . 2004-08-04 00:43	870,784	--a------	D:\WINDOWS\system32\ati3d1ag.dll2008-07-12 12:58 . 2008-07-12 12:58	0	--a------	D:\WINDOWS\WinPM.INI2008-07-12 12:50 . 2004-09-03 10:53	3,870,720	--a------	D:\WINDOWS\system32\qt-mt323.dll2008-07-12 12:50 . 2003-10-07 18:08	6,656	--a------	D:\WINDOWS\system32\WnASPI32.dll2008-07-06 20:24 . 2003-11-20 09:27	15,670	--a------	D:\WINDOWS\system32\drivers\MTK.SYS2008-07-04 18:30 . 2008-07-04 18:30	<DIR>	d--------	D:\Documents and Settings\All Users\Dane aplikacji\AVS4YOU2008-07-04 18:29 . 2008-07-04 18:29	<DIR>	d--------	D:\Program Files\AVS4YOU2008-07-04 18:28 . 2008-07-04 18:28	<DIR>	d--------	D:\Program Files\Common Files\AVSMedia.((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-07-08 17:19	107,888	----a-w	D:\WINDOWS\system32\CmdLineExt.dll2008-06-26 17:05	---------	d-----w	D:\Program Files\Common Files\Adobe2008-06-25 12:56	---------	d-----w	D:\Documents and Settings\All Users\Dane aplikacji\ATI2008-06-20 17:42	246,784	----a-w	D:\WINDOWS\system32\mswsock.dll2008-06-20 17:42	246,784	----a-w	D:\WINDOWS\system32\dllcache\mswsock.dll2008-06-20 17:42	148,992	----a-w	D:\WINDOWS\system32\dllcache\dnsapi.dll2008-06-20 10:45	360,320	----a-w	D:\WINDOWS\system32\drivers\tcpip.sys2008-06-20 10:45	360,320	----a-w	D:\WINDOWS\system32\dllcache\tcpip.sys2008-06-20 10:44	138,368	----a-w	D:\WINDOWS\system32\drivers\afd.sys2008-06-20 10:44	138,368	----a-w	D:\WINDOWS\system32\dllcache\afd.sys2008-06-20 09:52	225,920	----a-w	D:\WINDOWS\system32\drivers\tcpip6.sys2008-06-20 09:52	225,920	----a-w	D:\WINDOWS\system32\dllcache\tcpip6.sys2008-06-14 18:01	273,024	------w	D:\WINDOWS\system32\drivers\bthport.sys2008-06-14 18:01	273,024	------w	D:\WINDOWS\system32\dllcache\bthport.sys2008-06-03 06:20	3,100,160	----a-w	D:\WINDOWS\system32\dllcache\ati2mtag.sys2008-06-03 03:46	10,276,864	----a-w	D:\WINDOWS\system32\atioglx2.dll2008-06-03 03:22	413,696	----a-w	D:\WINDOWS\system32\ATIDEMGX.dll2008-06-03 03:21	306,688	----a-w	D:\WINDOWS\system32\dllcache\ati2dvag.dll2008-06-03 03:21	306,688	----a-w	D:\WINDOWS\system32\ati2dvag.dll2008-06-03 03:11	43,520	----a-w	D:\WINDOWS\system32\ati2edxx.dll2008-06-03 03:11	26,112	----a-w	D:\WINDOWS\system32\Ati2mdxx.exe2008-06-03 03:11	180,224	----a-w	D:\WINDOWS\system32\atipdlxx.dll2008-06-03 03:11	139,264	----a-w	D:\WINDOWS\system32\Oemdspif.dll2008-06-03 03:11	139,264	----a-w	D:\WINDOWS\system32\ati2evxx.dll2008-06-03 03:09	552,960	----a-w	D:\WINDOWS\system32\ati2evxx.exe2008-06-03 03:08	53,248	----a-w	D:\WINDOWS\system32\ATIDDC.DLL2008-06-03 03:04	245,760	----a-w	D:\WINDOWS\system32\atiok3x2.dll2008-06-03 03:02	307,200	----a-w	D:\WINDOWS\system32\atiiiexx.dll2008-06-03 02:59	3,500,352	----a-w	D:\WINDOWS\system32\dllcache\ati3duag.dll2008-06-03 02:59	3,500,352	----a-w	D:\WINDOWS\system32\ati3duag.dll2008-06-03 02:48	2,120,832	----a-w	D:\WINDOWS\system32\dllcache\ativvaxx.dll2008-06-03 02:48	2,120,832	----a-w	D:\WINDOWS\system32\ativvaxx.dll2008-06-03 02:33	48,128	----a-w	D:\WINDOWS\system32\amdpcom32.dll2008-06-03 02:29	348,160	----a-w	D:\WINDOWS\system32\atikvmag.dll2008-06-03 02:28	23,040	----a-w	D:\WINDOWS\system32\atiadlxx.dll2008-06-03 02:28	17,408	----a-w	D:\WINDOWS\system32\atitvo32.dll2008-06-03 02:22	5,439,488	----a-w	D:\WINDOWS\system32\atioglxx.dll2008-06-03 02:21	557,056	----a-w	D:\WINDOWS\system32\dllcache\ati2cqag.dll2008-06-03 02:21	557,056	----a-w	D:\WINDOWS\system32\ati2cqag.dll2008-06-02 19:05	593,920	------w	D:\WINDOWS\system32\ati2sgag.exe2008-05-08 12:28	202,752	----a-w	D:\WINDOWS\system32\dllcache\rmcast.sys2008-05-07 05:16	1,291,264	----a-w	D:\WINDOWS\system32\quartz.dll2008-05-07 05:16	1,291,264	----a-w	D:\WINDOWS\system32\dllcache\quartz.dll2008-01-23 14:16	32	----a-w	D:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat.(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Note* empty entries & legit default entries are not shown REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ctfmon.exe"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-04 12:00 15360][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Jet Detection"="D:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 01:00 28672]"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]"WireLessMouse"="E:\Program Files\Trust\Trust R-series Mouse And Keyboard\StartAutorun.exe" [2007-03-06 11:18 212992]"StartCCC"="D:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 12:00 15360][HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]path=D:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnkbackup=D:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup[HKLM\~\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Synchronizer.lnk]path=D:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Synchronizer.lnkbackup=D:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]D:\WINDOWS\system32\dumprep 0 -k [X][HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]--a------ 2008-01-11 22:16 39792 E:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]--------- 2004-10-13 17:24 1694208 D:\Program Files\Messenger\msmsgs.