Nie mogę usunąć pliku Amvo.exe


(system) #1

Nowy temat wedle życzenia

Witam,

okazało się że mam tego amvo.exe dlatego bardzo proszę o pomoc

Log z ComboFixa: http://wklej.org/id/eceb9a5a8d

Log z hijacka: http://wklej.org/id/a57d513624

Na komputeraz znam się jak na fizyce jądrowej - czyli praktycznie wcale, dlatego proszę o w miarę zrozumiałe odpowiedzi co powinnam teraz zrobić.

I od razu pytanie: skoro ten plik przenosi się przez pen drive'y to rozumiem, że koniecznością jest jego sformatowani...ale czy to wystarczy? A moze jednak nie ma takiej konieczności. Jak sprawdzić, czy mój pen jest zarażony?No i jak powinnam ewentualnie zrobić ten format, żeby pen nie przestał działć, no bo on ma jakieś tam swoje oprogramowanie, bo plików które na nim mam, pewnie nie uratuje...

Proszę, pomóżcie kobiecie w potrzebie:)


(Leon$) #2

wpis

O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

usuń HijackThisem >> Fix checked

można spróbować tak podłącz pena otwórz notatnik i wklej

File::

C:\3wcxx91.cmd

C:\2ifetri.cmd

C:\d.com

K:\2ifetri.cmd


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania

Po restarcie usuń ręcznie folder C: \Qoobox

:slight_smile:


(system) #3

zrobiłam jak kazałeś

A to log z ComboFixa z usuwania: http://wklej.org/id/b9dad66bb8

Cos jeszcze mam zrobic?


(Leon$) #4

Wyłącz przywracanie systemu na wszystkich dyskach

otwórz notatnik i wklej

File::

C:\3wcxx91.cmd

C:\2ifetri.cmd

C:\d.com

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania

Po restarcie usuń ręcznie folder C: \Qoobox

:slight_smile:


(system) #5

Wyłączyłam przywracanie, skopiowalam do notatnika, przeciągnęłam. Log z usuwania:http://wklej.org/id/e8956b6040

Czy już wszystko ok?


(Leon$) #6

Log OK

# O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

# O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

# O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

# O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

# O4 - HKLM\..\Run: [ASUSGamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe

# O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

# O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

# O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe# O4 - HKLM\..\Run: [OFFICEKB] C:\Program Files\Labtec\Keyboard\V5.1\kbdap32a.exe

# O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

# O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

# O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe

# O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"

# O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

# O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

# O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

# O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

# O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

# O4 - HKCU\..\Run: [eMuleAutoStart] E:\eMule\emule.exe -AutoStart

# O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

# O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

# O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

# O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

# O4 - Startup: CPUCooL.lnk = C:\Program Files\CPUCooL\CPUCooL.exe

# O4 - Startup: OpenOffice.org 2.1.lnk = C:\Program Files\OpenOffice.org 2.1\program\quickstart.exe

Popracuj nad uruchamianiem http://www.bezpieczenstwosystemow.pl/index.php?topic=116.0

porównaj swoje z tymi z linku i zadecyduj co wyłączyć a co nie.

:slight_smile:


(system) #7

Z pewnością skorzystam z porad w linku. Bardzo dziękuję za pomoc. Pozdrawiam


(system) #8

Witam ponownie,

znów muszę prosić o pomoc i to w tej samej sprawie. Niestety problem powrócił. Wygląda na to, że pen nie został oczyszczony. Po otworzeniu go przez chwile bylo dobrze, ale po chwili znowu to samo. Znowu ten sam amvo.exe sie zapisuje na dysku. Najpierw pojawia sie okienko błędu, że jakaś tam aplikacja nie moze byc "read" (wogole mi nie znana, typu c:\x.cmd), a potem znikają pliki ukryte i wszystko od początku. ComboFix to usuwa, ale znowu po otwarciu (nieraz dopiero po któryms z kolei) pena amvo sie wgrywa. Proszę, pomóżcie pozbyć sie tego cholerstwa na amen! Usunęłam amvo hijackiem, a log z ostatniego combofixa wygląda tak (z włożonym penem):

http://wklej.org/id/6b834d8f56


(Leon$) #9

Skoro wiesz od czego to jest to po co kombinujesz

Wylecz pena tym http://www.softpedia.com/get/Security/Security-Related/PRT-Perlovga-Removal-Tool.shtml

