"win32.rungbu.a" po usunięciu pojawia się na nowo

**Posty:** 250 · przez **tenzin** 27 Sty 2009, 11:14

witam,
Ostatnio codziennie uruchamiam spy-bota (a także aktualizuję bazę) i praktycznie codziennie wykrywa mi:
"Win32.Rungbu.a" , wybieram opcję napraw zaznaczone problemy co kończy się powodzeniem. Jednak przy następnym uruchomieniu (kompa) spy-bota trojan znów się pojawia.
Opis trojana z poziomu spy-bota:
"Win32.Rungbu.a copies an executable file into the system directory and starts itself in autorun as "kava" without giving the user a possibility to cancel that process. It also connects to the internet in background and downloads executable files from a malicious server."

Logi:
Combofix

Kod: Zaznacz wszystko: ComboFix 09-01-21.04 - x 2009-01-27 9:57:43.6 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.511.150 [GMT 1:00] Uruchomiony z: c:\documents and settings\x\Pulpit\problem\ComboFix.exe * Utworzono nowy punkt przywracania UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\2u.com C:\autorun.inf C:\j60osk9.cmd C:\uvsqfgwd.cmd c:\windows\system32\gasretyw0.dll c:\windows\system32\kamsoft.exe D:\2u.com D:\Autorun.inf D:\j60osk9.cmd D:\uvsqfgwd.cmd . ((((((((((((((((((((((((( Pliki utworzone od 2008-12-27 do 2009-01-27 ))))))))))))))))))))))))))))))) . 2009-01-24 10:22 . 2009-01-27 07:45 95,744 --------- c:\windows\system32\nmdfgds0.dll 2009-01-22 09:17 . 2009-01-23 08:35 107,882 -r-hs---- C:\w98.com 2009-01-20 08:53 . 2009-01-22 09:16 107,385 -r-hs---- C:\gy.exe 2009-01-16 19:04 . 2009-01-16 19:04 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Acronis 2009-01-16 19:04 . 2009-01-16 19:04 1,390,730 --a------ c:\windows\system32\AutoPartNt.exe 2009-01-16 19:04 . 2009-01-16 19:29 1,024 --a------ c:\windows\system32\AutoPartNt.let 2009-01-16 19:03 . 2009-01-27 07:45 95,744 -r-hs---- c:\windows\system32\nmdfgds1.dll 2009-01-16 19:03 . 2004-08-03 23:44 70,144 --a------ c:\windows\AhnRpta.exe 2009-01-16 19:00 . 2009-01-16 19:00 <DIR> d-------- c:\program files\Common Files\Acronis 2009-01-16 18:42 . 2009-01-16 18:42 114,048 --a------ c:\windows\system32\drivers\snapman.sys 2009-01-16 18:35 . 2009-01-17 10:21 110,003 -r-hs---- C:\x2csvg.exe 2009-01-16 18:35 . 2009-01-27 07:45 108,512 -r-hs---- c:\windows\system32\olhrwef.exe 2009-01-05 10:32 . 2009-01-05 10:32 91 --a------ c:\windows\wininit.ini 2008-12-31 16:15 . 2009-01-27 09:59 108,270 --a------ c:\windows\system32\drivers\531cf7a.sys 2008-12-27 22:51 . 2008-12-27 22:51 <DIR> d-------- c:\documents and settings\x\Dane aplikacji\Winamp5 2008-12-27 21:12 . 2008-12-27 21:12 <DIR> d-------- c:\documents and settings\x\Dane aplikacji\BESTplayer . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-06 10:57 --------- d-----w c:\program files\SHOUTcast Source . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AQQ"="d:\program2\Wapster\AQQ\WAPSTE~1\AQQ.exe" [2008-12-22 1656832] "Google Update"="c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" [2008-09-03 133104] "cdoosoft"="c:\windows\system32\olhrwef.exe" [2009-01-27 108512] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinFast Schedule"="c:\program files\WinFast\WFTVFM\WFWIZ.exe" [2006-07-07 348160] "OSSelectorReinstall"="c:\program files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe" [2007-03-09 2223985] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{BB4C402F-882A-4526-8C08-51278EA437C1}"= "c:\windows\system32\afmain0.dll" [2004-08-03 78848] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"= ctwdm32.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Exif Launcher.lnk] path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Exif Launcher.lnk backup=c:\windows\pss\Exif Launcher.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FineReader7NewsReaderPro] --a------ 2003-08-05 16:16 278528 d:\programy\abbyy\AbbyyNewsReader.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update] --a----t- 2008-09-03 20:11 133104 c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD] --a------ 2006-11-10 16:19 1051648 d:\programy\nero\Nero 7\InCD\InCD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] --a------ 2006-12-05 22:55 54832 d:\programy\CyberLink\PowerDVD\Language\Language.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2006-01-12 14:40 155648 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REGSHAVE] --------- 2002-02-04 21:32 53248 c:\program files\REGSHAVE\REGSHAVE.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --------- 2006-11-23 15:10 56928 d:\programy\CyberLink\PowerDVD\PDVDServ.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "d:\\Program2\\Wapster\\AQQ\\AQQ.exe"= "c:\\Program Files\\Gadu-Gadu\\gg.exe"= "c:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupX.exe"= "d:\\Programy\\Skype\\Phone\\Skype.exe"= "d:\\Program2\\eMule\\EMULE.EXE"= "c:\\WINDOWS\\system32\\sessmgr.exe"= "d:\\Program2\\Wapster\\AQQ\\WapSter AQQ\\AQQ.exe"= R3 WFIOCTL;WFIOCTL;c:\program files\WinFast\WFTVFM\WFIOCTL.sys [2007-09-10 9446] R4 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [2001-10-26 14336] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{004341c0-785e-11dd-b481-0015569e6253}] \shell\autorun\command - G:\2u.com \shell\explore\command - G:\2u.com \shell\open\command - G:\2u.com [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6e16d723-fcd4-11db-a6c8-0015569e6253}] \shell\autorun\command - G:\w98.com \shell\open\command - G:\w98.com . Zawartość folderu 'Zaplanowane zadania' 2009-01-27 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-842925246-436374069-1957994488-1003.job - c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2008-09-03 20:11] . . ------- Skan uzupełniający ------- . uStart Page = about:blank DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab FF - ProfilePath - c:\documents and settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\i7g7mm11.default\ FF - plugin: c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\1.2.133.33\npGoogleOneClick7.dll FF - plugin: d:\programy\adobe\Acrobat 7\Reader\browser\nppdf32.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-27 09:58:56 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\531cf7a] "ImagePath"="\SystemRoot\System32\drivers\531cf7a.sys" . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- [HKEY_USERS\s-1-5-21-842925246-436374069-1957994488-1003\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) . Czas ukończenia: 2009-01-27 10:01:15 ComboFix-quarantined-files.txt 2009-01-27 09:00:24 Przed: 1 180 626 944 bajtów wolnych Po: 1,287,561,216 bajtów wolnych 132

Hijackthis

Kod: Zaznacz wszystko: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:02:23, on 2009-01-27 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\WinFast\WFTVFM\WFWIZ.exe D:\Program2\Wapster\AQQ\WAPSTE~1\AQQ.exe C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe C:\WINDOWS\system32\devldr32.exe D:\Programy\nero\Nero 7\InCD\InCDsrv.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\imapi.exe C:\WINDOWS\explorer.exe D:\Program2\TC PowerPack\totalcmd.exe D:\Programy\adobe\Acrobat 7\Reader\AcroRd32Info.exe D:\Programs\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programy\adobe\Acrobat 7\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe O4 - HKCU\..\Run: [AQQ] D:\Program2\Wapster\AQQ\WAPSTE~1\AQQ.exe O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Programy\nero\Nero 7\InCD\InCDsrv.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 3526 bytes

Log ze Spy-bot - (tym razem nie usunąłem trojana za pomocą spy-bota, - może ułatwi to wykrycie/pracę innym narzędziom?!)

