Atak Hacktool.Rootkit oraz Trojan.Pandex

artcan · 21 Sierpień 2007 10:40

Norton wykrył mi Hacktool.Rootkit oraz Trojan.Pandex

Podaję logi z HiJackThis’a - proszę o sprawdzenie:

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:32:40, on 2007-08-21 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE C:\Program Files\Mozilla Firefox\firefox.exe c:\jfcxkau.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\explorer.exe C:\Program Files\foobar2000\foobar2000.exe C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/av … x_homepage R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\system32\vtxludcf.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\vtxludcf.dll O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [Easy-PrintToolBox] C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe” O4 - HKLM…\Run: [osCheck] “C:\Program Files\Norton AntiVirus\osCheck.exe” O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe” O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [symantec PIF AlertEng] “C:\Program Files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe” /a /m “C:\Program Files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll” O4 - HKLM…\Run: [Adobe Photo Downloader] “C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe” O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [Zmieniacz] “C:\Program Files\Cymes Desktop Changer\Zmieniacz.exe” /m O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O16 - DPF: {B0781EB7-16EA-49F1-9C1D-9716D88206CF} (CSQ Object) - http://83.12.128.214/view.cab O20 - Winlogon Notify: vtxludcf - C:\WINDOWS\SYSTEM32\vtxludcf.dll O20 - Winlogon Notify: winrvc32 - C:\WINDOWS\SYSTEM32\winrvc32.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Eraser Service (EraserSvc10732) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: Harmonogram automatycznej usługi LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Unknown owner - C:\Program Files\iPod\bin\iPodService.exe (file missing) O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\isPwdSvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe – End of file - 7504 bytes

jessica · 21 Sierpień 2007 10:53

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

Daj jeszcze log z ComboFixa:

ComboFix (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.

Zobaczymy, co ComboFix usunie samoczynnie, a co trzeba będzie usuwać inaczej.

EDIT:

Sprawdź go na http://virusscan.jotti.org/

Opis, jak korzystać z JOTTI --> http://otfans.pl/forums/showthread.php?tid=552

albo na http://www.virustotal.com/en/indexf.html

(korzysta się podobnie jak z JOTTI).

jessi

artcan · 21 Sierpień 2007 11:19

zrobiłem o co prosiłaś, a teraz podaję logi z Combofix’a:

ComboFix 07-08-17.2 - “Arthur” 2007-08-21 13:03:25.3 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.152 [GMT 2:00] * Created a new restore point ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\d.exe C:\WINDOWS\system32\1_exception.nls C:\WINDOWS\system32\xpdx.sys ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) -------\runtime -------\xpdx ((((((((((((((((((((((((( Files Created from 2007-07-21 to 2007-08-21 ))))))))))))))))))))))))))))))) 2007-08-21 12:30 2007-08-21 12:14 131,680 --a------ C:\WINDOWS\system32\vtxludcf.dll 2007-08-21 12:14 131,680 --a------ C:\WINDOWS\system32\awtqq.dll 2007-08-21 12:08 43,542 --a------ C:\WINDOWS\system32\rqrpmnk.dll 2007-08-21 12:08 20,480 --a------ C:\WINDOWS\system32\winrvc32.dll 2007-08-21 11:57 2007-08-21 11:50 2007-08-21 11:50 2007-08-21 11:43 56 -r-hs---- C:\WINDOWS\system32\81B9AE2041.sys 2007-08-21 11:43 3,350 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys 2007-07-30 14:51 2007-07-30 14:47 2007-07-30 14:47 2007-07-30 13:36 2007-07-30 13:29 2007-07-23 14:37 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys 2007-07-23 07:58 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-21 12:59 --------- d-------- C:\DOCUME~1\Arthur\DANEAP~1\foobar2000 2007-08-21 08:41 --------- d-------- C:\Program Files\Common Files\Symantec Shared 2007-07-30 13:39 234 --a------ C:\WINDOWS\system32\xvidcore.dll 2007-07-30 13:39 234 --a------ C:\WINDOWS\system32\WMV9VCM.dll 2007-07-30 13:39 234 --a------ C:\WINDOWS\system32\vorbisenc.dll 2007-07-30 13:39 234 --a------ C:\WINDOWS\system32\vorbis.dll 2007-07-30 13:39 234 --a------ C:\WINDOWS\system32\OggDS.dll 2007-07-30 13:39 234 --a------ C:\WINDOWS\system32\ogg.dll 2007-07-30 13:39 234 --a------ C:\WINDOWS\system32\mplvpx.dll 2007-07-30 13:39 234 --a------ C:\WINDOWS\system32\DivX.dll 2007-07-30 13:39 234 --a------ C:\WINDOWS\system32\cpuinf32.dll 2007-07-06 13:07 --------- d-------- C:\Program Files\Google 2007-07-05 13:34 --------- d-------- C:\DOCUME~1\Arthur\DANEAP~1\Gadu-Gadu 2007-07-03 14:47 --------- d-------- C:\Program Files\foobar2000 2007-06-25 09:08 --------- d-------- C:\DOCUME~1\Arthur\DANEAP~1\HDD Thermometer 2007-06-21 07:01 545 --a------ C:\WINDOWS\UC.PIF 2007-06-21 07:01 545 --a------ C:\WINDOWS\RAR.PIF 2007-06-21 07:01 545 --a------ C:\WINDOWS\PKZIP.PIF 2007-06-21 07:01 545 --a------ C:\WINDOWS\PKUNZIP.PIF 2007-06-21 07:01 545 --a------ C:\WINDOWS\NOCLOSE.PIF 2007-06-21 07:01 545 --a------ C:\WINDOWS\LHA.PIF 2007-06-21 07:01 545 --a------ C:\WINDOWS\ARJ.PIF 2007-06-17 00:11 51200 --a------ C:\WINDOWS\nircmd.exe 2007-05-24 12:40 73216 --a------ C:\WINDOWS\ST6UNST.EXE 2007-05-24 12:40 286720 --------- C:\WINDOWS\Setup1.exe 2007-05-22 13:47 89600 --a------ C:\WINDOWS\system32\SFUninst.exe 2007-05-22 13:47 631808 --a------ C:\WINDOWS\system32\Song of Songs 2006.scr ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE~\Browser Helper Objects{A95B2816-1D7E-4561-A202-68C0DE02353A}] 2007-08-21 12:14 131680 --a------ C:\WINDOWS\system32\vtxludcf.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “SoundMan”=“SOUNDMAN.EXE” [2003-07-16 16:50 C:\WINDOWS\SOUNDMAN.EXE] “Easy-PrintToolBox”=“C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.exe” [2004-01-14 03:10] “nwiz”=“nwiz.exe” [2006-10-22 13:22 C:\WINDOWS\system32\nwiz.exe] “ccApp”=“C:\Program Files\Common Files\Symantec Shared\ccApp.exe” [2006-11-28 21:51] “osCheck”=“C:\Program Files\Norton AntiVirus\osCheck.exe” [2006-09-05 19:22] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe” [2007-03-14 03:43] “NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2006-10-22 13:22] “Symantec PIF AlertEng”=“C:\Program Files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe” [2007-03-12 11:22] “Adobe Photo Downloader”=“C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe” [] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2004-10-13 18:24] “Zmieniacz”=“C:\Program Files\Cymes Desktop Changer\Zmieniacz.exe” [2007-05-02 15:42] “ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 09:44] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtxludcf] vtxludcf.dll 2007-08-21 12:14 131680 C:\WINDOWS\system32\vtxludcf.dll R2 EraserSvc10732;Symantec Eraser Service;“C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe” /h ccCommon R2 Harmonogram automatycznej usługi LiveUpdate;Harmonogram automatycznej usługi LiveUpdate;“C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe” R3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5b.sys S3 FETNDIS;Sterownik NT karty VIA PCI 10/100Mb Fast Ethernet;C:\WINDOWS\system32\DRIVERS\fetnd5.sys S3 NTSIM;NTSIM;??\C:\WINDOWS\System32\ntsim.sys *Newly Created Service* - ERASERSVC10732 Contents of the ‘Scheduled Tasks’ folder 2007-07-30 05:34:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe 2006-11-17 07:43:28 C:\WINDOWS\Tasks\Norton AntiVirus - Uruchom pełne skanowanie systemu - Admin.job ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-21 13:13:00 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet003\Services\H a r m o n o g r a m a u t o m a t y c z n e j u s Bu g i L i v e U p d a t e] “ImagePath”="“C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe”" [HKEY_LOCAL_MACHINE\system\ControlSet003\Services\helpsvc] “ServiceDll”="%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll" [HKEY_LOCAL_MACHINE\system\ControlSet003\Services\HidServ] “ServiceDll”="%SystemRoot%\System32\hidserv.dll" [HKEY_LOCAL_MACHINE\system\ControlSet003\Services\HidUsb] “ImagePath”=“system32\DRIVERS\hidusb.sys” [HKEY_LOCAL_MACHINE\system\ControlSet003\Services\hpn] [HKEY_LOCAL_MACHINE\system\ControlSet003\Services\HTTP] “ImagePath”=“System32\Drivers\HTTP.sys” [HKEY_LOCAL_MACHINE\system\ControlSet003\Services\HTTPFilter] “ServiceDll”="%SystemRoot%\System32\w3ssl.dll" Completion time: 2007-08-21 13:15:33 - machine was rebooted C:\ComboFix-quarantined-files.txt … 2007-08-21 13:15 — E O F —