Wyłącz przywracanie systemu

Otwórz notatnik i wklej

File::

C:\eav_nt32_plk.msi

C:\x.com

C:\[u]0[/u]hct8ybw.bat

C:\3wcxx91.cmd

C:\WINDOWS\21wwf.exe

C:\WINDOWS\21wwf.scr

C:\WINDOWS\20wwf.exe

C:\WINDOWS\20wwf.scr


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania

:slight_smile:


(system) #10

Log z usuwania: http://wklej.org/id/a29a89254f

A co do pena: nic nie kombinuje. Nie znam sie na usuwaniu infekcji z niego. Znalazlam w necie program Flash_Disinfector i z niego skorzystałam, bo myślałam ze pomoże. Jak widać niebardzo. Spróbuje użyć tego, który polecasz (za co dziękuję).

Edit po chwili: użyłam tego programu zgodnie z instrukcją. Napisało mi że teraz mój komputer jest czysty, ale mogę jakoś się upewnić,że faktycznie podziałało to na pendrive'a bez ryzyka ponownej infekcji?


(Leon$) #11

Pozostał do usunięcia plik C:\0hct8ybw.bat

otwórz notatnik i wklej

File::

C:\[u]0[/u]hct8ybw.bat

i Combofixem jak poprzednio

lub usuń ręcznie w trybie awaryjnym

:slight_smile:


(system) #12

Chyba jesli chodzi o ComboFixa to ok: http://wklej.org/id/a43dffdbb9

No ale co z tym pendrivem?Boje sie, ze jak znowu go uruchomie to wszystko sie powtórzy, a nie chce już cie męczyć o pomoc w usuwaniu tego (z co nota bene bardzo dziękuję). Mam ryzykowac?


(Leon$) #13

Plik nadal jest odszukaj go i spróbuj usunąć ręcznie może Unlockerem

wyłącz Autoodtwarzanie dla wszystkich dysków zostaw tylko stację CD i DVD z autoodtwarzaniem posłuż się tym programem http://www.searchengines.pl/index.php?showtopic=94279

pliki autorun.inf nie będą mogły się wykonać i nie będą zarażać kompa

:slight_smile:


(system) #14

Plik odnaleziony i usunięty. Log:http://wklej.org/id/5593ffe2fb

Wyłączyłam autoodtwarzanie poza stacja DVD, ale czy to podziała? Mam nadzieję ze jak otworze pendrive'a to nie zacznie się na nowo. Najwyżej będę męczyc znowu :slight_smile: Jeszcze jedno: powiedzmy że to wszystko podziała i mój komputer będzie ochroniony, jednak nie chciałabym zarazić cudzego komputera gdy będę chciał coś przenieść z komputera na komputer....Mogę sprawdzić jakoś pendrive'a czy jest już czysty?

Edit: na razie jest ok. Włączenie pendrive'a nie spowodowało wlączenia jakichś dziwnych komunikatów ani plików. Mam nadzieję że tak już zostanie. Wielkie dzięki za okazaną pomoc. Pozdrawiam


(Remek Dobrowolski) #15

Witam. Miałem podobny problem z pamięcią flash. Komputer wraz z pamięciami przenośnymi zostały zainfekowane Hacktool.rootkit. Niezwykle pomocna okazała się dystrybucja Ubuntu 7.04. Po uruchomieniu jej z płyty CD (bez instalowania) - podłączyłem pendrive'a i zwyczajnie usunąłem niechciane pliki z pamięci (x.com, autorun.*). Ubuntu poradziło sobie z tym bez problemu... Pozdrawiam.


(Mopak7) #16

Witam,mam ten sam problem.Log z combofix:http://wklej.org/id/926fb48641.Przywracanie systemu wyłączone.


(jessica) #17

@mopak7

Jest infekcja pendrive'a.

