Pomocy! Wirus rootkit!

system · 13 Kwiecień 2009 19:03

Avast wykrył mi {win32 rootkit[gen]} (dokładnie nie pamiętam).

Proszę o pomoc w usunięciu.

Był bym bardzo wdzięczny.

Oto log z hijacka:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:29:17, on 2009-04-13

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\crypserv.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Program Files\Analog Devices\SoundMAX\Smax4.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

D:\qttask.exe

C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\UAService7.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Olszewscy.SYLWEK\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe

D:\Program Files\DAEMON Tools Lite\daemon.exe

C:\Program Files\Software Informer\softinfo.exe

D:\Program Files\Free Download Manager\fdm.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

D:\ares\Ares.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe

D:\Program Files\Nikon\NkView6\NkvMon.exe

C:\Program Files\ivo\UniSpiker-2.6\uni_spiker-2.6.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Java\jre6\bin\jucheck.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.pl/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - d:\Program Files\Free Download Manager\iefdm2.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM…\Run: [soundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM…\Run: [soundMAX] “C:\Program Files\Analog Devices\SoundMAX\Smax4.exe” /tray

O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe”

O4 - HKLM…\Run: [HP Component Manager] “C:\Program Files\HP\hpcoretech\hpcmpmgr.exe”

O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

O4 - HKLM…\Run: [HP Software Update] “C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe”

O4 - HKLM…\Run: [QuickTime Task] “D:\qttask.exe” -atboottime

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre6\bin\jusched.exe”

O4 - HKLM…\Run: [sXe Injected] D:\Program Files\Valve\sXe Injected\sXe Injected.exe

O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Common Files\Real\Update_OB\realsched.exe” -osboot

O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background

O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized

O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [Gadu-Gadu] “D:\Program Files\Gadu-Gadu\gg.exe” /tray

O4 - HKCU…\Run: [Google Update] “C:\Documents and Settings\Olszewscy.SYLWEK\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe” /c

O4 - HKCU…\Run: [DAEMON Tools Lite] “D:\Program Files\DAEMON Tools Lite\daemon.exe” -autorun

O4 - HKCU…\Run: [Wru] d:\Program Files\Wru\Wru.exe

O4 - HKCU…\Run: [software Informer] “C:\Program Files\Software Informer\softinfo.exe” -autorun

O4 - HKCU…\Run: [Free Download Manager] “d:\Program Files\Free Download Manager\fdm.exe” -autorun

O4 - HKCU…\Run: [ares] “D:\ares\Ares.exe” -h

O4 - HKCU…\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)

O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)

O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)

O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)

O4 - Startup: Rejestracja FIFA 09.lnk = D:\Program Files\EA Sports\FIFA 09\Support\EAregister.exe

O4 - Startup: UniSpiker-2.6.lnk = ?

O4 - Startup: Xfire.lnk = D:\Program Files\Xfire\Xfire.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: BlueSoleil.lnk = C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe

O4 - Global Startup: NkvMon.exe.lnk = D:\Program Files\Nikon\NkView6\NkvMon.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Pobierz plik wideo we Free Download Manager - file://d:\Program Files\Free Download Manager\dlfvideo.htm

O8 - Extra context menu item: Pobierz w Free Download Manager - file://d:\Program Files\Free Download Manager\dllink.htm

O8 - Extra context menu item: Pobierz wszystkie pliki w Free Download Manager - file://d:\Program Files\Free Download Manager\dlall.htm

O8 - Extra context menu item: Pobierz zaznaczone w Free Download Manager - file://d:\Program Files\Free Download Manager\dlselected.htm

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip…{1D8BF07A-2060-4550-ABA0-9273A455FF7C}: NameServer = 82.160.43.13,82.160.43.2

O17 - HKLM\System\CS1\Services\Tcpip…{1D8BF07A-2060-4550-ABA0-9273A455FF7C}: NameServer = 82.160.43.13,82.160.43.2

O17 - HKLM\System\CS2\Services\Tcpip…{1D8BF07A-2060-4550-ABA0-9273A455FF7C}: NameServer = 82.160.43.13,82.160.43.2

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

–

End of file - 10784 bytes

– Dodane 13.04.2009 (Pn) 21:29 –

Proszę pomóżcie mi nie chcę robić formata.

Leon1 · 13 Kwiecień 2009 19:32

Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 uruchom dwuklikiem

pokaż log

Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy

system · 13 Kwiecień 2009 19:35

Czy w tym logu z hijacka nic nie było?

Czy konieczne jest skanowanie combofixem?

Leon1 · 13 Kwiecień 2009 19:44

było ale to usuniemy przy pomocy Combofixa

system · 13 Kwiecień 2009 19:51

Czy konieczne jest wyłączenie antywirusa?

