Infekcja w pliku ssqrp.dll

tivoli86 · 18 Grudzień 2007 22:07

W folderze system32 tkwi sobie od dłuższego czasu plik ssqrp.dll, pod którą to postacią podobno rezyduje w systemach trojan Vundo. Gdy się o tym dowiedziałem, podjąłem próby usunięcia pliku, ale nic to nie dało. Także wpisy nt. pliku usuwane z rejestru odtwarzały się same po zamknięciu edytora rejestru (pewnie w wyniku działania trojana…).

Nie pomógł Avenger, ani ręczne usuwanie, bo plik jest “używany przez system Windows” i usunąć się go nie da, także w trybie awaryjnym. Nie zauważyłem dotąd żadnych szkodliwych skutków jego obecności, ale żyć w symbiozie z nim raczej nie powinienem, dlatego proszę mądrzejszych ode mnie o pomoc. Gdyby w logu było jeszcze coś szkodliwego, także proszę o informację. Poniżej log z HijackThis:

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:53:46, on 2007-12-18 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Boot mode: Normal Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\snmp.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINNT\explorer.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\Program Files\UltimateZip 2007\uzqkst.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINNT\regedit.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://us.rd.yahoo.com/customize/ie/def … .yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/def … earch.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ie/def … .yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/def … .yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll F2 - REG:system.ini: Shell=explorer.exe O3 - Toolbar: @msdxmLC.dll,-1@1045,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\YAHOO!\Companion\Installs\cpn\yt.dll O4 - HKLM…\Run: [synchronization Manager] mobsync.exe /logon O4 - HKLM…\Run: [Microsft Security Monitor Process] mssmpp.exe O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [Windows Explorer] C:\WINNT\System32\explorer.exe O4 - HKLM…\Run: [Ashampoo FireWall] “C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe” -TRAY O4 - HKLM…\RunServices: [Microsft Security Monitor Process] mssmpp.exe O4 - HKCU…\Run: [internat.exe] internat.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKUS.DEFAULT…\Run: [internat.exe] internat.exe (User ‘Default user’) O4 - HKUS.DEFAULT…\Run: [intec Service Drivers] C:\WINNT\System32\wing32.exe (User ‘Default user’) O4 - HKUS.DEFAULT…\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User ‘Default user’) O4 - Startup: UltimateZip Quick Start.lnk = C:\Program Files\UltimateZip 2007\uzqkst.exe O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: (no name) - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - (no file) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan … asinst.cab O17 - HKLM\System\CCS\Services\Tcpip…{C4128DF3-23C2-4FF7-AB16-B3AA7D1E3D3B}: NameServer = 213.241.79.37 83.238.255.76 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Distributed Allocated Memory Unit - Unknown owner - C:\WINNT\system32\dllcache\mravsc32.exe (file missing) O23 - Service: Usługa administracyjna Menedżera dysków logicznych (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: MSN RAV - Unknown owner - C:\WINNT\system\msnrav.exe (file missing) O23 - Service: NOTEPAD - Unknown owner - C:\WINNT\system\NOTEPAD.exe (file missing) – End of file - 5407 bytes

Gutek · 19 Grudzień 2007 19:56

Pobierz program SDFix

tivoli86 · 19 Grudzień 2007 21:04

Bardzo dziękuję za pomoc, wszystko jest już w porządku. Pozycje z loga usunięte skutecznie, pliki Vundo też. VundoFix okazał się dobrą opcją. Raz jeszcze dziękuję.

Gutek · 19 Grudzień 2007 21:53

Po tym - Daj log z ComboFix - czekam

tivoli86 · 20 Grudzień 2007 11:02

Daję log z ComboFix i mam pytanie: czy to normalne, że podczepiona pod Combo aplikacja nircmd.cfexe łączy się z Internetem przez port 135? Już drugi raz tak się dzieje. Port 135 zamknąłem WWDC, ale ta aplikacja go sobie otworzyła i chciała łączyć się z czymś (wyłączony miałem wtedy net). Dziwne to trochę - czy tak ma być?