Wklej do Notatnika :

File::

C:\3wcxx91.cmd 

C:\x.com 

C:\autorun.inf

C:\h.cmd

C:\ylr.exe

C:\xo8wr9.exe 

C:\qd.cmd 

C:\awda2.exe

I:\xo8wr9.exe

X:\3wcxx91.cmd 

X:\x.com 

X:\autorun.inf

X:\h.cmd

X:\ylr.exe

X:\xo8wr9.exe 

X:\qd.cmd 

X:\awda2.exe


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3dc6b97e-caa2-11dc-956e-001a4d7af4a0}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fde00fb6-b4c0-11dc-9513-001a4d7af4a0}]

Pod X podstaw literę pod jaką aktualnie będzie widziany pen (to się oczywiście zmienia przy podpinaniu).

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

Ma się rozpocząć usuwanie. (i powstanie log).

Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to:

Po restarcie usuń ręcznie folder C: **** Qoobox.

jessi


(Mopak7) #18

ComboFix 08-02-15.2 - Pups 2008-02-15 12:09:18.3 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.147 [GMT 1:00]

Running from: D:\Instalki\ComboFix.exe

Command switches used :: C:\Documents and Settings\Pups\Pulpit\CFScript.txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

FILE

C:\3wcxx91.cmd

C:\autorun.inf

C:\awda2.exe

C:\h.cmd

C:\qd.cmd

C:\x.com

C:\xo8wr9.exe

C:\ylr.exe

I:\3wcxx91.cmd

I:\autorun.inf

I:\awda2.exe

I:\h.cmd

I:\qd.cmd

I:\x.com

I:\xo8wr9.exe

I:\ylr.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\3wcxx91.cmd

C:\autorun.inf . . . . failed to delete

C:\awda2.exe

C:\h.cmd

C:\qd.cmd

C:\x.com

C:\xo8wr9.exe

C:\ylr.exe

I:\autorun.inf

I:\x.com

I:\xo8wr9.exe

C:\autorun.inf . . . . failed to delete

.

((((((((((((((((((((((((( Files Created from 2008-01-15 to 2008-02-15 )))))))))))))))))))))))))))))))

.

2008-02-13 23:38 . 2008-02-15 08:30 506 --a------ C:\autorun.inf

2008-02-11 14:01 . 2008-02-11 14:01

2008-02-10 11:15 . 2008-02-10 11:15 4,203,753 --------- C:\20080210__11_14_01.mp3

2008-02-09 17:29 . 2008-02-13 22:17 107,832 --a------ C:\WINDOWS\system32\PnkBstrB.exe

2008-02-09 17:29 . 2008-02-09 17:29 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe

2008-02-09 17:29 . 2008-02-13 22:17 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys

2008-02-08 08:59 . 2008-02-08 08:59 0 --a------ C:\WINDOWS\ativpsrm.bin

2008-02-07 20:00 . 2008-02-07 20:00

2008-02-07 19:28 . 2008-02-07 19:28

2008-02-07 16:54 . 2008-02-07 16:54

2008-02-07 16:49 . 2006-09-28 16:05 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll

2008-02-07 16:48 . 2008-02-07 16:48

2008-02-07 16:48 . 2008-02-07 16:48

2008-02-07 16:46 . 2008-02-07 16:46

2008-02-07 16:46 . 2000-06-23 14:05 136,704 --a------ C:\WINDOWS\system32\iacenc.dll

2008-02-07 16:46 . 2000-06-22 13:09 56,320 --------- C:\WINDOWS\system32\iyvu9_32.dll

2008-02-07 16:40 . 1998-10-29 19:45 306,688 --a------ C:\WINDOWS\IsUninst.exe

2008-02-07 15:22 . 2008-02-07 15:22

2008-02-07 15:22 . 2008-02-07 15:22 262,144 --a------ C:\WINDOWS\system32\wrap_oal.dll

2008-02-07 15:22 . 2008-02-07 15:22 86,016 --a------ C:\WINDOWS\system32\OpenAL32.dll

2008-02-07 14:44 . 2008-02-07 14:44

2008-02-06 23:29 . 2008-02-06 23:29

2008-02-06 23:23 . 2008-02-06 23:35

2008-02-06 23:23 . 2008-02-07 16:54 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll

2008-02-06 23:18 . 2008-02-06 23:18

2008-02-06 23:11 . 2005-06-24 16:24 438,272 -ra------ C:\WINDOWS\system32\vp6vfw.dll

2008-02-06 23:11 . 2004-12-10 09:06 327,680 --a------ C:\WINDOWS\system32\vp6dec.ax

2008-02-06 22:41 . 2008-02-06 22:58

2008-02-06 12:23 . 2008-02-07 16:49

2008-02-06 12:23 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll

2008-02-06 12:23 . 2007-03-12 16:42 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll

2008-02-06 12:23 . 2007-05-16 16:45 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll

2008-02-06 12:23 . 2007-03-12 16:42 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll

2008-02-06 12:23 . 2007-05-16 16:45 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll

2008-02-06 12:23 . 2007-03-15 16:57 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll

2008-02-06 12:23 . 2007-06-20 20:46 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll

2008-02-06 12:23 . 2007-04-04 18:55 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll

2008-02-06 12:23 . 2007-04-04 18:53 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll

2008-02-06 12:23 . 2007-06-20 20:45 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll

2008-02-06 12:22 . 2007-01-24 15:27 255,848 --a------ C:\WINDOWS\system32\xactengine2_6.dll

2008-02-06 12:22 . 2007-03-05 12:42 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll

2008-02-06 12:21 . 2008-02-06 12:22

2008-02-05 15:45 . 2008-02-05 15:45

2008-02-05 13:17 . 2008-02-15 10:20 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-02-05 13:17 . 2008-02-05 13:17 1,409 --a------ C:\WINDOWS\QTFont.for

2008-02-05 12:11 . 2008-02-05 12:50 554 --a------ C:\WINDOWS\CDPLAYER.UNI

2008-02-04 12:58 . 2008-02-04 12:58

2008-02-04 12:58 . 2008-02-04 12:59

2008-02-03 19:54 . 2008-02-03 19:54

2008-02-01 10:39 . 2008-02-01 10:39

2008-01-30 18:40 . 2008-01-30 18:40

2008-01-29 15:53 . 2008-02-09 17:10

2008-01-29 14:49 . 2008-02-14 15:09

2008-01-29 14:49 . 2008-01-29 14:49

2008-01-29 14:49 . 2008-01-29 14:49

2008-01-27 21:06 . 2008-01-27 21:07

2008-01-27 20:18 . 2008-01-27 20:18

2008-01-27 19:56 . 2008-01-27 23:50 38 --a------ C:\WINDOWS\avisplitter.INI

2008-01-27 14:50 . 2008-01-27 14:50

2008-01-20 13:08 . 2008-02-10 10:38

2008-01-20 13:08 . 2008-02-10 10:38 2 --a------ C:\WINDOWS\pvpeformr.ocx

2008-01-20 13:06 . 2008-01-20 13:07

2008-01-20 13:06 . 2002-01-05 09:37 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll

2008-01-20 13:06 . 2001-03-13 09:49 140,288 --a------ C:\WINDOWS\system32\comdlg32.ocx

2008-01-19 20:35 . 2008-01-19 20:35

2008-01-19 20:33 . 2008-01-19 20:33

2008-01-19 20:32 . 2008-01-29 17:11

2008-01-19 20:31 . 2008-01-19 20:31

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-15 11:12 --------- d-----w C:\Program Files\eMule

2008-02-14 21:47 --------- d-----w C:\Program Files\Mozilla Thunderbird

2008-02-09 16:23 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-02-07 15:48 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard

2008-02-05 12:17 --------- d-----w C:\Program Files\QuickTime Alternative

2008-02-01 09:51 --------- d-----w C:\Program Files\Nero

2008-01-30 17:41 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Apple Computer

2008-01-28 13:58 --------- d-----w C:\Program Files\Gadu-Gadu

2008-01-27 18:51 --------- d-----w C:\Program Files\K-Lite Codec Pack

2008-01-27 18:20 --------- d-----w C:\Program Files\Google

2008-01-20 11:26 --------- d-----w C:\Program Files\Winamp

2008-01-19 11:59 --------- d-----w C:\Program Files\Last.fm

2008-01-09 22:03 --------- d-----w C:\Program Files\Rockstar Games

2008-01-08 19:42 26,312 ----a-w C:\Documents and Settings\Pups\Dane aplikacji\GDIPFONTCACHEV1.DAT

