Beep.sys koń trojański którego sama nie potrafię usunąć!


(Dariabrajer) #1

cześć Wszystkim :slight_smile: mam na imię daria i nie umiem się pozbyć konia trojańskiego beep.sys proszę Was o POMOC!!


(deFco247) #2

Logi wklejasz na wklej.org lub wklej.to, a w poście dajesz link.

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _


(Dariabrajer) #3

taki log otrzymałam robiąc tak jak mi mówiłeś : 1. utworzyłam w notatniku

2. przeciągnęłam na combofixa

i taki log wyszedł

proszę powiedz co dalej

ComboFix 09-09-03.02 - HeY 2009-09-06 20:19.7.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.2046.1521 [GMT 2:00]

Uruchomiony z: d:\pobierane\ComboFix.exe

Użyto następujących komend :: d:\pobierane\CFScript.txt

.

  • TRYB ZREDUKOWANEJ FUNKCJONALNOŚCI -

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

--------------- FCopy ---------------

c:\windows\system32\dllcache\beep.sys --> c:\windows\system32\drivers\beep.sys

.

((((((((((((((((((((((((( Pliki utworzone od 2009-08-06 do 2009-09-06 )))))))))))))))))))))))))))))))

.

2009-09-04 16:48 . 2009-09-04 16:48 -------- d-----w- c:\program files\Trend Micro

2009-08-31 10:11 . 2009-08-31 10:11 -------- d-----w- c:\documents and settings\HeY\Ustawienia lokalne\Dane aplikacji\ESET

2009-08-31 10:11 . 2009-08-31 10:11 -------- d-----w- c:\documents and settings\HeY\Ustawienia lokalne\Dane aplikacji\Ahead

2009-08-31 10:03 . 2009-08-31 10:03 -------- d-----w- c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\ESET

2009-08-30 16:29 . 2009-08-30 16:29 22328 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys

2009-08-30 16:28 . 2009-08-30 16:29 103736 ----a-w- c:\windows\system32\PnkBstrB.exe

2009-08-30 16:28 . 2009-08-30 16:28 66872 ----a-w- c:\windows\system32\PnkBstrA.exe

2009-08-27 12:51 . 2009-08-27 12:51 -------- d-----w- c:\program files\IrfanView

2009-08-20 04:07 . 2000-06-26 09:45 106496 ----a-w- c:\windows\system32\TwnLib20.dll

2009-08-20 04:07 . 2004-07-20 15:24 476320 ------w- c:\windows\system32\ImagXpr7.dll

2009-08-20 04:07 . 2004-07-20 15:24 471040 ------w- c:\windows\system32\ImagXRA7.dll

2009-08-20 04:07 . 2004-07-20 15:24 262144 ------w- c:\windows\system32\ImagXR7.dll

2009-08-20 04:07 . 2004-07-20 15:24 1568768 ------w- c:\windows\system32\ImagX7.dll

2009-08-20 04:07 . 2004-07-09 07:43 364544 ------w- c:\windows\system32\TwnLib4.dll

2009-08-20 04:07 . 2001-06-26 06:15 38912 ------w- c:\windows\system32\picn20.dll

2009-08-20 04:06 . 2009-08-20 04:06 -------- d-----w- c:\program files\Common Files\Ahead

2009-08-20 04:06 . 2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

2009-08-20 04:06 . 2009-08-20 04:07 -------- d-----w- c:\program files\Ahead

2009-08-19 16:41 . 2009-08-19 16:41 -------- d-----w- c:\windows\system32\LogFiles

2009-08-15 16:55 . 2009-08-15 16:55 -------- d-----w- c:\documents and settings\HeY\Dane aplikacji\CyberLink

2009-08-15 11:03 . 2009-08-15 11:03 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\CyberLink

2009-08-15 11:02 . 2009-08-15 11:02 -------- d-----w- c:\program files\CyberLink

2009-08-15 10:05 . 2008-10-24 11:10 453632 -c----w- c:\windows\system32\dllcache\mrxsmb.sys

2009-08-15 10:04 . 2008-06-14 18:01 273024 -c----w- c:\windows\system32\dllcache\bthport.sys

2009-08-15 10:04 . 2008-06-14 18:01 273024 ------w- c:\windows\system32\drivers\bthport.sys

2009-08-15 10:04 . 2009-02-09 11:52 2017280 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe

2009-08-15 10:04 . 2009-02-09 11:52 2059008 -c----w- c:\windows\system32\dllcache\ntkrnlpa.exe

