"Backdoor.Trojan" w pliku d:\Windows\System32\nnnn

Jaro_dcg · 25 Wrzesień 2007 15:18

To mój 1szy post na tym forum więc wszystkich Was witam. Zanim przejdę do problemu jaki mam powiem, że zanim tu napisałem sporo szukałem i na tym forum i gdzie indziej, żeby go rozwiązać. Otóż mam trojana o nazwie “Backdoor.Trojan”, który siedzi w pliku jak w temacie i za cho… nie mogę tego pliku usunąć. Wykrył go Norton Antivirus 2005 z najnowszymi bazami wirusów ale nic nie potrafi z nim zrobić, w dodatku skaner monitujący w locie non stop wyświetla czerwony alert odn. tego trojana, którego to alertu w ogóle nie można zamknąć i musze wyłączyć skanowanie w locie. Mam WinXP Pro na NTFS. Próbowałem wielu sposobów. Na stronie Symanteca radzą po prostu, żeby odpalić kompa w trybie awaryjnym, zapuścić skaner i po prostu plik skasować i nie muszę dodawać, że to nie działa. Próbowałem narzędzi: Killbox, Unlocker, HaxFix (ten nic nie znajduje). Killboxa (opcja delete on reboot), Unlockera próbowałem też w trybie awaryjnym. W tym 1szym przypadku jak już dam del on reboot to pisze coś w stylu, że pending delete process has removed by external process i tyle. Unlockerem jak uwolnię proces winlogon.exe, który m.in. używa tego pliku nnnnmll.dll to komp natychmiast się restartuje i to zarówno w normalnym jak i awaryjnym trybie. Skanowałem też kompa internetowym skanerem NOD32 ale ten nawet trojana nie wykrył a jest on na pewno bo zachowanie kompa wyraźnie zmieniło się na gorsze. Myślę, że byłaby szansa gdyby kompa odpalic w DOSie ale wtedy nie mam dostępu do partycji NTFS, na której jest trojan. Szanowni forumowicze czy ktoś z Was ma pomysł jak się pozbyć tego intruza??? Proszę o pomoc.

Oto mój log zrobiony HijackThis:

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:14:53, on 2007-09-25 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe D:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\spoolsv.exe D:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe D:\WINDOWS\system32\vbkcwdhj.exe D:\WINDOWS\System32\GEARSec.exe D:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe D:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe D:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe D:\Program Files\Norton Utilities\NPROTECT.EXE D:\WINDOWS\system32\nvsvc32.exe D:\Program Files\Speed Disk\nopdb.exe D:\WINDOWS\system32\svchost.exe D:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe D:\WINDOWS\system32\ZoneLabs\vsmon.exe D:\WINDOWS\SOUNDMAN.EXE D:\Program Files\Common Files\Symantec Shared\ccApp.exe D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe D:\PROGRA~1\NEOSTR~1\CnxMon.exe D:\WINDOWS\system32\WgaTray.exe D:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe D:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe D:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe D:\Program Files\QuickTime\qttask.exe D:\Program Files\Unlocker\UnlockerAssistant.exe D:\WINDOWS\system32\ctfmon.exe D:\Program Files\Messenger\msmsgs.exe D:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe D:\Program Files\Nikon\NkView6\NkvMon.exe D:\Program Files\Neostrada TP\NeostradaTP.exe D:\Program Files\Neostrada TP\ComComp.exe D:\Program Files\Neostrada TP\Watch.exe D:\Program Files\Outlook Express\msimn.exe D:\Program Files\Opera\Opera.exe D:\wincmd\WINCMD32.EXE D:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://szukaj.wp.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Neostrada TP R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [ccApp] “D:\Program Files\Common Files\Symantec Shared\ccApp.exe” O4 - HKLM…\Run: [Zone Labs Client] D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM…\Run: [WooCnxMon] D:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM…\Run: [WOOWATCH] D:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] D:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM…\Run: [WinampAgent] “D:\Program Files\Winamp\Winampa.exe” O4 - HKLM…\Run: [Norton Ghost 9.0] D:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe O4 - HKLM…\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe O4 - HKLM…\Run: [instantAccess] D:\Program Files\ScannerP\TBRIDGE\BIN\InstantAccess.exe /h O4 - HKLM…\Run: [RegisterDropHandler] D:\Program Files\ScannerP\TBRIDGE\BIN\RegisterDropHandler.exe O4 - HKLM…\Run: [Device Detector] DevDetect.exe -autorun O4 - HKLM…\Run: [QuickTime Task] “D:\Program Files\QuickTime\qttask.exe” -atboottime O4 - HKLM…\Run: [symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM…\Run: [searchIndexer] rundll32.exe “D:\WINDOWS\system32\vcucagvd.dll”,sitypnow O4 - HKLM…\Run: [unlockerAssistant] “D:\Program Files\Unlocker\UnlockerAssistant.exe” O4 - HKLM…\RunServices: [RegisterDropHandler] D:\Program Files\ScannerP\TBRIDGE\BIN\RegisterDropHandler.exe O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “D:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “D:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe” O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: DSLMON.lnk = D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: NkvMon.exe.lnk = D:\Program Files\Nikon\NkView6\NkvMon.exe O8 - Extra context menu item: Download with GetRight - D:\Program Files\GetRight\GRdownload.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - D:\Program Files\GetRight\GRbrowse.htm O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.modgik.lodz.pl/Mapa/mgaxctrl.cab O17 - HKLM\System\CCS\Services\Tcpip…{8BDD455D-391C-4E06-A390-35A91ECE9AB2}: NameServer = 194.204.159.1 217.98.63.164 O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - D:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: DomainService - - D:\WINDOWS\system32\vbkcwdhj.exe O23 - Service: GEARSecurity - GEAR Software - D:\WINDOWS\System32\GEARSec.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: LiveUpdate - Symantec Corporation - D:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Ghost - Symantec Corporation - D:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\Program Files\Norton Utilities\NPROTECT.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Speed Disk service - Symantec Corporation - D:\Program Files\Speed Disk\nopdb.exe O23 - Service: Symantec Core LC - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe – End of file - 9031 bytes