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]--a------ 2007-12-01 20:56 155648 D:\Program Files\QuickTime\qttask.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]--a------ 2007-09-25 01:11 132496 E:\Program Files\Java\jre1.6.0_03\bin\jusched.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]--------- 2000-05-11 01:00 90112 D:\WINDOWS\Updreg.EXE[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="E:\\Program Files\\Gadu-Gadu\\gg.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"="D:\\Program Files\\U-ABIT\\FlashMenu\\flashmenu.exe"="E:\\Program Files\\Atari\\Test Drive Unlimited\\TestDriveUnlimited.exe"="D:\\Program Files\\Windows Media Player\\wmplayer.exe"="E:\\Program Files\\Mozilla Firefox\\FIREFOX.EXE"="C:\\wincmd\\WINCMD32.EXE"="E:\\Program Files\\TDK\\World Racing\\WR_Multiplayer_Lounge.exe"="E:\\Program Files\\Paradox Entertainment\\Airfix Dogfighter\\Dogfighter.exe"="E:\\Program Files\\Electronic Arts\\Need For Speed 3\\nfs3.exe"="E:\\Program Files\\Microsoft Games\\Age of Empires II\\EMPIRES2.EXE"="E:\\Program Files\\Skype\\Phone\\Skype.exe"="G:\\Program Files\\Rockstar Games\\GTA2\\gta2.exe"="D:\\WINDOWS\\System32\\dplaysvr.exe"=R0 videX32;videX32;D:\WINDOWS\system32\DRIVERS\videX32.sys [2007-09-21 17:49]R2 NMSAccessU;NMSAccessU;E:\Program Files\CDBurnerXP\NMSAccessU.exe [2007-10-12 08:34]R3 ipgd;IC Plus IP1000 Family Gigabit Ethernet Adapter Driver;D:\WINDOWS\system32\DRIVERS\ipgdnd51.sys [2005-01-11 09:47]S3 FXDrv32;FXDrv32;F:\FXDrv32.sys []S3 Memctl;Memctl;D:\Program Files\U-ABIT\FlashMenu\Memctl.sys [2006-04-18 14:53]S3 MTK;Media Technology Kernel Driver;D:\WINDOWS\system32\Drivers\mtk.sys [2003-11-20 09:27]S3 s125bus;Sony Ericsson Device 125 driver (WDM);D:\WINDOWS\system32\DRIVERS\s125bus.sys [2007-04-24 11:33]S3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;D:\WINDOWS\system32\DRIVERS\s125mdfl.sys [2007-04-24 11:33]S3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;D:\WINDOWS\system32\DRIVERS\s125mdm.sys [2007-04-24 11:33]S3 s3m;s3m;D:\WINDOWS\system32\DRIVERS\s3m.sys [2001-08-17 20:50]S3 s816bus;Sony Ericsson Device 816 driver (WDM);D:\WINDOWS\system32\DRIVERS\s816bus.sys [2007-06-19 08:51]S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;D:\WINDOWS\system32\DRIVERS\s816mdfl.sys [2007-06-19 08:51]S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;D:\WINDOWS\system32\DRIVERS\s816mdm.sys [2007-06-19 08:51]S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);D:\WINDOWS\system32\DRIVERS\s816mgmt.sys [2007-06-19 09:51]S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);D:\WINDOWS\system32\DRIVERS\s816nd5.sys [2007-06-19 09:51]S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;D:\WINDOWS\system32\DRIVERS\s816obex.sys [2007-06-19 09:51]S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);D:\WINDOWS\system32\DRIVERS\s816unic.sys [2007-06-19 09:51]S3 V0080Dev;Creative Camera VF0080 Driver;D:\WINDOWS\system32\DRIVERS\V0080Dev.sys [2005-05-06 15:11][HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2eeb0396-5987-11dd-b58c-00508dd3f93f}]\Shell\AutoRun\command - L:\g2pfnid.com\Shell\explore\Command - L:\g2pfnid.com\Shell\open\Command - L:\g2pfnid.com[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5bbebcd4-4b89-11dd-a3a3-806d6172696f}]\Shell\AutoRun\command - F:\RunGame.exe[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{61b40342-a823-11dc-83e5-00508dd3f93f}]\Shell\AutoRun\command - L:\jk.exe\Shell\explore\Command - L:\jk.exe\Shell\open\Command - L:\jk.exe[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fbe44137-4bf5-11dd-b55a-00508dd3f93f}]\Shell\AutoRun\command - F:\autorun.exe[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]"D:\Program Files\Common Files\LightScribe\LSRunOnce.exe"..------- Supplementary Scan -------.FireFox -: Profile - D:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\gg0p4gub.default\**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-08-04 18:23:03Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPIscanning hidden processes ... scanning hidden autostart entries ...scanning hidden files ... scan completed successfullyhidden files: 0**************************************************************************.------------------------ Other Running Processes ------------------------.D:\WINDOWS\SYSTEM32\ATI2EVXX.EXED:\WINDOWS\SYSTEM32\ATI2EVXX.EXEC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeD:\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\MOM.EXED:\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\CCC.EXEG:\Program Files\Nero\Nero8\InCD\InCDsrv.exeD:\PROGRAM FILES\COMMON FILES\LIGHTSCRIBE\LSSRVC.EXED:\WINDOWS\SYSTEM32\WDFMGR.EXEC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exe.**************************************************************************.Completion time: 2008-08-04 18:24:01 - machine was rebooted [uľytkownik]ComboFix-quarantined-files.txt  2008-08-04 16:24:00Pre-Run: 139,730,944 bajtów wolnychPost-Run: 191,270,912 bajt˘w wolnych236	--- E O F ---	2008-07-13 17:50:12
snip91
komentarz
komentarz

