Skocz do zawartości

r   e   k   l   a   m   a

trojan.generic jak usunac


  • Zaloguj się, aby dodać odpowiedź
11 odpowiedzi w tym temacie

#1 (gość)

(gość)
  • Goście

Napisano 10.01.2008 - 16:16

Heyka pisze w takiej sprawie bo moj Kasperski Natyvirus 6.0 wykryl mi trojana.generic problem tkwi jednak w tym iz.. nie moge z nim zrobic.. tzn do kwarantanny nie moge i usunac tez.. dodam jeszcze ze logi mam czyste wie ktos moze jak to usunac?bym byl wdzieczny za pomoc ;)

#2 arekmalek

arekmalek
  • Użytkownicy
  • 589 postów

Napisano 10.01.2008 - 16:25

Podaj lokalizację zainfekowanego pliku
raquo

#3 (gość)

(gość)
  • Goście

Napisano 10.01.2008 - 16:30

tzn jest tak ze mi wyskakuja te okienka z paroma sciezkami jedna z nich to np..C:\Widnows\system32.a.exe
albo C:\lo.exe albo C:\Windows.temp\dl787842.exe

#4 Gutek

Gutek

    Uczestnik HotZlotu

  • Użytkownicy
  • 27006 postów

Napisano 10.01.2008 - 17:07

Daj log z ComboFix
Walka do końca, nie format :-)
Proszę nie pisać na PW odpowiem na forum - dziękuję :-)

#5 (gość)

(gość)
  • Goście

Napisano 10.01.2008 - 18:40

ComboFix 08-01-10.2 - EWA 2008-01-10 18:19:29.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1250.1.1045.18.103 [GMT 1:00]
Running from: C:\Downloads\ComboFix.exe
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\EWA\Dane aplikacji\install.dat
C:\Documents and Settings\EWA\Menu Start\Programy\Brave-Sentry
C:\Documents and Settings\EWA\Menu Start\Programy\Brave-Sentry\BraveSentry.lnk
C:\Documents and Settings\EWA\Menu Start\Programy\Brave-Sentry\Uninstall.lnk
C:\Documents and Settings\LocalService\Dane aplikacji\NetMon
C:\Documents and Settings\LocalService\Dane aplikacji\NetMon\domains.txt
C:\Documents and Settings\LocalService\Dane aplikacji\NetMon\log.txt
C:\Program Files\bravesentry
C:\Program Files\bravesentry\BraveSentry.exe
C:\Program Files\bravesentry\BraveSentry.lic
C:\Program Files\bravesentry\BraveSentry0.bs
C:\Program Files\bravesentry\BraveSentry0.dll
C:\Program Files\bravesentry\BraveSentry1.bs
C:\Program Files\bravesentry\BraveSentry2.dll
C:\Program Files\bravesentry\BraveSentry3.dll
C:\Program Files\bravesentry\Uninstall.exe
C:\Program Files\network monitor
C:\Program Files\network monitor\netmon.exe
C:\Program Files\outlook
C:\WINDOWS\rundll32.exe
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\dlh9jkd1q8.exe
C:\WINDOWS\system32\dllgh8jkd1q8.exe
C:\WINDOWS\system32\drivers\runtime2.sys
C:\WINDOWS\system32\kdzfe.exe
C:\WINDOWS\system32\kernel32.exe
C:\WINDOWS\system32\kernelwind32.exe
C:\WINDOWS\system32\msmsgs.exe
C:\WINDOWS\system32\vx.tll
C:\WINDOWS\system32\wsnpoem
C:\WINDOWS\uninstall_nmon.vbs

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_DRIVER
-------\LEGACY_NDISWON
-------\LEGACY_NETWORK_MONITOR
-------\LEGACY_RUNTIME
-------\LEGACY_RUNTIME2
-------\LEGACY_SMTPDRV
-------\Driver
-------\NdisWon
-------\Network Monitor
-------\runtime
-------\smtpdrv


((((((((((((((((((((((((( Files Created from 2007-12-10 to 2008-01-10 )))))))))))))))))))))))))))))))
.