Kod: Zaznacz wszystko: --- Search result list --- Hint of the Day: Click the bar at the right of this to see more information! () Win32.Rungbu.a: [SBI $8819FA0B] Identyfikator klasy (Klucz rejestru, nothing done) HKEY_CLASSES_ROOT\CLSID\MADOWN Tradedoubler: Cookie wyszukujące (Firefox: default) (Cookie, nothing done) Tradedoubler: Cookie wyszukujące (Firefox: default) (Cookie, nothing done) --- Spybot - Search & Destroy version: 1.6.0 (build: 20080729) --- 2008-11-05 unins000.exe (51.49.0.0) 2008-07-30 blindman.exe (1.0.0.8) 2008-07-30 SDMain.exe (1.0.0.6) 2008-07-30 SDWinSec.exe (1.0.0.12) 2008-07-30 Update.exe (1.6.0.7) 2008-07-30 SDUpdate.exe (1.6.0.9) 2008-07-30 SpybotSD.exe (1.6.0.31) 2008-07-30 TeaTimer.exe (1.6.1.22) 2008-07-30 SDFiles.exe (1.6.0.4) 2008-07-30 SDShred.exe (1.0.2.3) 2008-06-14 DelZip179.dll (1.79.11.1) 2007-04-02 aports.dll (2.1.0.0) 2008-06-19 sqlite3.dll 2008-10-22 Tools.dll (2.1.6.8) 2008-10-22 advcheck.dll (1.6.2.13) 2008-09-15 SDHelper.dll (1.6.2.14) 2008-12-16 Includes\PUPS.sbi (*) 2009-01-06 Includes\Dialer.sbi (*) 2008-12-09 Includes\Keyloggers.sbi (*) 2009-01-13 Includes\Security.sbi (*) 2008-11-18 Includes\Hijackers.sbi (*) 2008-11-18 Includes\Malware.sbi (*) 2008-06-03 Includes\Spybots.sbi (*) 2009-01-20 Includes\Spyware.sbi (*) 2009-01-13 Includes\Adware.sbi (*) 2009-01-21 Includes\Trojans.sbi (*) 2009-01-15 Includes\Cookies.sbi (*) 2009-01-13 Includes\Revision.sbi (*) 2008-06-03 Includes\Tracks.uti 2009-01-21 Includes\TrojansC.sbi (*) 2008-06-03 Includes\SpybotsC.sbi (*) 2009-01-20 Includes\SecurityC.sbi (*) 2009-01-20 Includes\PUPSC.sbi (*) 2009-01-21 Includes\MalwareC.sbi (*) 2009-01-20 Includes\KeyloggersC.sbi (*) 2009-01-13 Includes\HijackersC.sbi (*) 2009-01-13 Includes\DialerC.sbi (*) 2009-01-13 Includes\HeavyDuty.sbi (*) 2009-01-20 Includes\AdwareC.sbi (*) 2009-01-13 Includes\SpywareC.sbi (*) 2007-12-24 Plugins\TCPIPAddress.dll 2008-03-04 Plugins\Chai.dll 2008-03-05 Plugins\Fennel.dll 2008-02-26 Plugins\Mate.dll --- System information --- Windows XP (Build: 2600) Dodatek Service Pack 2 (5.1.2600) / Windows XP / SP2: Windows XP Service Pack 2 / Windows XP / SP3: Poprawka systemu Windows XP - KB896626 --- Startup entries list --- Located: HK_LM:Run, OSSelectorReinstall command: C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe file: C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe size: 2223985 MD5: 640E096997B563159991326DE1F68DDE Located: HK_LM:Run, WinFast Schedule command: C:\Program Files\WinFast\WFTVFM\WFWIZ.exe file: C:\Program Files\WinFast\WFTVFM\WFWIZ.exe size: 348160 MD5: 3311728B2E69F575C0154E378DF2A6D7 Located: HK_CU:Run, CTFMON.EXE where: .default... command: C:\WINDOWS\System32\CTFMON.EXE file: C:\WINDOWS\System32\CTFMON.EXE size: 15360 MD5: CBFA30492D70CE3938D8A7783D0C0436 Located: HK_CU:Run, CTFMON.EXE where: pe_c_administrator... command: C:\WINDOWS\System32\CTFMON.EXE file: C:\WINDOWS\System32\CTFMON.EXE size: 15360 MD5: CBFA30492D70CE3938D8A7783D0C0436 Located: HK_CU:RunOnce, NeroHomeFirstStart where: pe_c_administrator... command: C:\Program Files\Common Files\Ahead\Lib\NMFirstStart.exe file: C:\Program Files\Common Files\Ahead\Lib\NMFirstStart.exe size: 10752 MD5: E15AAD68F518E2C6C91E790FDD6B9820 Located: HK_CU:Run, AQQ where: s-1-5-21-842925246-436374069-1957994488-1003... command: D:\Program2\Wapster\AQQ\WAPSTE~1\AQQ.exe file: D:\Program2\Wapster\AQQ\WAPSTE~1\AQQ.exe size: 1656832 MD5: 4D787A13E3F70904B870F9332CAFF1A0 Located: HK_CU:Run, cdoosoft where: s-1-5-21-842925246-436374069-1957994488-1003... command: C:\WINDOWS\system32\olhrwef.exe file: C:\WINDOWS\system32\olhrwef.exe size: 108512 MD5: E737E24B20A10056A7CFED1AA47A3ADE Located: HK_CU:Run, Google Update where: s-1-5-21-842925246-436374069-1957994488-1003... command: "C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c file: C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe size: 133104 MD5: 626A24ED1228580B9518C01930936DF9 Located: HK_CU:Run, kamsoft where: s-1-5-21-842925246-436374069-1957994488-1003... command: C:\WINDOWS\system32\kamsoft.exe file: C:\WINDOWS\system32\kamsoft.exe size: 105097 MD5: 451F18694BBC49150683FE7B2BAC5322 Located: HK_CU:Run, CTFMON.EXE where: s-1-5-18... command: C:\WINDOWS\System32\CTFMON.EXE file: C:\WINDOWS\System32\CTFMON.EXE size: 15360 MD5: CBFA30492D70CE3938D8A7783D0C0436 Located: Autostart (wyłączony), Exif Launcher (DISABLED) command: D:\Programy\FINEPI~1\QuickDCF.exe file: D:\Programy\FINEPI~1\QuickDCF.exe size: 282624 MD5: 8558AED89FD5004F517184F354FAF6AF Located: WinLogon, crypt32chain command: crypt32.dll file: crypt32.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, cryptnet command: cryptnet.dll file: cryptnet.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, cscdll command: cscdll.dll file: cscdll.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, ScCertProp command: wlnotify.dll file: wlnotify.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, Schedule command: wlnotify.dll file: wlnotify.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, sclgntfy command: sclgntfy.dll file: sclgntfy.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, SensLogn command: WlNotify.dll file: WlNotify.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, termsrv command: wlnotify.dll file: wlnotify.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! Located: WinLogon, wlballoon command: wlnotify.dll file: wlnotify.dll size: 0 MD5: D41D8CD98F00B204E9800998ECF8427E Warning: if the file is actually larger than 0 bytes, the checksum could not be properly calculated! --- Browser helper object list --- {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class) location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ BHO name: CLSID name: AcroIEHlprObj Class description: Adobe Acrobat reader classification: Legitimate known filename: AcroIEhelper.ocx<br>AcroIEhelper.dll info link: http://www.adobe.com/products/acrobat/readstep2.html info source: TonyKlein Path: D:\Programy\adobe\Acrobat 7\ActiveX\ Long name: AcroIEHelper.dll Short name: ACROIE~1.DLL Date (created): 2005-09-24 06:12:08 Date (last access): 2009-01-27 Date (last write): 2005-09-24 06:12:08 Filesize: 63136 Attributes: archive MD5: B61D5D651ECC6055C29BF826CA7B1141 CRC32: FEF15799 Version: 7.0.5.172 {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (SSVHelper Class) location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ BHO name: CLSID name: SSVHelper Class Path: C:\Program Files\Java\jre1.6.0_05\bin\ Long name: ssv.dll Short name: Date (created): 2008-08-28 12:41:22 Date (last access): 2009-01-27 09:06:58 Date (last write): 2008-02-22 03:25:20 Filesize: 509328 Attributes: archive MD5: 5B42CB6A121256465B251840FDB1B2FE CRC32: 6EF0BCE9 Version: 6.0.50.13 --- ActiveX list --- DirectAnimation Java Classes (DirectAnimation Java Classes) DPF name: DirectAnimation Java Classes CLSID name: Installer: Codebase: file://C:\WINDOWS\Java\classes\dajava.cab description: classification: Legitimate known filename: %WINDIR%\Java\classes\dajava.cab info link: info source: Patrick M. Kolla Microsoft XML Parser for Java (Microsoft XML Parser for Java) DPF name: Microsoft XML Parser for Java CLSID name: Installer: Codebase: file://C:\WINDOWS\Java\classes\xmldso.cab description: classification: Legitimate known filename: %WINDIR%\Java\classes\xmldso.cab info link: info source: Patrick M. Kolla {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) DPF name: CLSID name: BDSCANONLINE Control Installer: C:\WINDOWS\Downloaded Program Files\oscan8.inf Codebase: http://download.bitdefender.com/resources/scan8/oscan8.cab description: classification: Legitimate known filename: oscan8.ocx info link: info source: Safer Networking Ltd. Path: C:\WINDOWS\DOWNLO~1\ Long name: oscan8.ocx Short name: Date (created): 2006-06-01 01:54:16 Date (last access): 2009-01-16 16:49:26 Date (last write): 2006-06-01 01:54:16 Filesize: 471040 Attributes: archive MD5: 9026F860148F0569BD92AEEFC4BDDFD7 CRC32: D1520CCE Version: 1.0.0.1 {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) DPF name: CLSID name: MksSkanerOnline Class Installer: C:\WINDOWS\Downloaded Program Files\SkanerOnline.inf Codebase: http://www.mks.com.pl/skaner/SkanerOnline.cab Path: C:\WINDOWS\system32\ Long name: SkanerOnline.dll Short name: SKANER~1.DLL Date (created): 2007-03-15 11:00:36 Date (last access): 2009-01-27 09:00:00 Date (last write): 2007-03-15 11:00:36 Filesize: 466432 Attributes: archive MD5: C0B3292A8D1F42EC3C54630CCA9B8479 CRC32: 3AB2679A Version: 2006.6.29.1 {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) DPF name: Java Runtime Environment 1.6.0 CLSID name: Java Plug-in 1.6.0_05 Installer: Codebase: http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab description: Sun Java classification: Legitimate known filename: %PROGRAM FILES%\JabaSoft\JRE\*\Bin\npjava131.dll info link: info source: Patrick M. Kolla Path: C:\Program Files\Java\jre1.6.0_05\bin\ Long name: npjpi160_05.dll Short name: NPJPI1~1.DLL Date (created): 2008-02-22 01:33:32 Date (last access): 2009-01-16 16:40:18 Date (last write): 2008-02-22 03:25:20 Filesize: 132496 Attributes: archive MD5: 4FDFB86D78994BD71CBB779A7809E9CD CRC32: 5A0EB880 Version: 6.0.50.13 {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} () DPF name: CLSID name: Installer: C:\WINDOWS\Downloaded Program Files\erma.inf Codebase: http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab description: classification: Open for discussion known filename: info link: info source: Safer Networking Ltd. {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Runtime Environment 1.6.0) DPF name: Java Runtime Environment 1.6.0 CLSID name: Java Plug-in 1.6.0_05 Installer: Codebase: http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab Path: C:\Program Files\Java\jre1.6.0_05\bin\ Long name: npjpi160_05.dll Short name: NPJPI1~1.DLL Date (created): 2008-02-22 01:33:32 Date (last access): 2009-01-27 09:23:22 Date (last write): 2008-02-22 03:25:20 Filesize: 132496 Attributes: archive MD5: 4FDFB86D78994BD71CBB779A7809E9CD CRC32: 5A0EB880 Version: 6.0.50.13 --- Process list --- PID: 0 ( 0) [System] PID: 640 ( 4) \SystemRoot\System32\smss.exe size: 50688 PID: 692 ( 640) \??\C:\WINDOWS\system32\csrss.exe size: 6144 PID: 716 ( 640) \??\C:\WINDOWS\system32\winlogon.exe size: 504832 PID: 760 ( 716) C:\WINDOWS\system32\services.exe size: 108544 MD5: 3DA8D964D2CC12EF8E8C342471A37917 PID: 772 ( 716) C:\WINDOWS\system32\lsass.exe size: 13312 MD5: F485FEFC8CC4FD29243D800BE5D275D1 PID: 936 ( 760) C:\WINDOWS\system32\svchost.exe size: 14336 MD5: BA98327E90022DBD6EE76490E0622E2E PID: 984 ( 760) C:\WINDOWS\system32\svchost.exe size: 14336 MD5: BA98327E90022DBD6EE76490E0622E2E PID: 1012 ( 760) C:\WINDOWS\System32\svchost.exe size: 14336 MD5: BA98327E90022DBD6EE76490E0622E2E PID: 1092 ( 760) C:\WINDOWS\System32\svchost.exe size: 14336 MD5: BA98327E90022DBD6EE76490E0622E2E PID: 1144 ( 760) C:\WINDOWS\system32\svchost.exe size: 14336 MD5: BA98327E90022DBD6EE76490E0622E2E PID: 1568 (1520) C:\WINDOWS\Explorer.EXE size: 1033728 MD5: 379098A96E6C165B659DE7E4328010EA PID: 1660 ( 760) C:\WINDOWS\system32\spoolsv.exe size: 57856 MD5: BEBE8A85954FF460374FD5A0CD21E19B PID: 1736 (1568) C:\Program Files\WinFast\WFTVFM\WFWIZ.exe size: 348160 MD5: 3311728B2E69F575C0154E378DF2A6D7 PID: 1792 (1568) D:\Program2\Wapster\AQQ\WapSter AQQ\AQQ.exe size: 1656832 MD5: 4D787A13E3F70904B870F9332CAFF1A0 PID: 1800 (1568) C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe size: 133104 MD5: 626A24ED1228580B9518C01930936DF9 PID: 456 (1568) C:\WINDOWS\system32\devldr32.exe size: 24064 MD5: FDFD623A926E2B1AE5091E18556C41EE PID: 588 ( 760) D:\Programy\nero\Nero 7\InCD\InCDsrv.exe size: 859136 MD5: 90241FE389CD39D4C2D5CBE046449C3A PID: 680 ( 760) C:\Program Files\CyberLink\Shared Files\RichVideo.exe size: 167936 MD5: BD517C7FB119997EFFBE39D5E4B37B05 PID: 1328 ( 760) C:\WINDOWS\System32\svchost.exe size: 14336 MD5: BA98327E90022DBD6EE76490E0622E2E PID: 1368 ( 760) C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe size: 49152 MD5: 332D341D92B933600D41953B08360DFB PID: 1396 ( 760) C:\WINDOWS\system32\wdfmgr.exe size: 38912 MD5: C81B8635DEE0D3EF5F64B3DD643023A5 PID: 1772 ( 760) C:\WINDOWS\System32\alg.exe size: 44544 MD5: 9D12991BC6B6C5C0FBAB4C06E7073DF1 PID: 1076 (1012) C:\WINDOWS\system32\wscntfy.exe size: 13824 MD5: 1905812AB06A70FF21907FAA10C927D6 PID: 3364 (1568) D:\Programy\Firefox2\firefox.exe size: 307704 MD5: 8DA0A66CB74FCBB393038E37E0F691BA PID: 2880 (1568) D:\Programy\Spybot - Search & Destroy\Spybot - Search & Destroy\SpybotSD.exe size: 4891984 MD5: 9C8F0F34F66BB845B42F70E92A972B5F PID: 4 ( 0) System --- Browser start & search pages list --- Spybot - Search & Destroy browser pages report, 2009-01-27 09:23:22 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page C:\WINDOWS\system32\blank.htm HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page about:blank HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page %SystemRoot%\system32\blank.htm HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page http://go.microsoft.com/fwlink/?LinkId=54896 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL http://go.microsoft.com/fwlink/?LinkId=69157 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL http://go.microsoft.com/fwlink/?LinkId=54896 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm --- Winsock Layered Service Provider list --- Protocol 0: MSAFD Tcpip [TCP/IP] GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP IP protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD Tcpip [*] Protocol 1: MSAFD Tcpip [UDP/IP] GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP IP protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD Tcpip [*] Protocol 2: MSAFD Tcpip [RAW/IP] GUID: {E70F1AA0-AB8B-11CF-8CA3-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP IP protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD Tcpip [*] Protocol 3: RSVP UDP Service Provider GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A} Filename: %SystemRoot%\system32\rsvpsp.dll Description: Microsoft Windows NT/2k/XP RVSP DB filename: %SystemRoot%\system32\rsvpsp.dll DB protocol: RSVP * Service Provider Protocol 4: RSVP TCP Service Provider GUID: {9D60A9E0-337A-11D0-BD88-0000C082E69A} Filename: %SystemRoot%\system32\rsvpsp.dll Description: Microsoft Windows NT/2k/XP RVSP DB filename: %SystemRoot%\system32\rsvpsp.dll DB protocol: RSVP * Service Provider Protocol 5: MSAFD nwlnkipx [IPX] GUID: {11058240-BE47-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP Novell Netware UPX protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD nwlnkipx * Protocol 6: MSAFD nwlnkspx [SPX] GUID: {11058241-BE47-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP Novell Netware SPX protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD nwlnkspx * Protocol 7: MSAFD nwlnkspx [SPX] [Pseudo Stream] GUID: {11058241-BE47-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP Novell Netware SPX protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD nwlnkspx * Protocol 8: MSAFD nwlnkspx [SPX II] GUID: {11058241-BE47-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP Novell Netware SPX protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD nwlnkspx * Protocol 9: MSAFD nwlnkspx [SPX II] [Pseudo Stream] GUID: {11058241-BE47-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP Novell Netware SPX protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD nwlnkspx * Protocol 10: MSAFD NetBIOS [\Device\NwlnkNb] SEQPACKET 5 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 11: MSAFD NetBIOS [\Device\NwlnkNb] DATAGRAM 5 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 12: MSAFD NetBIOS [\Device\NetBT_Tcpip_{33D816A3-B64C-48A6-A438-338F277B26FD}] SEQPACKET 3 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 13: MSAFD NetBIOS [\Device\NetBT_Tcpip_{33D816A3-B64C-48A6-A438-338F277B26FD}] DATAGRAM 3 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 14: MSAFD NetBIOS [\Device\NetBT_Tcpip_{949FE7CD-0304-4CEA-A3C8-7AB2EFE3771D}] SEQPACKET 0 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 15: MSAFD NetBIOS [\Device\NetBT_Tcpip_{949FE7CD-0304-4CEA-A3C8-7AB2EFE3771D}] DATAGRAM 0 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 16: MSAFD NetBIOS [\Device\NetBT_Tcpip_{F00A3467-1223-43FB-951A-5E4C169627DC}] SEQPACKET 4 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 17: MSAFD NetBIOS [\Device\NetBT_Tcpip_{F00A3467-1223-43FB-951A-5E4C169627DC}] DATAGRAM 4 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 18: MSAFD NetBIOS [\Device\NetBT_Tcpip_{F53F4DBA-B68D-408F-BB14-4C741CF7F2B5}] SEQPACKET 1 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 19: MSAFD NetBIOS [\Device\NetBT_Tcpip_{F53F4DBA-B68D-408F-BB14-4C741CF7F2B5}] DATAGRAM 1 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 20: MSAFD NetBIOS [\Device\NetBT_Tcpip_{7D59CE3B-44E1-480E-99B5-12E10F480AD9}] SEQPACKET 2 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Protocol 21: MSAFD NetBIOS [\Device\NetBT_Tcpip_{7D59CE3B-44E1-480E-99B5-12E10F480AD9}] DATAGRAM 2 GUID: {8D5F1830-C273-11CF-95C8-00805F48A192} Filename: %SystemRoot%\system32\mswsock.dll Description: Microsoft Windows NT/2k/XP NetBios protocol DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: MSAFD NetBIOS * Namespace Provider 0: TCP/IP GUID: {22059D40-7E9E-11CF-AE5A-00AA00A7112B} Filename: %SystemRoot%\System32\mswsock.dll Description: Microsoft Windows NT/2k/XP TCP/IP name space provider DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: TCP/IP Namespace Provider 1: NTDS GUID: {3B2637EE-E580-11CF-A555-00C04FD8D4AC} Filename: %SystemRoot%\System32\winrnr.dll Description: Microsoft Windows NT/2k/XP name space provider DB filename: %SystemRoot%\system32\winrnr.dll DB protocol: NTDS Namespace Provider 2: Obszar nazw rozpoznawania lokalizacji w sieci (NLA) GUID: {6642243A-3BA8-4AA6-BAA5-2E0BD71FDD83} Filename: %SystemRoot%\System32\mswsock.dll Description: Microsoft Windows NT/2k/XP name space provider DB filename: %SystemRoot%\system32\mswsock.dll DB protocol: NLA-Namespace Namespace Provider 3: Protokół transportowy zgodny z NWLink IPX/SPX/NetBIOS GUID: {E02DAAF0-7E9F-11CF-AE5A-00AA00A7112B} Filename: %SystemRoot%\System32\nwprovau.dll Description: Microsoft Windows NT/2k/XP Novell Netware name space provider DB filename: %SystemRoot%\system32\nwprovau.dll DB protocol: NWLink IPX/SPX/NetBIOS*