2008-01-01 21:22 82,380 ----a-w C:\WINDOWS\system32\drivers\AFS2K.SYS

2008-01-01 21:22 --------- d-----w C:\Program Files\Hewlett-Packard

2008-01-01 21:20 --------- d-----w C:\Program Files\HP

2008-01-01 18:58 --------- d-----w C:\Documents and Settings\Pups\Dane aplikacji\Winamp

2007-12-30 17:01 --------- d-----w C:\Program Files\Engelmann Media

2007-12-28 19:23 --------- d-----w C:\Program Files\IrfanView

2007-12-27 15:11 --------- d-----w C:\Program Files\DAEMON Tools

2007-12-24 12:49 7,680 ----a-w C:\WINDOWS\system32\ff_vfw.dll

2007-12-23 21:29 --------- d-----w C:\Documents and Settings\Pups\Dane aplikacji\AdobeUM

2007-12-23 12:40 --------- d-----w C:\Program Files\Evrsoft First Page 2006

2007-12-22 20:03 --------- d-----w C:\Program Files\Java

2007-12-22 15:24 --------- d-----w C:\Documents and Settings\Pups\Dane aplikacji\Media Player Classic

2007-12-22 15:22 --------- d-----w C:\Program Files\Apple Software Update

2007-12-22 15:22 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Apple

2007-12-21 22:08 --------- d-----w C:\Program Files\Common Files\Java

2007-12-21 12:57 --------- d-----w C:\Program Files\Common Files\Adobe

2007-12-21 12:56 --------- d-----w C:\Program Files\Common Files\Adobe Systems Shared

2007-12-21 12:50 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys

2007-12-21 12:49 --------- d-----w C:\Documents and Settings\Pups\Dane aplikacji\Ahead

2007-12-21 03:53 2,843,136 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys

2007-12-21 03:09 368,640 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll

2007-12-21 03:08 272,384 ----a-w C:\WINDOWS\system32\ati2dvag.dll

2007-12-21 03:02 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll

2007-12-21 02:59 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll

2007-12-21 02:59 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe

2007-12-21 02:59 147,456 ----a-w C:\WINDOWS\system32\atipdlxx.dll

2007-12-21 02:59 122,880 ----a-w C:\WINDOWS\system32\Oemdspif.dll

2007-12-21 02:58 122,880 ----a-w C:\WINDOWS\system32\ati2evxx.dll

2007-12-21 02:57 512,000 ----a-w C:\WINDOWS\system32\ati2evxx.exe

2007-12-21 02:56 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL

2007-12-21 02:53 9,826,304 ----a-w C:\WINDOWS\system32\atioglx2.dll

2007-12-21 02:47 3,120,640 ----a-w C:\WINDOWS\system32\ati3duag.dll

2007-12-21 02:36 1,661,696 ----a-w C:\WINDOWS\system32\ativvaxx.dll

2007-12-21 02:24 46,080 ----a-w C:\WINDOWS\system32\amdpcom32.dll

2007-12-21 02:20 385,024 ----a-w C:\WINDOWS\system32\atikvmag.dll

2007-12-21 02:18 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll

2007-12-21 02:17 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll

2007-12-21 02:15 159,744 ----a-w C:\WINDOWS\system32\atiok3x2.dll

2007-12-21 02:11 499,712 ----a-w C:\WINDOWS\system32\ati2cqag.dll

2007-12-20 23:01 --------- d-----w C:\Program Files\MSXML 4.0

2007-12-20 21:40 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Last.fm

2007-12-20 20:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe

2007-12-20 17:34 --------- d-----w C:\Program Files\Common Files\Ahead

2007-12-20 17:32 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Nero

2007-12-20 17:22 720,896 ----a-w C:\WINDOWS\iun6002.exe

2007-12-20 17:22 --------- d-----w C:\Documents and Settings\Pups\Dane aplikacji\Thunderbird

