Dopadl mnie chyba "rootkit"

**Posty:** 6 · przez **D A R I O** 22 Sie 2008, 10:08

Witam....dopadl mnie jakis trojan...Mam avasta...
POsiadam 3 konta na komputerze naszczescie... ale na moim juz prawie nic neidziala przez tego wirusa...nieotwiera mi stron internetowych itp...spowalnia system..zuzycie procesora jest ok20%...gdy wchdoze na konto taty lub brata wsyztsko jest ok i dziala jak nalezy..prosze o pomoc....I z gory dziekuje....

A tu jest log z Combofixa:
________________________________________________________

Kod: Zaznacz wszystko: ComboFix 08-08-21.02 - Marek 2008-08-22 9:51:50.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.167 [GMT 2:00] Running from: C:\Documents and Settings\Marek\Dane aplikacji\Opera\Opera\profile\cache4\temporary_download\ComboFix.exe * Created a new restore point [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color] . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\Program Files\Antivirus 2009 C:\Program Files\Antivirus 2009\av2009.exe C:\Program Files\Antivirus 2009\av2009.exe.tmp C:\WINDOWS\BM83743346.txt C:\WINDOWS\BM83743346.xml C:\WINDOWS\pskt.ini C:\WINDOWS\system32\aahhynil.ini C:\WINDOWS\system32\drivers\npf.sys C:\WINDOWS\system32\eMoYyJlm.ini C:\WINDOWS\system32\eMoYyJlm.ini2 C:\WINDOWS\system32\lpklijso.ini C:\WINDOWS\system32\mcrh.tmp C:\WINDOWS\system32\mjccbxhy.dll C:\WINDOWS\system32\mlJyYoMe.dll C:\WINDOWS\system32\ohyeslpa.exe C:\WINDOWS\system32\packet.dll C:\WINDOWS\system32\pthreadVC.dll C:\WINDOWS\system32\wpcap.dll C:\WINDOWS\system32\wvUkJDVN.dll C:\WINDOWS\system32\yhxbccjm.ini . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NPF -------\Legacy_tcpsr -------\Service_NPF -------\Service_tcpsr ((((((((((((((((((((((((( Files Created from 2008-07-22 to 2008-08-22 ))))))))))))))))))))))))))))))) . 2008-08-22 08:29 . 2008-08-22 08:29 <DIR> d-------- C:\Program Files\Sophos 2008-08-21 22:26 . 2008-08-21 22:37 <DIR> d-------- C:\Program Files\SkanerOnline 2008-08-21 16:51 . 2008-08-21 16:51 <DIR> d-------- C:\WINDOWS\EffectResources 2008-08-20 21:06 . 2008-08-20 21:06 2,048 --a------ C:\WINDOWS\system32\banrmgmk.exe 2008-08-20 21:03 . 2008-08-20 21:03 86,528 --a------ C:\WINDOWS\system32\osjilkpl.dll 2008-08-20 21:00 . 2008-08-20 21:00 95,744 --a------ C:\WINDOWS\system32\lahhqrna.dll 2008-08-20 17:52 . 2008-08-20 21:25 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Dane aplikacji\MEGAUPLOADTOOLBAR 2008-08-20 17:52 . 2008-08-20 17:52 103,936 --a------ C:\WINDOWS\faceback1535.exe 2008-08-20 17:52 . 2008-08-20 17:52 34,816 --a------ C:\qiig.exe 2008-08-20 17:52 . 2008-08-20 17:52 2 --a------ C:\-2142830475 2008-08-17 21:09 . 2008-08-17 21:09 <DIR> d-------- C:\Program Files\SEC 2008-08-17 21:09 . 2003-02-24 16:20 827,392 -ra------ C:\WINDOWS\system32\Flash.ocx 2008-08-17 21:09 . 2006-08-28 17:12 13,312 --a------ C:\WINDOWS\system32\drivers\MTictwl.sys 2008-08-16 14:15 . 2008-08-16 14:23 <DIR> d-------- C:\Documents and Settings\Administrator\Ustawienia lokalne 2008-08-16 14:15 . 2008-08-16 14:23 <DIR> d-------- C:\Documents and Settings\Administrator\Szablony 2008-08-16 14:15 . 2008-08-16 14:23 <DIR> d-------- C:\Documents and Settings\Administrator\Dane aplikacji 2008-08-16 14:15 . 