pozdrawiam,

**Posty:** 8001 · przez **Okocza** 27 Sty 2009, 12:08

Wykonaj to co jest podane w tym temacie

Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje

Potem wejdz do folderu C:\SDFix wrzuc zawartość pliku Report.txt + log z combofixa oraz daj loga z hijacka

**Posty:** 250 · przez **tenzin** 27 Sty 2009, 13:49

Dzięki za udzielone rady.
Logi, poniżej:

Sdfix

Kod: Zaznacz wszystko: [b]SDFix: Version 1.240 [/b] Run by Administrator on 2009-01-27 at 12:06 Microsoft Windows XP [Wersja 5.1.2600] Running From: C:\SDFix\SDFix [b]Checking Services [/b]: Restoring Default Security Values Restoring Default Hosts File Rebooting [b]Checking Files [/b]: Trojan Files Found: C:\autorun.inf - Deleted Removing Temp Files [b]ADS Check [/b]: [b]Final Check [/b]: catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-27 12:14:09 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\531cf7a] "ImagePath"="\SystemRoot\System32\drivers\531cf7a.sys" "Type"=dword:00000001 "Start"=dword:00000001 "ErrorControl"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\a347scsi\Config\jdgg40] "ujdew"=hex:20,02,00,00,94,23,24,12,1e,33,ce,1c,84,51,db,bc,b5,3e,60,75,53,.. "ljej40"=hex:dd,d2,a1,32,3b,0d,cd,c8,d3,62,77,01,c0,14,3f,a5,a8,18,b7,75,3f,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\531cf7a] "ImagePath"="\SystemRoot\System32\drivers\531cf7a.sys" "Type"=dword:00000001 "Start"=dword:00000001 "ErrorControl"=dword:00000001 scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}] "DisplayName"="Alcohol 120%" scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 [b]Remaining Services [/b]: Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "D:\\Program2\\Wapster\\AQQ\\AQQ.exe"="D:\\Program2\\Wapster\\AQQ\\AQQ.exe:*:Enabled:P2P AQQ" "C:\\Program Files\\Gadu-Gadu\\gg.exe"="C:\\Program Files\\Gadu-Gadu\\gg.exe:*:Enabled:Gadu-Gadu - program główny" "C:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupX.exe"="C:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupX.exe:*:Disabled:Nero ProductSetup" "D:\\Programy\\Skype\\Phone\\Skype.exe"="D:\\Programy\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" "D:\\Program2\\eMule\\EMULE.EXE"="D:\\Program2\\eMule\\EMULE.EXE:*:Disabled:eMule" "C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019" "D:\\Program2\\Wapster\\AQQ\\WapSter AQQ\\AQQ.exe"="D:\\Program2\\Wapster\\AQQ\\WapSter AQQ\\AQQ.exe:*:Enabled:AQQ" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [b]Remaining Files [/b]: File Backups: - C:\SDFix\SDFix\backups\backups.zip [b]Files with Hidden Attributes [/b]: Thu 22 Jan 2009 107,385 ..SHR --- "C:\gy.exe" Fri 23 Jan 2009 107,882 ..SHR --- "C:\w98.com" Sat 17 Jan 2009 110,003 ..SHR --- "C:\x2csvg.exe" Wed 22 Oct 2008 949,072 A.SHR --- "C:\Program Files\File Scanner Library (Spybot - Search & Destroy)\advcheck.dll" Tue 3 Aug 2004 1,667,584 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe" Wed 22 Oct 2008 962,896 A.SHR --- "C:\Program Files\Misc. Support Library (Spybot - Search & Destroy)\Tools.dll" Tue 3 Aug 2004 60,928 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe" Tue 27 Jan 2009 95,744 ..SHR --- "C:\WINDOWS\system32\nmdfgds0.dll" Tue 27 Jan 2009 95,744 ..SHR --- "C:\WINDOWS\system32\nmdfgds1.dll" Tue 27 Jan 2009 108,512 ..SHR --- "C:\WINDOWS\system32\olhrwef.exe" Tue 8 May 2007 45,056 ...H. --- "C:\Documents and Settings\x\Dane aplikacji\Microsoft\Word\~WRL0004.tmp" Sat 8 Dec 2007 21,504 ...H. --- "C:\Documents and Settings\x\Dane aplikacji\Microsoft\Word\~WRL1442.tmp" Sat 8 Dec 2007 20,480 ...H. --- "C:\Documents and Settings\x\Dane aplikacji\Microsoft\Word\~WRL1872.tmp" Tue 8 May 2007 65,536 ...H. --- "C:\Documents and Settings\x\Dane aplikacji\Microsoft\Word\~WRL2363.tmp" Sat 8 Dec 2007 22,016 ...H. --- "C:\Documents and Settings\x\Dane aplikacji\Microsoft\Word\~WRL2579.tmp" Sat 9 Aug 2008 1,571,328 ...H. --- "C:\Documents and Settings\x\Dane aplikacji\Microsoft\Word\~WRL2590.tmp" Tue 8 May 2007 221,184 ...H. --- "C:\Documents and Settings\x\Dane aplikacji\Microsoft\Word\~WRL2789.tmp" Tue 23 Oct 2007 3,350,528 A..H. --- "C:\Documents and Settings\x\Dane aplikacji\U3\temp\Launchpad Removal.exe" [b]Finished![/b]

Combofix

Kod: Zaznacz wszystko: ComboFix 09-01-21.04 - x 2009-01-27 12:18:41.7 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.511.239 [GMT 1:00] Uruchomiony z: c:\documents and settings\x\Pulpit\problem\ComboFix.exe UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\autorun.inf C:\uvsqfgwd.cmd D:\Autorun.inf D:\uvsqfgwd.cmd . ((((((((((((((((((((((((( Pliki utworzone od 2008-12-27 do 2009-01-27 ))))))))))))))))))))))))))))))) . 2009-01-27 12:06 . 2009-01-27 12:06 578,560 --a--c--- c:\windows\system32\dllcache\user32.dll 2009-01-27 12:00 . 2009-01-27 12:00 <DIR> d-------- C:\SDFix 2009-01-27 11:56 . 2009-01-27 11:56 <DIR> d--h----- c:\windows\$hf_mig$ 2009-01-24 10:22 . 2009-01-27 12:16 95,744 -r-hs---- c:\windows\system32\nmdfgds0.dll 2009-01-22 09:17 . 2009-01-23 08:35 107,882 -r-hs---- C:\w98.com 2009-01-20 08:53 . 2009-01-22 09:16 107,385 -r-hs---- C:\gy.exe 2009-01-16 19:04 . 2009-01-16 19:04 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Acronis 2009-01-16 19:04 . 2009-01-16 19:04 1,390,730 --a------ c:\windows\system32\AutoPartNt.exe 2009-01-16 19:04 . 2009-01-16 19:29 1,024 --a------ c:\windows\system32\AutoPartNt.let 2009-01-16 19:03 . 2009-01-27 10:05 95,744 -r-hs---- c:\windows\system32\nmdfgds1.dll 2009-01-16 19:03 . 2004-08-03 23:44 70,144 --a------ c:\windows\AhnRpta.exe 2009-01-16 19:00 . 2009-01-16 19:00 <DIR> d-------- c:\program files\Common Files\Acronis 2009-01-16 18:42 . 2009-01-16 18:42 114,048 --a------ c:\windows\system32\drivers\snapman.sys 2009-01-16 18:35 . 2009-01-17 10:21 110,003 -r-hs---- C:\x2csvg.exe 2009-01-16 18:35 . 2009-01-27 10:05 108,512 -r-hs---- c:\windows\system32\olhrwef.exe 2009-01-05 10:32 . 2009-01-05 10:32 91 --a------ c:\windows\wininit.ini 2008-12-31 16:15 . 2009-01-27 12:19 108,270 --a------ c:\windows\system32\drivers\531cf7a.sys 2008-12-27 22:51 . 2008-12-27 22:51 <DIR> d-------- c:\documents and settings\x\Dane aplikacji\Winamp5 2008-12-27 21:12 . 2008-12-27 21:12 <DIR> d-------- c:\documents and settings\x\Dane aplikacji\BESTplayer . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-06 10:57 --------- d-----w c:\program files\SHOUTcast Source . ((((((((((((((((((((((((((((( snapshot@2009-01-27_ 9.59.30,69 ))))))))))))))))))))))))))))))))))))))))) . - 2008-07-20 12:35:20 163,328 ----a-w c:\windows\ERUNT\SDFIX\ERDNT.EXE + 2008-08-07 14:27:04 163,328 ----a-w c:\windows\ERUNT\SDFIX\ERDNT.EXE - 2008-07-22 18:10:50 520,192 ----a-w c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT + 2009-01-27 11:05:24 520,192 ----a-w c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT - 2008-07-22 18:10:50 8,192 ----a-w c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat + 2009-01-27 11:05:24 8,192 ----a-w c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat - 2004-08-03 22:44:08 1,281,024 ----a-w c:\windows\system32\ole32.dll + 2005-04-28 19:32:51 1,284,608 ----a-w c:\windows\system32\ole32.dll - 2001-10-26 17:29:40 69,120 ----a-w c:\windows\system32\olecli32.dll + 2005-04-28 19:32:51 75,264 ----a-w c:\windows\system32\olecli32.dll - 2001-10-26 17:29:40 34,304 ----a-w c:\windows\system32\olecnv32.dll + 2005-04-28 19:32:51 37,888 ----a-w c:\windows\system32\olecnv32.dll - 2004-08-03 22:44:10 395,776 ----a-w c:\windows\system32\rpcss.dll + 2005-04-28 19:32:51 395,776 ----a-w c:\windows\system32\rpcss.dll - 2005-02-25 03:54:22 16,096 -c----w c:\windows\system32\spmsg.dll + 2005-02-25 03:36:06 16,096 ------w c:\windows\system32\spmsg.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AQQ"="d:\program2\Wapster\AQQ\WAPSTE~1\AQQ.exe" [2008-12-22 1656832] "Google Update"="c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" [2008-09-03 133104] "cdoosoft"="c:\windows\system32\olhrwef.exe" [2009-01-27 108512] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinFast Schedule"="c:\program files\WinFast\WFTVFM\WFWIZ.exe" [2006-07-07 348160] "OSSelectorReinstall"="c:\program files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe" [2007-03-09 2223985] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{BB4C402F-882A-4526-8C08-51278EA437C1}"= "c:\windows\system32\afmain0.dll" [2004-08-03 78848] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"= ctwdm32.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Exif Launcher.lnk] path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Exif Launcher.lnk backup=c:\windows\pss\Exif Launcher.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FineReader7NewsReaderPro] --a------ 2003-08-05 16:16 278528 d:\programy\abbyy\AbbyyNewsReader.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update] --a----t- 2008-09-03 20:11 133104 c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD] --a------ 2006-11-10 16:19 1051648 d:\programy\nero\Nero 7\InCD\InCD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] --a------ 2006-12-05 22:55 54832 d:\programy\CyberLink\PowerDVD\Language\Language.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2006-01-12 14:40 155648 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REGSHAVE] --------- 2002-02-04 21:32 53248 c:\program files\REGSHAVE\REGSHAVE.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --------- 2006-11-23 15:10 56928 d:\programy\CyberLink\PowerDVD\PDVDServ.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "d:\\Program2\\Wapster\\AQQ\\AQQ.exe"= "c:\\Program Files\\Gadu-Gadu\\gg.exe"= "c:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupX.exe"= "d:\\Programy\\Skype\\Phone\\Skype.exe"= "d:\\Program2\\eMule\\EMULE.EXE"= "c:\\WINDOWS\\system32\\sessmgr.exe"= "d:\\Program2\\Wapster\\AQQ\\WapSter AQQ\\AQQ.exe"= R3 WFIOCTL;WFIOCTL;c:\program files\WinFast\WFTVFM\WFIOCTL.sys [2007-09-10 9446] R4 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [2001-10-26 14336] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{004341c0-785e-11dd-b481-0015569e6253}] \shell\autorun\command - G:\2u.com \shell\explore\command - G:\2u.com \shell\open\command - G:\2u.com [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6e16d723-fcd4-11db-a6c8-0015569e6253}] \shell\autorun\command - G:\w98.com \shell\open\command - G:\w98.com . Zawartość folderu 'Zaplanowane zadania' 2009-01-27 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-842925246-436374069-1957994488-1003.job - c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2008-09-03 20:11] . . ------- Skan uzupełniający ------- . uStart Page = about:blank DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab FF - ProfilePath - c:\documents and settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\i7g7mm11.default\ FF - plugin: c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\1.2.133.33\npGoogleOneClick7.dll FF - plugin: d:\programy\adobe\Acrobat 7\Reader\browser\nppdf32.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-27 12:19:47 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\531cf7a] "ImagePath"="\SystemRoot\System32\drivers\531cf7a.sys" . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- [HKEY_USERS\s-1-5-21-842925246-436374069-1957994488-1003\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) . Czas ukończenia: 2009-01-27 12:22:04 ComboFix-quarantined-files.txt 2009-01-27 11:21:18 ComboFix2.txt 2009-01-27 09:01:16 Przed: 1 280 610 304 bajtów wolnych Po: 1,271,644,160 bajtów wolnych 148