jessica · 21 Sierpień 2007 11:48

Widzę, że ComboFix usunął nawet dwa Rootkity!

Jeśli masz jakieś narzędzie usuwające, to usuwaj przy jego pomocy.

Jeśli zaś nie masz, to zrób tak:

Wklej do Notatnika :

File::

C:\WINDOWS\system32\vtxludcf.dll

C:\WINDOWS\system32\awtqq.dll

C:\WINDOWS\system32\rqrpmnk.dll

C:\WINDOWS\system32\winrvc32.dll


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtxludcf]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie,

jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

(czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->http://i12.tinypic.com/4l761r5.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie.

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Nie napisałeś, co z tym plikiem: C:** jfcxkau.exe**

Potem daj log z ComboFixa

jessi

artcan · 21 Sierpień 2007 12:19

wykryło mi na tych skanerach Trojana i inne, ale to świństwo usunałem.

natomaist pojawia mi sie przy kazdym zalogowaniu :

oraz

a także

teraz zrobię:

File:: C:\WINDOWS\system32\vtxludcf.dll C:\WINDOWS\system32\awtqq.dll C:\WINDOWS\system32\rqrpmnk.dll C:\WINDOWS\system32\winrvc32.dll Registry:: [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{A95B2816-1D7E-4561-A202-68C0DE02353A}] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtxludcf] PlikZapisz jako… CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe) Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe) – podobnie jak na tym obrazku –http://i12.tinypic.com/4l761r5.gif (jeśli pojawi się pytanie “1 or 2” - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. Po restarcie usuń ręcznie folder C: \Qoobox.

Gutek · 21 Sierpień 2007 13:07

Daj log z ComboFix

Użyj w trybie awaryjnym VundoFix + Trojan.Vundo Removal Tool + VirtumundoBeGone.

artcan · 21 Sierpień 2007 13:07

po zrobieniu

File:: C:\WINDOWS\system32\vtxludcf.dll C:\WINDOWS\system32\awtqq.dll C:\WINDOWS\system32\rqrpmnk.dll C:\WINDOWS\system32\winrvc32.dll Registry:: [-HKEY_LOCAL_MACHINE~\Browser Helper Objects{A95B2816-1D7E-4561-A202-68C0DE02353A}] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vtxludcf] >>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe) Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe) – podobnie jak na tym obrazku -->http://i12.tinypic.com/4l761r5.gif (jeśli pojawi się pytanie “1 or 2” - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. Po restarcie usuń ręcznie folder C: \Qoobox.

