Downloader problem


(system) #1

Witam. Norton antivirus zgłosił mi przy wejsciu na stronke jakiejs tv internetowej ze mam wirusa Downloader ale nie może go usunąć. Komp mi zaczął dziwnie chodzić a poza tym (nie wiem czy ma to cos wsplnego z tym wirusem) nie mogę w opcjach folderów włączyć “pokaż ukryte pliki”- po prostu nie wykonuje tego .

Zauwazyłem to szukając pliku wskazanego przez nortona.

Prosze sprawdzcie loga czy jest ok http://wklej.org/id/47332514a2

dzieki


(Dmirecki) #2

FIX:

Pokaż log z ComboFix


(system) #3

ComboFix 08-03-18.1 - Paweł 2008-03-19 20:51:18.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.235 [GMT 1:00]

Running from: C:\Documents and Settings\Paweł\Pulpit\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Autorun.inf

C:\WINDOWS\system32\amvo.exe

C:\WINDOWS\system32\amvo0.dll

C:\WINDOWS\system32\amvo1.dll

D:\Autorun.inf

.

((((((((((((((((((((((((( Files Created from 2008-02-19 to 2008-03-19 )))))))))))))))))))))))))))))))

.

2008-03-19 16:29 . 2008-03-19 16:29

2008-03-19 16:21 . 2008-03-19 16:24

2008-03-19 16:21 . 2008-03-19 16:21

2008-03-19 16:21 . 2008-03-19 20:24

2008-03-19 16:21 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys

2008-03-19 16:21 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys

2008-03-19 16:21 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys

2008-03-19 16:21 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys

2008-03-18 16:25 . 2008-03-18 16:25 99,735 -r-hs---- C:\h6o0re.cmd

2008-03-12 09:44 . 2008-03-12 09:44

2008-03-10 14:59 . 2008-03-19 16:01

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-13 09:16 --------- d-----w C:\Program Files\Common Files\Symantec Shared

2008-02-11 14:17 --------- d-----w C:\Documents and Settings\Paweł\Dane aplikacji\U3

2007-11-07 10:30 1,204 ----a-w C:\Program Files\firebird.log

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 08:44 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“ccApp”=“C:\Program Files\Common Files\Symantec Shared\ccApp.exe” [2003-12-04 08:10 70824]

“ISTray”=“C:\Program Files\Spyware Doctor\pctsTray.exe” [2008-02-01 12:55 1103240]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\System32\CTFMON.EXE” [2004-08-04 08:44 15360]

“ALUAlert”=“C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe” [2003-10-13 14:21 54424]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

Przyspieszenie uruchomienia programu AutoCAD.lnk - C:\Program Files\Common Files\Autodesk Shared\acstart16.exe [2005-03-05 16:18:22 10872]

[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]

path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk

backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^InterVideo WinCinema Manager.lnk]

path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\InterVideo WinCinema Manager.lnk

backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

–a------ 2004-08-04 08:44 15360 C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]

–a------ 2003-03-11 09:11 114688 C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]

–a------ 2001-11-19 15:57 196608 C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]

–a------ 2003-03-11 09:24 155648 C:\WINDOWS\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]

–a------ 1997-06-03 08:51 48576 C:\Slownik\watch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

–a------ 2004-10-13 17:24 1694208 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]

–a------ 2001-07-09 11:50 155648 C:\WINDOWS\System32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSC_UserPrompt]

–a------ 2004-12-20 17:22 218712 C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]

–a------ 2007-11-06 22:06 95960 C:\PROGRA~1\SYMNET~1\SNDMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“AntiVirusDisableNotify”=dword:00000001

“AntiVirusOverride”=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

“DisableMonitoring”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

R0 tffsport;M-Systems DiskOnChip 2000;C:\WINDOWS\system32\DRIVERS\tffsport.sys [2004-08-04 07:00]

R2 FirebirdGuardian;Firebird Guardian;C:\Program Files\Firebird\bin\fbguard -s []

R2 FirebirdServer;Firebird Server;C:\Program Files\Firebird\bin\fbserver -s []

R2 Kmm4xNT;Kmm4xNT;C:\WINDOWS\system32\drivers\Kmm4xNT.sys [2002-04-26 12:04]

R3 {5C8B2B62-A385-11d5-A78B-00104B672758};AIM 3.0 Part 01 Codec Driver CH-7017-A;C:\WINDOWS\system32\drivers\A311.sys [2003-03-13 17:13]

R3 {5C8B2B65-A385-11d5-A78B-00104B672758};AIM 3.0 Part 01 Codec Driver CH-7017-B;C:\WINDOWS\system32\drivers\A310.sys [2003-03-13 17:13]

R3 FA312;Sterownik karty NETGEAR FA330/FA312/FA311 Fast Ethernet;C:\WINDOWS\system32\DRIVERS\FA312nd5.sys [2001-08-17 20:12]

S3 rtl8180;Realtek RTL8180 Wireless LAN (Mini-)PCI NIC NT Driver;C:\WINDOWS\system32\DRIVERS\RTL8180.SYS [2003-12-30 13:20]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{4c530eab-d87d-11dc-90e4-00030d0dbf2b}]

\Shell\AutoRun\command - F:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{d1994f27-ec1a-11dc-90f7-00030d0dbf2b}]

\Shell\AutoRun\command - F:\h6o0re.cmd

\Shell\explore\Command - F:\h6o0re.cmd

\Shell\open\Command - F:\h6o0re.cmd

.

Contents of the ‘Scheduled Tasks’ folder

“2008-03-14 16:30:00 C:\WINDOWS\Tasks\Funkcja One Button Checkup pakietu Norton SystemWorks.job”

  • C:\Program Files\Norton SystemWorks\OBC.exe

“2008-03-14 19:00:00 C:\WINDOWS\Tasks\Norton AntiVirus - Skanuj komputer.job”

  • C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exef/task:

“2008-03-16 23:00:00 C:\WINDOWS\Tasks\Symantec Drmc.job”

  • C:\Program Files\Common Files\Symantec Shared\SymDrmc.exe

“2008-03-19 19:04:23 C:\WINDOWS\Tasks\Symantec NetDetect.job”

  • C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-19 20:53:26

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\FirebirdGuardian]

“ImagePath”=“C:\Program Files\Firebird\bin\fbguard -s”

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\FirebirdServer]

“ImagePath”=“C:\Program Files\Firebird\bin\fbserver -s”

.

Completion time: 2008-03-19 20:54:08

ComboFix-quarantined-files.txt 2008-03-19 19:54:04

.

2008-03-12 12:41:44 — E O F —

Jest ok?


(Dmirecki) #4

Odinstaluj NoAdware, bo jest to program dosyć … wątpliwej reputacji.

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\h6o0re.cmd


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

88953CFScript-createdbyMiekiemoes.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum. Logi dajesz na http://www.wklej.org

Jeśli wszystko pójdzie dobrze, to po restarcie usuń ręcznie folder C: ** Qoobox**


(system) #5

niestety combofix zawiesił się chyba bo bardzo długo stoi po “completed stage 3”.

pisze z innego kompa. Co z tym teraz zrobić ??


(Dmirecki) #6

Wyłącz i włącz jeszcze raz


(system) #7

Musze na twardo resetować kompa i ciągle robi się to samo .Teraz zaciął się na stage5


(system) #8

Na poczatku jest napisane ze nie może znależć odp ścieżki - teraz zawiesił się na stage 7 ??