2008-01-10 16:08 . 2008-01-10 16:08 52,736 --------- C:\WINDOWS\system32\mdm.exe
2008-01-10 16:03 . 2008-01-10 16:03 53,248 ---hs---- C:\WINDOWS\system32\Offlce.exe
2008-01-10 16:01 . 2008-01-10 16:01 55,296 ---hs---- C:\lo.exe
2008-01-09 17:03 . 2008-01-10 18:26 6,042,656 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-09 17:03 . 2008-01-10 18:26 11,732 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-09 17:03 . 2008-01-10 18:27 7,456 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-09 17:03 . 2008-01-10 18:26 1,748 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-09 16:33 . 2008-01-09 16:33 d-------- C:\Program Files\Kaspersky Lab
2008-01-08 22:17 . 2008-01-08 22:17 298,104 --a------ C:\WINDOWS\system32\imon.dll
2008-01-08 20:51 . 2008-01-08 20:51 d-------- C:\Program Files\Ashampoo
2007-12-27 02:30 . 2007-12-27 02:30 1,568 --a------ C:\Uninstall.lnk
2007-12-27 01:16 . 2007-12-27 01:16 30,583 --a------ C:\WINDOWS\system32\e1.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd.bak
2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd
2008-01-10 17:15 --------- d-----w C:\Program Files\Neostrada TP
2008-01-09 15:27 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-01-08 20:04 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-01-08 19:35 21,857 ----a-w C:\Program Files\Default.bk1
2008-01-08 18:48 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Hamachi
2008-01-06 16:57 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\OpenOffice.ux.pl2
2008-01-06 10:57 21,599 ----a-w C:\Program Files\Default.bk2
2008-01-05 20:11 21,582 ----a-w C:\Program Files\Default.bk3
2007-12-27 01:49 --------- d-----w C:\Program Files\Common Files\G DATA
2007-12-27 01:03 16,512 ----a-w C:\WINDOWS\system32\drivers\ASPI32.SYS
2007-12-23 00:15 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Skype
2007-12-22 18:18 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-12-08 16:40 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\GanymedeNet
2007-12-07 17:23 --------- d-----w C:\Program Files\Ganymede
2007-12-02 17:39 --------- d-----w C:\Program Files\ConsoleClassix.com
2007-12-02 17:23 --------- d-----w C:\Program Files\Volleyball Manager 2007
2007-11-25 14:16 --------- d-----w C:\Program Files\gadunio
2007-05-23 03:00 1,006,944 ----a-w C:\Program Files\HamachiSetup-1.0.2.2-pl.exe
2007-01-25 22:40 21,696,576 ----a-w C:\Program Files\AdbeRdr602_pol_full.exe
2006-11-25 21:52 312,768 ----a-w C:\Program Files\InstallCZATeriaKam1_4.exe
2005-08-15 13:54 1,318,912 ----a-w C:\Program Files\flashget.exe
2007-08-30 19:39 23 --sha-w C:\WINDOWS\system32\defedbbb2_g.dll
2005-07-29 15:24 472 --sha-r C:\WINDOWS\WFhY\qI1s.vbs
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WooCnxMon"="C:\PROGRA~1\NEOSTR~1\CnxMon.exe" [2003-10-16 17:07 24576]
"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 10:38 866816]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43 83608]
"WOOTASKBARICON"="C:\Program Files\Neostrada TP\taskbaricon.exe" [2003-10-16 17:07 53248]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-04-01 15:16 5562368]
"kav"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 19:09 139367]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-10-26 18:29 13312]
"Microsoft Windows Driver"="C:\WINDOWS\rundll32.exe" [ ]

S3 WLC811GPCI;802.11b WLAN PCI;C:\WINDOWS\System32\DRIVERS\WLC811G.sys []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-10 18:28:17
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-10 18:31:19 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-10 17:31:13
.
2007-09-01 16:59:01 --- E O F ---

#6 Gutek

Gutek

    Uczestnik HotZlotu

  • Użytkownicy
  • 27006 postów

Napisano 11.01.2008 - 00:33

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350
Wklej do Notatnika:

File::
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\Offlce.exe
C:\lo.exe
C:\WINDOWS\system32\e1.exe

Registry::
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Windows Driver"=-
>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe)
– podobnie jak na tym obrazku -->Dołączona grafika
(jeśli pojawi się pytanie "1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: \Qoobox.
Po tym nowy log z Combo
Walka do końca, nie format :-)
Proszę nie pisać na PW odpowiem na forum - dziękuję :-)

#7 (gość)

(gość)
  • Goście

Napisano 12.01.2008 - 13:52

ComboFix 08-01-10.2 - EWA 2008-01-12 13:35:10.4 - NTFSx86
Running from: C:\Downloads\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\a.exe
C:\WINDOWS\system32\msmsgs.exe

.
((((((((((((((((((((((((( Files Created from 2007-12-12 to 2008-01-12 )))))))))))))))))))))))))))))))
.

