Ziem
(Ziem)
19 Październik 2007 14:37
#1
Witam!
Ostatnio trochę dziwnie zachowuje się mój komputer, chwilami przymula (np.: podczas kopiowania plików), czasami dość głośno pracuje(wcześniej nie było aż tak tego słychć), niekiedy drastycznie zwiększa się pamięć zadeklarowania w menadżerze zadań. Podejrzewam infekcję.
Co o tym sądzicie?
ComboFix:
ComboFix 07-10-17.8@ - Admin 2007-10-19 16:09:21.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.496 [GMT 2:00] Running from: D:\Documents and Settings\Admin\Pulpit\ComboFix.exe * Created a new restore point . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . D:\WINDOWS\system32\Cfx32.lic D:\WINDOWS\system32\cfx32.ocx . ((((((((((((((((((((((((( Files Created from 2007-09-19 to 2007-10-19 ))))))))))))))))))))))))))))))) . 2007-10-18 14:58 512,096 --a------ D:\WINDOWS\system32\drivers\amon.sys 2007-10-18 14:58 298,104 --a------ D:\WINDOWS\system32\imon.dll 2007-10-18 14:58 15,424 --a------ D:\WINDOWS\system32\drivers\nod32drv.sys 2007-10-08 17:13 2007-09-29 09:26 4,682 --a------ D:\WINDOWS\system32\npptNT2.sys 2007-09-23 14:34 2007-09-23 14:34 10,872 --a------ D:\WINDOWS\system32\drivers\AvgAsCln.sys . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-19 13:57 --------- d-----w D:\Documents and Settings\Admin\Dane aplikacji\Azureus 2007-09-30 06:28 --------- d–h--w D:\Program Files\InstallShield Installation Information 2007-09-10 15:39 --------- d-----w D:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab 2007-09-08 19:16 1,585 ----a-w D:\WINDOWS\system32\drivers\fwdrv.err 2007-09-08 10:11 --------- d-----w D:\Documents and Settings\Admin\Dane aplikacji\Easy Thumbnails 2007-08-24 13:07 --------- d-----w D:\Program Files\EsetOnlineScanner 2007-08-08 14:30 19,456 ----a-w D:\WINDOWS\system32\OnlineScannerLang.dll 2007-08-02 16:11 253,952 ----a-w D:\WINDOWS\system32\OnlineScannerDLLA.dll 2007-08-02 16:11 241,664 ----a-w D:\WINDOWS\system32\OnlineScannerDLLW.dll 2007-07-27 13:49 225,355 ----a-w D:\WINDOWS\system32\lnod32apiW.dll 2007-07-27 13:49 196,683 ----a-w D:\WINDOWS\system32\lnod32apiA.dll 2007-07-20 11:29 64 ----a-w D:\ComboFix.txt.bat 2007-07-20 11:28 170 ----a-w D:\combo.vbs . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “nod32kui”=“D:\Program Files\Eset\nod32kui.exe” [2007-10-18 14:56] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “MSMSGS”=“D:\Program Files\Messenger\msmsgs.exe” [2004-08-04 01:44] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^Admin^Menu Start^Programy^Autostart^UniSpiker-2.6.lnk] path=D:\Documents and Settings\Admin\Menu Start\Programy\Autostart\UniSpiker-2.6.lnk backup=D:\WINDOWS\pss\UniSpiker-2.6.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microsoft Office.lnk] path=D:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk backup=D:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg!AVG Anti-Spyware] “C:\AVG Anti-Spyware 7.5\avgas.exe” /minimized [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AQQ] C:\AQQ\AQQ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVComs] D:\WINDOWS\system32\LVComS.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] “D:\Program Files\Messenger\msmsgs.exe” /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REGSHAVE] D:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] “C:\Java\jre1.5.0_10\bin\jusched.exe” R1 fwdrv;Firewall Driver;D:\WINDOWS\system32\drivers\fwdrv.sys R1 khips;Kerio HIPS Driver;D:\WINDOWS\system32\drivers\khips.sys R2 DLPortIO;DriverLINX Port I/O Driver;??\D:\WINDOWS\system32\DRIVERS\DLPortIO.SYS R3 rtl8180;PLANET WL-8303 Wireless PCI Adapter NT Driver;D:\WINDOWS\system32\DRIVERS\RTL8180.SYS S3 SMALUSB;Digital Camera Driver;D:\WINDOWS\system32\DRIVERS\smallogi.sys S3 usb2vcom;USB to Serial Bridge Controller;D:\WINDOWS\system32\Drivers\usb2vcom.sys [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{a3a79b63-75b8-11dc-9ada-000b6a1fdb75}] AutoRun\command - D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe Open(&0)\command - Recycled\ctfmon.exe *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-19 16:21:50 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-10-19 16:24:15 D:\ComboFix2.txt … 2007-06-18 18:07 . — E O F —