A oto log:

ComboFix 07-12-20.1 - Tomek 2007-12-20 11:46:23.1 - FAT32x86 Microsoft Windows 2000 Professional 5.0.2195.4.1250.1.1045.18.124 [GMT 1:00] Running from: C:\Documents and Settings\Administrator\Pulpit\ComboFix.exe . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\check_LSA7.txt C:\WINNT\cookies.ini C:\WINNT\system32\3_exception.nls . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_RUNTIME -------\runtime ((((((((((((((((((((((((( Files Created from 2007-11-20 to 2007-12-20 ))))))))))))))))))))))))))))))) . 2007-12-20 11:49 . 07-12-20 11:49 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_214.dat 2007-12-19 15:20 . 07-12-19 15:20 2007-12-19 15:13 . 07-12-19 15:13 16,384 --a------ C:\WINNT\system32\Perflib_Perfdata_1d0.dat 2007-12-19 14:21 . 07-12-19 14:21 2007-12-10 21:31 . 03-06-19 12:05 21,552 --a------ C:\WINNT\system32\dllcache\usbstor.sys 2007-12-08 01:01 . 07-12-08 01:01 2007-12-08 00:58 . 07-12-08 00:58 2007-12-03 19:11 . 03-06-19 12:05 113,744 --a------ C:\WINNT\system32\drivers\ks.sys 2007-12-02 15:05 . 07-12-02 15:05 2007-12-02 15:03 . 07-12-02 15:03 2007-11-29 15:23 . 04-03-24 03:21 442,640 --a------ C:\WINNT\system32\ipnathlp.dll 2007-11-29 15:23 . 04-03-24 03:21 442,640 --------- C:\WINNT\system32\dllcache\ipnathlp.dll 2007-11-29 15:23 . 04-03-24 03:21 255,248 --a------ C:\WINNT\system32\h323.tsp 2007-11-29 15:23 . 04-03-24 03:21 255,248 --------- C:\WINNT\system32\dllcache\h323.tsp 2007-11-29 15:23 . 04-03-24 03:21 167,184 --a------ C:\WINNT\system32\WINTRUST.DLL 2007-11-29 15:23 . 04-03-24 03:21 167,184 --------- C:\WINNT\system32\dllcache\wintrust.dll 2007-11-29 15:23 . 04-03-24 03:21 69,904 --------- C:\WINNT\system32\dllcache\browser.dll 2007-11-29 15:23 . 04-03-24 03:21 69,904 --a------ C:\WINNT\system32\browser.dll 2007-11-29 15:23 . 04-03-24 03:21 54,544 --a------ C:\WINNT\system32\mpr.dll 2007-11-29 15:23 . 04-03-24 03:21 54,544 --------- C:\WINNT\system32\dllcache\mpr.dll 2007-11-28 10:36 . 07-11-28 10:36 2007-11-28 10:33 . 07-11-28 10:33 2007-11-28 10:33 . 07-11-28 10:33 2007-11-27 20:51 . 07-11-27 20:51 2007-11-27 16:26 . 07-11-27 16:26 2007-11-26 23:23 . 07-01-18 13:00 3,968 --a------ C:\WINNT\system32\drivers\AvgArCln.sys 2007-11-21 01:18 . 07-12-19 00:10 1,013,398 —h----- C:\WINNT\ShellIconCache . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-18 18:14 158 ----a-w C:\Program Files\klryqyuf.txt 2007-12-04 14:56 93,264 ----a-w C:\WINNT\system32\drivers\aswmon.sys 2007-12-04 14:55 94,544 ----a-w C:\WINNT\system32\drivers\aswmon2.sys 2007-12-04 14:53 23,152 ----a-w C:\WINNT\system32\drivers\aswRdr.sys 2007-12-04 14:51 42,912 ----a-w C:\WINNT\system32\drivers\aswTdi.sys 2007-12-04 14:49 26,624 ----a-w C:\WINNT\system32\drivers\aavmker4.sys 2007-12-04 13:04 837,496 ----a-w C:\WINNT\system32\aswBoot.exe 2007-12-04 12:54 95,608 ----a-w C:\WINNT\system32\AvastSS.scr 2007-11-19 17:21 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Yahoo! Companion 2007-11-19 17:21 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\Yahoo! 2007-11-16 22:33 --------- d-----w C:\Program Files\Trend Micro 2007-11-16 17:19 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Prevx 2007-11-12 08:52 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Yahoo! 2007-11-12 08:48 --------- d-----w C:\Program Files\Yahoo! 