2008-01-11 17:54 . 2008-01-11 17:54 d---s---- C:\Documents and Settings\LocalService\Ulubione
2008-01-10 23:32 . 2008-01-10 23:32 128,000 -r-hs---- C:\WINDOWS\system32\spoolcv.exe
2008-01-10 22:25 . 2008-01-11 18:56 d-------- C:\Program Files\Spyware Doctor
2008-01-10 22:25 . 2008-01-10 22:25 d-------- C:\Documents and Settings\EWA\Dane aplikacji\PC Tools
2008-01-10 22:25 . 2008-01-12 13:33 d-a------ C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-01-10 22:25 . 2007-10-18 00:16 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-01-10 22:25 . 2007-10-18 00:15 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-01-10 22:25 . 2007-10-18 00:14 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-01-10 22:25 . 2007-10-18 00:16 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-01-10 22:24 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-01-10 16:08 . 2008-01-10 22:52 52,736 ---hs---- C:\WINDOWS\system32\mdm.exe
2008-01-10 16:03 . 2008-01-10 22:52 53,248 ---hs---- C:\WINDOWS\system32\Offlce.exe
2008-01-10 16:01 . 2008-01-10 16:01 55,296 ---hs---- C:\lo.exe
2008-01-09 17:03 . 2008-01-11 19:51 6,042,656 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-09 17:03 . 2008-01-12 13:38 18,720 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-09 17:03 . 2008-01-11 19:51 14,924 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-09 17:03 . 2008-01-11 19:51 2,612 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-09 16:33 . 2008-01-09 16:33 d-------- C:\Program Files\Kaspersky Lab
2008-01-08 22:17 . 2008-01-08 22:17 298,104 --a------ C:\WINDOWS\system32\imon.dll
2008-01-08 20:51 . 2008-01-08 20:51 d-------- C:\Program Files\Ashampoo
2007-12-27 01:16 . 2007-12-27 01:16 30,583 --a------ C:\WINDOWS\system32\e1.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-12 12:36 --------- d-----w C:\Program Files\Neostrada TP
2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd.bak
2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd
2008-01-09 15:27 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-01-08 20:04 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-01-08 19:35 21,857 ----a-w C:\Program Files\Default.bk1
2008-01-08 18:48 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Hamachi
2008-01-06 16:57 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\OpenOffice.ux.pl2
2008-01-06 10:57 21,599 ----a-w C:\Program Files\Default.bk2
2008-01-05 20:11 21,582 ----a-w C:\Program Files\Default.bk3
2007-12-27 01:49 --------- d-----w C:\Program Files\Common Files\G DATA
2007-12-27 01:07 50,458 ----a-w C:\WINDOWS\system32\interceptor.sys
2007-12-27 01:03 45,056 ----a-w C:\WINDOWS\system32\WNASPI32.DLL
2007-12-27 01:03 16,512 ----a-w C:\WINDOWS\system32\drivers\ASPI32.SYS
2007-12-23 00:15 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Skype
2007-12-22 18:18 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-12-08 16:40 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\GanymedeNet
2007-12-07 17:23 --------- d-----w C:\Program Files\Ganymede
2007-12-02 17:39 --------- d-----w C:\Program Files\ConsoleClassix.com
2007-12-02 17:23 --------- d-----w C:\Program Files\Volleyball Manager 2007
2007-11-25 14:16 --------- d-----w C:\Program Files\gadunio
2007-11-01 12:02 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-05-23 03:00 1,006,944 ----a-w C:\Program Files\HamachiSetup-1.0.2.2-pl.exe
2007-01-25 22:40 21,696,576 ----a-w C:\Program Files\AdbeRdr602_pol_full.exe
2006-11-25 21:52 312,768 ----a-w C:\Program Files\InstallCZATeriaKam1_4.exe
2005-08-15 13:54 1,318,912 ----a-w C:\Program Files\flashget.exe
2007-08-30 19:39 23 --sha-w C:\WINDOWS\system32\defedbbb2_g.dll
.