luger · 25 Wrzesień 2007 16:03

Hi, ja bym zrobił tak: zainstalowałbym bezpłatny programik Unlocker, odblokowałbym nim ten plik, a potem go usunął. :lol:

Oto link do Unlockera http://dobreprogramy.pl/index.php?dz=2&t=59&id=1571

Spróbuj, może pomoże.

jessica · 25 Wrzesień 2007 16:21

@luger - przecież Autor tematu pisze, że używał już Unlockera i widać to w logu! (O4 - HKLM…\Run: [unlockerAssistant] “D:\Program Files\Unlocker\UnlockerAssistant.exe”)

@Jaro_dcg -

Infekcja “VUNDO” na pokładzie!

Sfiksuj ten w/w wpis:

>>Hijack>>scan(Do a system scan only)>>zaznacz (V) >> Fix checked.

Ja mam dwa pomysły, ale czy się udadzą:

-------------------------- I pomysł------------------------------>

(ComboFixa i tak będziesz musiał użyć, bo masz infekcję VUNDO, zresztą ten wskazany przez Ciebie plik też jest własnoścą VUNDO, a ComboFix doskonale sobie radzi z usuwaniem VUNDO)

Ściągnij -->ComboFix (na dole tej strony z linku).

Wklej do Notatnika :

File::

D:\WINDOWS\system32\vcucagvd.dll

D:\WINDOWS\system32\nnnnmll.dll

D:\WINDOWS\system32\vbkcwdhj.exe


Driver::

DomainService

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –> Klik

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

------------------------------------ II pomysł --------------------->

Ściągnij -->GMER.

Otwórz Notatnik i wklej do niego:

Plik >>> zapisz jako >>> zmień rozszerzenie z TXT na wszystkie typy plików >>> zapisz pod nazwą FIX.BAT

( np. na C:\ )

Uruchom Gmer, w >>>zakładce Procesy wybierz Gmer Awaryjny. Komputer się zresetuje i uruchomi się Gmer.

Wybierz znów >>>zakładkę Procesy i na dole w „Poleceniu” przez trzy kropki wskaż plik FIX.BAT , po czym go uruchom (dwuklik).

Ponieważ masz infekcję VUNDO, to log z ComboFixa wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów) .

jessi

luger · 25 Wrzesień 2007 16:44

Tak, oczywiście jessica, masz rację sorry :?

