Dziwne wirusy sie szwendaja po kompie - log z ComboFix

Ostatnimi czasy wałęsają mi się po kompie różne trojany i już nie daję z nimi rady. Proszę więc o sprawdzenie logu:

ComboFix 08-06-20.4 - ja 2008-06-28 11:55:57.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1033.18.1470 [GMT 2:00]

Running from: C:\Documents and Settings\ja\Desktop\ComboFix.exe

 * Created a new restore point

.

[color=purple]The following files were disabled during the run:[/color]

C:\Program Files\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll



((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.


C:\WINDOWS\ebxq.exe

C:\WINDOWS\system32\_000110_.tmp.dll

C:\WINDOWS\system32\mcrh.tmp

C:\WINDOWS\system32\rqRHbYqR.dll

C:\WINDOWS\system32\RqYbHRqr.ini

C:\WINDOWS\system32\RqYbHRqr.ini2

C:\WINDOWS\system32\tkcbwvdq.ini


.

((((((((((((((((((((((((( Files Created from 2008-05-28 to 2008-06-28 )))))))))))))))))))))))))))))))

.


2008-06-28 12:02 . 2008-06-28 12:02	53,248	--a------	C:\Temp\catchme.dll

2008-06-28 12:01 . 2008-06-28 12:01	318,720	--a------	C:\WINDOWS\system32\khfGxYOG.dll

2008-06-28 12:01 . 2008-06-28 12:03	447	--ahs----	C:\WINDOWS\system32\GOYxGfhk.ini

2008-06-28 12:01 . 2008-06-28 12:01	347	--ahs----	C:\WINDOWS\system32\GOYxGfhk.ini2


.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-28 10:01	---------	d-----w	C:\Program Files\Steam

2008-06-28 09:59	---------	d-----w	C:\Documents and Settings\ja\Application Data\DNA

2008-06-26 17:23	90,112	----a-w	C:\WINDOWS\tovafrnm.exe

2008-06-26 17:23	368,640	----a-w	C:\WINDOWS\pntqkflv.dll

2008-06-26 17:23	315,392	----a-w	C:\WINDOWS\qegbdmwf.dll

2008-06-26 17:23	200,704	----a-w	C:\WINDOWS\gxvpsafm.dll

2008-03-30 21:12	107,888	----a-w	C:\WINDOWS\system32\CmdLineExt.dll

2008-03-29 13:00	107,832	----a-w	C:\WINDOWS\system32\PnkBstrB.exe

2008-02-11 15:38	92,064	----a-w	C:\Documents and Settings\ja\mqdmmdm.sys

2008-02-11 15:38	9,232	----a-w	C:\Documents and Settings\ja\mqdmmdfl.sys

2008-02-11 15:38	79,328	----a-w	C:\Documents and Settings\ja\mqdmserd.sys

2008-02-11 15:38	66,656	----a-w	C:\Documents and Settings\ja\mqdmbus.sys

2008-02-11 15:38	6,208	----a-w	C:\Documents and Settings\ja\mqdmcmnt.sys

2008-02-11 15:38	5,936	----a-w	C:\Documents and Settings\ja\mqdmwhnt.sys

2008-02-11 15:38	4,048	----a-w	C:\Documents and Settings\ja\mqdmcr.sys

2008-02-11 15:38	25,600	----a-w	C:\Documents and Settings\ja\usbsermptxp.sys

2008-02-11 15:38	22,768	----a-w	C:\Documents and Settings\ja\usbsermpt.sys

.


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown 

REGEDIT4


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6B2585FF-02FA-413C-906F-9672F4DF821A}]

2007-06-27 11:25	28288	--a------	C:\WINDOWS\system32\hgGywXpp.dll


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CE3187A8-08E1-48CF-98D1-FA31C5BD2FD5}]

2008-06-28 12:01	318720	--a------	C:\WINDOWS\system32\khfGxYOG.dll


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 14:00 15360]

"ABIT uGuruIII"="C:\Program Files\ABIT\ABITEQ\ABITEQ.exe" [2006-02-22 18:55 417792]

"BitTorrent DNA"="C:\Program Files\DNA\btdna.exe" [2008-06-28 11:53 289088]