HijackThis:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:34:22, on 2007-10-19 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe C:\AVG Anti-Spyware 7.5\guard.exe D:\WINDOWS\system32\bgsvcgen.exe D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe c:\usr\MYSQL\bin\mysqld.exe D:\Program Files\Eset\nod32krn.exe D:\WINDOWS\System32\svchost.exe D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe D:\WINDOWS\system32\wscntfy.exe D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe D:\Program Files\Eset\nod32kui.exe D:\WINDOWS\explorer.exe D:\WINDOWS\system32\notepad.exe C:\Mozilla Firefox\firefox.exe D:\WINDOWS\system32\taskmgr.exe C:\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.nsn.pl:3128 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\FlashGet\jccatch.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\FlashGet\getflash.dll O4 - HKLM…\Run: [nod32kui] “D:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKCU…\Run: [MSMSGS] “D:\Program Files\Messenger\msmsgs.exe” /background O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O8 - Extra context menu item: &Download All with FlashGet - C:\FlashGet\jc_all.htm O8 - Extra context menu item: &Download with FlashGet - C:\FlashGet\jc_link.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\FlashGet\FlashGet.exe O9 - Extra ‘Tools’ menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\FlashGet\FlashGet.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partne … nicode.cab O16 - DPF: {512FC5A1-7DE1-43F1-BC0C-371622FCB409} (TotalScan Installer Class) - http://www.nanoscan.com/as/v1/cabs/ascstubie.cab O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/programs/ … canner.cab O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resourc … oscan8.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O17 - HKLM\System\CCS\Services\Tcpip…{37BF9AC4-9409-47C5-82E8-816135C52D39}: NameServer = 213.199.195.5,213.199.195.20 O17 - HKLM\System\CS1\Services\Tcpip…{37BF9AC4-9409-47C5-82E8-816135C52D39}: NameServer = 213.199.195.5,213.199.195.20 O23 - Service: Adobe LM Service - Adobe Systems - D:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - D:\WINDOWS\Microsoft.NET \Framework\v2.0.50727\aspnet_state.exe (file missing) O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\AVG Anti-Spyware 7.5\guard.exe O23 - Service: B’s Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - D:\WINDOWS\system32\bgsvcgen.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe O23 - Service: MySql - Unknown owner - c:\usr/MYSQL/bin/mysqld.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - D:\Program Files\Eset\nod32krn.exe – End of file - 4564 bytes
Pozdrawiam!
jessica
(jessica)
20 Październik 2007 14:49
#2
Logi w zasadzie są czyste.
Z jednym wyjątkiem: infekcja na pendrive.
Zrób to:
Wklej do Notatnika :
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a3a79b63-75b8-11dc-9ada-000b6a1fdb75}]
Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na “Wszystkie pliki” >>> Zapisz jako FIX.REG >>> uruchom ten plik (dwuklik) .
Twój problem może wynikać zarówno z tej infekcji pendrive, jak i z przyczyn niewirusowych.
Zapoznaj się z -->http://www.searchengines.pl/Optymalizacja-i-odchudzanie-XP-t5989.html .
Zwłaszcza to o “Optymalizacja pliku pamięci wirtualnej” oraz o “Wyłączenie Hibernacji”.
jessi
Ziem
(Ziem)
21 Październik 2007 09:51
#3
Dzięki za odpowiedz!
Czy samo zfixowanie rejestru wystarczy? Czy muszę też usunąć coś z pendriva? Ta infekcja już nie pierwszy raz się pojawia.
jessica
(jessica)
21 Październik 2007 20:38
#4
I będzie się pojawiać po każdym użyciu pena.
Combofix może przeczyścić pendrive jeśli pendrive będzie przestawiony z trybu read only na pełne zapisywanie.