Jaro_dcg · 25 Wrzesień 2007 19:45

Dzięki Jessi, jutro na pewno to wypróbuje bo teraz w pracy. Jak ktoś ma jeszcze inne pomysły to chętnie wysłucham…

luger · 25 Wrzesień 2007 20:41

Widzę, że masz system na partycji D. Jeżeli na C masz inny system , to usuń ten plik z poziomu tego drugiego. Ja tak robiłem jak miałem dwie windy zainstalowane.

Jaro_dcg · 26 Wrzesień 2007 01:52

Na C jest WinMe, z którego nie mam dostępu do NTFS-owej partycji D. Chyba, żeby zainstalowac jakis soft, który powoduje, że WinMe bedzie widział NTFS… hmm…

Bieniol · 26 Wrzesień 2007 05:13

Na razie wykonaj to, co napisała Jessie. Jeżeli to nie pomoże, to będziemy szukać innego rozwiązania.

luger · 26 Wrzesień 2007 05:21

No, ja miałem 2 razy windows XP pro.

Taka rada na przyszłość, zacznij robić kopie systemu, np. programem Acronis TrueImage 10 Home. W 10 min. można przywrócić windę do poprzedniego stanu i nie straszne wirusy ani uszkodzenia systemu.

Każdy kto dłużej już korzysta z kompa dochodzi do tego, że opłaca się robić backup systemu, zapewniam.

Jaro_dcg · 26 Wrzesień 2007 14:28

Wow! Udało się! Dzięki wszystkim a w szczególności Jessice!! Combofix górą! Poskutkowało. A już myślałem, że to pieruństwo nieusuwalne. Luger ja mam kopie partycji zrobioną ghostem ale już dość dawno ją robiłem i sporo softu musiałbym doinstalować choć wiem, że to oczywiście małe piwo w stosunku do reinstalki wszystkiego. Zresztą wychodzę z założenia że przywracam ghostem jak już nic się nie da zrobić i nikt nie jest mi w stanie pomóc.

jessica · 26 Wrzesień 2007 14:47

Daj tu log z ComboFixa, bo nie sądzę, by już wszystkie elementy tego VUNDO zostały usunięte. Trzeba pamiętać, że ta infekcja może się składać z ponad miliona elementów.

jessi

Jaro_dcg · 26 Wrzesień 2007 15:05

A więc tu jest log z ComboFixa (zrobiony przez program w trakcie odkażania lub po nim):

http://up.wklej.org/download.php?id=8c3 … ab91447818

A tu z HiJackThisa:

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:55, on 2007-09-26 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe D:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe D:\WINDOWS\system32\spoolsv.exe D:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe D:\WINDOWS\System32\GEARSec.exe D:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe D:\Program Files\Norton AntiVirus\navapsvc.exe D:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe D:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe D:\WINDOWS\Explorer.EXE D:\Program Files\Norton Utilities\NPROTECT.EXE D:\WINDOWS\system32\nvsvc32.exe D:\Program Files\Speed Disk\nopdb.exe D:\WINDOWS\system32\svchost.exe D:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe D:\WINDOWS\system32\ZoneLabs\vsmon.exe D:\WINDOWS\SOUNDMAN.EXE D:\Program Files\Common Files\Symantec Shared\ccApp.exe D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe D:\PROGRA~1\NEOSTR~1\CnxMon.exe D:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe D:\Program Files\Common Files\ACD Systems\EN\DevDetect.exe D:\WINDOWS\system32\ctfmon.exe D:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe D:\Program Files\Nikon\NkView6\NkvMon.exe D:\WINDOWS\system32\WgaTray.exe D:\Program Files\Norton AntiVirus\SAVScan.exe D:\Program Files\Neostrada TP\NeostradaTP.exe D:\Program Files\Neostrada TP\ComComp.exe D:\Program Files\Neostrada TP\Watch.exe D:\Program Files\Gadu-Gadu\gg.exe D:\Program Files\Opera\Opera.exe D:\Program Files\Outlook Express\msimn.exe D:\Program Files\Messenger\msmsgs.exe D:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - D:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\Program Files\GetRight\xx2gr.dll O2 - BHO: (no name) - {7E6F5CC6-D04F-46F8-89FE-B7277840A1BF} - D:\WINDOWS\system32\nnnnmll.dll (file missing) O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [ccApp] “D:\Program Files\Common Files\Symantec Shared\ccApp.exe” O4 - HKLM…\Run: [Zone Labs Client] D:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM…\Run: [WooCnxMon] D:\PROGRA~1\NEOSTR~1\CnxMon.exe O4 - HKLM…\Run: [WOOWATCH] D:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM…\Run: [WOOTASKBARICON] D:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe O4 - HKLM…\Run: [WinampAgent] “D:\Program Files\Winamp\Winampa.exe” O4 - HKLM…\Run: [Device Detector] DevDetect.exe -autorun O4 - HKLM…\Run: [symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM…\RunServices: [RegisterDropHandler] D:\Program Files\ScannerP\TBRIDGE\BIN\RegisterDropHandler.exe O4 - HKCU…\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “D:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe” O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: DSLMON.lnk = D:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: NkvMon.exe.lnk = D:\Program Files\Nikon\NkView6\NkvMon.exe O8 - Extra context menu item: Download with GetRight - D:\Program Files\GetRight\GRdownload.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - D:\Program Files\GetRight\GRbrowse.htm O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://www.modgik.lodz.pl/Mapa/mgaxctrl.cab O17 - HKLM\System\CCS\Services\Tcpip…{8BDD455D-391C-4E06-A390-35A91ECE9AB2}: NameServer = 194.204.159.1 217.98.63.164 O20 - Winlogon Notify: nnnnmll - nnnnmll.dll (file missing) O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - D:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: GEARSecurity - GEAR Software - D:\WINDOWS\System32\GEARSec.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: LiveUpdate - Symantec Corporation - D:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - D:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Ghost - Symantec Corporation - D:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - D:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\Program Files\Norton Utilities\NPROTECT.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - D:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - D:\Program Files\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe O23 - Service: SAVScan - Symantec Corporation - D:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Speed Disk service - Symantec Corporation - D:\Program Files\Speed Disk\nopdb.exe O23 - Service: Symantec Core LC - Symantec Corporation - D:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe – End of file - 8427 bytes

jessica · 26 Wrzesień 2007 15:20

Widzę, że oprócz VUNDO, miałeś także aż 5 Rootkitów (ComboFix je usunął)

Ale miałam rację, bo są jeszcze niedobitki VUNDO.

Wklej do Notatnika :

File::

D:\WINDOWS\system32\afhhjfre.dll

D:\WINDOWS\system32\drvkalr.dll.ren

D:\WINDOWS\system32\drvkalr.dll

D:\WINDOWS\system32\drvgetr.dll.ren

D:\WINDOWS\system32\drvgetr.dll

D:\WINDOWS\system32\drvsifr.dll.ren

D:\WINDOWS\system32\drvsifr.dll


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7E6F5CC6-D04F-46F8-89FE-B7277840A1BF}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SearchIndexer"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{7E6F5CC6-D04F-46F8-89FE-B7277840A1BF}"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnnmll]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe ) – podobnie jak na tym obrazku –> Klik

Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Daj tu log z ComboFixa (na wklej.org).

Niepokoi mnie ten wpis, bo oznacza, że ten Rootkit powrócił.

jessi

Jaro_dcg · 26 Wrzesień 2007 16:29

Zrobiłem Jessi jak radziłaś a to log po tym wszystkim:

http://up.wklej.org/download.php?id=ff1 … ce2003e5c5

Choć te pliki drv*.* z rozszerzeniem .ren powstały po potraktowaniu źródłowych pliczków czyli .dll ‘Remove Trojanem’. Programik usunął źródłowe .dll i zamienił je na .ren właśnie a teraz po ponownym potraktowaniu Combo, już żadnych z tych pliczków nie ma. Zapomniałem wcześniej dodać, że ‘Remove Trojan’ był kolejnym, który nie radził sobie z moim pierwotnym problemem. Coś jeszcze widzisz niepokojącego w logu?