Hijackthis

Kod: Zaznacz wszystko: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:22:46, on 2009-01-27 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Programy\nero\Nero 7\InCD\InCDsrv.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\WinFast\WFTVFM\WFWIZ.exe D:\Program2\Wapster\AQQ\WAPSTE~1\AQQ.exe C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe C:\WINDOWS\system32\devldr32.exe C:\WINDOWS\explorer.exe D:\Programs\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programy\adobe\Acrobat 7\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe O4 - HKCU\..\Run: [AQQ] D:\Program2\Wapster\AQQ\WAPSTE~1\AQQ.exe O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Programy\nero\Nero 7\InCD\InCDsrv.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 3403 bytes

Po wszystkim uruchomiłem jeszcze test Spy-bota - nic nie wykazał.
pozdrawiam,

**Posty:** 8001 · przez **Okocza** 27 Sty 2009, 14:03

otwórz notatnik i wklej:

Kod: Zaznacz wszystko: File:: C:\w98.com C:\gy.exe c:\windows\system32\nmdfgds1.dll c:\windows\system32\nmdfgds0.dll C:\x2csvg.exe c:\windows\AhnRpta.exe c:\windows\system32\olhrwef.exe Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cdoosoft"=- [-hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{004341c0-785e-11dd-b481-0015569e6253}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6e16d723-fcd4-11db-a6c8-0015569e6253}]

Plik >>> zapisz jako CFScript.txt .Plik przeciągnij i upuść na ikonę ComboFixa (tak jak tu ) . odczekaj az wygeneruje sie nowy log i go daj na forum

c:\windows\system32\drivers\531cf7a.sys <--- przeskanuj na www.virustotal.com i daj raport

Autor postu otrzymał pochwałę

**Posty:** 250 · przez **tenzin** 27 Sty 2009, 15:11

Log:

Kod: Zaznacz wszystko: ComboFix 09-01-21.04 - x 2009-01-27 13:50:41.8 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.511.144 [GMT 1:00] Uruchomiony z: c:\documents and settings\x\Pulpit\problem\ComboFix.exe Użyto następujących komend :: c:\documents and settings\x\Pulpit\problem\CFScript.txt * Utworzono nowy punkt przywracania UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! FILE :: C:\gy.exe C:\w98.com c:\windows\AhnRpta.exe c:\windows\system32\nmdfgds0.dll c:\windows\system32\nmdfgds1.dll c:\windows\system32\olhrwef.exe C:\x2csvg.exe . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\gy.exe C:\w98.com c:\windows\AhnRpta.exe c:\windows\system32\nmdfgds0.dll c:\windows\system32\nmdfgds1.dll c:\windows\system32\olhrwef.exe C:\x2csvg.exe . ((((((((((((((((((((((((( Pliki utworzone od 2008-12-27 do 2009-01-27 ))))))))))))))))))))))))))))))) . 2009-01-27 12:06 . 2009-01-27 12:06 578,560 --a--c--- c:\windows\system32\dllcache\user32.dll 2009-01-27 12:00 . 2009-01-27 12:00 <DIR> d-------- C:\SDFix 2009-01-27 11:56 . 2009-01-27 11:56 <DIR> d--h----- c:\windows\$hf_mig$ 2009-01-16 19:04 . 2009-01-16 19:04 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Acronis 2009-01-16 19:04 . 2009-01-16 19:04 1,390,730 --a------ c:\windows\system32\AutoPartNt.exe 2009-01-16 19:04 . 2009-01-16 19:29 1,024 --a------ c:\windows\system32\AutoPartNt.let 2009-01-16 19:00 . 2009-01-16 19:00 <DIR> d-------- c:\program files\Common Files\Acronis 2009-01-16 18:42 . 2009-01-16 18:42 114,048 --a------ c:\windows\system32\drivers\snapman.sys 2009-01-05 10:32 . 2009-01-05 10:32 91 --a------ c:\windows\wininit.ini 2008-12-31 16:15 . 2009-01-27 13:51 108,270 --a------ c:\windows\system32\drivers\531cf7a.sys 2008-12-27 22:51 . 2008-12-27 22:51 <DIR> d-------- c:\documents and settings\x\Dane aplikacji\Winamp5 2008-12-27 21:12 . 2008-12-27 21:12 <DIR> d-------- c:\documents and settings\x\Dane aplikacji\BESTplayer . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-12-06 10:57 --------- d-----w c:\program files\SHOUTcast Source . ((((((((((((((((((((((((((((( snapshot@2009-01-27_ 9.59.30,69 ))))))))))))))))))))))))))))))))))))))))) . - 2008-07-20 12:35:20 163,328 ----a-w c:\windows\ERUNT\SDFIX\ERDNT.EXE + 2008-08-07 14:27:04 163,328 ----a-w c:\windows\ERUNT\SDFIX\ERDNT.EXE - 2008-07-22 18:10:50 520,192 ----a-w c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT + 2009-01-27 11:05:24 520,192 ----a-w c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT - 2008-07-22 18:10:50 8,192 ----a-w c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat + 2009-01-27 11:05:24 8,192 ----a-w c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat - 2004-08-03 22:44:08 1,281,024 ----a-w c:\windows\system32\ole32.dll + 2005-04-28 19:32:51 1,284,608 ----a-w c:\windows\system32\ole32.dll - 2001-10-26 17:29:40 69,120 ----a-w c:\windows\system32\olecli32.dll + 2005-04-28 19:32:51 75,264 ----a-w c:\windows\system32\olecli32.dll - 2001-10-26 17:29:40 34,304 ----a-w c:\windows\system32\olecnv32.dll + 2005-04-28 19:32:51 37,888 ----a-w c:\windows\system32\olecnv32.dll - 2004-08-03 22:44:10 395,776 ----a-w c:\windows\system32\rpcss.dll + 2005-04-28 19:32:51 395,776 ----a-w c:\windows\system32\rpcss.dll - 2005-02-25 03:54:22 16,096 -c----w c:\windows\system32\spmsg.dll + 2005-02-25 03:36:06 16,096 ------w c:\windows\system32\spmsg.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AQQ"="d:\program2\Wapster\AQQ\WAPSTE~1\AQQ.exe" [2008-12-22 1656832] "Google Update"="c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" [2008-09-03 133104] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinFast Schedule"="c:\program files\WinFast\WFTVFM\WFWIZ.exe" [2006-07-07 348160] "OSSelectorReinstall"="c:\program files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe" [2007-03-09 2223985] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"= ctwdm32.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Exif Launcher.lnk] path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Exif Launcher.lnk backup=c:\windows\pss\Exif Launcher.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FineReader7NewsReaderPro] --a------ 2003-08-05 16:16 278528 d:\programy\abbyy\AbbyyNewsReader.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update] --a----t- 2008-09-03 20:11 133104 c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD] --a------ 2006-11-10 16:19 1051648 d:\programy\nero\Nero 7\InCD\InCD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] --a------ 2006-12-05 22:55 54832 d:\programy\CyberLink\PowerDVD\Language\Language.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2006-01-12 14:40 155648 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REGSHAVE] --------- 2002-02-04 21:32 53248 c:\program files\REGSHAVE\REGSHAVE.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --------- 2006-11-23 15:10 56928 d:\programy\CyberLink\PowerDVD\PDVDServ.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "d:\\Program2\\Wapster\\AQQ\\AQQ.exe"= "c:\\Program Files\\Gadu-Gadu\\gg.exe"= "c:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupX.exe"= "d:\\Programy\\Skype\\Phone\\Skype.exe"= "d:\\Program2\\eMule\\EMULE.EXE"= "c:\\WINDOWS\\system32\\sessmgr.exe"= "d:\\Program2\\Wapster\\AQQ\\WapSter AQQ\\AQQ.exe"= R3 WFIOCTL;WFIOCTL;c:\program files\WinFast\WFTVFM\WFIOCTL.sys [2007-09-10 9446] R4 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [2001-10-26 14336] . Zawartość folderu 'Zaplanowane zadania' 2009-01-27 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-842925246-436374069-1957994488-1003.job - c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2008-09-03 20:11] . . ------- Skan uzupełniający ------- . uStart Page = about:blank DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab FF - ProfilePath - c:\documents and settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\i7g7mm11.default\ FF - plugin: c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\1.2.133.33\npGoogleOneClick7.dll FF - plugin: d:\programy\adobe\Acrobat 7\Reader\browser\nppdf32.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-27 13:51:46 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\531cf7a] "ImagePath"="\SystemRoot\System32\drivers\531cf7a.sys" . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- [HKEY_USERS\s-1-5-21-842925246-436374069-1957994488-1003\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) . Czas ukończenia: 2009-01-27 13:54:06 ComboFix-quarantined-files.txt 2009-01-27 12:53:17 ComboFix2.txt 2009-01-27 11:22:05 ComboFix3.txt 2009-01-27 09:01:16 Przed: 1 458 982 912 bajtów wolnych Po: 1,448,452,096 bajtów wolnych 145

Nie udało mi przeskanować pliku: 531cf7a.sys pod virustotal.com
Przy próbie wysłania pliku pojawia się informacja:
"0 bytes size received / Se ha recibido un archivo vacio" i na tym się kończy.