2009-08-15 10:04 . 2009-02-09 11:52 2181760 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe

2009-08-15 10:04 . 2009-02-09 11:52 2137600 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe

2009-08-15 09:54 . 2009-08-27 09:36 -------- d--h--w- c:\windows\$hf_mig$

2009-08-14 19:03 . 2009-08-14 19:03 -------- d-----w- c:\windows\Sun

2009-08-14 19:02 . 2009-08-14 19:02 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-08-14 19:02 . 2009-08-14 19:02 -------- d-----w- c:\program files\Java

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-06 17:50 . 2001-10-26 14:15 49712 ----a-w- c:\windows\system32\perfc015.dat

2009-09-06 17:50 . 2001-10-26 14:15 355830 ----a-w- c:\windows\system32\perfh015.dat

2009-09-04 18:56 . 2009-08-14 14:44 -------- d-----w- c:\documents and settings\HeY\Dane aplikacji\Skype

2009-09-04 18:32 . 2009-08-14 14:49 -------- d-----w- c:\documents and settings\HeY\Dane aplikacji\skypePM

2009-09-01 18:34 . 2009-08-14 14:31 -------- d-----w- c:\program files\Gadu-Gadu

2009-08-30 16:29 . 2009-08-30 16:29 22328 ----a-w- c:\documents and settings\HeY\Dane aplikacji\PnkBstrK.sys

2009-08-15 11:03 . 2009-08-14 14:05 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-08-14 15:11 . 2009-08-14 15:11 -------- d-----w- c:\program files\ESET

2009-08-14 15:11 . 2009-08-14 15:11 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ESET

2009-08-14 15:08 . 2009-08-14 14:35 -------- d-----w- c:\program files\Common Files\Adobe

2009-08-14 15:03 . 2009-08-14 15:03 -------- d-----w- c:\program files\Real Alternative

2009-08-14 15:00 . 2009-08-14 15:00 -------- d-----w- c:\documents and settings\HeY\Dane aplikacji\Media Player Classic

2009-08-14 14:59 . 2009-08-14 14:59 -------- d-----w- c:\documents and settings\HeY\Dane aplikacji\BESTplayer

2009-08-14 14:56 . 2009-08-14 14:56 -------- d-----w- c:\program files\K-Lite Codec Pack

2009-08-14 14:49 . 2009-08-14 14:49 56 ---ha-w- c:\windows\system32\ezsidmv.dat

2009-08-14 14:44 . 2009-08-14 14:43 -------- d-----r- c:\program files\Skype

2009-08-14 14:43 . 2009-08-14 14:43 -------- d-----w- c:\program files\Common Files\Skype

2009-08-14 14:43 . 2009-08-14 14:43 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Skype

2009-08-14 14:36 . 2009-08-14 14:36 -------- d-----w- c:\program files\CCleaner

2009-08-14 14:31 . 2009-08-14 14:31 -------- d-----w- c:\documents and settings\HeY\Dane aplikacji\Gadu-Gadu

2009-08-14 14:29 . 2009-08-14 14:29 -------- d-----w- c:\program files\Winamp

2009-08-14 14:29 . 2009-08-14 14:29 88064 ----a-w- c:\windows\system32\AudioExCtl.dll

2009-08-14 14:29 . 2009-08-14 14:29 -------- d-----w- c:\program files\Mjuice Media Player

2009-08-14 14:27 . 2009-08-14 14:27 15792 ----a-w- c:\documents and settings\HeY\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-08-14 14:25 . 2009-08-14 14:25 0 ----a-w- c:\windows\nsreg.dat

2009-08-14 14:22 . 2009-08-14 13:59 -------- d-----w- c:\program files\microsoft frontpage

2009-08-14 14:16 . 2009-08-14 14:16 -------- d-----w- c:\program files\SAGEM

2009-08-14 14:16 . 2009-08-14 14:06 -------- d-----w- c:\program files\Common Files\InstallShield

2009-08-14 14:08 . 2009-08-14 14:06 -------- d-----w- c:\program files\Realtek

2009-08-14 14:08 . 2009-08-14 14:05 16608 ----a-w- c:\windows\gdrv.sys

2009-08-14 14:06 . 2009-08-14 14:06 319488 ----a-w- c:\windows\HideWin.exe

2009-08-14 14:06 . 2009-08-14 14:06 -------- d-----w- c:\program files\AMD

2009-08-14 14:06 . 2009-08-14 14:06 -------- d-----w- c:\documents and settings\HeY\Dane aplikacji\InstallShield

