Dziwny plik?


(system) #1

Ostatnio zauwarzyłem na swoim dysku plik tekstowy z pierwsza litera mojego nicku,a w nim jest napisane co ostatnio ogladalem w postaci C:\Nowy folder\Film.avi 8 wie ktos o co w tym wszystkim chodzi.Czy czasem mnie ktos nie spieguje lub czy to nie wirus dzieje sie tak jak odtwarzam film w Dziobas Rar Player


(Dmirecki) #2

Podaj lokalizacją tego pliku

W Windows istnieje takie coś jak "Moje bieżące dokumenty" i tam masz skróty do plików, które ostatnio otwierałeś. Być może o to Ci chodzi


(system) #3

Nie plik znajduje sie na dysku C: i tam sie tworzy plik tekstowy z pierwsza litera mojego loginu do windows czyli m.txt w ktorym jest zapisane co ostatnio ogladałem.


(Kambor4) #4

Możliwe, że to Keylogger.

Daj log z -----> ComboFix (niżej na stronie linku).

======================

K.


(system) #5

A o to i log z ComboFix

ComboFix 08-09-13.05 - M@xi 2008-09-14 14:22:31.1 - NTFSx86

Microsoft Windows XP Home Edition [GMT 2:00]

Uruchomiony z: D:\Documents and Settings\M@xi\Pulpit\ComboFix.exe

* Utworzono nowy punkt przywracania

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA!!

.

((((((((((((((((((((((((( Pliki utworzone od 2008-08-14 do 2008-09-14 )))))))))))))))))))))))))))))))

.

2008-09-14 12:06 . 2008-09-14 12:06

2008-09-14 11:28 . 2008-09-14 11:29

2008-09-13 12:14 . 2008-09-13 12:14

2008-09-13 10:49 . 2008-09-13 10:49 716,272 --a------ D:\WINDOWS\system32\drivers\sptd.sys

2008-09-12 20:12 . 2007-07-30 19:19 271,224 --a------ D:\WINDOWS\system32\mucltui.dll

2008-09-12 20:12 . 2007-07-30 19:18 30,072 --a------ D:\WINDOWS\system32\mucltui.dll.mui

2008-09-12 17:13 . 2008-04-13 20:45 10,368 --a------ D:\WINDOWS\system32\drivers\hidusb.sys

2008-09-12 17:13 . 2008-04-13 20:45 10,368 --a--c--- D:\WINDOWS\system32\dllcache\hidusb.sys

2008-09-12 16:56 . 2008-09-12 16:56 203 --a------ D:\WINDOWS\GSdx9 sse2.INI

2008-09-12 15:09 . 2008-09-12 15:09

2008-09-12 10:47 . 2008-02-15 12:49 180,224 --a------ D:\WINDOWS\system32\igfxres.dll

2008-09-12 10:36 . 2008-09-12 10:36

2008-09-12 10:36 . 2008-05-27 10:50 90,112 --a------ D:\WINDOWS\system32\QuickTimeVR.qtx

2008-09-12 10:36 . 2008-05-27 10:50 57,344 --a------ D:\WINDOWS\system32\QuickTime.qts

2008-09-12 10:36 . 2008-09-14 13:58 69 --a------ D:\WINDOWS\NeroDigital.ini

2008-09-12 10:35 . 2008-09-12 10:36

2008-09-12 10:20 . 2008-09-12 10:20

2008-09-12 10:16 . 2008-09-12 10:16

2008-09-12 10:16 . 2008-09-12 10:18

2008-09-12 10:16 . 2008-09-12 10:16

2008-09-11 23:40 . 2004-08-04 13:00 250,624 -ra------ D:\NTLDR

2008-09-11 23:26 . 2008-09-11 23:26

2008-09-11 21:30 . 2008-09-11 21:30

2008-09-11 21:30 . 2008-09-11 21:30 940,794 --a------ D:\WINDOWS\system32\LoopyMusic.wav

2008-09-11 21:30 . 2008-09-11 21:30 146,650 --a------ D:\WINDOWS\system32\BuzzingBee.wav

2008-09-11 16:35 . 2008-09-11 16:35

2008-09-11 16:20 . 2008-05-16 00:51 30,768 -ra------ D:\WINDOWS\system32\drivers\vmusb.sys

2008-09-11 14:57 . 2008-09-11 14:57

2008-09-11 14:50 . 2008-09-11 14:50

2008-09-11 14:42 . 2004-08-04 00:35 701,440 --------- D:\WINDOWS\system32\drivers\ati2mtag.sys

2008-09-11 14:22 . 2008-09-11 14:22 13,646 --a------ D:\WINDOWS\system32\wpa.bak

2008-09-11 14:20 . 2008-09-11 15:18

2008-09-11 14:20 . 2007-08-10 20:53 26,488 --a------ D:\WINDOWS\system32\spupdsvc.exe