Ps.Dzięki za pomoc nie wiedziałem że tak szybko odpisujecie.

Leon1 · 13 Kwiecień 2009 20:00

raczej tak ponieważ Combofix uważany jest przez antywirusy potencjalnie jako wirus i może być blokowany podczas pobierania i skanu

system · 13 Kwiecień 2009 20:14

Oto log z combofix (prosze odpowiedz szybko jak zawsze):

ComboFix 09-04-13.A2 - Olszewscy 2009-04-13 22:06.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.511.166 [GMT 2:00]

Uruchomiony z: c:\downloads\Software\ComboFix.exe

AV: avast! antivirus 4.8.1335 [VPS 090413-0] *On-access scanning disabled* (Updated)

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Autorun.inf

c:\windows\system32\charset.dll

c:\windows\system32\nmdfgds0.dll

D:\Autorun.inf

G:\Autorun.inf

.

((((((((((((((((((((((((( Pliki utworzone od 2009-03-13 do 2009-04-13 )))))))))))))))))))))))))))))))

.

2009-03-29 13:37 . 2009-03-29 13:37 57344 ----a-w c:\windows\SSEUninstaller.exe

2009-03-29 13:36 . 2009-03-29 13:36 44544 ----a-w c:\windows\system32\Gif89.dll

2009-03-29 13:36 . 2009-03-29 13:36 32768 ----a-w c:\windows\system32\ShellLnkSSE.dll

2009-03-16 12:02 . 2009-03-16 12:02 -------- d-----w c:\documents and settings\Olszewscy.SYLWEK\Dane aplikacji\Ashampoo

2009-03-16 12:01 . 2008-06-02 12:10 1363968 ----a-w c:\windows\system32\HDX4H263Decoder.ax

2009-03-16 12:01 . 2008-06-02 12:10 167936 ----a-w c:\windows\system32\HDX4FlashDemuxer.ax

2009-03-15 14:10 . 2009-04-13 20:09 -------- d-----w c:\documents and settings\Olszewscy.SYLWEK\Dane aplikacji\Free Download Manager

2009-03-15 14:10 . 2009-03-15 14:10 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\FreeDownloadManager.ORG

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-13 18:27 . 2009-04-13 18:27 -------- d-----w c:\program files\Trend Micro

2009-04-13 18:16 . 2009-02-16 16:52 -------- d-----w c:\documents and settings\Olszewscy.SYLWEK\Dane aplikacji\Software Informer

2009-03-29 13:37 . 2009-03-29 13:37 -------- d-----w c:\program files\AviSynth 2.5

2009-03-23 07:26 . 2009-02-23 07:56 -------- d-----w c:\program files\Common Files\Adobe

2009-03-13 15:46 . 2009-03-13 15:46 -------- d-----w c:\documents and settings\Olszewscy.SYLWEK\Dane aplikacji\Alawar

2009-02-19 14:12 . 2006-04-06 16:29 -------- d–h--w c:\program files\InstallShield Installation Information

2009-02-18 19:09 . 2006-12-23 11:27 -------- d-----w c:\documents and settings\Olszewscy.SYLWEK\Dane aplikacji\Ahead

2009-02-18 19:02 . 2009-02-18 18:59 -------- d-----w c:\program files\Common Files\Ahead

2009-02-18 18:59 . 2009-02-18 18:59 -------- d-----w c:\program files\Nero

2009-02-18 18:46 . 2006-04-08 12:43 -------- d-----w c:\program files\Ahead

2009-02-16 16:52 . 2009-02-16 16:52 -------- d-----w c:\program files\Software Informer

2009-02-13 17:15 . 2009-02-13 17:15 -------- d-----w c:\program files\Common Files\xing shared

2009-02-13 17:15 . 2009-02-13 17:14 -------- d-----w c:\program files\Common Files\Real

2009-02-13 17:15 . 2009-02-13 17:15 -------- d-----w c:\program files\Real

2009-02-09 14:19 . 2004-08-04 12:00 1846528 ----a-w c:\windows\system32\win32k.sys

2009-02-04 18:20 . 2006-04-17 14:52 3580 ----a-w c:\windows\system32\d3d9caps.dat

2008-11-15 07:52 . 2007-02-02 17:50 46888 ----a-w c:\documents and settings\Olszewscy.SYLWEK\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2007-10-07 18:51 . 2007-10-07 18:51 141 ----a-w c:\documents and settings\Olszewscy.SYLWEK\Ustawienia lokalne\Dane aplikacji\fusioncache.dat

1999-01-20 02:31 . 2007-11-25 16:08 126976 ----a-w c:\documents and settings\Olszewscy.SYLWEK\BINKW32.DLL