2009-08-14 14:05 . 2009-08-14 14:05 -------- d-----w- c:\program files\Browser Configuration Utility

2009-08-14 13:58 . 2009-08-14 13:58 -------- d-----w- c:\program files\Usługi online

2009-08-14 13:56 . 2009-08-14 13:56 21856 ----a-w- c:\windows\system32\emptyregdb.dat

2009-08-05 09:08 . 2004-08-03 22:44 205312 ----a-w- c:\windows\system32\mswebdvd.dll

2009-07-29 04:54 . 2004-08-03 22:44 119808 ----a-w- c:\windows\system32\t2embed.dll

2009-07-29 04:54 . 2001-10-26 15:29 82432 ----a-w- c:\windows\system32\fontsub.dll

2009-07-17 18:57 . 2004-08-03 22:43 58880 ----a-w- c:\windows\system32\atl.dll

2009-07-13 00:18 . 2004-08-03 22:44 233472 ----a-w- c:\windows\system32\wmpdxm.dll

2009-06-26 16:19 . 2004-08-03 22:44 662016 ------w- c:\windows\system32\wininet.dll

2009-06-26 16:19 . 2004-08-03 22:44 81920 ----a-w- c:\windows\system32\ieencode.dll

2009-06-25 18:37 . 2004-08-03 22:44 95744 ----a-w- c:\windows\system32\mqsec.dll

2009-06-25 18:37 . 2004-08-03 22:44 661504 ----a-w- c:\windows\system32\mqqm.dll

2009-06-25 18:37 . 2004-08-03 22:44 517120 ----a-w- c:\windows\system32\mqsnap.dll

2009-06-25 18:37 . 2004-08-03 22:44 512000 ----a-w- c:\windows\system32\mqutil.dll

2009-06-25 18:37 . 2004-08-03 22:44 48640 ----a-w- c:\windows\system32\mqupgrd.dll

2009-06-25 18:37 . 2004-08-03 22:44 47104 ----a-w- c:\windows\system32\mqdscli.dll

2009-06-25 18:37 . 2004-08-03 22:44 225280 ----a-w- c:\windows\system32\mqoa.dll

2009-06-25 18:37 . 2004-08-03 22:44 186880 ----a-w- c:\windows\system32\mqtrig.dll

2009-06-25 18:37 . 2004-08-03 22:44 177152 ----a-w- c:\windows\system32\mqrt.dll

2009-06-25 18:37 . 2004-08-03 22:44 16896 ----a-w- c:\windows\system32\mqise.dll

2009-06-25 18:37 . 2004-08-03 22:44 138240 ----a-w- c:\windows\system32\mqad.dll

2009-06-25 18:37 . 2004-08-03 22:44 123392 ----a-w- c:\windows\system32\mqrtdep.dll

2009-06-22 11:49 . 2004-08-03 22:44 19968 ----a-w- c:\windows\system32\mqbkup.exe

2009-06-22 11:49 . 2004-08-03 22:44 117248 ----a-w- c:\windows\system32\mqtgsvc.exe

2009-06-22 11:49 . 2004-08-03 22:44 4608 ----a-w- c:\windows\system32\mqsvc.exe

2009-06-22 11:48 . 2004-08-03 20:58 91776 ----a-w- c:\windows\system32\drivers\mqac.sys

2009-06-15 11:33 . 2004-08-03 22:44 78336 ----a-w- c:\windows\system32\telnet.exe

2009-06-15 11:33 . 2004-08-03 22:44 82944 ----a-w- c:\windows\system32\tlntsess.exe

2009-06-10 14:25 . 2004-08-03 22:43 84992 ----a-w- c:\windows\system32\avifil32.dll

2009-06-10 06:31 . 2004-08-03 22:44 132096 ----a-w- c:\windows\system32\wkssvc.dll

.

((((((((((((((((((((((((((((( SnapShot@2009-09-04_18.02.56 )))))))))))))))))))))))))))))))))))))))))

.