pojawił się nowy log więc go wklejam z Combo

ComboFix 07-08-17.2 - “Arthur” 2007-08-21 14:50:33.6 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.178 [GMT 2:00] Command switches used :: C:\Documents and Settings\Arthur\Pulpit\CFScript.txt * Created a new restore point FILE:: C:\WINDOWS\system32\vtxludcf.dll C:\WINDOWS\system32\awtqq.dll C:\WINDOWS\system32\rqrpmnk.dll C:\WINDOWS\system32\winrvc32.dll ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\awtqq.dll C:\WINDOWS\system32\rqrpmnk.dll C:\WINDOWS\system32\vtxludcf.dll C:\WINDOWS\system32\winrvc32.dll ((((((((((((((((((((((((( Files Created from 2007-07-21 to 2007-08-21 ))))))))))))))))))))))))))))))) 2007-08-21 13:57 161,624 --a------ C:\DOCUME~1\Arthur\DANEAP~1\setup_en[1].exe 2007-08-21 12:30 2007-08-21 11:57 2007-08-21 11:50 2007-08-21 11:50 2007-08-21 11:43 56 -r-hs---- C:\WINDOWS\system32\81B9AE2041.sys 2007-08-21 11:43 3,350 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys 2007-07-30 14:51 2007-07-30 14:47 2007-07-30 14:47 2007-07-30 13:36 2007-07-30 13:29 2007-07-23 14:37 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys 2007-07-23 07:58 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-21 12:59 --------- d-------- C:\DOCUME~1\Arthur\DANEAP~1\foobar2000 2007-08-21 08:41 --------- d-------- C:\Program Files\Common Files\Symantec Shared 2007-07-30 13:39 234 --a------ C:\WINDOWS\system32\xvidcore.dll 2007-07-30 13:39 234 --a------ C:\WINDOWS\system32\WMV9VCM.dll 2007-07-30 13:39 234 --a------ C:\WINDOWS\system32\vorbisenc.dll 2007-07-30 13:39 234 --a------ C:\WINDOWS\system32\vorbis.dll 2007-07-30 13:39 234 --a------ C:\WINDOWS\system32\OggDS.dll 2007-07-30 13:39 234 --a------ C:\WINDOWS\system32\ogg.dll 2007-07-30 13:39 234 --a------ C:\WINDOWS\system32\mplvpx.dll 2007-07-30 13:39 234 --a------ C:\WINDOWS\system32\DivX.dll 2007-07-30 13:39 234 --a------ C:\WINDOWS\system32\cpuinf32.dll 2007-07-06 13:07 --------- d-------- C:\Program Files\Google 2007-07-05 13:34 --------- d-------- C:\DOCUME~1\Arthur\DANEAP~1\Gadu-Gadu 2007-07-03 14:47 --------- d-------- C:\Program Files\foobar2000 2007-06-25 09:08 --------- d-------- C:\DOCUME~1\Arthur\DANEAP~1\HDD Thermometer 2007-06-21 07:01 545 --a------ C:\WINDOWS\UC.PIF 2007-06-21 07:01 545 --a------ C:\WINDOWS\RAR.PIF 2007-06-21 07:01 545 --a------ C:\WINDOWS\PKZIP.PIF 2007-06-21 07:01 545 --a------ C:\WINDOWS\PKUNZIP.PIF 2007-06-21 07:01 545 --a------ C:\WINDOWS\NOCLOSE.PIF 2007-06-21 07:01 545 --a------ C:\WINDOWS\LHA.PIF 2007-06-21 07:01 545 --a------ C:\WINDOWS\ARJ.PIF 2007-06-17 00:11 51200 --a------ C:\WINDOWS\nircmd.exe 2007-05-24 12:40 73216 --a------ C:\WINDOWS\ST6UNST.EXE 2007-05-24 12:40 286720 --------- C:\WINDOWS\Setup1.exe 2007-05-22 13:47 89600 --a------ C:\WINDOWS\system32\SFUninst.exe 2007-05-22 13:47 631808 --a------ C:\WINDOWS\system32\Song of Songs 2006.scr ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “SoundMan”=“SOUNDMAN.EXE” [2003-07-16 16:50 