2008-08-16 14:23 <DIR> d---s---- C:\Documents and Settings\Administrator 2008-08-14 19:42 . 2008-08-16 14:23 <DIR> d-------- C:\Program Files\Hamachi 2008-08-08 12:54 . 2008-08-08 12:54 <DIR> d-------- C:\WINDOWS\system32\LogFiles 2008-07-30 16:18 . 2008-07-30 16:18 <DIR> d-------- C:\Downloads 2008-07-30 16:18 . 2008-07-30 16:18 2,560 --a------ C:\WINDOWS\system32\bitcometres.dll 2008-07-28 11:13 . 2008-07-30 15:32 <DIR> d-------- C:\Program Files\LightSurf . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-08-22 07:34 --------- d-----w C:\Program Files\AutoConnect 2008-08-21 14:50 --------- d--h--w C:\Program Files\InstallShield Installation Information 2008-08-20 16:04 --------- d-----w C:\Program Files\Opera 2008-08-18 17:02 --------- d-----w C:\Program Files\Executive Software 2008-07-30 17:48 --------- d-----w C:\Program Files\Java 2008-07-30 14:19 --------- d-----w C:\Program Files\BitComet 2008-07-30 13:57 --------- d-----w C:\Program Files\DivX 2008-07-18 07:03 --------- d-----w C:\Program Files\PSL 2008-07-18 06:53 68,096 ----a-w C:\WINDOWS\ScUnin.exe 2008-07-17 18:24 --------- d-----w C:\Program Files\Common Files\Adobe 2008-07-17 18:23 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Adobe Systems 2008-07-17 18:21 --------- d-----w C:\Program Files\Common Files\Adobe Systems Shared 2008-07-17 07:10 --------- d-----w C:\Program Files\totalcmd 2008-07-11 08:28 --------- d-----w C:\Program Files\PHP 2008-06-25 18:52 --------- d-----w C:\Program Files\NokiaFREE Unlock Codes Calculator 2008-06-24 13:31 --------- d-----w C:\Program Files\Cream Software 2008-06-23 18:57 --------- d-----w C:\Program Files\MobMapUpdater . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{74322BF9-DF26-493f-B0DA-6D2FC5E6429E}] 2007-10-29 11:21 402872 --a------ C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 15:57 1289000] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:44 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016] "NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648] "No-IP Client 1.42"="C:\Program Files\No-IP Client\noipclient.exe" [2006-05-13 21:30 571392] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 13:22 7700480] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784] "BigDog305"="C:\WINDOWS\VM305_STI.EXE" [2005-08-05 09:15 61440] "BM83743346"="C:\WINDOWS\system32\lahhqrna.dll" [2008-08-20 21:00 95744] "BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 00:44 110592 C:\WINDOWS\system32\bthprops.cpl] "SoundMan"="SOUNDMAN.EXE" [2003-08-15 09:34 57344 C:\WINDOWS\SOUNDMAN.EXE] "nwiz"="nwiz.exe" [2006-10-22 13:22 1622016 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="NvMCTray.dll" [2006-10-22 13:22 86016 C:\WINDOWS\system32\nvmctray.dll] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv] 2005-12-20 22:57 176128 C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.X264"= x264vfw.dll "VIDC.3iv2"= 3ivxVfWCodec.dll "VIDC.VP31"= vp31vfw.dll "msacm.l3fhg"= mp3fhg.acm "vidc.DIV3"= DivXc32.dll "vidc.DIV4"= DivXc32f.dll "msacm.divxa32"= divxa32.acm "VIDC.HFYU"= huffyuv.dll "VIDC.i263"= i263_32.drv "msacm.imc"= imc32.acm [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bgl50.sys] @="Driver"

Edit by Mike013
Następnym razem wstawiaj logi w tagi [code]