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-14 12:21 242,000 ----a-w D:\WINDOWS\system32\drivers\APPFCONT.DAT.bck

2008-09-14 12:21 242,000 ----a-w D:\WINDOWS\system32\drivers\APPFCONT.DAT

2008-09-14 12:21 1,224 ----a-w D:\WINDOWS\system32\drivers\APPFLTR.CFG.bck

2008-09-14 12:21 1,224 ----a-w D:\WINDOWS\system32\drivers\APPFLTR.CFG

2008-09-14 11:27 --------- d-----w D:\Program Files\PeerGuardian2

2008-09-13 14:21 --------- d-----w D:\Documents and Settings\M@xi\Dane aplikacji\Tlen.pl

2008-09-11 13:58 --------- d-----w D:\Program Files\Skype

2008-09-11 13:58 --------- d-----w D:\Program Files\Common Files\Skype

2008-09-11 13:58 --------- d-----w D:\Documents and Settings\M@xi\Dane aplikacji\Skype

2008-09-11 13:58 --------- d-----w D:\Documents and Settings\All Users\Dane aplikacji\Skype

2008-09-11 13:57 --------- d-----w D:\Program Files\Real Alternative

2008-09-11 13:56 --------- d-----w D:\Documents and Settings\M@xi\Dane aplikacji\Winamp

2008-09-11 13:55 --------- d-----w D:\Program Files\Winamp

2008-09-11 13:51 --------- d-----w D:\Program Files\UnH Solutions

2008-09-11 13:45 --------- d-----w D:\Program Files\Pcsx2

2008-09-11 13:41 --------- d-----w D:\Program Files\Tlen.pl

2008-09-11 13:38 --------- d-----w D:\Program Files\Xvid

2008-09-11 13:37 --------- d-----w D:\Program Files\DivX

2008-09-11 13:33 --------- d-----w D:\Program Files\Windows Defender

2008-09-11 13:27 315,392 ----a-w D:\WINDOWS\HideWin.exe

2008-09-11 13:27 --------- d--h--w D:\Program Files\InstallShield Installation Information

2008-09-11 13:27 --------- d-----w D:\Program Files\Realtek

2008-09-11 11:39 --------- d-----w D:\Documents and Settings\All Users\Dane aplikacji\sentinel

2008-09-11 11:34 --------- d-----w D:\Program Files\Panda Security

2008-09-11 11:33 --------- d-----w D:\Program Files\Common Files\Panda Software

2008-09-11 11:33 --------- d-----w D:\Program Files\Common Files\InstallShield

2008-09-11 11:25 --------- d-----w D:\Program Files\microsoft frontpage

2008-09-11 11:23 --------- d-----w D:\Program Files\Usługi online

2008-07-25 08:36 524,288 ----a-w D:\WINDOWS\system32\DivXsm.exe

2008-07-23 16:50 9,464 ------w D:\WINDOWS\system32\drivers\cdralw2k.sys

2008-07-23 16:50 9,336 ------w D:\WINDOWS\system32\drivers\cdr4_xp.sys

2008-07-23 16:50 43,528 ------w D:\WINDOWS\system32\drivers\PxHelp20.sys

2008-07-23 16:50 3,596,288 ----a-w D:\WINDOWS\system32\qt-dx331.dll

2008-07-23 16:50 129,784 ------w D:\WINDOWS\system32\pxafs.dll

2008-07-23 16:50 120,056 ------w D:\WINDOWS\system32\pxcpyi64.exe

2008-07-23 16:50 118,520 ------w D:\WINDOWS\system32\pxinsi64.exe

2008-07-23 16:48 200,704 ----a-w D:\WINDOWS\system32\ssldivx.dll

2008-07-23 16:48 1,044,480 ----a-w D:\WINDOWS\system32\libdivx.dll

2008-07-23 16:46 12,288 ----a-w D:\WINDOWS\system32\DivXWMPExtType.dll

2008-07-07 20:29 253,952 ----a-w D:\WINDOWS\system32\es.dll

2008-06-24 16:46 74,240 ----a-w D:\WINDOWS\system32\mscms.dll

2008-06-24 14:06 972,072 ----a-w D:\WINDOWS\UNNeroMediaHome.exe

2008-06-20 17:48 246,784 ----a-w D:\WINDOWS\system32\mswsock.dll

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

"PeerGuardian"="D:\Program Files\PeerGuardian2\pg2.exe" [2005-09-18 1421824]

"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="D:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" [2008-06-24 1840424]

"AlcoholAutomount"="D:\Program Files\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-02-22 217544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"APVXDWIN"="D:\Program Files\Panda Security\Panda Antivirus + Firewall 2008\APVXDWIN.EXE" [2007-07-19 455984]