2007-11-07 12:06 --------- d-----w C:\Program Files\Audacity 2007-11-07 00:21 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\NCH Swift Sound 2007-11-05 18:56 90,112 ----a-w C:\Program Files\npqtplugin5.dll 2007-11-05 18:56 90,112 ----a-w C:\Program Files\npqtplugin4.dll 2007-11-05 18:56 90,112 ----a-w C:\Program Files\npqtplugin3.dll 2007-11-05 18:56 90,112 ----a-w C:\Program Files\npqtplugin2.dll 2007-11-05 18:56 90,112 ----a-w C:\Program Files\npqtplugin.dll 2007-11-05 18:56 2,667 ----a-w C:\Program Files\QuickTimePlugin.class 2007-11-05 18:56 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\QuickTime 2007-11-05 18:55 --------- d-----w C:\Program Files\QuickTime 2007-11-04 21:33 --------- d-----w C:\Program Files\neos 2007-11-01 21:32 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\OpenOffice.org2 2007-11-01 21:27 --------- d-----w C:\Program Files\OpenOffice.org 2.3 2007-10-29 15:21 --------- d-----w C:\Program Files\Speak Freely 2007-10-26 12:38 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\Kamerzysta 2007-10-26 12:38 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\AutoUpdate 2007-10-05 13:38 1,555 ----a-w C:\ac.exe 2007-09-21 11:53 558,142 ----a-w C:\WINNT\java\Packages\N39FNJLZ.ZIP 2007-09-21 11:53 271 —h–w C:\Program Files\desktop.ini 2007-09-21 11:53 22,039 —h–w C:\Program Files\folder.htt 2007-09-21 11:53 156,441 ----a-w C:\WINNT\java\Packages\OC66HFXV.ZIP 2000-03-20 23:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “internat.exe”=“internat.exe” [] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [07-07-09 09:39] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Synchronization Manager”=“mobsync.exe” [03-06-19 12:05 C:\WINNT\system32\mobsync.exe] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [07-12-04 14:00] “Ashampoo FireWall”=“C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe” [07-04-05 14:57] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “internat.exe”=“internat.exe” [] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] “^SetupICWDesktop”=“C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe” [03-06-19 12:05] C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\ UltimateZip Quick Start.lnk - C:\Program Files\UltimateZip 2007\uzqkst.exe [2007-09-23 15:11:32] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2007-09-21 13:13:57] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] WMI Standard Event Consumer - Scripting REG_SZ C:\WINNT\System32\wbem\scrcons32.exe R1 oreans32;oreans32;C:\WINNT\system32\drivers\oreans32.sys [07-09-28 16:39] R2 aswMon;avast! Standard Shield Support;C:\WINNT\system32\drivers\aswMon.sys [07-12-04 15:56] R3 e4usbaw;USB ADSL2 WAN Adapter;C:\WINNT\system32\DRIVERS\e4usbaw.sys [07-01-04 13:48] S0 cjnohxbg;cjnohxbg;C:\WINNT\system32\drivers\psnyrmpj.sys [] S1 c6cb4c22.sys;c6cb4c22.sys;C:\WINNT\System32\drivers\c6cb4c22.sys [] S2 E4LOADER;General Purpose USB Driver (e4ldr.sys);C:\WINNT\system32\Drivers\e4ldr.sys [07-01-04 13:47] S3 Bcfilter;Jetico Personal Firewall Network Monitor;C:\WINNT\system32\DRIVERS\bcfilter.sys [] S3 BcfilterMP;BcfilterMP;C:\WINNT\system32\DRIVERS\bcfilter.sys [] S3 CAM1210;SM0121 USB 2.0 Video Camera;C:\WINNT\system32\Drivers\cam1210.sys [06-07-24 17:49] S3 SiSV;SiSV;C:\WINNT\system32\DRIVERS\SiSV.sys [99-09-28 04:02] S3 wdmals;Sterownik WDM Miniport dla dźwięku Avance;C:\WINNT\system32\drivers\alswdm.sys [99-10-07 23:32] S4 Distributed Allocated Memory Unit;Distributed Allocated Memory Unit;“C:\WINNT\system32\dllcache\mravsc32.exe” [] S4 MSN RAV;MSN RAV;“C:\WINNT\system\msnrav.exe” [] S4 NOTEPAD;NOTEPAD;“C:\WINNT\system\NOTEPAD.exe” [] . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-20 11:50:18 Windows 5.0.2195 Service Pack 4 FAT NTAPI scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINNT\system32\lsass.exe [5.00.2195.7011] -> C:\Program Files\Ashampoo\Ashampoo FireWall\spi.dll . Completion time: 2007-12-20 11:51:24 - machine was rebooted