Gutek · 26 Wrzesień 2007 16:53

Pobierz program SDFix

piosam5 · 15 Styczeń 2009 19:28

Witaj Jessika.Nie wiem czy dobrze wszystko zrozumialem czytając Twoje rady ale zrobiłem tak jak zalecałaś. Użyłem ComboFixa.Tu jest wynik skanowania. Czy mogłabyś przejżeć? http://www.wklej.org/id/39691/

wstaw.org - hosting obrazków

… i przekaż dalej

ściągnij wklejkę wersja plain text 1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

94

95

96

97

98

99

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

219

220

221

222

223

224

225

226

227

228

229

230 ComboFix 09-01-13.04 - Piotr 2009-01-15 20:07:00.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1045.18.1535.1080 [GMT 1:00]

Uruchomiony z: c:\documents and settings\Piotr\Pulpit\ComboFix.exe

AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Outdated)

* Utworzono nowy punkt przywracania

* Resident AV is active

.

((((((((((((((((((((((((( Pliki utworzone od 2008-12-15 do 2009-01-15 )))))))))))))))))))))))))))))))

.

2009-01-12 11:13 . 2009-01-12 11:13

2009-01-10 19:11 . 2009-01-10 19:11

2009-01-07 23:06 . 2009-01-07 23:14

2009-01-02 18:28 . 2009-01-02 18:31

2008-12-31 18:14 . 2003-06-19 01:31 17,920 --a------ c:\windows\system32\mdimon.dll

2008-12-31 18:14 . 2008-12-31 18:14 421 --a------ c:\windows\ODBC.INI

2008-12-31 18:12 . 2008-12-31 18:13

2008-12-31 18:10 . 2008-12-31 18:10

2008-12-31 14:03 . 2009-01-04 18:21

2008-12-30 12:49 . 2008-12-30 12:49

2008-12-30 12:49 . 2008-08-04 09:51 750,984 --a------ c:\windows\system32\Magentic Screensaver.scr

2008-12-28 23:45 . 2008-12-28 23:45 360,192 --a------ c:\windows\system32\TuneUpDefragService.exe

2008-12-28 23:45 . 2008-12-11 13:31 27,904 --a------ c:\windows\system32\uxtuneup.dll

2008-12-26 21:38 . 2008-12-26 21:38 25 --a------ c:\windows\CDESX100DEFGIPS.ini

2008-12-24 22:23 . 2008-12-24 22:23

2008-12-24 22:23 . 2008-12-24 22:47

2008-12-24 15:56 . 2008-12-24 15:56

2008-12-24 15:55 . 2008-12-24 15:55

2008-12-24 15:52 . 2008-12-24 15:52

2008-12-24 15:48 . 2008-12-24 15:48

2008-12-23 18:25 . 2007-07-13 00:00 71,680 --a------ c:\windows\system32\escwiad.dll

2008-12-23 17:47 . 2008-12-26 22:08

2008-12-23 16:38 . 2008-12-24 15:48

2008-12-23 16:36 . 2008-12-27 15:53

2008-12-23 16:35 . 2008-12-23 16:35

2008-12-23 16:18 . 2007-12-07 03:08 86,528 --a------ c:\windows\system32\E_FLBEDE.DLL

2008-12-23 16:18 . 2007-12-07 03:01 78,848 --a------ c:\windows\system32\E_FD4BEDE.DLL

2008-12-23 16:18 . 2008-04-13 20:45 32,128 --a------ c:\windows\system32\drivers\usbccgp.sys

2008-12-23 16:18 . 2008-04-13 20:45 32,128 --a–c— c:\windows\system32\dllcache\usbccgp.sys

2008-12-23 16:18 . 2008-04-13 20:47 25,856 --a------ c:\windows\system32\drivers\usbprint.sys

2008-12-23 16:18 . 2008-04-13 20:47 25,856 --a–c— c:\windows\system32\dllcache\usbprint.sys

2008-12-23 16:18 . 2008-04-13 20:45 15,104 --a------ c:\windows\system32\drivers\usbscan.sys

2008-12-23 16:18 . 2008-04-13 20:45 15,104 --a–c— c:\windows\system32\dllcache\usbscan.sys

2008-12-23 16:18 . 2007-04-10 02:06 8,192 --a------ c:\windows\system32\E_DCINST.DLL

2008-12-23 16:16 . 2008-12-31 13:45

2008-12-23 16:16 . 2008-12-26 22:06

2008-12-23 16:15 . 2008-12-23 16:15 26 --a------ c:\windows\CDESX100EXPORT.ini

2008-12-23 14:37 . 2008-12-23 14:37

2008-12-23 14:37 . 2003-02-24 16:20 827,392 -ra------ c:\windows\system32\Flash.ocx