Podłącz pendrive, czy co tam montowałeś do kompa.

Do notatnika wklej:

File::\knupkb.comD:\uis.comD:\g2pfnid.comD:\e.comD:\f0.cmdL:\jk.exeF:\autorun.exeF:\RunGame.exeL:\g2pfnid.comRegistry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\]

W notatniku zakładka Plik --> Zapisz jako --> zapisz pod nazwą CFScript.txt i zapisz go w tym samym katalogu, w którym jest ComboFix.

Wystartuj tryb awaryjny (F8 podczas ładowania systemu). Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt tak, jak na obrazku:

82650GIF.gif

Rozpocznie się usuwanie i powstanie log, który pokazujesz na forum.

Po restarcie usuń ręcznie folder C:\Qoobox.

FrogsterPL
komentarz
komentarz
F:\autorun.exe

F:\RunGame.exe

L:\g2pfnid.com

Na pewno tak? F:/ to u mnie napęd CD/DVD, natomiast L:/ nie mam w ogóle ;) (mam: A, C, D, E, F - CD/DVD, G, H, I, J, K) :D

Aha, i ten cały Qoobox - jak sądzę, to będzie na tej partycji, gdzie mam ComboFixa, czyli w moim przypadku G:/? (na C:/ chyba nie, bo tam mam Windę 98; Windę XP mam na D:/) :P

snip91
komentarz
komentarz
F:\autorun.exe

F:\RunGame.exe

To w takim razie będzie od jakiejś gry skoro z CD-ROM'u.

Na pewno nie masz L:\? Może MP3 albo pendrive miał taką literkę.

Qoobox będzie tam, gdzie CFX.

FrogsterPL
komentarz
komentarz
Na pewno nie masz L:\? Może MP3 albo pendrive miał taką literkę.

Racja, nie wpadłem na to. Ale to już jutro sprawdzę.

Mateusz J.
komentarz
komentarz
Racja, nie wpadłem na to. Ale to już jutro sprawdzę.

Tego może nie uda Ci się sprawdzić, ponieważ komputer nie zawsze przypisuje tę samą literkę do danego urządzenia.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.