Innym narzędziem czyszczącym jest PRT (Perlovga Removal Tool)
–>http://www.softpedia.com/get/Security/Security-Related/PRT-Perlovga-Removal-Tool.shtml
(ale pen też musi być odblokowany do zapisu by to się udało).
jessi
Ziem
(Ziem)
22 Październik 2007 12:23
#5
Nie bardzo wiem w jaki sposób mogę to przestawić.
To dość stary pendrive, a właściwie odtwarzacz mp3 (128mb).
Pozdrawiam!
Edit:
Pojawił się problem z firewallem Kerio. Pierwsze nie uruchomił się podczas startu systemu mimo że wcześniej zawsze to robił. Potem w Menadżerze zadań jego proces bodajże kpf4ss.exe znikał i się pojawiał, przy tym użycie procesora sięgało 80-100%.
Dziwna sprawa…
Ziem
(Ziem)
25 Październik 2007 12:27
#7
Witam po chwilowej nieobecności.
Zfixowałem rejestr, wyczyściłem pendriva, trochę ,pobawiłem" się w optymalizacje komputera i niby wszystko chodzi dobrze, choć nie do końca…
Podczas skanowania Combofixem wyskakuje błąd aplikacji sed.cfexe (to okienko: wyślij, nie wysyłaj), raczej to nie jest normalne.
Podczas wyłączania komputera wyskakuje błąd: DDE(albo DPE) SERVER WINDOW, zakończ proces.
Skanowałem kompa: nodem (nic nie wykrył), Kaspersky (też nic nie wykrył) i Pandą której raport wygląda tak(sądzę że to fałszywe alarmy):
Log z Combofixa:
ComboFix 07-10-17.8@ - Admin 2007-10-25 14:09:28.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.531 [GMT 2:00] Running from: D:\Documents and Settings\Admin\Pulpit\ComboFix.exe . ((((((((((((((((((((((((( Files Created from 2007-09-25 to 2007-10-25 ))))))))))))))))))))))))))))))) . 2007-10-24 18:36 2007-10-21 16:24 2007-10-18 14:58 512,096 --a------ D:\WINDOWS\system32\drivers\amon.sys 2007-10-18 14:58 298,104 --a------ D:\WINDOWS\system32\imon.dll 2007-10-18 14:58 15,424 --a------ D:\WINDOWS\system32\drivers\nod32drv.sys 2007-09-29 09:26 4,682 --a------ D:\WINDOWS\system32\npptNT2.sys . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-24 18:51 --------- d-----w D:\Program Files\MobiMB Mobile Media Browser 2007-10-24 16:36 --------- d-----w D:\Documents and Settings\Admin\Dane aplikacji\Azureus 2007-10-19 19:29 --------- d–h--w D:\Program Files\InstallShield Installation Information 2007-09-23 12:34 --------- d-----w D:\Documents and Settings\Admin\Dane aplikacji\Grisoft 2007-09-10 15:39 --------- d-----w D:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab 2007-09-08 19:16 1,585 ----a-w D:\WINDOWS\system32\drivers\fwdrv.err 2007-09-08 10:11 --------- d-----w D:\Documents and Settings\Admin\Dane aplikacji\Easy Thumbnails 2007-08-08 14:30 19,456 ----a-w D:\WINDOWS\system32\OnlineScannerLang.dll 2007-08-02 16:11 253,952 ----a-w D:\WINDOWS\system32\OnlineScannerDLLA.dll 2007-08-02 16:11 241,664 ----a-w D:\WINDOWS\system32\OnlineScannerDLLW.dll 2007-07-27 13:49 225,355 ----a-w D:\WINDOWS\system32\lnod32apiW.dll 2007-07-27 13:49 196,683 ----a-w D:\WINDOWS\system32\lnod32apiA.dll . ((((((((((((((((((((((((((((( snapshot@2007-10-19_16.22.31,73 ))))))))))))))))))))))))))))))))))))))))) . + 2006-08-24 06:28:54 141,424 ----a-w D:\WINDOWS\Downloaded Program Files\asinst.dll + 2007-03-29 07:20:50 110,592 ----a-w D:\WINDOWS\system32\ActiveScan\as.dll + 2006-10-05 14:15:26 233,472 ----a-w D:\WINDOWS\system32\ActiveScan\ascontrol.dll + 2005-06-03 12:03:18 96,256 ----a-w D:\WINDOWS\system32\ActiveScan\asmdat.dll + 2003-08-01 09:00:16 36,864 ----a-w