"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-02-14 01:09 486856]

"Steam"="c:\program files\steam\steam.exe" [2007-05-27 22:22 1271032]

"Veoh"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe" [2008-04-01 18:35 3587120]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

"ccleaner"="C:\Program Files\CCleaner\ccleaner.exe" [2008-02-20 16:15 816368]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 14:04 59392]

"ccApp"="C:\Program Files\Common Files\Symantec Shared\ccApp.exe" [2005-08-15 17:51 48728]

"SoundMan"="SOUNDMAN.EXE" [2006-06-20 23:42 577536 C:\WINDOWS\soundman.exe]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17 159744]

"amd_dc_opt"="C:\Program Files\AMD\amd_dc_opt\amd_dc_opt.exe" [2006-06-28 16:42 106496]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2008-04-01 20:49 36352]

"SpyHunter Security Suite"="C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2008-01-23 15:47 847872]

""="" []


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 14:00 15360]


C:\Documents and Settings\All Users\Start Menu\Programs\Startup\

Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-01-12 00:10:05 67128]


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles

"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme


[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{6B2585FF-02FA-413C-906F-9672F4DF821A}"= C:\WINDOWS\system32\hgGywXpp.dll [2007-06-27 11:25 28288]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgGywXpp]

hgGywXpp.dll 2007-06-27 11:25 28288 C:\WINDOWS\system32\hgGywXpp.dll


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages	REG_MULTI_SZ msv1_0 nwprovau C:\WINDOWS\system32\khfGxYOG


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""


[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001


[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001


[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Gadu-Gadu\\gg.exe"=

"C:\\Program Files\\Opera\\Opera.exe"=

"C:\\Program Files\\DNA\\btdna.exe"=

"C:\\Program Files\\BitTorrent\\bittorrent.exe"=

"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=

"C:\\Program Files\\Hamachi\\hamachi.exe"=

"C:\\totalcmd\\TOTALCMD.EXE"=

"C:\\Program Files\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=

"C:\\Program Files\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=

"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"C:\\Documents and Settings\\ja\\Desktop\\ComboFix.exe"=



[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{250c4f13-c36d-11dc-875d-00508d9dd3ed}]

\Shell\AutoRun\command - F:\autorun.exe

\Shell\install\command - F:\setup.exe


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bf186724-c1df-11dc-875b-00508d9dd3ed}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe

\Shell\Open(&0)\command - Recycled\ctfmon.exe


.

Contents of the 'Scheduled Tasks' folder

"2008-04-04 18:59:54 C:\WINDOWS\Tasks\Norton AntiVirus - Skanuj komputer - ja.job"

- C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exeh/task:

.

**************************************************************************


catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-28 12:02:25

Windows 5.1.2600 Service Pack 2 NTFS


scanning hidden processes ... 


scanning hidden autostart entries ...


scanning hidden files ... 


scan completed successfully

hidden files: 0


**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------


PROCESS: C:\WINDOWS\system32\winlogon.exe

-> C:\WINDOWS\system32\hgGywXpp.dll

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\ati2evxx.exe

C:\Program Files\Common Files\Symantec Shared\ccProxy.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\system32\ati2evxx.exe

C:\Program Files\Norton Internet Security\ISSVC.exe

C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\ehome\ehRecvr.exe

C:\WINDOWS\ehome\ehSched.exe

C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe

C:\Program Files\Common Files\Teleca Shared\CapabilityManager.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\ehome\ehmsas.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Common Files\Teleca Shared\Generic.exe

C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\Program Files\Messenger\msmsgs.exe

.

**************************************************************************

.

Completion time: 2008-06-28 12:06:17 - machine was rebooted

ComboFix-quarantined-files.txt 2008-06-28 10:06:13


Pre-Run: 16,526,954,496 bytes free

Post-Run: 16,468,836,352 bytes free

Z GORY DZIEKI, TO DLA MNIE BARDZO WAŻNE!