((((((((((((((((((((((((((((( snapshot@2008-01-10_18.30.50.98 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-10 17:18:48 630,784 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-11 17:56:20 630,784 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-10 17:18:48 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-11 17:56:20 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-10 17:18:49 626,688 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-11 17:56:20 626,688 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-10 17:18:49 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-11 17:56:20 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-10 17:18:49 3,956,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
+ 2008-01-11 17:56:21 3,956,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-10 17:18:49 163,840 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-11 17:56:21 163,840 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
- 2008-01-10 15:08:59 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-01-12 11:42:03 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-01-10 17:19:15 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
+ 2008-01-12 12:35:04 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
- 2008-01-10 15:08:59 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
+ 2008-01-12 11:42:03 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
+ 2008-01-10 21:52:12 52,736 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\4YUS11WJ\bin[1].exe
+ 2008-01-12 11:51:51 19,470 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\4YUS11WJ\f[1].exe
+ 2008-01-12 12:02:56 14,659 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\84T8UGNC\mixit[1].exe
+ 2008-01-12 09:04:20 54,272 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\84T8UGNC\mmdmm[1].exe
+ 2008-01-12 11:42:03 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
+ 2008-01-10 21:52:08 53,248 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\TRM10EZP\md[1].exe
+ 2008-01-12 11:54:18 4,380 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\TRM10EZP\mmdmm[1].exe
+ 2008-01-11 17:48:45 31,232 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\V0H28BQ9\staff[1].exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Oftice"="C:\WINDOWS\System32\msmsgs.exe" [ ]
"OfficeWord Monitors"="C:\WINDOWS\System32\Offlce.exe" [2008-01-10 22:52 53248]
"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [2008-01-10 22:52 52736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WooCnxMon"="C:\PROGRA~1\NEOSTR~1\CnxMon.exe" [2003-10-16 17:07 24576]
"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 10:38 866816]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43 83608]
"WOOTASKBARICON"="C:\Program Files\Neostrada TP\taskbaricon.exe" [2003-10-16 17:07 53248]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-04-01 15:16 5562368]
"kav"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 19:09 139367]
"Microsoft Oftice"="C:\WINDOWS\System32\msmsgs.exe" [ ]
"OfficeWord Monitors"="C:\WINDOWS\System32\Offlce.exe" [2008-01-10 22:52 53248]
"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [2008-01-10 22:52 52736]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-10-26 18:29 13312]
"Microsoft Oftice"="C:\WINDOWS\System32\msmsgs.exe" [ ]
"OfficeWord Monitors"="C:\WINDOWS\System32\Offlce.exe" [2008-01-10 22:52 53248]
"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [2008-01-10 22:52 52736]

S3 WLC811GPCI;802.11b WLAN PCI;C:\WINDOWS\System32\DRIVERS\WLC811G.sys []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-12 13:38:39
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-12 13:40:32
ComboFix-quarantined-files.txt 2008-01-12 12:40:23
ComboFix2.txt 2008-01-10 17:31:19
.
2007-09-01 16:59:01 --- E O F ---

nie wiem czy usunelo tamto komp chodzi tak jak wczesniej

#8 Gutek

Gutek

    Uczestnik HotZlotu

  • Użytkownicy
  • 27006 postów

Napisano 12.01.2008 - 17:11

Przeczytaj uważnie co masz zrobić:
Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable. Po użyciu tego narzędzia wymagany jest reset sysa.
Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350

Wklej do Notatnika:

File::
C:\WINDOWS\system32\spoolcv.exe
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\Offlce.exe
C:\lo.exe
C:\WINDOWS\system32\e1.exe

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Oftice"=-
"OfficeWord Monitors"=-
"Windows Networking Monitoring"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Oftice"=-
"OfficeWord Monitors"=-
"Windows Networking Monitoring"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Oftice"=-
"OfficeWord Monitors"=-
"Windows Networking Monitoring"=-
>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe)
– podobnie jak na tym obrazku -->Dołączona grafika
(jeśli pojawi się pytanie "1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: \Qoobox.
Po tym nowy log z Combo
Walka do końca, nie format :-)
Proszę nie pisać na PW odpowiem na forum - dziękuję :-)

#9 (gość)