C:\WINDOWS\SOUNDMAN.EXE] “Easy-PrintToolBox”=“C:\Program Files\Canon\Easy-PrintToolBox\BJPSMAIN.exe” [2004-01-14 03:10] “nwiz”=“nwiz.exe” [2006-10-22 13:22 C:\WINDOWS\system32\nwiz.exe] “ccApp”=“C:\Program Files\Common Files\Symantec Shared\ccApp.exe” [2006-11-28 21:51] “osCheck”=“C:\Program Files\Norton AntiVirus\osCheck.exe” [2006-09-05 19:22] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe” [2007-03-14 03:43] “NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2006-10-22 13:22] “Symantec PIF AlertEng”=“C:\Program Files\Common Files\Symantec Shared\PIF{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe” [2007-03-12 11:22] “Adobe Photo Downloader”=“C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe” [] “NI.UGES_0002_N108M1607”=“c:\documents and settings\arthur\dane aplikacji\setup_en[1].exe” [2007-08-21 13:57] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2004-10-13 18:24] “Zmieniacz”=“C:\Program Files\Cymes Desktop Changer\Zmieniacz.exe” [2007-05-02 15:42] “ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 09:44] R2 EraserSvc10732;Symantec Eraser Service;“C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe” /h ccCommon R2 Harmonogram automatycznej usługi LiveUpdate;Harmonogram automatycznej usługi LiveUpdate;“C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe” R3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5b.sys S3 FETNDIS;Sterownik NT karty VIA PCI 10/100Mb Fast Ethernet;C:\WINDOWS\system32\DRIVERS\fetnd5.sys S3 NTSIM;NTSIM;??\C:\WINDOWS\System32\ntsim.sys Contents of the ‘Scheduled Tasks’ folder 2007-07-30 05:34:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Program Files\Apple Software Update\SoftwareUpdate.exe 2006-11-17 07:43:28 C:\WINDOWS\Tasks\Norton AntiVirus - Uruchom pełne skanowanie systemu - Admin.job ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-21 14:56:36 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet003\Services\H a r m o n o g r a m a u t o m a t y c z n e j u s Bu g i L i v e U p d a t e] “ImagePath”="“C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe”" [HKEY_LOCAL_MACHINE\system\ControlSet003\Services\helpsvc] “ServiceDll”="%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll" [HKEY_LOCAL_MACHINE\system\ControlSet003\Services\HidServ] “ServiceDll”="%SystemRoot%\System32\hidserv.dll" [HKEY_LOCAL_MACHINE\system\ControlSet003\Services\HidUsb] “ImagePath”=“system32\DRIVERS\hidusb.sys” [HKEY_LOCAL_MACHINE\system\ControlSet003\Services\hpn] [HKEY_LOCAL_MACHINE\system\ControlSet003\Services\HTTP] “ImagePath”=“System32\Drivers\HTTP.sys” [HKEY_LOCAL_MACHINE\system\ControlSet003\Services\HTTPFilter] “ServiceDll”="%SystemRoot%\System32\w3ssl.dll" Completion time: 2007-08-21 15:00:02 - machine was rebooted C:\ComboFix-quarantined-files.txt … 2007-08-21 15:00 C:\ComboFix2.txt … 2007-08-21 14:44 — E O F —

i już mi nie wyskakują te okienka.

Czy to oznacza że już nie mam żadnych syfów?

Gutek · 21 Sierpień 2007 13:17

użyj

Po tym Pobierz program SDFix