"NeroFilterCheck"="D:\Program Files\Common Files\Nero\Lib\NeroCheck.exe" [2008-06-19 570664]

"NBKeyScan"="D:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-06-08 2221352]

"IgfxTray"="D:\WINDOWS\system32\igfxtray.exe" [2008-02-15 135168]

"HotKeysCmds"="D:\WINDOWS\system32\hkcmd.exe" [2008-02-15 159744]

"Persistence"="D:\WINDOWS\system32\igfxpers.exe" [2008-02-15 131072]

"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 D:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

"DWQueuedReporting"="D:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avldr]

2007-02-15 20:02 50736 D:\WINDOWS\system32\avldr.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"%windir%\Network Diagnostic\xpnetdiag.exe"=

"D:\Program Files\Skype\Phone\Skype.exe"=

R1 APPFLT;App Filter Plugin;D:\WINDOWS\system32\Drivers\APPFLT.SYS [2007-05-11 71736]

R1 DSAFLT;DSA Filter Plugin;D:\WINDOWS\system32\Drivers\DSAFLT.SYS [2007-05-11 51256]

R1 FNETMON;NetMon Filter Plugin;D:\WINDOWS\system32\Drivers\fnetmon.SYS [2007-05-11 22072]

R1 IDSFLT;Ids Filter Plugin;D:\WINDOWS\system32\Drivers\IDSFLT.SYS [2007-07-11 191672]

R1 NETFLTDI;Panda Net Driver [TDI Layer];D:\WINDOWS\system32\Drivers\NETFLTDI.SYS [2007-05-11 09:33 132920]

R1 ShldDrv;Panda File Shield Driver;D:\WINDOWS\system32\DRIVERS\ShlDrv51.sys [2007-05-23 38968]

R1 SMSFLT;SMS Filter Plugin;D:\WINDOWS\system32\Drivers\SMSFLT.SYS [2007-05-11 37304]

R1 WNMFLT;Wifi Monitor Filter Plugin;D:\WINDOWS\system32\Drivers\WNMFLT.SYS [2007-05-11 30648]

R2 cpoint;Panda CPoint Driver;D:\WINDOWS\system32\Drivers\cpoint.sys [2007-06-08 24760]

R2 PavProc;Panda Process Protection Driver;D:\WINDOWS\system32\DRIVERS\PavProc.sys [2007-07-12 178872]

R3 AvFlt;Antivirus Filter Driver;D:\WINDOWS\system32\drivers\av5flt.sys []

R3 NETIMFLT;PANDA NDIS IM Filter Miniport;D:\WINDOWS\system32\DRIVERS\netimflt.sys [2007-04-24 142128]

R3 PavSRK.sys;PavSRK.sys;D:\WINDOWS\system32\PavSRK.sys []

R3 PavTPK.sys;PavTPK.sys;D:\WINDOWS\system32\PavTPK.sys []

*Newly Created Service* - PGFILTER

*Newly Created Service* - PROCEXP90

.

Zawartość folderu 'Zaplanowane zadania'

.

.

------- Skan uzupełniający -------

.

R0 -: HKCU-Main,Start Page = hxxp://o2.pl/

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-14 14:24:42

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

Czas ukończenia: 2008-09-14 14:25:45

ComboFix-quarantined-files.txt 2008-09-14 12:25:39

Przed: 14,614,990,848 bajt˘w wolnych

Po: 15,501,717,504 bajt˘w wolnych

168 --- E O F --- 2008-09-14 10:00:53


(huber2t) #6

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

Driver::

PavSRK.sys

PavTPK.sys

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(system) #7

http://wklej.eu/index.php?id=e797d789e1 Niestety program Combo Fix nie usunał mojego problemu ten plik z odtworzonymi filmami tworzy sie tylko po odtworzeniu filmu w Dziobas Rar Player czy u was sie tez tak dzieje ????


(Gutek) #8

Wklej do Notatnika:

Driver::

AvFlt

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo oraz skan http://www.kaspersky.pl/virusscanner.html

OT-y KOSZ


(system) #9

Niestety to nic nie pomaga odrazu mi blue screen po ukonczeniu wyszedl i restart kompa,po restarcie ''Proces nie moze uzyskac dostepu do pliku,ponieważ jest on uzywany przez inny proces''.Moze niech ktos z was sobie wgra dziobas rar playera i zobaczy czy u niego tez tak jest jak odpala jakis plik filmowy.


(huber2t) #10

Pokaż na forum log z tego: http://www.forumpc.pl/index.php?showtopic=16074


(system) #11

Ale smieszny jestes gosciu moze na forum policyjnym jeszcze mam podac nie bede linkow nigdzie wrzucał juz wrzuciłem jeden wiec starczy,wiec temat zamkniety niech moderator zamknie go bo wy zamiast pomagac szkodzicie.