(gość)
  • Goście

Napisano 13.01.2008 - 13:05

Ten program Windows Worms Doors Cleaner to nie wiem czy go dobze uzylem.. chyba zle :-| jak bys mogl to jakos jasniej wyjasnic to by bylo fajnie co do tych wpisow to zrobilem jak kazales ale nic to nie dalo pewno te wirusy sie uaktualnia przy stracie kompa czy cos takiego to daje loga nastepnego.. mam nadzieje ze ostatni


ComboFix 08-01-10.2 - EWA 2008-01-12 19:53:45.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1250.1.1045.18.73 [GMT 1:00]
Running from: C:\Downloads\ComboFix.exe
Command switches used :: C:\Downloads\CFScript.txt
* Created a new restore point

FILE
C:\lo.exe
C:\WINDOWS\system32\e1.exe
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\Offlce.exe
C:\WINDOWS\system32\spoolcv.exe
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\lo.exe
C:\WINDOWS\system32\a.exe
C:\WINDOWS\system32\e1.exe
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\Offlce.exe
C:\WINDOWS\system32\spoolcv.exe

.
((((((((((((((((((((((((( Files Created from 2007-12-12 to 2008-01-12 )))))))))))))))))))))))))))))))
.

2008-01-11 17:54 . 2008-01-11 17:54 d---s---- C:\Documents and Settings\LocalService\Ulubione
2008-01-10 22:25 . 2008-01-11 18:56 d-------- C:\Program Files\Spyware Doctor
2008-01-10 22:25 . 2008-01-10 22:25 d-------- C:\Documents and Settings\EWA\Dane aplikacji\PC Tools
2008-01-10 22:25 . 2008-01-12 13:33 d-a------ C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-01-10 22:25 . 2007-10-18 00:16 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-01-10 22:25 . 2007-10-18 00:15 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-01-10 22:25 . 2007-10-18 00:14 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-01-10 22:25 . 2007-10-18 00:16 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-01-10 22:24 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-01-09 17:03 . 2008-01-11 19:51 6,042,656 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-09 17:03 . 2008-01-12 14:18 20,000 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-09 17:03 . 2008-01-11 19:51 14,924 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-09 17:03 . 2008-01-11 19:51 2,612 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-09 16:33 . 2008-01-09 16:33 d-------- C:\Program Files\Kaspersky Lab
2008-01-08 22:17 . 2008-01-08 22:17 298,104 --a------ C:\WINDOWS\system32\imon.dll
2008-01-08 20:51 . 2008-01-08 20:51 d-------- C:\Program Files\Ashampoo

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-12 18:52 --------- d-----w C:\Program Files\Neostrada TP
2008-01-12 15:14 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd.bak
2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd
2008-01-09 15:27 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-01-08 20:04 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-01-08 19:35 21,857 ----a-w C:\Program Files\Default.bk1
2008-01-08 18:48 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Hamachi
2008-01-06 16:57 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\OpenOffice.ux.pl2
2008-01-06 10:57 21,599 ----a-w C:\Program Files\Default.bk2
2008-01-05 20:11 21,582 ----a-w C:\Program Files\Default.bk3
2007-12-27 01:49 --------- d-----w C:\Program Files\Common Files\G DATA
2007-12-27 01:07 50,458 ----a-w C:\WINDOWS\system32\interceptor.sys
2007-12-27 01:03 45,056 ----a-w C:\WINDOWS\system32\WNASPI32.DLL
2007-12-27 01:03 16,512 ----a-w C:\WINDOWS\system32\drivers\ASPI32.SYS
2007-12-23 00:15 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Skype
2007-12-22 18:18 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-12-08 16:40 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\GanymedeNet
2007-12-07 17:23 --------- d-----w C:\Program Files\Ganymede
2007-12-02 17:39 --------- d-----w C:\Program Files\ConsoleClassix.com
2007-12-02 17:23 --------- d-----w C:\Program Files\Volleyball Manager 2007
2007-11-25 14:16 --------- d-----w C:\Program Files\gadunio
2007-11-01 12:02 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-05-23 03:00 1,006,944 ----a-w C:\Program Files\HamachiSetup-1.0.2.2-pl.exe
2007-01-25 22:40 21,696,576 ----a-w C:\Program Files\AdbeRdr602_pol_full.exe
2006-11-25 21:52 312,768 ----a-w C:\Program Files\InstallCZATeriaKam1_4.exe
2005-08-15 13:54 1,318,912 ----a-w C:\Program Files\flashget.exe
2007-08-30 19:39 23 --sha-w C:\WINDOWS\system32\defedbbb2_g.dll
.

