x-kom hosting

RootKit i wirus w RAMie by Avast.

kisielek666718
utworzono
utworzono

Halo,

niestety jestem jednym z tych nowych użytkowników, co niewiele dają a potrzebują pomocy. Mam nadzieję, że zrozumiecie.

Mianowicie Avast wywala mi info o wirusie w RAMie, przeskanował sobie raz komputer przed startem systemu, jednego RootKita wywalił, ale ten wirus (określony jako Trj, czyli trojan jak przypuszczam) nadal siedzi i nie da się z nim nic zrobić. (co wydaje mi się dziwne, bo RAM chyba się czyści razem z resetem, nie?)

Dziwne jest to jeszcze o tyle, że 3 miechy byłem w anglii i wróciłem na przerwę świąteczną, komputer nie tykany przez ten czas, wcześniej problemu nie było a tu pupa. Jak go pierwszy raz włączyłem to okrutnie mulił, ale chyba był zakurzony po prostu, jak go przeleciałem (:) ) powietrzem to działa normalnie.

No jedynie ten wirus mnie martwi i firefox mi fatalnie działa, ciągle są zwiechy, może to ma jakiś związek, sam nie wiem.

Proszę pomóżcie, wklejam logi z hijackthis i Combofix:

HIJACK:

Logfile of Trend Micro HijackThis v2.0.2Scan saved at 13:28:24, on 2008-12-15Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)Boot mode: NormalRunning processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exeC:\Program Files\Alwil Software\Avast4\aswUpdSv.exeC:\Program Files\Alwil Software\Avast4\ashServ.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\system32\CTsvcCDA.exeC:\WINDOWS\system32\PnkBstrA.exeC:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exeC:\Program Files\Alwil Software\Avast4\ashMaiSv.exeC:\Program Files\Alwil Software\Avast4\ashWebSv.exeC:\WINDOWS\system32\wscntfy.exeC:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeC:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exeC:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exeC:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exeC:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exeC:\WINDOWS\system32\ctfmon.exeC:\Program Files\Messenger\msmsgs.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\wuauclt.exeC:\WINDOWS\system32\wuauclt.exeC:\WINDOWS\explorer.exeC:\WINDOWS\system32\notepad.exeC:\PROGRA~1\SPEEDB~1\VideoAcceleratorEngine.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ŁączaO2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dllO2 - BHO: Kwyshell MidpX BHO - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Program Files\Kwyshell\MidpX\JadInvoker\MidpInvoker.dllO3 - Toolbar: Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Program Files\Kwyshell\MidpX\JadInvoker\MidpInvoker.dllO4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exeO4 - HKLM\..\Run: [sBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /rO4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exeO4 - HKLM\..\Run: [HPHUPD05] C:\Program Files\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exeO4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exeO4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /rO4 - HKLM\..\Run: [CTDVDDET] C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXEO4 - HKLM\..\Run: [CTHelper] CTHELPER.EXEO4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXEO4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottimeO4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000O8 - Extra context menu item: Link to &MidpX - C:\Program Files\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htmO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dllO9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLLO9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exeO16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cabO18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLLO23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exeO23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exeO23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exeO23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exeO23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exeO23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exeO23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exeO23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\MSCSPTISRV.exeO23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Common Files\Sony Shared\AVLib\PACSPTISVR.exeO23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exeO23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exeO23 - Service: VideoAcceleratorService - Speedbit Ltd. - C:\PROGRA~1\SPEEDB~1\VideoAcceleratorService.exe--End of file - 6396 bytes

ComboFix:

ComboFix 08-12-14.04 - Kisielek 2008-12-15 13:23:18.1 - NTFSx86Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.2559.2154 [GMT 1:00]Uruchomiony z: c:\documents and settings\Kisielek\Pulpit\ComboFix.exe * Utworzono nowy punkt przywracania.(((((((((((((((((((((((((((((((((((((((   Usunięto   ))))))))))))))))))))))))))))))))))))))))))))))))).c:\documents and settings\Kisielek\Dane aplikacji\CURITY~1c:\documents and settings\Kisielek\Dane aplikacji\CURITY~1\??curity\c:\documents and settings\Kisielek\Ulubione\Online Security Test.urlc:\program files\ssembl~1c:\windows\OPTIONS\CABS\_desktop.inic:\windows\system32\autorun.inic:\windows\system32\ciqrerhr.inic:\windows\system32\ctmedengt.dllc:\windows\system32\wnsapisu.exec:\windows\system32\ywblogxa.ini.(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   ))))))))))))))))))))))))))))))))))))))))))))))))).-------\Legacy_ASC3550U-------\Service_asc3550u(((((((((((((((((((((((((   Pliki utworzone od 2008-11-15 do 2008-12-15  ))))))))))))))))))))))))))))))).Nie utworzono żadnych nowych plików w tym okresie.((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-12-14 11:35	---------	d-----w	c:\program files\Nokia2008-09-17 14:14	111,928	----a-w	c:\windows\system32\PnkBstrB.exe2008-05-21 14:34	22,328	----a-w	c:\documents and settings\Kisielek\Dane aplikacji\PnkBstrK.sys2008-02-20 13:24	24	----a-w	c:\program files\defaults.ini2008-02-20 13:24	24	----a-w	c:\program files\components.ini2007-12-26 10:47	32	----a-w	c:\documents and settings\All Users\Dane aplikacji\ezsid.dat.(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2004-08-03 1667584][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]"SBDrvDet"="c:\program files\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 45056]"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-12-05 176128]"HPHUPD05"="c:\program files\Hewlett-Packard\{D946675D-1D6C-4dc8-9E0D-B4B8EAA30EAA}\hphupd05.exe" [2003-11-13 49152]"HP Software Update"="c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2003-12-05 49152]"HPHmon05"="c:\windows\system32\hphmon05.exe" [2004-02-02 495616]"CTSysVol"="c:\program files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-09-17 57344]"CTDVDDET"="c:\program files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" [2003-06-18 45056]"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-01-31 385024]"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]"CTHelper"="CTHELPER.EXE" [2003-10-06 c:\windows\system32\CTHELPER.EXE][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"vidc.I420"= i263_32.drv"MIDI2"= vpnt.dll"msacm.ac3filter"= ac3filter.acm[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pqomso]c:\program files\?ssembly\?poolsv.exe [?][HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H2O]--a------ 2005-05-11 01:46 200069 c:\program files\Syncrosoft\POS\H2O\cledx.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]--a------ 2008-01-31 22:13 385024 c:\program files\QuickTime\QTTask.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]-ra------ 2007-12-12 15:20 21686568 c:\program files\Skype\Phone\Skype.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]--a------ 2006-11-10 11:35 90112 c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]"DXPNetworkSecurityService"=2 (0x2)"avast! Mail Scanner"=3 (0x3)"PnkBstrA"=2 (0x2)"wuauserv"=2 (0x2)"wscsvc"=2 (0x2)"SharedAccess"=2 (0x2)"MDM"=2 (0x2)"SSScsiSV"=3 (0x3)"SonicStage Back-End Service"=3 (0x3)"SPTISRV"=3 (0x3)"UPS"=3 (0x3)"Ati HotKey Poller"=2 (0x2)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="c:\\Program Files\\Wolfenstein - Enemy Territory\\ET.exe"="c:\\Program Files\\Gadu-Gadu\\gg.exe"="c:\\Program Files\\Skype\\Phone\\Skype.exe"="c:\\Program Files\\Messenger\\msmsgs.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"25458:TCP"= 25458:TCP:@xpsp2res.dll,-22009"30313:TCP"= 30313:TCP:@xpsp2res.dll,-22009R0 iteraid;ITERAID_Service_Install;c:\windows\system32\DRIVERS\iteraid.sys [2008-04-10 26112]R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-04 111184]R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-04-04 20560]R2 PfDetNT;PfDetNT;\??