I jak jest?

tivoli86 · 20 Grudzień 2007 12:17

A, jeszcze jedno. Po zakończeniu pracy ComboFix mam wyczyszczony cały kosz… Po prostu wziął i sam wyczyścił - to też ma tak być? To znaczy podejrzewam, że to on, bo po zakończeniu działania kosz jest puściutki, a przedtem trochę rzeczy w nim było - na szczęście nic istotnego. Dziwi mnie tylko, że takie działanie jest podejmowane samowolnie…

Gutek · 20 Grudzień 2007 20:36

Wklej do Notatnika:

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym - Pobierz program SDFix

tivoli86 · 20 Grudzień 2007 21:23

Witam ponownie, oto raport z SDFix:

SDFix: Version 1.119 Run by Tomek on Cz 2007-12-20 at 22:14 Microsoft Windows 2000 [Wersja 5.00.2195] Running From: C:\SDFix Safe Mode: Checking Services: Name: Distributed Allocated Memory Unit Path: “C:\WINNT\system32\dllcache\mravsc32.exe” Distributed Allocated Memory Unit - Deleted Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting… Normal Mode: Checking Files: Trojan Files Found: C:\WINNT\SYSTEM32\IFRAME~1.EXE - Deleted C:\WINNT\system32\game.rar - Deleted C:\WINNT\system32\game.zip - Deleted C:\WINNT\system32\IMG0007.rar - Deleted C:\WINNT\system32\IMG0007.zip - Deleted C:\WINNT\system32\photoalbum.rar - Deleted C:\WINNT\system32\photoalbum.zip - Deleted C:\WINNT\system32\TFTP5548 - Deleted C:\WINNT\system32\video.rar - Deleted C:\WINNT\system32\video.zip - Deleted Removing Temp Files… ADS Check: C:\WINNT No streams found. C:\WINNT\system32 No streams found. C:\WINNT\system32\svchost.exe No streams found. C:\WINNT\system32\ntoskrnl.exe No streams found. Final Check: catchme 0.3.1333.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-20 22:18:32 Windows 5.0.2195 Service Pack 4 FAT NTAPI scanning hidden processes … scanning hidden services … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services: ------------------ Remaining Files: --------------- File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes: Wed 5 May 1999 95,874 …SH. — “C:\COMMAND.COM” Tue 20 Nov 2007 4,348 …SH. — “C:\Documents and Settings\All Users\DRM\DRMv1.bak” Finished!

Czekam na dobre wieści

Gutek · 20 Grudzień 2007 21:27

No i na koniec log z Combo nowy

tivoli86 · 20 Grudzień 2007 23:09

Nowy log z Combo:

ComboFix 07-12-20.1 - Tomek 2007-12-21 0:03:31.3 - FAT32x86 Microsoft Windows 2000 Professional 5.0.2195.4.1250.1.1045.18.125 [GMT 1:00] Running from: C:\Documents and Settings\Administrator\Pulpit\ComboFix.exe . ((((((((((((((((((((((((( Files Created from 2007-11-20 to 2007-12-20 ))))))))))))))))))))))))))))))) . 2007-12-21 00:03 . 07-12-21 00:03 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_28c.dat 2007-12-20 22:17 . 07-12-20 22:17 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_210.dat 2007-12-20 22:14 . 07-12-20 22:14 2007-12-19 15:20 . 07-12-19 15:20 2007-12-19 15:13 . 07-12-19 15:13 16,384 --a------ C:\WINNT\system32\Perflib_Perfdata_1d0.dat 2007-12-19 14:21 . 07-12-19 14:21 2007-12-10 21:31 . 03-06-19 12:05 21,552 --a------ C:\WINNT\system32\dllcache\usbstor.sys 2007-12-08 01:01 . 07-12-08 01:01 2007-12-08 00:58 . 07-12-08 00:58 2007-12-03 19:11 . 03-06-19 12:05 113,744 --a------ C:\WINNT\system32\drivers\ks.sys 2007-12-02 15:05 . 07-12-02 15:05 2007-12-02 15:03 . 07-12-02 15:03 2007-11-29 15:23 . 04-03-24 03:21 442,640 --a------ C:\WINNT\system32\ipnathlp.dll 2007-11-29 15:23 . 04-03-24 03:21 442,640 --------- C:\WINNT\system32\dllcache\ipnathlp.dll 2007-11-29 15:23 . 04-03-24 03:21 255,248 --a------ C:\WINNT\system32\h323.tsp 2007-11-29 15:23 . 04-03-24 03:21 255,248 --------- C:\WINNT\system32\dllcache\h323.tsp 2007-11-29 15:23 . 04-03-24 03:21 167,184 --a------ C:\WINNT\system32\WINTRUST.DLL 2007-11-29 15:23 . 04-03-24 03:21 167,184 --------- C:\WINNT\system32\dllcache\wintrust.dll 2007-11-29 15:23 . 04-03-24 03:21 69,904 --------- C:\WINNT\system32\dllcache\browser.dll 2007-11-29 15:23 . 04-03-24 03:21 69,904 --a------ C:\WINNT\system32\browser.dll 2007-11-29 15:23 . 04-03-24 03:21 54,544 --a------ C:\WINNT\system32\mpr.dll 2007-11-29 15:23 . 04-03-24 03:21 54,544 --------- C:\WINNT\system32\dllcache\mpr.dll 2007-11-28 10:36 . 07-11-28 10:36 2007-11-28 10:33 . 07-11-28 10:33 2007-11-28 10:33 . 07-11-28 10:33 2007-11-27 20:51 . 07-11-27 20:51 2007-11-27 16:26 . 07-11-27 16:26 2007-11-26 23:23 . 07-01-18 13:00 3,968 --a------ C:\WINNT\system32\drivers\AvgArCln.sys 2007-11-21 01:18 . 07-12-19 00:10 1,013,398 —h----- C:\WINNT\ShellIconCache . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-18 18:14 158 ----a-w C:\Program Files\klryqyuf.txt 2007-12-04 14:56 93,264 ----a-w C:\WINNT\system32\drivers\aswmon.sys 2007-12-04 14:55 94,544 ----a-w C:\WINNT\system32\drivers\aswmon2.sys 2007-12-04 14:53 23,152 ----a-w C:\WINNT\system32\drivers\aswRdr.sys 2007-12-04 14:51 42,912 ----a-w C:\WINNT\system32\drivers\aswTdi.sys 2007-12-04 14:49 26,624 ----a-w C:\WINNT\system32\drivers\aavmker4.sys 2007-12-04 13:04 837,496 ----a-w C:\WINNT\system32\aswBoot.exe 2007-12-04 12:54 95,608 ----a-w C:\WINNT\system32\AvastSS.scr 2007-11-19 17:21 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Yahoo! Companion 2007-11-19 17:21 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\Yahoo! 2007-11-16 22:33 --------- d-----w C:\Program Files\Trend Micro 2007-11-16 17:19 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Prevx 2007-11-12 08:52 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Yahoo! 2007-11-12 08:48 --------- d-----w C:\Program Files\Yahoo! 