Uruchomiłem natomiast kaspersky on-line dla pojedynczych plików:
"Testowany plik: 531cf7a.sys
Rozmiar testowanego pliku: 0 bajtów
Typ testowanego pliku: application/octet-stream
Do testu wykorzystano rozszerzone antywirusowe bazy danych z dnia 27-01-2009, wykrywające 1704630 szkodników (wirusów, trojanów, programów spyware itp.).
531cf7a.sys - OK "

Tak nawiasem plik 531cf7a.sys zajmuje: 105 KB (bajtów: 108 270)

pozdrawiam,

**Posty:** 8001 · przez **Okocza** 27 Sty 2009, 15:15

Wykonaj to co jest podane w tym temacie

1. tym programem przejdź komputer)
2. wykonaj optymalizację windowsa
3.sciagnij ATF_Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED
4.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
5. Przeskanuj komputer pod względem Trojanów tym programem
6. Wstaw na forum screen z zakładki uruchamianie (start – uruchom – msconfig – uruchamianie) może uda się cos wyrzucic stamtąd.
7. Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

**Posty:** 250 · przez **tenzin** 28 Sty 2009, 12:41

witam,
Wklejam logi z kaspersky on-line. Przeskanowałem również pendriva i mp3 (z opcją pendriva - używana tylko i wyłącznie jako nośnik muzyki). Na wszystkich znalazł "podobne" zagrożenie

.

"Mój Komputer"

Kod: Zaznacz wszystko: -------------------------------------------------------------------------------- RAPORT KASPERSKY ONLINE SCANNER 7.0 środa, 28 styczeń 2009 System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600) Wersja Kaspersky Online Scanner: 7.0.26.12 Data ostatniej aktualizacji bazy danych: Wednesday, January 28, 2009 06:39:58 Liczba wpisów: 1718606 -------------------------------------------------------------------------------- Ustawienia skanowania: Typ bazy danych użytej do skanowania: rozszerzona Skanuj archiwa: tak Skanuj pocztowe bazy danych: tak Obszar skanowania - Mój komputer: C:\ D:\ E:\ F:\ Statystyki skanowania: Przeskanowanych plików: 56524 Nazwa zagrożenia: 8 Zainfekowanych obiektów: 20 Podejrzanych obiektów: 0 Czas skanowania: 02:27:14 Nazwa pliku / Nazwa zagrożenia / Liczba zagrożeń C:\WINDOWS\system32\afmain0.dll/C:\WINDOWS\system32\afmain0.dll Zainfekowany: Trojan.Win32.AntiAV.agj 1 C:\Qoobox\Quarantine\C\2u.com.vir Zainfekowany: Trojan-GameThief.Win32.Magania.amnq 1 C:\Qoobox\Quarantine\C\gy.exe.vir Zainfekowany: Trojan-GameThief.Win32.Magania.atzj 1 C:\Qoobox\Quarantine\C\j60osk9.cmd.vir Zainfekowany: Worm.Win32.AutoRun.ets 1 C:\Qoobox\Quarantine\C\uvsqfgwd.cmd.vir Zainfekowany: Trojan-GameThief.Win32.Magania.audk 1 C:\Qoobox\Quarantine\C\w98.com.vir Zainfekowany: Packed.Win32.Krap.g 1 C:\Qoobox\Quarantine\C\WINDOWS\system32\gasretyw0.dll.vir Zainfekowany: Trojan-GameThief.Win32.Magania.amvb 1 C:\Qoobox\Quarantine\C\WINDOWS\system32\kamsoft.exe.vir Zainfekowany: Trojan-GameThief.Win32.Magania.amnq 1 C:\Qoobox\Quarantine\C\WINDOWS\system32\nmdfgds0.dll.vir Zainfekowany: Trojan-GameThief.Win32.Magania.audk 1 C:\Qoobox\Quarantine\C\WINDOWS\system32\nmdfgds1.dll.vir Zainfekowany: Trojan-GameThief.Win32.Magania.audk 1 C:\Qoobox\Quarantine\C\WINDOWS\system32\olhrwef.exe.vir Zainfekowany: Trojan-GameThief.Win32.Magania.audk 1 C:\Qoobox\Quarantine\C\x2csvg.exe.vir Zainfekowany: Trojan-GameThief.Win32.Magania.aswh 1 C:\Qoobox\Quarantine\D\2u.com.vir Zainfekowany: Trojan-GameThief.Win32.Magania.amnq 1 C:\Qoobox\Quarantine\D\j60osk9.cmd.vir Zainfekowany: Worm.Win32.AutoRun.ets 1 C:\Qoobox\Quarantine\D\uvsqfgwd.cmd.vir Zainfekowany: Trojan-GameThief.Win32.Magania.audk 1 C:\WINDOWS\system32\afmain0.dll Zainfekowany: Trojan.Win32.AntiAV.agj 1 C:\WINDOWS\system32\afmain1.dll Zainfekowany: Packed.Win32.Krap.g 1 D:\x2csvg.exe Zainfekowany: Trojan-GameThief.Win32.Magania.aswh 1 D:\gy.exe Zainfekowany: Trojan-GameThief.Win32.Magania.atzj 1 D:\w98.com Zainfekowany: Packed.Win32.Krap.g 1 Wybrany obszar został przeskanowany.

Mp3

Kod: Zaznacz wszystko: środa, 28 styczeń 2009 System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600) Wersja Kaspersky Online Scanner: 7.0.26.12 Data ostatniej aktualizacji bazy danych: Wednesday, January 28, 2009 06:39:58 Liczba wpisów: 1718606 Ustawienia skanowania Typ bazy danych użytej do skanowania rozszerzona Skanuj archiwa tak Skanuj pocztowe bazy danych tak Obszar skanowania Folder G:\ Statystyki skanowania Przeskanowanych plików 60 Nazwa zagrożenia 4 Zainfekowanych obiektów 4 Podejrzanych obiektów 0 Czas skanowania 00:00:05 Nazwa pliku Nazwa zagrożenia Liczba zagrożeń G:\j60osk9.cmd Zainfekowany: Worm.Win32.AutoRun.ets 1 G:\w98.com Zainfekowany: Trojan-GameThief.Win32.Magania.atzj 1 G:\2u.com Zainfekowany: Trojan-GameThief.Win32.Magania.amnq 1 G:\uvsqfgwd.cmd Zainfekowany: Trojan-GameThief.Win32.Magania.audk 1 Wybrany obszar został przeskanowany.

Pendrive:

Kod: Zaznacz wszystko: -------------------------------------------------------------------------------- RAPORT KASPERSKY ONLINE SCANNER 7.0 środa, 28 styczeń 2009 System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600) Wersja Kaspersky Online Scanner: 7.0.26.12 Data ostatniej aktualizacji bazy danych: Wednesday, January 28, 2009 06:39:58 Liczba wpisów: 1718606 -------------------------------------------------------------------------------- Ustawienia skanowania: Typ bazy danych użytej do skanowania: rozszerzona Skanuj archiwa: tak Skanuj pocztowe bazy danych: tak Obszar skanowania - Folder: I:\ Statystyki skanowania: Przeskanowanych plików: 267 Nazwa zagrożenia: 3 Zainfekowanych obiektów: 3 Podejrzanych obiektów: 0 Czas skanowania: 00:02:25 Nazwa pliku / Nazwa zagrożenia / Liczba zagrożeń I:\w98.com Zainfekowany: Packed.Win32.Krap.g 1 I:\2u.com Zainfekowany: Trojan-GameThief.Win32.Magania.amnq 1 I:\autorun.inf Zainfekowany: Worm.Win32.AutoRun.vnq 1 Wybrany obszar został przeskanowany.

pozdrawiam i proszę o dalszą pomoc,

**Posty:** 18165 · przez **wojtas** 28 Sty 2009, 16:56

Wylecz pendriva lub kartę pamięci
Perlovga Removal Tool
Flash Disinfector
lub format

Otworz notatnik i wklej w nim to:

File::
C:\WINDOWS\system32\afmain0.dll
C:\WINDOWS\system32\afmain0.dll
C:\WINDOWS\system32\afmain1.dll
D:\x2csvg.exe
D:\gy.ex
D:\w98.com

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
potem nowy log oraz nowe skany dysku , mp3 i pendriva

**Posty:** 250 · przez **tenzin** 28 Sty 2009, 23:06

Sformatowałem pendrivy.

Log z combofixa po przeciągnięciu podanego pliku txt:

Kod: Zaznacz wszystko: ComboFix 09-01-21.04 - x 2009-01-28 16:27:30.9 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.511.228 [GMT 1:00] Uruchomiony z: c:\documents and settings\x\Pulpit\problem\ComboFix.exe Użyto następujących komend :: c:\documents and settings\x\Pulpit\problem\CFScript.txt * Utworzono nowy punkt przywracania UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! FILE :: c:\windows\system32\afmain0.dll c:\windows\system32\afmain1.dll D:\gy.ex D:\w98.com D:\x2csvg.exe . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\afmain0.dll c:\windows\system32\afmain1.dll D:\w98.com D:\x2csvg.exe . ((((((((((((((((((((((((( Pliki utworzone od 2008-12-28 do 2009-01-28 ))))))))))))))))))))))))))))))) . 2009-01-27 21:08 . 2009-01-27 21:08 <DIR> d-------- C:\ERDNT 2009-01-27 21:08 . 2009-01-27 21:08 <DIR> d-------- C:\!FixIEDef 2009-01-27 12:06 . 2009-01-27 12:06 578,560 --a--c--- c:\windows\system32\dllcache\user32.dll 2009-01-27 12:00 . 2009-01-27 12:00 <DIR> d-------- C:\SDFix 2009-01-27 11:56 . 2009-01-27 11:56 <DIR> d--h----- c:\windows\$hf_mig$ 2009-01-16 19:04 . 2009-01-16 19:04 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Acronis 2009-01-16 19:04 . 2009-01-16 19:04 1,390,730 --a------ c:\windows\system32\AutoPartNt.exe 2009-01-16 19:04 . 2009-01-16 19:29 1,024 --a------ c:\windows\system32\AutoPartNt.let 2009-01-16 19:00 . 2009-01-16 19:00 <DIR> d-------- c:\program files\Common Files\Acronis 2009-01-16 18:42 . 2009-01-16 18:42 114,048 --a------ c:\windows\system32\drivers\snapman.sys 2009-01-05 10:32 . 2009-01-05 10:32 91 --a------ c:\windows\wininit.ini 2008-12-31 16:15 . 2009-01-28 16:28 108,270 --a------ c:\windows\system32\drivers\531cf7a.sys . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-28 15:24 --------- d-----w c:\documents and settings\x\Dane aplikacji\U3 2008-12-27 21:51 --------- d-----w c:\documents and settings\x\Dane aplikacji\Winamp5 2008-12-27 20:12 --------- d-----w c:\documents and settings\x\Dane aplikacji\BESTplayer 2008-12-06 10:57 --------- d-----w c:\program files\SHOUTcast Source . ((((((((((((((((((((((((((((( snapshot@2009-01-27_ 9.59.30,69 ))))))))))))))))))))))))))))))))))))))))) . - 2008-07-20 12:35:20 163,328 ----a-w c:\windows\ERUNT\SDFIX\ERDNT.EXE + 2008-08-07 14:27:04 163,328 ----a-w c:\windows\ERUNT\SDFIX\ERDNT.EXE - 2008-07-22 18:10:50 520,192 ----a-w c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT + 2009-01-27 11:05:24 520,192 ----a-w c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT - 2008-07-22 18:10:50 8,192 ----a-w c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat + 2009-01-27 11:05:24 8,192 ----a-w c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat - 2004-08-03 22:44:08 1,281,024 ----a-w c:\windows\system32\ole32.dll + 2005-04-28 19:32:51 1,284,608 ----a-w c:\windows\system32\ole32.dll - 2001-10-26 17:29:40 69,120 ----a-w c:\windows\system32\olecli32.dll + 2005-04-28 19:32:51 75,264 ----a-w c:\windows\system32\olecli32.dll - 2001-10-26 17:29:40 34,304 ----a-w c:\windows\system32\olecnv32.dll + 2005-04-28 19:32:51 37,888 ----a-w c:\windows\system32\olecnv32.dll - 2004-08-03 22:44:10 395,776 ----a-w c:\windows\system32\rpcss.dll + 2005-04-28 19:32:51 395,776 ----a-w c:\windows\system32\rpcss.dll - 2005-02-25 03:54:22 16,096 -c----w c:\windows\system32\spmsg.dll + 2005-02-25 03:36:06 16,096 ------w c:\windows\system32\spmsg.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AQQ"="d:\program2\Wapster\AQQ\WAPSTE~1\AQQ.exe" [2008-12-22 1656832] "Google Update"="c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" [2008-09-03 133104] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinFast Schedule"="c:\program files\WinFast\WFTVFM\WFWIZ.exe" [2006-07-07 348160] "OSSelectorReinstall"="c:\program files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe" [2007-03-09 2223985] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"= ctwdm32.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Exif Launcher.lnk] path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Exif Launcher.lnk backup=c:\windows\pss\Exif Launcher.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FineReader7NewsReaderPro] --a------ 2003-08-05 16:16 278528 d:\programy\abbyy\AbbyyNewsReader.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update] --a----t- 2008-09-03 20:11 133104 c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD] --a------ 2006-11-10 16:19 1051648 d:\programy\nero\Nero 7\InCD\InCD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] --a------ 2006-12-05 22:55 54832 d:\programy\CyberLink\PowerDVD\Language\Language.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2006-01-12 14:40 155648 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REGSHAVE] --------- 2002-02-04 21:32 53248 c:\program files\REGSHAVE\REGSHAVE.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --------- 2006-11-23 15:10 56928 d:\programy\CyberLink\PowerDVD\PDVDServ.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "d:\\Program2\\Wapster\\AQQ\\AQQ.exe"= "c:\\Program Files\\Gadu-Gadu\\gg.exe"= "c:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupX.exe"= "d:\\Programy\\Skype\\Phone\\Skype.exe"= "d:\\Program2\\eMule\\EMULE.EXE"= "c:\\WINDOWS\\system32\\sessmgr.exe"= "d:\\Program2\\Wapster\\AQQ\\WapSter AQQ\\AQQ.exe"= R3 WFIOCTL;WFIOCTL;c:\program files\WinFast\WFTVFM\WFIOCTL.sys [2007-09-10 9446] R4 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [2001-10-26 14336] . Zawartość folderu 'Zaplanowane zadania' 2009-01-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-842925246-436374069-1957994488-1003.job - c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2008-09-03 20:11] . - - - - USUNIĘTO PUSTE WPISY - - - - ShellExecuteHooks-{BB4C402F-882A-4526-8C08-51278EA437C1} - c:\windows\system32\afmain0.dll . ------- Skan uzupełniający ------- . uStart Page = about:blank DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab FF - ProfilePath - c:\documents and settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\i7g7mm11.default\ FF - plugin: c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\1.2.133.33\npGoogleOneClick7.dll FF - plugin: d:\programy\adobe\Acrobat 7\Reader\browser\nppdf32.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-28 16:28:43 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\531cf7a] "ImagePath"="\SystemRoot\System32\drivers\531cf7a.sys" . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- [HKEY_USERS\s-1-5-21-842925246-436374069-1957994488-1003\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) . Czas ukończenia: 2009-01-28 16:31:13 ComboFix-quarantined-files.txt 2009-01-28 15:30:20 ComboFix2.txt 2009-01-27 12:54:08 ComboFix3.txt 2009-01-27 11:22:05 ComboFix4.txt 2009-01-27 09:01:16 Przed: 1 554 685 952 bajtów wolnych Po: 1,604,517,888 bajtów wolnych 146