2008-12-23 14:37 . 2006-08-28 17:12 13,312 --a------ c:\windows\system32\drivers\MTictwl.sys

2008-12-22 16:27 . 2008-12-22 16:27

2008-12-21 21:37 . 2008-12-28 23:45

2008-12-21 21:37 . 2008-12-21 21:37

2008-12-21 21:37 . 2008-12-28 23:45 603,904 --a------ c:\windows\system32\TUProgSt.exe

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-15 19:03 --------- d-----w c:\program files\WinClamAVShield

2009-01-15 19:03 --------- d-----w c:\documents and settings\Piotr\Dane aplikacji\skypePM

2009-01-15 19:03 --------- d-----w c:\documents and settings\Piotr\Dane aplikacji\Skype

2009-01-15 17:44 --------- d-----w c:\program files\NAPI-PROJEKT

2009-01-15 17:43 --------- d-----w c:\program files\a-squared Free

2009-01-14 18:57 --------- d-----w c:\documents and settings\Piotr\Dane aplikacji\Spyware Terminator

2009-01-13 18:16 --------- d-----w c:\documents and settings\Piotr\Dane aplikacji\MiniLyrics

2009-01-10 23:10 --------- d–h--w c:\program files\InstallShield Installation Information

2009-01-08 17:41 --------- d-----w c:\program files\Spyware Terminator

2008-12-24 14:55 --------- d-----w c:\program files\iTunes

2008-12-24 14:55 --------- d-----w c:\program files\Common Files\Apple

2008-12-18 17:24 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Spyware Terminator

2008-12-12 10:18 87,336 ----a-w c:\windows\system32\dns-sd.exe

2008-12-12 10:11 61,440 ----a-w c:\windows\system32\dnssd.dll

2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys

2008-12-07 20:03 --------- d-----w c:\documents and settings\Piotr\Dane aplikacji\Lavasoft

2008-12-04 21:38 --------- d-----w c:\documents and settings\Piotr\Dane aplikacji\GanymedeNet

2008-11-30 20:01 --------- d-----w c:\program files\Rapid Express

2008-11-27 19:47 --------- d-----w c:\program files\Common Files\DirectX

2008-11-26 17:29 --------- d-----w c:\program files\Ganymede

2008-11-25 18:56 66,872 ----a-w c:\windows\system32\PnkBstrA.exe

2008-11-25 18:56 22,328 ----a-w c:\windows\system32\drivers\PnkBstrK.sys

2008-11-25 18:56 103,736 ----a-w c:\windows\system32\PnkBstrB.exe

2008-11-25 18:29 107,888 ----a-w c:\windows\system32\CmdLineExt.dll

2008-11-25 18:29 --------- d–h--r c:\documents and settings\Piotr\Dane aplikacji\SecuROM

2008-11-25 18:15 --------- d-----w c:\program files\Electronic Arts

2008-11-16 19:23 --------- d-----w c:\program files\Internet Download Manager

2008-11-16 19:22 --------- d-----w c:\documents and settings\Piotr\Dane aplikacji\IDM

2008-11-16 19:21 --------- d-----w c:\documents and settings\Piotr\Dane aplikacji\DMCache

2008-11-12 06:54 6 ----a-w C:\settings.dat

2008-11-12 06:54 360 ----a-w C:\scores.dat

2008-11-11 12:53 2,739,456 ----a-w c:\windows\Help\IDMAN515.EXE

2008-10-23 12:42 286,720 ----a-w c:\windows\system32\gdi32.dll

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe

2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll

2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll

2008-10-16 01:02 668,672 ----a-w c:\windows\system32\wininet.dll

2008-10-01 17:34 32 ----a-w c:\documents and settings\All Users\Dane aplikacji\ezsid.dat

2004-10-01 13:00 40,960 ----a-w c:\program files\Uninstall_CDS.exe

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\system32\ctfmon.exe” [2008-04-14 15360]

“Skype”=“c:\program files\Skype\Phone\Skype.exe” [2008-09-23 21872936]

“Gadu-Gadu”=“d:_kopia dysku c\Program Files\Gadu-Gadu\gg.exe” [2007-05-10 2111176]

“IncrediMail”=“c:\program files\IncrediMail\bin\IncMail.exe” [2008-10-13 243072]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“egui”=“c:\program files\ESET\ESET NOD32 Antivirus\egui.exe” [2007-11-23 1410304]

“NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2008-05-03 13529088]

“SpywareTerminator”=“c:\program files\Spyware Terminator\SpywareTerminatorShield.exe” [2008-10-12 1783808]

“NvMediaCenter”=“c:\windows\system32\NvMcTray.dll” [2008-05-03 86016]

“SoundMan”=“SOUNDMAN.EXE” [2005-06-14 c:\windows\SOUNDMAN.EXE]

“nwiz”=“nwiz.exe” [2008-05-03 c:\windows\system32\nwiz.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2008-04-14 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

“DAEMON Tools”=“c:\program files\DAEMON Tools\daemon.exe” -lang 1033

“Magentic”=c:\progra~1\Magentic\bin\Magentic.exe /c

“BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”=“c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe”

“SpybotSD TeaTimer”=c:\program files\Spybot - Search & Destroy\TeaTimer.exe

“MSMSGS”=“c:\program files\Messenger\msmsgs.exe” /background

“EPSON SX100 Series”=c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIEDE.EXE /FU “c:\windows\TEMP\E_SCB.tmp” /EF “HKCU”

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

“QuickTime Task”=“c:\program files\QuickTime\QTTask.exe” -atboottime

“NeroFilterCheck”=c:\program files\Common Files\Ahead\Lib\NeroCheck.exe

“RemoteControl”=“c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe”

“WinampAgent”=“c:\program files\Winamp\winampa.exe”

“iTunesHelper”=“c:\program files\iTunes\iTunesHelper.exe”

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“d:\_KOPIA DYSKU C\Program Files\Gadu-Gadu\gg.exe”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“c:\Program Files\Nero\Nero 7\Nero Home\NeroHome.exe”=

“c:\Program Files\Nero\Nero 7\Nero ShowTime\ShowTime.exe”=

“c:\Program Files\IncrediMail\bin\IncMail.exe”=

“c:\Program Files\IncrediMail\bin\ImApp.exe”=

“c:\Program Files\IncrediMail\bin\ImpCnt.exe”=

“c:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe”=

“c:\Program Files\iTunes\iTunes.exe”=

“c:\Program Files\Bonjour\mDNSResponder.exe”=

“d:\GRY\nfs\speed2.exe”=

“c:\Program Files\Magentic\bin\MgImp.exe”=

“c:\Program Files\Magentic\bin\Magentic.exe”=

“c:\Program Files\Magentic\bin\MgApp.exe”=

“c:\Program Files\Opera\opera.exe”=

“c:\Program Files\Skype\Phone\Skype.exe”=

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

“3389:TCP”= 3389:TCP:@xpsp2res.dll,-22009

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [2006-07-05 63352]

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2008-10-01 30728]

R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [2008-10-12 141312]

R3 V0260VID;Live! Cam Vista IM;c:\windows\system32\drivers\V0260Vid.sys [2008-10-01 178913]

R4 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2007-11-23 455936]

R4 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2008-12-21 603904]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

Zawartość folderu ‘Zaplanowane zadania’

2009-01-15 c:\windows\Tasks\1-Click Maintenance.job

c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 21:36]

2009-01-14 c:\windows\Tasks\AppleSoftwareUpdate.job

c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://mystart.magentic.com/

uInternet Settings,ProxyOverride = *.local

IE: Crawler Search - tbr:iemenu

IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\progra~1\Crawler\Toolbar\ctbr.dll

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-15 20:08:02

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów …

c:\windows\explorer.exe [2404] 0x88E6E370

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

Czas ukończenia: 2009-01-15 20:09:10

ComboFix-quarantined-files.txt 2009-01-15 19:09:05

Przed: 20 195 835 904 bajtów wolnych

Po: 20,581,744,640 bajtów wolnych

WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“Microsoft Windows XP Home Edition” /noexecute=optin /fastdetect

202 — E O F — 2009-01-14 19:04:08

wkleił: piosam5 @ 20:14 15.01.2009 (0 minuty temu)

Na razie nie ma żadnych odpowiedzi na wklejkę

Odpowiedz na wklejkę: cytuj wklejkę puste pole

bugs | info | api | skrypt | reklama

Wklej.org nie ponosi odpowiedzialności za zamieszczone dane.

Co to za zagadka? Dwie kule i wklejarka.