2007-11-07 12:06 --------- d-----w C:\Program Files\Audacity 2007-11-07 00:21 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\NCH Swift Sound 2007-11-05 18:56 90,112 ----a-w C:\Program Files\npqtplugin5.dll 2007-11-05 18:56 90,112 ----a-w C:\Program Files\npqtplugin4.dll 2007-11-05 18:56 90,112 ----a-w C:\Program Files\npqtplugin3.dll 2007-11-05 18:56 90,112 ----a-w C:\Program Files\npqtplugin2.dll 2007-11-05 18:56 90,112 ----a-w C:\Program Files\npqtplugin.dll 2007-11-05 18:56 2,667 ----a-w C:\Program Files\QuickTimePlugin.class 2007-11-05 18:56 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\QuickTime 2007-11-05 18:55 --------- d-----w C:\Program Files\QuickTime 2007-11-04 21:33 --------- d-----w C:\Program Files\neos 2007-11-01 21:32 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\OpenOffice.org2 2007-11-01 21:27 --------- d-----w C:\Program Files\OpenOffice.org 2.3 2007-10-29 15:21 --------- d-----w C:\Program Files\Speak Freely 2007-10-26 12:38 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\Kamerzysta 2007-10-26 12:38 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\AutoUpdate 2007-10-05 13:38 1,555 ----a-w C:\ac.exe 2007-09-21 11:53 558,142 ----a-w C:\WINNT\java\Packages\N39FNJLZ.ZIP 2007-09-21 11:53 271 —h–w C:\Program Files\desktop.ini 2007-09-21 11:53 22,039 —h–w C:\Program Files\folder.htt 2007-09-21 11:53 156,441 ----a-w C:\WINNT\java\Packages\OC66HFXV.ZIP 2000-03-20 23:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “internat.exe”=“internat.exe” [] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [07-07-09 09:39] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Synchronization Manager”=“mobsync.exe” [03-06-19 12:05 C:\WINNT\system32\mobsync.exe] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [07-12-04 14:00] “Ashampoo FireWall”=“C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe” [07-04-05 14:57] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “internat.exe”=“internat.exe” [] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] “^SetupICWDesktop”=“C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe” [03-06-19 12:05] C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\ UltimateZip Quick Start.lnk - C:\Program Files\UltimateZip 2007\uzqkst.exe [2007-09-23 15:11:32] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2007-09-21 13:13:57] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] WMI Standard Event Consumer - Scripting REG_SZ C:\WINNT\System32\wbem\scrcons32.exe R1 oreans32;oreans32;C:\WINNT\system32\drivers\oreans32.sys [07-09-28 16:39] R2 aswMon;avast! Standard Shield Support;C:\WINNT\system32\drivers\aswMon.sys [07-12-04 15:56] R3 e4usbaw;USB ADSL2 WAN Adapter;C:\WINNT\system32\DRIVERS\e4usbaw.sys [07-01-04 13:48] S2 E4LOADER;General Purpose USB Driver (e4ldr.sys);C:\WINNT\system32\Drivers\e4ldr.sys [07-01-04 13:47] S3 Bcfilter;Jetico Personal Firewall Network Monitor;C:\WINNT\system32\DRIVERS\bcfilter.sys [] S3 BcfilterMP;BcfilterMP;C:\WINNT\system32\DRIVERS\bcfilter.sys [] S3 CAM1210;SM0121 USB 2.0 Video Camera;C:\WINNT\system32\Drivers\cam1210.sys [06-07-24 17:49] S3 SiSV;SiSV;C:\WINNT\system32\DRIVERS\SiSV.sys [99-09-28 04:02] S3 wdmals;Sterownik WDM Miniport dla dźwięku Avance;C:\WINNT\system32\drivers\alswdm.sys [99-10-07 23:32] S4 NOTEPAD;NOTEPAD;“C:\WINNT\system\NOTEPAD.exe” [] . ************************************************************************** catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-21 00:05:13 Windows 5.0.2195 Service Pack 4 FAT NTAPI scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINNT\system32\lsass.exe [5.00.2195.7011] -> C:\Program Files\Ashampoo\Ashampoo FireWall\spi.dll . Completion time: 2007-12-21 0:06:11 C:\ComboFix3.txt … 07-12-20 11:51 C:\ComboFix2.txt … 07-12-20 22:05

Gutek · 21 Grudzień 2007 23:27