Najświeższy log z combofixa:

Kod: Zaznacz wszystko: ComboFix 09-01-21.04 - x 2009-01-28 18:12:11.10 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.511.191 [GMT 1:00] Uruchomiony z: c:\documents and settings\x\Pulpit\problem\ComboFix.exe UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! . ((((((((((((((((((((((((( Pliki utworzone od 2008-12-28 do 2009-01-28 ))))))))))))))))))))))))))))))) . 2009-01-27 21:08 . 2009-01-27 21:08 <DIR> d-------- C:\ERDNT 2009-01-27 21:08 . 2009-01-27 21:08 <DIR> d-------- C:\!FixIEDef 2009-01-27 12:06 . 2009-01-27 12:06 578,560 --a--c--- c:\windows\system32\dllcache\user32.dll 2009-01-27 12:00 . 2009-01-27 12:00 <DIR> d-------- C:\SDFix 2009-01-27 11:56 . 2009-01-27 11:56 <DIR> d--h----- c:\windows\$hf_mig$ 2009-01-16 19:04 . 2009-01-16 19:04 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Acronis 2009-01-16 19:04 . 2009-01-16 19:04 1,390,730 --a------ c:\windows\system32\AutoPartNt.exe 2009-01-16 19:04 . 2009-01-16 19:29 1,024 --a------ c:\windows\system32\AutoPartNt.let 2009-01-16 19:00 . 2009-01-16 19:00 <DIR> d-------- c:\program files\Common Files\Acronis 2009-01-16 18:42 . 2009-01-16 18:42 114,048 --a------ c:\windows\system32\drivers\snapman.sys 2009-01-05 10:32 . 2009-01-05 10:32 91 --a------ c:\windows\wininit.ini 2008-12-31 16:15 . 2009-01-28 18:13 108,270 --a------ c:\windows\system32\drivers\531cf7a.sys . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-28 15:24 --------- d-----w c:\documents and settings\x\Dane aplikacji\U3 2008-12-27 21:51 --------- d-----w c:\documents and settings\x\Dane aplikacji\Winamp5 2008-12-27 20:12 --------- d-----w c:\documents and settings\x\Dane aplikacji\BESTplayer 2008-12-06 10:57 --------- d-----w c:\program files\SHOUTcast Source . ((((((((((((((((((((((((((((( snapshot@2009-01-27_ 9.59.30,69 ))))))))))))))))))))))))))))))))))))))))) . - 2008-07-20 12:35:20 163,328 ----a-w c:\windows\ERUNT\SDFIX\ERDNT.EXE + 2008-08-07 14:27:04 163,328 ----a-w c:\windows\ERUNT\SDFIX\ERDNT.EXE - 2008-07-22 18:10:50 520,192 ----a-w c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT + 2009-01-27 11:05:24 520,192 ----a-w c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000001\NTUSER.DAT - 2008-07-22 18:10:50 8,192 ----a-w c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat + 2009-01-27 11:05:24 8,192 ----a-w c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat - 2004-08-03 22:44:08 1,281,024 ----a-w c:\windows\system32\ole32.dll + 2005-04-28 19:32:51 1,284,608 ----a-w c:\windows\system32\ole32.dll - 2001-10-26 17:29:40 69,120 ----a-w c:\windows\system32\olecli32.dll + 2005-04-28 19:32:51 75,264 ----a-w c:\windows\system32\olecli32.dll - 2001-10-26 17:29:40 34,304 ----a-w c:\windows\system32\olecnv32.dll + 2005-04-28 19:32:51 37,888 ----a-w c:\windows\system32\olecnv32.dll - 2004-08-03 22:44:10 395,776 ----a-w c:\windows\system32\rpcss.dll + 2005-04-28 19:32:51 395,776 ----a-w c:\windows\system32\rpcss.dll - 2005-02-25 03:54:22 16,096 -c----w c:\windows\system32\spmsg.dll + 2005-02-25 03:36:06 16,096 ------w c:\windows\system32\spmsg.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AQQ"="d:\program2\Wapster\AQQ\WAPSTE~1\AQQ.exe" [2008-12-22 1656832] "Google Update"="c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" [2008-09-03 133104] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinFast Schedule"="c:\program files\WinFast\WFTVFM\WFWIZ.exe" [2006-07-07 348160] "OSSelectorReinstall"="c:\program files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe" [2007-03-09 2223985] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"= ctwdm32.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Exif Launcher.lnk] path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Exif Launcher.lnk backup=c:\windows\pss\Exif Launcher.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FineReader7NewsReaderPro] --a------ 2003-08-05 16:16 278528 d:\programy\abbyy\AbbyyNewsReader.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update] --a----t- 2008-09-03 20:11 133104 c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD] --a------ 2006-11-10 16:19 1051648 d:\programy\nero\Nero 7\InCD\InCD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] --a------ 2006-12-05 22:55 54832 d:\programy\CyberLink\PowerDVD\Language\Language.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2006-01-12 14:40 155648 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REGSHAVE] --------- 2002-02-04 21:32 53248 c:\program files\REGSHAVE\REGSHAVE.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --------- 2006-11-23 15:10 56928 d:\programy\CyberLink\PowerDVD\PDVDServ.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "d:\\Program2\\Wapster\\AQQ\\AQQ.exe"= "c:\\Program Files\\Gadu-Gadu\\gg.exe"= "c:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupX.exe"= "d:\\Programy\\Skype\\Phone\\Skype.exe"= "d:\\Program2\\eMule\\EMULE.EXE"= "c:\\WINDOWS\\system32\\sessmgr.exe"= "d:\\Program2\\Wapster\\AQQ\\WapSter AQQ\\AQQ.exe"= R3 WFIOCTL;WFIOCTL;c:\program files\WinFast\WFTVFM\WFIOCTL.sys [2007-09-10 9446] R4 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [2001-10-26 14336] . Zawartość folderu 'Zaplanowane zadania' 2009-01-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-842925246-436374069-1957994488-1003.job - c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2008-09-03 20:11] . . ------- Skan uzupełniający ------- . uStart Page = about:blank DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab FF - ProfilePath - c:\documents and settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\i7g7mm11.default\ FF - plugin: c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\1.2.133.33\npGoogleOneClick7.dll FF - plugin: d:\programy\adobe\Acrobat 7\Reader\browser\nppdf32.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-28 18:13:24 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\531cf7a] "ImagePath"="\SystemRoot\System32\drivers\531cf7a.sys" . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- [HKEY_USERS\s-1-5-21-842925246-436374069-1957994488-1003\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) . Czas ukończenia: 2009-01-28 18:15:47 ComboFix-quarantined-files.txt 2009-01-28 17:14:54 ComboFix2.txt 2009-01-28 15:31:15 ComboFix3.txt 2009-01-27 12:54:08 ComboFix4.txt 2009-01-27 11:22:05 ComboFix5.txt 2009-01-28 17:11:48 Przed: 1 591 369 728 bajtów wolnych Po: 1,582,194,688 bajtów wolnych 130

I log z kaspersky , znów wykrył wirusy

Kod: Zaznacz wszystko: -------------------------------------------------------------------------------- RAPORT KASPERSKY ONLINE SCANNER 7.0 środa, 28 styczeń 2009 System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600) Wersja Kaspersky Online Scanner: 7.0.26.12 Data ostatniej aktualizacji bazy danych: Wednesday, January 28, 2009 17:04:02 Liczba wpisów: 1721069 -------------------------------------------------------------------------------- Ustawienia skanowania: Typ bazy danych użytej do skanowania: rozszerzona Skanuj archiwa: tak Skanuj pocztowe bazy danych: tak Obszar skanowania - Mój komputer: C:\ D:\ E:\ F:\ Statystyki skanowania: Przeskanowanych plików: 56287 Nazwa zagrożenia: 8 Zainfekowanych obiektów: 21 Podejrzanych obiektów: 0 Czas skanowania: 02:16:28 Nazwa pliku / Nazwa zagrożenia / Liczba zagrożeń C:\Qoobox\Quarantine\C\2u.com.vir Zainfekowany: Trojan-GameThief.Win32.Magania.amnq 1 C:\Qoobox\Quarantine\C\gy.exe.vir Zainfekowany: Trojan-GameThief.Win32.Magania.atzj 1 C:\Qoobox\Quarantine\C\j60osk9.cmd.vir Zainfekowany: Worm.Win32.AutoRun.ets 1 C:\Qoobox\Quarantine\C\uvsqfgwd.cmd.vir Zainfekowany: Trojan-GameThief.Win32.Magania.audk 1 C:\Qoobox\Quarantine\C\w98.com.vir Zainfekowany: Packed.Win32.Krap.g 1 C:\Qoobox\Quarantine\C\WINDOWS\system32\afmain0.dll.vir Zainfekowany: Trojan.Win32.AntiAV.agj 1 C:\Qoobox\Quarantine\C\WINDOWS\system32\afmain1.dll.vir Zainfekowany: Packed.Win32.Krap.g 1 C:\Qoobox\Quarantine\C\WINDOWS\system32\gasretyw0.dll.vir Zainfekowany: Trojan-GameThief.Win32.Magania.amvb 1 C:\Qoobox\Quarantine\C\WINDOWS\system32\kamsoft.exe.vir Zainfekowany: Trojan-GameThief.Win32.Magania.amnq 1 C:\Qoobox\Quarantine\C\WINDOWS\system32\nmdfgds0.dll.vir Zainfekowany: Trojan-GameThief.Win32.Magania.audk 1 C:\Qoobox\Quarantine\C\WINDOWS\system32\nmdfgds1.dll.vir Zainfekowany: Trojan-GameThief.Win32.Magania.audk 1 C:\Qoobox\Quarantine\C\WINDOWS\system32\olhrwef.exe.vir Zainfekowany: Trojan-GameThief.Win32.Magania.audk 1 C:\Qoobox\Quarantine\C\x2csvg.exe.vir Zainfekowany: Trojan-GameThief.Win32.Magania.aswh 1 C:\Qoobox\Quarantine\D\2u.com.vir Zainfekowany: Trojan-GameThief.Win32.Magania.amnq 1 C:\Qoobox\Quarantine\D\j60osk9.cmd.vir Zainfekowany: Worm.Win32.AutoRun.ets 1 C:\Qoobox\Quarantine\D\uvsqfgwd.cmd.vir Zainfekowany: Trojan-GameThief.Win32.Magania.audk 1 C:\Qoobox\Quarantine\D\w98.com.vir Zainfekowany: Packed.Win32.Krap.g 1 C:\Qoobox\Quarantine\D\x2csvg.exe.vir Zainfekowany: Trojan-GameThief.Win32.Magania.aswh 1 D:\gy.exe Zainfekowany: Trojan-GameThief.Win32.Magania.atzj 1 D:\System Volume Information\_restore{6303CC6F-A9A2-4AA9-B4B3-9D49654A82AE}\RP15\A0002608.com Zainfekowany: Packed.Win32.Krap.g 1 D:\System Volume Information\_restore{6303CC6F-A9A2-4AA9-B4B3-9D49654A82AE}\RP15\A0002609.exe Zainfekowany: Trojan-GameThief.Win32.Magania.aswh 1 Wybrany obszar został przeskanowany.

pozdrawiam i proszę o pomoc

**Posty:** 18165 · przez **wojtas** 29 Sty 2009, 16:59

1. Ściągnij OTMoveIt i go włacz i odpal go z opcji CleanUp

oraz skasuj folder C:\Qoobox

Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem

Autor postu otrzymał pochwałę

**Posty:** 250 · przez **tenzin** 29 Sty 2009, 20:12

witam,
Postąpiłem zgodnie z instrukcją. Na koniec zrobiłem skan kasperskym on-line. Log, poniżej i 1 upierdliwy trojan

:

Kod: Zaznacz wszystko: -------------------------------------------------------------------------------- RAPORT KASPERSKY ONLINE SCANNER 7.0 czwartek, 29 styczeń 2009 System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600) Wersja Kaspersky Online Scanner: 7.0.26.12 Data ostatniej aktualizacji bazy danych: Thursday, January 29, 2009 11:02:00 Liczba wpisów: 1724238 -------------------------------------------------------------------------------- Ustawienia skanowania: Typ bazy danych użytej do skanowania: rozszerzona Skanuj archiwa: tak Skanuj pocztowe bazy danych: tak Obszar skanowania - Mój komputer: C:\ D:\ E:\ F:\ Statystyki skanowania: Przeskanowanych plików: 56104 Nazwa zagrożenia: 1 Zainfekowanych obiektów: 1 Podejrzanych obiektów: 0 Czas skanowania: 02:22:41 Nazwa pliku / Nazwa zagrożenia / Liczba zagrożeń D:\gy.exe Zainfekowany: Trojan-GameThief.Win32.Magania.atzj 1 Wybrany obszar został przeskanowany.