2007-12-20 17:21 --------- d-----w C:\Program Files\sluchacz

2007-12-20 17:20 --------- d-----w C:\Program Files\CinemaPlayer16beta8

2007-12-20 17:17 --------- d-----w C:\Documents and Settings\Pups\Dane aplikacji\Corel

2007-12-20 17:09 --------- d-----w C:\Program Files\Common Files\InstallShield

2007-12-20 17:09 --------- d-----w C:\Program Files\Common Files\Corel

2007-12-20 17:08 --------- d-----w C:\Program Files\Corel

2007-12-19 21:24 --------- d-----w C:\Program Files\Activision

2007-12-19 21:15 --------- d-----w C:\Program Files\Realtek

2007-12-19 21:10 --------- d-----w C:\Documents and Settings\Pups\Dane aplikacji\Gadu-Gadu

2007-12-19 19:56 --------- d-----w C:\Program Files\Alwil Software

2007-12-19 19:45 315,392 ----a-w C:\WINDOWS\HideWin.exe

2007-12-19 19:44 --------- d-----w C:\Documents and Settings\Pups\Dane aplikacji\InstallShield

2007-12-19 19:43 --------- d-----w C:\Program Files\DIFX

2007-12-19 19:31 --------- d-----w C:\Documents and Settings\Pups\Dane aplikacji\Talkback

2007-12-19 19:23 --------- d-----w C:\Program Files\microsoft frontpage

2007-12-19 19:22 --------- d-----w C:\Program Files\Usługi online

2007-12-18 09:51 179,584 ----a-w C:\WINDOWS\system32\drivers\mrxdav.sys

2007-12-07 02:14 824,832 ----a-w C:\WINDOWS\system32\wininet.dll

2007-12-04 18:42 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll

2007-12-04 01:33 682,496 ----a-w C:\WINDOWS\system32\divx.dll

2007-11-29 22:30 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll

2007-11-29 22:30 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll

2007-11-29 22:30 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll

2007-11-29 22:28 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:44 15360]

"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2007-08-16 12:24 167368]

"SUPERAntiSpyware"="C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]

"eMuleAutoStart"="C:\Program Files\eMule\emule.exe" [2007-05-13 15:57 5308416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SkyTel"="SkyTel.EXE" [2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe]

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" []

"RTHDCPL"="RTHDCPL.EXE" [2007-01-30 11:54 16116224 C:\WINDOWS\RTHDCPL.exe]

"CorelDRAW Graphics Suite 11b"="C:\Program Files\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe" [2003-11-25 13:39 729088]

"Resume copy"="copyfstq.exe" [2002-03-24 12:54 46080 C:\WINDOWS\COPYFSTQ.EXE]

"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2003-06-25 11:24 49152]

"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 15:18 241664]

"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-09-01 12:42 176128]

"DeviceDiscovery"="C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2003-05-21 18:37 229437]

"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2005-01-12 03:01 32768]

"QuickTime Task"="C:\Program Files\QuickTime Alternative\qttask.exe" [2008-02-05 13:17 385024]

"Macromedia Flash Update"="cssrs.exe" []

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:44 15360]

C:\Documents and Settings\Pups\Menu Start\Programy\Autostart\

Adobe Gamma.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:00 113664]

Last.fm Helper.lnk - C:\Program Files\Last.fm\LastFMHelper.exe [2007-12-20 22:39:41 106496]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify!SASWinLogon]

C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

--a------ 2006-12-23 18:05 143360 C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-15 12:12:19

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\system32\wdfmgr.exe

.

**************************************************************************

.

Completion time: 2008-02-15 12:13:35 - machine was rebooted

ComboFix-quarantined-files.txt 2008-02-15 11:13:32

ComboFix2.txt 2008-02-15 07:35:47

ComboFix3.txt 2008-01-30 10:39:40

.

2008-02-13 14:35:24 --- E O F ---


(jessica) #19

@mopak7

Log jest czysty.

Wygląda na to, że ComboFix już wstawił plik udający plik infekcji, po to, by infekcja nie mogła wstawić swego pliku, bo WINDOWS nie dopuści do powstania drugiego pliku o tej samej nazwie w tej samej lokalizacji.

To wszystko.

jessi


(Mopak7) #20

dzięki;)