D:\WINDOWS\system32\ActiveScan\certdll.dll + 2005-05-20 11:42:44 86,016 ----a-w D:\WINDOWS\system32\ActiveScan\instlsp.dll + 2006-02-16 16:20:20 4,608 ----a-w D:\WINDOWS\system32\ActiveScan\memvfile.dll + 2005-10-25 16:08:32 348,160 ----a-w D:\WINDOWS\system32\ActiveScan\msvcr71.dll + 2004-05-04 13:01:02 139,264 ----a-w D:\WINDOWS\system32\ActiveScan\pavaleas.dll + 2006-07-14 11:04:10 45,056 ----a-w D:\WINDOWS\system32\ActiveScan\pavdr.exe + 2006-04-10 08:50:02 159,832 ----a-w D:\WINDOWS\system32\ActiveScan\pavexcom.dll + 2006-02-14 11:05:38 94,208 ----a-w D:\WINDOWS\system32\ActiveScan\pavinas.dll + 2006-02-16 16:35:38 180,224 ----a-w D:\WINDOWS\system32\ActiveScan\pavoe.dll + 2006-10-05 14:15:38 122,880 ----a-w D:\WINDOWS\system32\ActiveScan\pavpz.dll + 2006-06-30 12:13:38 8,704 ----a-w D:\WINDOWS\system32\ActiveScan\pfdnnt.exe + 2004-02-04 12:08:42 49,152 ----a-w D:\WINDOWS\system32\ActiveScan\port32.dll + 2006-08-01 11:23:10 69,632 ----a-w D:\WINDOWS\system32\ActiveScan\pscpu.dll + 2006-08-23 11:06:08 1,388,544 ----a-w D:\WINDOWS\system32\ActiveScan\pskahk.dll + 2006-08-17 09:38:14 10,752 ----a-w D:\WINDOWS\system32\ActiveScan\pskalloc.dll + 2006-09-04 09:49:54 61,440 ----a-w D:\WINDOWS\system32\ActiveScan\pskas.dll + 2006-08-18 06:46:18 779,264 ----a-w D:\WINDOWS\system32\ActiveScan\pskavs.dll + 2007-03-26 12:25:34 417,792 ----a-w D:\WINDOWS\system32\ActiveScan\pskcmp.dll + 2006-08-09 08:42:24 90,112 ----a-w D:\WINDOWS\system32\ActiveScan\pskfss.dll + 2006-07-19 08:55:58 208,896 ----a-w D:\WINDOWS\system32\ActiveScan\pskhtml.dll + 2006-01-20 14:57:00 9,728 ----a-w D:\WINDOWS\system32\ActiveScan\pskmas.dll + 2006-05-17 07:50:12 14,336 ----a-w D:\WINDOWS\system32\ActiveScan\pskmdfs.dll + 2006-08-16 08:58:12 33,280 ----a-w D:\WINDOWS\system32\ActiveScan\pskpack.dll + 2006-06-30 12:42:36 266,240 ----a-w D:\WINDOWS\system32\ActiveScan\pskscs.dll + 2006-08-17 12:33:14 62,976 ----a-w D:\WINDOWS\system32\ActiveScan\pskutil.dll + 2006-08-08 11:13:10 13,312 ----a-w D:\WINDOWS\system32\ActiveScan\pskvfile.dll + 2006-08-18 06:53:08 69,632 ----a-w D:\WINDOWS\system32\ActiveScan\pskvfs.dll + 2006-08-18 06:49:50 167,936 ----a-w D:\WINDOWS\system32\ActiveScan\pskvm.dll + 2007-04-18 15:16:04 353,840 ----a-w D:\WINDOWS\system32\ActiveScan\psscan.dll + 2007-01-22 12:42:48 35,328 ----a-w D:\WINDOWS\system32\ActiveScan\rawvfile.dll + 1997-09-18 04:12:32 9,488 ----a-w D:\WINDOWS\system32\ActiveScan\sporder.dll + 2006-02-28 15:23:40 69,632 ----a-w D:\WINDOWS\system32\ActiveScan\tcpvfile.dll - 2005-05-24 09:27:16 213,048 ----a-w D:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll + 2005-05-24 10:27:16 213,048 ----a-w D:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll - 2007-09-07 09:29:00 94,208 ----a-w D:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe + 2007-08-29 13:47:20 94,208 ----a-w D:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe - 2007-09-07 09:29:00 946,176 ----a-w D:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll + 2007-08-29 13:49:54 950,272 ----a-w D:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll + 2003-03-25 16:53:50 11,776 ----a-w D:\WINDOWS\system32\ZPORT4AS.dll . – Snapshot reset to current date – . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “nod32kui”=“D:\Program Files\Eset\nod32kui.exe” [2007-10-18 14:56] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “MSMSGS”=“D:\Program Files\Messenger\msmsgs.exe” [2004-08-04 01:44] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^Admin^Menu Start^Programy^Autostart^UniSpiker-2.6.lnk] path=D:\Documents and Settings\Admin\Menu Start\Programy\Autostart\UniSpiker-2.6.lnk backup=D:\WINDOWS\pss\UniSpiker-2.6.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microsoft Office.lnk] path=D:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk backup=D:\WINDOWS\pss\Microsoft Office.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg!AVG Anti-Spyware] “C:\AVG Anti-Spyware 7.5\avgas.exe” /minimized [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AQQ] C:\AQQ\AQQ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVComs] D:\WINDOWS\system32\LVComS.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] “D:\Program Files\Messenger\msmsgs.exe” /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REGSHAVE] D:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] “C:\Java\jre1.5.0_10\bin\jusched.exe” R1 fwdrv;Firewall Driver;D:\WINDOWS\system32\drivers\fwdrv.sys R1 khips;Kerio HIPS Driver;D:\WINDOWS\system32\drivers\khips.sys R2 DLPortIO;DriverLINX Port I/O Driver;??\D:\WINDOWS\system32\DRIVERS\DLPortIO.SYS R3 rtl8180;PLANET WL-8303 Wireless PCI Adapter NT Driver;D:\WINDOWS\system32\DRIVERS\RTL8180.SYS S3 SMALUSB;Digital Camera Driver;D:\WINDOWS\system32\DRIVERS\smallogi.sys S3 usb2vcom;USB to Serial Bridge Controller;D:\WINDOWS\system32\Drivers\usb2vcom.sys . ************************************************************************** catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-25 14:17:16 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-10-25 14:19:43 D:\ComboFix2.txt … 2007-10-19 16:24 D:\ComboFix3.txt … 2007-06-18 18:07 . — E O F —
Da się coś z tym zrobić?
Pozdrawiam!
jessica
(jessica)
27 Październik 2007 06:06
#8
To zostało już co prawda usunięte, ale, wg mnie, to był prawidłowy plik.
No cóż - różne źródła różnie go oceniają.
Z podanej listy do usunięcia jest tylko jeden plik, bo “cookie” można sobie darować - ja u siebie ich nie usuwam.
Wklej do Notatnika :
File::
C:\usr\Klient.exe
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Logu tu nie dawaj, bo i tak tego pliku nie było widać w logu.
Możesz za to użyć jeszcze, tak na wszelki wypadek, –SDFix
Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym .
Pokaż Report.txt znajdujący się w folderze SDFix.
Instrukcja obsługi: Dwuklik na SDFix.exe, program wypakuje się na C:\SDFix (standardowo) Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed startem Windowsa) Wejdź do folderu z SDFix, dwuklik na plik RunThis.bat Wciśnij Y, nastąpi proces usuwania. Kiedy usuwanie się ukończy, wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera. Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania. Kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie. Pokaż Report.txt znajdujący się w folderze SDFix.
jessi
Ziem
(Ziem)
27 Październik 2007 10:15
#9
Dzięki za szybką pomoc .
Plik: C:\usr\Klient.exe to część programu Krasnal, raczej nie powinien on być szkodliwy.
SDFixa jakoś nie mogę ściągnąć, NOD go blokuje. Nie ma do niego jakiejś alternatywy?
btw. Reszta jest czysta?
Pozdrawiam!
Ziem
(Ziem)
27 Październik 2007 14:23
#11
Dzięki serdeczne!
Jak uda mi się ściągnąć tego SDFixa to dam loga do kontroli.
Pozdrawiam!