I pytanie: ten sam wirus i jeszcze kilka podejrzanych plików (które u mnie wcześniej wykazywał antywirus), są jeszcze na jednej mp3 - Brata który bez mojej wiedzy korzystał z mojego kompa

. Czy jeśli teraz podłączę tą mp3 to wirusy znów pojawią się u mnie? (czy to niczego nie zmieni?)- jak do tego podejść?
pozdrawiam,

**Posty:** 18165 · przez **wojtas** 29 Sty 2009, 22:54

podepnij mp3 uzyj Flash Disinfector .. i wrzuc nowego loga z combofixa i nowy skan..

**Posty:** 250 · przez **tenzin** 30 Sty 2009, 13:35

witam,
po użyciu Flash Disinfector podejrzane pliki nadal znajdowały się na pendrivach, - więc nie wiem czy dobrze zrobiłem, ale- sformatowałem je wszystkie a później dopiero włączyłem flash disinfector który utworzył na nich swoje nikasowalne foldery (niby ochronne) - zgodnie z opisem na searchengines.pl.

Później uruchomiłem - świeżo ściągniętego- combofixa i pojawiła się poniższa informacja:

Log:
combofix

Kod: Zaznacz wszystko: ComboFix 09-01-21.04 - x 2009-01-30 9:26:05.11 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.511.274 [GMT 1:00] Uruchomiony z: c:\documents and settings\x\Pulpit\problem\ComboFix.exe UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! . - TRYB ZREDUKOWANEJ FUNKCJONALNOŚCI - . ((((((((((((((((((((((((( Pliki utworzone od 2008-12-28 do 2009-01-30 ))))))))))))))))))))))))))))))) . 2009-01-30 08:49 . 2009-01-30 08:49 <DIR> d-------- C:\dawid_kopia 2009-01-27 21:08 . 2009-01-27 21:08 <DIR> d-------- C:\ERDNT 2009-01-27 21:08 . 2009-01-27 21:08 <DIR> d-------- C:\!FixIEDef 2009-01-27 12:06 . 2009-01-27 12:06 578,560 --a--c--- c:\windows\system32\dllcache\user32.dll 2009-01-27 11:56 . 2009-01-27 11:56 <DIR> d--h----- c:\windows\$hf_mig$ 2009-01-16 19:04 . 2009-01-16 19:04 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Acronis 2009-01-16 19:04 . 2009-01-16 19:04 1,390,730 --a------ c:\windows\system32\AutoPartNt.exe 2009-01-16 19:04 . 2009-01-16 19:29 1,024 --a------ c:\windows\system32\AutoPartNt.let 2009-01-16 19:00 . 2009-01-16 19:00 <DIR> d-------- c:\program files\Common Files\Acronis 2009-01-16 18:42 . 2009-01-16 18:42 114,048 --a------ c:\windows\system32\drivers\snapman.sys 2009-01-05 10:32 . 2009-01-05 10:32 91 --a------ c:\windows\wininit.ini 2008-12-31 16:15 . 2009-01-30 09:26 108,270 --a------ c:\windows\system32\drivers\531cf7a.sys 2008-12-27 22:51 . 2008-12-27 22:51 <DIR> d-------- c:\documents and settings\x\Dane aplikacji\Winamp5 2008-12-27 21:12 . 2008-12-27 21:12 <DIR> d-------- c:\documents and settings\x\Dane aplikacji\BESTplayer . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-28 15:24 --------- d-----w c:\documents and settings\x\Dane aplikacji\U3 2008-12-06 10:57 --------- d-----w c:\program files\SHOUTcast Source . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AQQ"="d:\program2\Wapster\AQQ\WAPSTE~1\AQQ.exe" [2008-12-22 1656832] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinFast Schedule"="c:\program files\WinFast\WFTVFM\WFWIZ.exe" [2006-07-07 348160] "OSSelectorReinstall"="c:\program files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe" [2007-03-09 2223985] "MSConfig"="c:\windows\pchealth\helpctr\Binaries\MSCONFIG.EXE" [2004-08-03 159744] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"= ctwdm32.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Exif Launcher.lnk] path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Exif Launcher.lnk backup=c:\windows\pss\Exif Launcher.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FineReader7NewsReaderPro] --a------ 2003-08-05 16:16 278528 d:\programy\abbyy\AbbyyNewsReader.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update] --a----t- 2008-09-03 20:11 133104 c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD] --a------ 2006-11-10 16:19 1051648 d:\programy\nero\Nero 7\InCD\InCD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] --a------ 2006-12-05 22:55 54832 d:\programy\CyberLink\PowerDVD\Language\Language.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2006-01-12 14:40 155648 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REGSHAVE] --------- 2002-02-04 21:32 53248 c:\program files\REGSHAVE\REGSHAVE.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --------- 2006-11-23 15:10 56928 d:\programy\CyberLink\PowerDVD\PDVDServ.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "d:\\Program2\\Wapster\\AQQ\\AQQ.exe"= "c:\\Program Files\\Gadu-Gadu\\gg.exe"= "c:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupX.exe"= "d:\\Programy\\Skype\\Phone\\Skype.exe"= "d:\\Program2\\eMule\\EMULE.EXE"= "c:\\WINDOWS\\system32\\sessmgr.exe"= "d:\\Program2\\Wapster\\AQQ\\WapSter AQQ\\AQQ.exe"= R3 WFIOCTL;WFIOCTL;c:\program files\WinFast\WFTVFM\WFIOCTL.sys [2007-09-10 9446] R4 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [2001-10-26 14336] . Zawartość folderu 'Zaplanowane zadania' 2009-01-29 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-842925246-436374069-1957994488-1003.job - c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2008-09-03 20:11] . . ------- Skan uzupełniający ------- . uStart Page = about:blank DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab FF - ProfilePath - c:\documents and settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\i7g7mm11.default\ FF - plugin: c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\1.2.133.33\npGoogleOneClick7.dll FF - plugin: d:\programy\adobe\Acrobat 7\Reader\browser\nppdf32.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-30 09:26:19 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\531cf7a] "ImagePath"="\SystemRoot\System32\drivers\531cf7a.sys" . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- [HKEY_USERS\s-1-5-21-842925246-436374069-1957994488-1003\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) . Czas ukończenia: 2009-01-30 9:28:29 ComboFix-quarantined-files.txt 2009-01-30 08:27:48 Przed: 1 328 185 344 bajtów wolnych Po: 1,385,189,376 bajtów wolnych 109

Kaspersky wykrył tego samego trojana

Kod: Zaznacz wszystko: piątek, 30 styczeń 2009 System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600) Wersja Kaspersky Online Scanner: 7.0.26.12 Data ostatniej aktualizacji bazy danych: Friday, January 30, 2009 07:31:38 Liczba wpisów: 1727714 Ustawienia skanowania Typ bazy danych użytej do skanowania rozszerzona Skanuj archiwa tak Skanuj pocztowe bazy danych tak Obszar skanowania Mój komputer C:\ D:\ E:\ F:\ Statystyki skanowania Przeskanowanych plików 56144 Nazwa zagrożenia 1 Zainfekowanych obiektów 1 Podejrzanych obiektów 0 Czas skanowania 01:58:11 Nazwa pliku Nazwa zagrożenia Liczba zagrożeń D:\gy.exe Zainfekowany: Trojan-GameThief.Win32.Magania.atzj Wybrany obszar został przeskanowany.

pozdrawiam,

**Posty:** 8001 · przez **Okocza** 30 Sty 2009, 15:08

wyłącz przywracanie na wszystkich dyskach i usuń plik:

Kod: Zaznacz wszystko: D:\gy.exe

**Posty:** 250 · przez **tenzin** 31 Sty 2009, 15:58

Plik usunąłem.
Log z kaspersky z 30 i 31 stycznia nie wykazał żadnego wirusa!.
Czy mam zrobić coś jeszcze? czy to koniec zagrożenia?
pozdrawiam,

**Posty:** 8001 · przez **Okocza** 31 Sty 2009, 16:02

tenzin, jest okej

**Posty:** 250 · przez **tenzin** 31 Sty 2009, 16:40

Okocza napisał(a):tenzin, jest okej

Dzięki Chłopaki!! uratowaliście mi kompa, nie pierwszy raz!
pozdrawiam,

P.S czy mogę skasować katalogi które powstały na dysku C - jak np. Qoobox, !FixIEDef, ERDNT?
Czy może użyc programu OTMoveIt ?

**Posty:** 8001 · przez **Okocza** 31 Sty 2009, 17:08

tenzin napisał(a):czy mogę skasować katalogi które powstały na dysku C - jak np. Qoobox, !FixIEDef, ERDNT?

oczywiście.

**Posty:** 250 · przez **tenzin** 04 Lut 2009, 18:48

witam,
Kilkam obecnie z biblioteki bo tak się składa, że o dnia 01.02 w związku z rozwiązaniem umowy z Tp przez jakiś nie będę miał w domu Internetu.
Dokładnie wczoraj na wszystkich partycjach pojawił się podejrzany plik: x2csvg.exe
Na pen drivie również pojawił się - wczoraj

.
Nie mogę nawet wstawić loga na forum bo nie chcę podłączać w bibliotece skażonego pendriva, więc dzisiaj robię format, mam dość

. Zniszczę go raz na zawsze a format i tak mi się przyda :roll:

pozdrawiam,

Dodano 20.02.2009 12:41:50:
witam,
Chciałem zrobić format, ale to chyba nie byłby najlepszy pomysł zważywszy, że nie mam najważniejszej instalki :lol:

. Teraz, mam nowego dostawcę Internetu i niestety ten sam problem.
Proszę o pomoc w usunięciu kilku uciążliwych wirusów.

Spy-bot ponownie wykrył:
Win32.Rungbu.a
Szkodliwy: Trojan
Win32.Rungbu.a copies an executable file into the system directory and starts itself in autorun as "kava" without giving the user a possibility to cancel that process. It also connects to the internet in background and downloads executable files from a malicious server.