\c:\windows\system32\drivers\PfModNT.sys [2007-09-20 15840]R2 sbbotdi;sbbotdi;\??\c:\progra~1\SPEEDB~1\sbbotdi.sys [2008-04-28 35584]R2 VideoAcceleratorService;VideoAcceleratorService;c:\progra~1\SPEEDB~1\VideoAcceleratorService.exe -start -scm []R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\DRIVERS\cledx.sys [2007-07-31 33792]S2 vtiskpzw;USB to IEEE-1284.4 Translation  HPZius12Support;c:\windows\System32\svchost.exe -k netsvcs [2004-08-04 14336]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcsvtiskpzw[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{783ca811-06e6-11dd-ac7d-00e04ccc040f}]\Shell\AutoRun\command - G:\wdsync.exe.- - - - USUNIĘTO PUSTE WPISY - - - -BHO-{E08D843E-EBDC-4F59-8DA2-AD790A6F9A8C} - c:\windows\system32\ctmedengt.dllNotify-ddayx - c:\windows\system32\ddayx.dllNotify-jkprepmb - ctmedengt.dllNotify-winjyg32 - winjyg32.dllMSConfigStartUp-NeroFilterCheck - c:\windows\system32\NeroCheck.exeMSConfigStartUp-PCSuiteTrayApplication - c:\program files\Nokia\Nokia PC Suite 6\LaunchApplication.exeMSConfigStartUp-PcSync - c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exeMSConfigStartUp-Recr - c:\docume~1\Kisielek\DANEAP~1\CURITY~1\winspool.exeMSConfigStartUp-runner1 - c:\windows\retadpu2000352.exeMSConfigStartUp-zpwom0mgian3 - c:\windows\system32\zpwom0mgian3.exe.------- Skan uzupełniający -------.uStart Page = hxxp://www.google.pl/uInternet Connection Wizard,ShellNext = iexploreIE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000IE: Link to &MidpX - c:\program files\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htmFF - ProfilePath - c:\documents and settings\Kisielek\Dane aplikacji\Mozilla\Firefox\Profiles\76yw2qb7.default\.**************************************************************************catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-12-15 13:26:27Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ...skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'winlogon.exe'(800)c:\windows\system32\Ati2evxx.dll.------------------------ Pozostałe uruchomione procesy ------------------------.c:\program files\Lavasoft\Ad-Aware 2007\aawservice.exec:\program files\Alwil Software\Avast4\aswUpdSv.exec:\program files\Alwil Software\Avast4\ashServ.exec:\windows\system32\CTSVCCDA.EXEc:\windows\system32\PnkBstrA.exec:\windows\system32\wdfmgr.exec:\progra~1\SPEEDB~1\VideoAcceleratorService.exec:\program files\Alwil Software\Avast4\ashMaiSv.exec:\program files\Alwil Software\Avast4\ashWebSv.exec:\windows\system32\wscntfy.exec:\program files\Alwil Software\Avast4\ashDisp.exec:\progra~1\SPEEDB~1\VideoAcceleratorEngine.exe.**************************************************************************.Czas ukończenia: 2008-12-15 13:27:52 - komputer został uruchomiony ponownieComboFix-quarantined-files.txt  2008-12-15 12:27:49Przed: 18 533 769 216 bajtów wolnychPo: 18,543,034,368 bajtów wolnychWindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe[boot loader]timeout=2default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS[operating systems]c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdconsmulti(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect172

Byłbym niezmiernie wdzięczny za pomoc.

Pozdrawiam

Gość
komentarz
komentarz

Do Notatnika wklej:

Windows Registry Editor Version 5.00[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pqomso][-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H2O][-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task][-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC][-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{783ca811-06e6-11dd-ac7d-00e04ccc040f}]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako FIX.REG>>>

plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru).

Zrestartuj komputer.

To wszystko.

kisielek666718
komentarz
komentarz

Mógłbyś mi powiedzieć, który z moich palących problemów został w ten sposób rozwiązany?

Dzięki za pomoc.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.