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\Temp\catchme.dll

C:\WINDOWS\system32\khfGxYOG.dll

C:\WINDOWS\system32\GOYxGfhk.ini

C:\WINDOWS\system32\GOYxGfhk.ini2

C:\WINDOWS\tovafrnm.exe

C:\WINDOWS\pntqkflv.dll

C:\WINDOWS\qegbdmwf.dll

C:\WINDOWS\gxvpsafm.dll

C:\Documents and Settings\ja\mqdmmdm.sys

C:\Documents and Settings\ja\mqdmmdfl.sys

C:\Documents and Settings\ja\mqdmserd.sys

C:\Documents and Settings\ja\mqdmbus.sys

C:\Documents and Settings\ja\mqdmcmnt.sys

C:\Documents and Settings\ja\mqdmwhnt.sys

C:\Documents and Settings\ja\mqdmcr.sys

C:\Documents and Settings\ja\usbsermptxp.sys

C:\Documents and Settings\ja\usbsermpt.sys


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6B2585FF-02FA-413C-906F-9672F4DF821A}]

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CE3187A8-08E1-48CF-98D1-FA31C5BD2FD5}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

""=-

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{6B2585FF-02FA-413C-906F-9672F4DF821A}"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgGywXpp]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{250c4f13-c36d-11dc-875d-00508d9dd3ed}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bf186724-c1df-11dc-875b-00508d9dd3ed}]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link

Oto nowy log:

http://wklejto.pl/4172

A zara przejadę kompa tym PRT

EDIT:

Niestety przy otwarciu tego programu dostaje następującego errora:

C:\DOCUME~1\ja\Desktop\PRT_(P~1.EXE

The NiVDM CPU has encountered an illegal instruction.

CS:06ba IP:0288 OP:63 6f 6e 74 65 Choose ‘Close’ to terminate the application.

Pobierz Combofixale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym log na forum.

A oto nowy log po zastosowaniu CFScript.txt

http://wklejto.pl/4175

Dodam, że posiadam program Spybot - Search & Destroy, który pokazuj mi ważne wpisy rejestru. I czasem nie wiem czy mam zezwalać czy nie. Teraz mam taki komunikat:

Kategoria: System Startup user entry

Zmiana: Wartość dodane

Wpis: MSMSGS

Nowe dane: “C:\Program Files\Messenger\msmsgs.exe” /

I nie bardzo wiem czy to zagraża mojego komputerowi…

virusek12 napisał\a

To jest Windows Messenger jest OK.

Pobierz i uruchom The Avenger http://swandog46.geekstogo.com/avenger.zip zaznacz poniższy tekst

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Oto log:

http://wklejto.pl/4182

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja http://support.microsoft.com/kb/310405/pl

Przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html Uruchom pod IE daj raport z niego na forum

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

OK zrobiłem wszystko jak pisaliście, a oto raport z kaspersky:

http://wklejto.pl/4276

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\ja\Desktop\SmitfraudFix.exe

C:\Program Files\DAEMON Tools Lite\SRSAI.exe

C:\Program Files\PCHealthCenter\5.exe

C:\WINDOWS\system32\lphcvfuj0ejbc.exe

C:\WINDOWS\system32\pmnoPjJd.dll

C:\WINDOWS\system32\vav.cpl

C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\2E3C05E6.exe 

C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\4AF2134E.exe 

C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\4AF53D4A.exe 

C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\6B463B12.exe


Folders to delete:

C:\QooBox

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

http://wklejto.pl/4283

Wszystkie pliki się pousuwały, powinno być ok ale przeskanuj ponownie Kapserskim dla pewności

Okay, dzięki Wam wszystkim. Uratowaliście mnie przed formatem :). Jakby coś się pojawiło to wkleję raport z z kapesrsky

W dniu 29.06.2008 , o godzinie 17:31 został dopisany post przez virusek12

A jednak wirusy i trojany się mszczą. Oto raport:

http://wklejto.pl/4357

Eh, kiedy się to skończy…

gdybyś wykonał polecenie wyłącz przywracanie systemu to by tego nie było

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

:slight_smile:

Oto log http://wklejto.pl/4360

O przepraszam, wykonałem wszystkie polecenia łącznie z tym :). Może dla pewności jeszcze raz wyłącze przywracanie systemu?