((((((((((((((((((((((((((((( snapshot@2008-01-10_18.30.50.98 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-10 17:18:48 630,784 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-12 18:53:38 630,784 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-10 17:18:48 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-12 18:53:38 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-10 17:18:49 626,688 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-12 18:53:38 626,688 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-10 17:18:49 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-12 18:53:38 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-10 17:18:49 3,956,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
+ 2008-01-12 18:53:38 3,956,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-10 17:18:49 163,840 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-12 18:53:39 163,840 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
- 2008-01-10 15:08:59 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-01-12 18:41:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-01-10 17:19:15 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
+ 2008-01-12 12:35:04 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat
- 2008-01-10 15:08:59 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
+ 2008-01-12 18:41:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
+ 2008-01-12 18:27:33 3,867 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\C5Q74TQF\md[1].exe
+ 2008-01-12 18:41:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
+ 2008-01-12 18:29:14 3,936 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\MV0H2F2J\f[1].exe
+ 2008-01-12 18:51:00 11,704 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\MV0H2F2J\f[2].exe
+ 2008-01-12 17:46:00 7,682 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\MV0H2F2J\md[1].exe
+ 2008-01-12 17:48:21 14,127 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SDE3STEV\f[1].exe
+ 2008-01-12 15:26:32 54,272 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\UZILG3IB\mixit[1].exe
+ 2008-01-12 16:11:15 4,096 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\UZILG3IB\staff[1].exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WooCnxMon"="C:\PROGRA~1\NEOSTR~1\CnxMon.exe" [2003-10-16 17:07 24576]
"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 10:38 866816]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43 83608]
"WOOTASKBARICON"="C:\Program Files\Neostrada TP\taskbaricon.exe" [2003-10-16 17:07 53248]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-04-01 15:16 5562368]
"kav"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 19:09 139367]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-10-26 18:29 13312]

S3 WLC811GPCI;802.11b WLAN PCI;C:\WINDOWS\System32\DRIVERS\WLC811G.sys []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-12 19:57:10
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-12 19:58:59
ComboFix-quarantined-files.txt 2008-01-12 18:58:50
ComboFix2.txt 2008-01-12 12:40:33
ComboFix3.txt 2008-01-10 17:31:19
.
2007-09-01 16:59:01 --- E O F ---

#10 Gutek

Gutek

    Uczestnik HotZlotu

  • Użytkownicy
  • 27006 postów

Napisano 13.01.2008 - 13:27

PROSIŁEM o coś - Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350

Wklej do Notatnika:
File::
C:\Program Files\Default.jcd.bak
C:\Program Files\Default.jcd
C:\Program Files\Default.bk1
C:\Program Files\Default.bk2
C:\Program Files\Default.bk3
>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe)
– podobnie jak na tym obrazku -->Dołączona grafika
(jeśli pojawi się pytanie "1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: \Qoobox.
Pobierz program SDFix

[*:2zrb7673]Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix)
[*:2zrb7673]Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa)
[*:2zrb7673]Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat
[*:2zrb7673]Wciśnij Y nastąpi proces usuwania.
[*:2zrb7673]Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera.
[*:2zrb7673]Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie.
[*:2zrb7673]Pokaż Report.txt znajdujący się w folderze SDFix.
Walka do końca, nie format :-)
Proszę nie pisać na PW odpowiem na forum - dziękuję :-)

#11 (gość)

(gość)
  • Goście

Napisano 13.01.2008 - 14:25

No to zrobilem tak jak kazales uzylem jeszcze tego.. Windows costam ze byly zielone i zolte trojkaciki i uzylem tego SDFix chyba wszystko jest juz ok.. chociaz moj spybot search and destroy.. wykryl przy wlaczaniu jakies zmiany rejestru to zablokowalem dobra daje loga
http://wklej.org/id/f1189d1bfa

#12 Gutek

Gutek

    Uczestnik HotZlotu

  • Użytkownicy
  • 27006 postów

Napisano 13.01.2008 - 15:23

SDFix zrobił też swoje, już powinno być Ok
Walka do końca, nie format :-)
Proszę nie pisać na PW odpowiem na forum - dziękuję :-)