  • 2001-08-17 19:30 . 2009-09-06 17:50 40128 c:\windows\system32\perfc009.dat

  • 2001-08-17 19:30 . 2009-09-04 18:00 40128 c:\windows\system32\perfc009.dat

  • 2001-08-17 19:47 . 2001-08-17 19:47 4224 c:\windows\system32\dllcache\beep.sys

  • 2001-08-17 19:47 . 2001-08-17 19:47 4224 c:\windows\system32\dllcache\beep.sys

  • 2001-08-17 19:30 . 2009-09-06 17:50 311740 c:\windows\system32\perfh009.dat

  • 2001-08-17 19:30 . 2009-09-04 18:00 311740 c:\windows\system32\perfh009.dat

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-08-02 13570048]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microsoft Office.lnk]

path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk

backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\c:^documents and settings^hey^menu start^programy^autostart^ikowin32.exe]

path=c:\documents and settings\HeY\Menu Start\Programy\Autostart\ikowin32.exe

backup=c:\windows\pss\ikowin32.exeStartup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"c:\WINDOWS\system32\PnkBstrA.exe"=

"c:\WINDOWS\system32\PnkBstrB.exe"=

"c:\Program Files\Gadu-Gadu\gg.exe"=

"c:\Program Files\Skype\Phone\Skype.exe"=

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2008-10-24 34824]

.

.

------- Skan uzupełniający -------

.

FF - ProfilePath - c:\documents and settings\HeY\Dane aplikacji\Mozilla\Firefox\Profiles\dthocj4l.default\

FF - component: c:\program files\Mozilla Firefox\extensions{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-06 20:19

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Beep]

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

  • > 'explorer.exe'(3948)

c:\windows\system32\msi.dll

.

Czas ukończenia: 2009-09-06 20:20

ComboFix-quarantined-files.txt 2009-09-06 18:20

ComboFix2.txt 2009-09-06 17:52

ComboFix3.txt 2009-09-06 11:46

ComboFix4.txt 2009-09-06 10:27

ComboFix5.txt 2009-09-06 18:19

Przed: 100 700 663 808 bajtów wolnych

Po: 100 691 570 688 bajtów wolnych

182 --- E O F --- 2009-08-15 11:08


(deFco247) #4

Logi wklejasz na wklej.org lub wklej.to, a w poście tylko link do wklejki !!

Log wygląda na czysty.

Pobierz i zastosuj OTC.

(Na Windows Vista uruchamiamy program z menu Uruchom jako Administrator... )

Wyczyść rejestr i dysk CCleaner.

Wykonaj pełny skan Malwarebytes' Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport.


(Dariabrajer) #5

oki mam xp zaraz zrobię wszystko co mi każesz :slight_smile: dzięki zaraz zobaczymy czy pomoże :wink:

-- Dodane 06.09.2009 (N) 20:46 --

powiedz mi jak włączyło mi się okienko programu Malwarebytes' Anti-Malware to również pojawiło się okno :Ochrona plików systemu Windows a w nim " Pliki wymagane do prawidłowego działania systemu windows zostały zastąpione nie rozpoznanymi wersjami. Aby zapewnić stabilność systemu, system Windows musi przywrócić oryginalne wersje tych plików. Włóż teraz Dysk CD-ROM systemu Windows XP.

Moje pytanie brzmi : czy najpierw skan programem Malwarebytes' Anti-Malware czy najpierw włożyć płytkę z XP ???? :razz: dzięki w ogóle za poświęcony czas :wink:


(kwpolska) #6

anuluj i kliknij tak. skanuj MAM.


(Dariabrajer) #7

wyskoczyło że mam dwa zainfekowane pliki no i nacisnąłem usuń wszystkie i wyskoczyło taki log :

Malwarebytes' Anti-Malware 1.40

Wersja bazy definicji: 2748

Windows 5.1.2600 Dodatek Service Pack 2

2009-09-06 21:00:43

mbam-log-2009-09-06 (21-00-43).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|)

Przeskanowane obiekty: 114435

Upłynęło: 8 minute(s), 8 second(s)

Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 2

Zainfekowane foldery: 0

Zainfekowane pliki: 0

Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.

Zainfekowane foldery:

(Nie wykryto groźnych plików)

Zainfekowane pliki:

(Nie wykryto groźnych plików)

i co teraz ??? już po wszystkim czy coś jednak jeszcze jest

????

-- Dodane 06.09.2009 (N) 21:04 --

i co myślicie ???? już po wszystkim ???? :?:

-- Dodane 06.09.2009 (N) 21:24 --

dalej MAM wykrył dwie infekcje !!


(Henio Mazurek) #8

Co do stosowania tutaj polecenia SkipFix to bym polemizował, do tego log jeszcze czysty nie jest.

daria84 , uruchom ComboFix z dwukliku by zrobić programowi zadość.

Doklej log z OTL i System Repair Engineer

W OTL przestaw Services na All.