Logi:
Combofix

Kod: Zaznacz wszystko: ComboFix 09-02-18.01 - x 2009-02-20 11:26:35.13 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.511.174 [GMT 1:00] Uruchomiony z: c:\documents and settings\x\Pulpit\problem\ComboFix.exe * Utworzono nowy punkt przywracania UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\cv22.cmd c:\windows\system32\nmdfgds0.dll c:\windows\system32\nmdfgds1.dll c:\windows\system32\olhrwef.exe D:\cv22.cmd G:\2u.com G:\autorun.inf G:\cv22.cmd . ((((((((((((((((((((((((( Pliki utworzone od 2009-01-20 do 2009-02-20 ))))))))))))))))))))))))))))))) . 2009-02-20 10:28 . 2009-02-20 10:28 <DIR> d-------- c:\program files\DIFX 2009-02-20 10:28 . 2007-03-14 22:55 25,792 --a------ c:\windows\system32\drivers\pnarp.sys 2009-02-20 10:27 . 2009-02-20 10:28 <DIR> d----c--- c:\windows\system32\DRVSTORE 2009-02-20 10:27 . 2009-02-20 10:28 <DIR> d-------- c:\windows\LastGood 2009-02-20 10:27 . 2009-02-20 10:27 <DIR> d-------- c:\program files\Pure Networks 2009-02-20 10:27 . 2009-02-20 10:27 <DIR> d-------- c:\program files\Common Files\Pure Networks Shared 2009-02-20 10:27 . 2009-02-20 10:27 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Pure Networks 2009-02-20 10:27 . 2007-03-14 22:55 26,944 --a------ c:\windows\system32\drivers\purendis.sys 2009-02-18 10:16 . 2004-08-03 23:44 70,144 --a------ c:\windows\AhnRpta.exe 2009-02-18 10:05 . 2001-08-17 20:11 66,591 --a------ c:\windows\system32\drivers\el90xbc5.sys 2009-02-18 10:05 . 2001-08-17 20:11 66,591 --a--c--- c:\windows\system32\dllcache\el90xbc5.sys 2009-02-15 10:32 . 2000-12-08 21:59 122,880 --a------ c:\windows\UnGins.exe 2009-02-06 17:52 . 2009-02-06 17:52 0 --a------ c:\windows\Pool.INI 2009-02-06 17:39 . 2009-02-06 17:39 <DIR> d--hs---- c:\windows\ftpcache 2009-02-06 08:44 . 2009-02-06 08:44 1,409 --a------ c:\windows\system32\tmp57589.FOT 2009-02-06 08:44 . 2009-02-06 08:44 1,409 --a------ c:\windows\system32\tmp50789.FOT 2009-02-06 08:44 . 2009-02-06 08:44 1,409 --a------ c:\windows\system32\tmp3C789.FOT 2009-02-06 08:44 . 2009-02-06 08:44 1,409 --a------ c:\windows\system32\tmp33689.FOT 2009-02-05 20:46 . 2009-02-05 20:46 1,409 --a------ c:\windows\system32\tmpE9827.FOT 2009-02-05 20:46 . 2009-02-05 20:46 1,409 --a------ c:\windows\system32\tmpA2927.FOT 2009-02-05 20:46 . 2009-02-05 20:46 1,409 --a------ c:\windows\system32\tmpA1A27.FOT 2009-02-05 20:46 . 2009-02-05 20:46 1,409 --a------ c:\windows\system32\tmp2A927.FOT 2009-02-05 20:45 . 2009-02-05 20:45 <DIR> d-------- c:\program files\Common Files\Sandlot Shared 2009-02-05 20:44 . 2009-02-05 20:44 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Sandlot Games 2009-02-05 20:35 . 2009-02-05 20:35 94 ---h----- c:\windows\system32\spv1_WCssg.ini 2009-02-05 20:25 . 2009-02-12 09:31 <DIR> d-------- c:\documents and settings\x\Dane aplikacji\Wildfire 2009-02-05 20:25 . 2009-02-05 20:25 4,096 --a------ c:\windows\d3dx.dat 2009-02-05 20:24 . 2009-02-05 20:24 <DIR> d-------- c:\documents and settings\x\Dane aplikacji\Incredible Ink 2009-02-05 20:19 . 2009-02-17 18:25 40 --a------ c:\windows\RSoftInfo.dat 2009-02-05 20:08 . 2009-02-06 17:29 <DIR> d-------- c:\documents and settings\x\Dane aplikacji\funkitron 2009-02-05 19:52 . 2009-02-05 19:52 <DIR> d-------- c:\documents and settings\x\Dane aplikacji\EA 2009-02-05 19:52 . 2009-02-05 19:52 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\EA 2009-02-05 19:51 . 2009-02-05 19:51 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Oberon Media 2009-02-05 14:57 . 2009-02-05 14:57 <DIR> d-------- c:\windows\SSMaui Wowee 2009-02-05 14:57 . 1999-02-16 08:02 49,664 --a------ c:\windows\SSMaui Wowee.scr 2009-02-05 14:55 . 2004-09-20 16:00 802,816 --a------ c:\windows\FeedingFrenzy.scr 2009-02-05 14:54 . 2005-01-07 11:39 57,344 --a------ c:\windows\system32\Big Kahuna Reef.scr 2009-02-05 14:53 . 2005-08-03 13:48 389,120 --a------ c:\windows\Adventure Inlay.scr 2009-02-04 09:00 . 2009-01-16 18:35 110,003 -r-hs---- C:\x2csvg.exe 2009-02-03 20:37 . 2009-02-03 20:37 <DIR> d-------- c:\documents and settings\x\Dane aplikacji\Malwarebytes 2009-02-03 20:37 . 2009-02-03 20:37 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Malwarebytes 2009-02-03 20:31 . 2009-02-03 20:31 <DIR> d-------- C:\ERDNT 2009-02-03 20:31 . 2009-02-03 20:31 <DIR> d-------- C:\!FixIEDef 2009-01-27 12:06 . 2009-01-27 12:06 578,560 --a--c--- c:\windows\system32\dllcache\user32.dll 2009-01-27 11:56 . 2009-01-27 11:56 <DIR> d--h----- c:\windows\$hf_mig$ . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-20 10:28 108,270 ----a-w c:\windows\system32\drivers\531cf7a.sys 2009-02-15 09:50 163,644 ----a-w c:\windows\system32\drivers\secdrv.sys 2009-01-28 15:24 --------- d-----w c:\documents and settings\x\Dane aplikacji\U3 2009-01-16 18:04 1,390,730 ----a-w c:\windows\system32\AutoPartNt.exe 2009-01-16 18:04 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Acronis 2009-01-16 18:00 --------- d-----w c:\program files\Common Files\Acronis 2009-01-16 17:42 114,048 ----a-w c:\windows\system32\drivers\snapman.sys 2008-12-27 21:51 --------- d-----w c:\documents and settings\x\Dane aplikacji\Winamp5 2008-12-27 20:12 --------- d-----w c:\documents and settings\x\Dane aplikacji\BESTplayer . ((((((((((((((((((((((((((((( snapshot@2009-02-03_20.02.04,15 ))))))))))))))))))))))))))))))))))))))))) . + 2009-02-20 09:28:17 27,006 ----a-r c:\windows\Installer\{371EBC04-8CED-4AEB-96F6-8184EAF340BC}\NmApp.exe + 2005-03-18 14:53:32 1,190,118 ----a-w c:\windows\SSMaui Wowee\SSMaui Wowee.exe + 2004-08-03 22:44:20 78,848 ----a-w c:\windows\system32\afmain0.dll + 2007-03-14 21:55:02 25,792 -c--a-w c:\windows\system32\DRVSTORE\pnarp_CE32619397E9E17D354203F459E8BFBBCF70F8F6\pnarp.sys + 2007-03-14 21:55:18 26,944 -c--a-w c:\windows\system32\DRVSTORE\purendis_FB4BB9375F46ADB40ED123AE87B2A8587C2EEB02\purendis.sys + 2007-03-14 14:45:20 487,424 ----a-w c:\windows\system32\msvcp70.dll + 2007-03-14 14:45:20 344,064 ----a-w c:\windows\system32\msvcr70.dll + 2005-09-22 22:48:08 479,232 ----a-w c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0de06acd\msvcm80.dll + 2005-09-22 22:48:08 548,864 ----a-w c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0de06acd\msvcp80.dll + 2005-09-22 22:48:06 626,688 ----a-w c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.42_x-ww_0de06acd\msvcr80.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AQQ"="d:\program2\Wapster\AQQ\WAPSTE~1\AQQ.exe" [2008-12-22 1656832] "Google Update"="c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" [2008-09-03 133104] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WinFast Schedule"="c:\program files\WinFast\WFTVFM\WFWIZ.exe" [2006-07-07 348160] "OSSelectorReinstall"="c:\program files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe" [2007-03-09 2223985] "nmapp"="c:\program files\Pure Networks\Network Magic\nmapp.exe" [2007-03-14 321088] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{BB4C402F-882A-4526-8C08-51278EA437C1}"= "c:\windows\system32\afmain0.dll" [2004-08-03 78848] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"= ctwdm32.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Exif Launcher.lnk] path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Exif Launcher.lnk backup=c:\windows\pss\Exif Launcher.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FineReader7NewsReaderPro] --a------ 2003-08-05 16:16 278528 d:\programy\abbyy\AbbyyNewsReader.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update] --a----t- 2008-09-03 20:11 133104 c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD] --a------ 2006-11-10 16:19 1051648 d:\programy\nero\Nero 7\InCD\InCD.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] --a------ 2006-12-05 22:55 54832 d:\programy\CyberLink\PowerDVD\Language\Language.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2006-01-12 14:40 155648 c:\program files\Common Files\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REGSHAVE] --------- 2002-02-04 21:32 53248 c:\program files\REGSHAVE\REGSHAVE.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --------- 2006-11-23 15:10 56928 d:\programy\CyberLink\PowerDVD\PDVDServ.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "d:\\Program2\\Wapster\\AQQ\\AQQ.exe"= "c:\\Program Files\\Gadu-Gadu\\gg.exe"= "c:\\Program Files\\Common Files\\Ahead\\Nero Web\\SetupX.exe"= "d:\\Programy\\Skype\\Phone\\Skype.exe"= "d:\\Program2\\eMule\\EMULE.EXE"= "c:\\WINDOWS\\system32\\sessmgr.exe"= "d:\\Program2\\Wapster\\AQQ\\WapSter AQQ\\AQQ.exe"= R2 NwSapAgent;Agent SAP;c:\windows\system32\svchost.exe -k netsvcs [2001-10-26 14336] R3 WFIOCTL;WFIOCTL;c:\program files\WinFast\WFTVFM\WFIOCTL.sys [2007-09-10 9446] --- Inne Usługi/Sterowniki w Pamięci --- *NewlyCreated* - nmservice *NewlyCreated* - pnarp *NewlyCreated* - purendis . Zawartość folderu 'Zaplanowane zadania' 2009-02-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-842925246-436374069-1957994488-1003.job - c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2008-09-03 20:11] . - - - - USUNIĘTO PUSTE WPISY - - - - HKCU-Run-cdoosoft - c:\windows\system32\olhrwef.exe . ------- Skan uzupełniający ------- . uStart Page = about:blank DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab FF - ProfilePath - c:\documents and settings\x\Dane aplikacji\Mozilla\Firefox\Profiles\i7g7mm11.default\ FF - plugin: c:\documents and settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\1.2.141.5\npGoogleOneClick7.dll FF - plugin: d:\programy\adobe\Acrobat 7\Reader\browser\nppdf32.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-20 11:27:55 Windows 5.1.2600 Dodatek Service Pack 2 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... c:\docume~1\x\USTAWI~1\Temp\Perflib_Perfdata_1ac.dat 16384 bytes skanowanie pomyślnie ukończone ukryte pliki: 1 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\531cf7a] "ImagePath"="\SystemRoot\System32\drivers\531cf7a.sys" . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- [HKEY_USERS\s-1-5-21-842925246-436374069-1957994488-1003\Software\Microsoft\SystemCertificates\AddressBook*] @Allowed: (Read) (RestrictedCode) @Allowed: (Read) (RestrictedCode) . Czas ukończenia: 2009-02-20 11:29:55 ComboFix-quarantined-files.txt 2009-02-20 10:29:09 ComboFix2.txt 2009-02-03 19:03:49 ComboFix3.txt 2009-01-30 08:28:30 Przed: 1 398 169 600 bajtów wolnych Po: 1,404,915,712 bajtów wolnych 182

Hijackthis

Kod: Zaznacz wszystko: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:30:37, on 2009-02-20 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\WinFast\WFTVFM\WFWIZ.exe C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe D:\Programy\nero\Nero 7\InCD\InCDsrv.exe C:\WINDOWS\system32\devldr32.exe C:\Program Files\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\system32\wscntfy.exe D:\już nagrane\Programy\TC PowerPack\totalcmd.exe C:\Program Files\Pure Networks\Network Magic\nmsrvc.exe C:\WINDOWS\explorer.exe D:\Programs\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programy\adobe\Acrobat 7\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [WinFast Schedule] C:\Program Files\WinFast\WFTVFM\WFWIZ.exe O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe O4 - HKLM\..\Run: [nmapp] "C:\Program Files\Pure Networks\Network Magic\nmapp.exe" -autorun -nosplash O4 - HKCU\..\Run: [AQQ] D:\Program2\Wapster\AQQ\WAPSTE~1\AQQ.exe O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Programy\nero\Nero 7\InCD\InCDsrv.exe O23 - Service: Pure Networks Net2Go Service (nmraapache) - Pure Networks, Inc. - C:\Program Files\Pure Networks\Network Magic\WebServer\bin\nmraapache.exe O23 - Service: Pure Networks Network Magic Service (nmservice) - Pure Networks, Inc. - C:\Program Files\Pure Networks\Network Magic\nmsrvc.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe -- End of file - 3810 bytes

Na dysku C, D i na mp3 jest nadal plik: x2csvg.exe
Liczę na Wasze cenne wskazówki

,

**Posty:** 18165 · przez **wojtas** 20 Lut 2009, 20:16

podepnij mp3"

Wylecz pendriva lub kartę pamięci
użyj Perlovga Removal Tool lub
Flash Disinfector
lub format.

Otworz notatnik i wklej w nim to:

File::
c:\windows\AhnRpta.exe
c:\windows\system32\afmain0.dll
C:\x2csvg.exe
D:\x2csvg.exe
G:\x2csvg.exe

Registry::
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{BB4C402F-882A-4526-8C08-51278EA437C1}"=-

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.