**Posty:** 35 · przez **huber2t** 22 Sie 2008, 10:18

Pobierz ComboFix, ale nie uruchamiaj
Otwórz notatnik i wklej do niego:

Kod: Zaznacz wszystko: File:: C:\WINDOWS\system32\banrmgmk.exe C:\WINDOWS\system32\osjilkpl.dll C:\WINDOWS\system32\lahhqrna.dll C:\WINDOWS\system32\config\systemprofile\Dane aplikacji\MEGAUPLOADTOOLBAR C:\WINDOWS\faceback1535.exe C:\qiig.exe C:\-2142830475 Registry:: [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bgl50.sys]

Plik -> zapisz jako -> CFScript.txt.
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na wklej.eu lub na http://wklej.org a w poście dajesz tylko link

**Posty:** 6 · przez **D A R I O** 22 Sie 2008, 11:12

http://wklej.eu/index.php?id=c7ccdf72b5

**Posty:** 684 · przez **djarta** 22 Sie 2008, 12:23

To nie jest cały log, zrób jeszcze raz normalnego loga. :wink:

============================
K.

**Posty:** 6 · przez **D A R I O** 22 Sie 2008, 12:49

Jak niejest caly log??? to jak to mam zrobic....;(

**Posty:** 684 · przez **djarta** 22 Sie 2008, 12:53

Zrób normalnego, odpal ComboFixa dwuklikiem. :wink:

====================
K.

**Posty:** 6 · przez **D A R I O** 22 Sie 2008, 21:09

http://wklej.eu/index.php?id=4e3c0fb049

**Posty:** 8001 · przez **Okocza** 22 Sie 2008, 21:11

otwierasz notatnik i wklejasz

Kod: Zaznacz wszystko: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "804700da"=- [-hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqqiiha]

w notatniku u góry>>>plik zapisz jako>>>Zmien rozszerzenie z TXT na Wszystkie pliki *.* >>> Zapisz pod nazwą FIX.REG

Klikasz dwa razy na powstały plik fix i dodajesz go do rejestru....

log z hijacka i combofixa daj

**Posty:** 684 · przez **djarta** 22 Sie 2008, 21:26

okocza, jeśli nie umiesz sprawdzać logów to nie sprawdzaj ok?

Wklej do Notatnika:

Kod: Zaznacz wszystko: Driver:: bgl50 MEMSWEEP2 File:: C:\WINDOWS\system32\Drivers\Bgl50.sys C:\WINDOWS\system32\2E.tmp C:\WINDOWS\system32\urqQiiHa.dll Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "804700da"=- "BigDog305"=- [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{C3F6F4FE-85F6-4D0C-98DE-15324B09F149}"=- [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqqiiha]

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.

Potem:

C:\Documents and Settings\DARIO\Pulpit\wirusy\wirus.exe

Sprawdź go na --> http://virusscan.jotti.org/
albo na http://www.virustotal.com/en/indexf.html.

==================
K.

**Posty:** 6 · przez **D A R I O** 22 Sie 2008, 21:46

http://wklej.eu/index.php?id=7b833a94b9

**Posty:** 684 · przez **djarta** 22 Sie 2008, 21:47

Sprawdź jeszcze ten plik, czy sytuacja się polepszyła?

=====================
K.

**Posty:** 8001 · przez **Okocza** 22 Sie 2008, 21:47

D A R I O, wklejaj logi na forum

Wykonaj to co jest podane w tym temacie

1. Ściągnij OTMoveIt i go włacz i odpal go z opcji CleanUp

2. wykonaj optymalizację windowsa
3.sciagnij ATF_Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED
4.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
5. Przeskanuj komputer pod względem Trojanów tym programem
6. Wstaw na forum screen z zakładki uruchamianie (start – uruchom – msconfig – uruchamianie) może uda się cos wyrzucic stamtąd.

**Posty:** 6 · przez **D A R I O** 22 Sie 2008, 22:32

http://img218.imageshack.us/img218/112/63195900ba2.jpg

http://img218.imageshack.us/img218/5780/51884116pt3.jpg

Zrobilem wszytsko jak pisaliscie...