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“MSMSGS”=“c:\program files\Messenger\msmsgs.exe” [2004-10-13 1694208]

“Skype”=“c:\program files\Skype\Phone\Skype.exe” [2008-11-07 21633320]

“ctfmon.exe”=“c:\windows\system32\ctfmon.exe” [2004-08-04 15360]

“Gadu-Gadu”=“d:\program files\Gadu-Gadu\gg.exe” [2007-11-14 2131392]

“Google Update”=“c:\documents and settings\Olszewscy.SYLWEK\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe” [2008-09-03 133104]

“DAEMON Tools Lite”=“d:\program files\DAEMON Tools Lite\daemon.exe” [2008-12-10 216520]

“Software Informer”=“c:\program files\Software Informer\softinfo.exe” [2009-02-12 1716293]

“Free Download Manager”=“d:\program files\Free Download Manager\fdm.exe” [2009-01-31 3399727]

“ares”=“d:\ares\Ares.exe” [2008-11-23 880640]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“ATIPTA”=“c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe” [2003-09-12 335872]

“SoundMAXPnP”=“c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe” [2003-05-29 790528]

“RemoteControl”=“c:\program files\CyberLink\PowerDVD\PDVDServ.exe” [2003-10-31 32768]

“HP Component Manager”=“c:\program files\HP\hpcoretech\hpcmpmgr.exe” [2003-12-22 241664]

“HPDJ Taskbar Utility”=“c:\windows\system32\spool\drivers\w32x86\3\hpztsb10.exe” [2004-03-04 172032]

“HP Software Update”=“c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe” [2004-02-18 49152]

“QuickTime Task”=“D:\qttask.exe” [2006-07-04 98304]

“avast!”=“c:\progra~1\ALWILS~1\Avast4\ashDisp.exe” [2009-02-05 81000]

“SunJavaUpdateSched”=“c:\program files\Java\jre6\bin\jusched.exe” [2008-12-01 136600]

“TkBellExe”=“c:\program files\Common Files\Real\Update_OB\realsched.exe” [2009-02-13 185872]

“NeroFilterCheck”=“c:\windows\system32\NeroCheck.exe” [2001-07-09 155648]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“AntiVirusOverride”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“c:\Program Files\GameSpy Arcade\Aphex.exe”=

“d:\Program Files\Codemasters\Worms 4 Totalna Rozwałka\WORMS 4 MAYHEM.EXE”=

“c:\Program Files\EA SPORTS\FIFA 2005\fifa2005.exe”=

“d:\Program Files\Gadu-Gadu\gg.exe”=

“c:\Program Files\Opera\Opera.exe”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“c:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe”=

“d:\Ares\Ares.exe”=

“c:\Program Files\Skype\Phone\Skype.exe”=

R3 asbp2poa;asbp2poa; [x]

R3 ddsxeiservice;ddsxeiservice2; [x]

R3 GAGPDrv;GAGPDrv; [x]

S1 aswSP;avast! Self Protection; [x]

S1 ShldDrv;Panda File Shield Driver; [x]

S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-02-05 20560]

S2 PavProc;Panda Process Protection Driver;c:\windows\system32\DRIVERS\PavProc.sys [2003-10-08 160176]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{6a0bdb36-1169-11de-9521-0011678e0663}]

\Shell\AutoRun\command - I:\i.cmd

\Shell\open\Command - I:\i.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{6abe3423-c595-11da-8c6b-806d6172696f}]

\Shell\AutoRun\command - i.cmd

\Shell\open\Command - i.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{6abe3424-c595-11da-8c6b-806d6172696f}]

\Shell\AutoRun\command - i.cmd

\Shell\open\Command - i.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{6ef24a44-b275-11dc-90f5-00e04d55cb4a}]

\Shell\AutoRun\command - sysboot.scr

\Shell\open\Command - sysboot.scr

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{be24496e-44a3-11db-8a9a-806d6172696f}]

\Shell\AutoRun\command - i.cmd

\Shell\open\Command - i.cmd

.

Zawartość folderu ‘Zaplanowane zadania’

2009-04-13 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1644491937-1383384898-839522115-1004.job

c:\documents and settings\Olszewscy.SYLWEK\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2008-09-03 17:14]

.

- - - USUNIĘTO PUSTE WPISY - - - -

HKCU-Run-Wru - d:\program files\Wru\Wru.exe

HKCU-Run-cdoosoft - c:\windows\system32\olhrwef.exe

HKCU-Run-fsm - (no file)

HKLM-Run-sXe Injected - d:\program files\Valve\sXe Injected\sXe Injected.exe

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.google.pl/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}sourceid=ie7rls=com.microsoft:en-USie=utf8oe=utf8

uInternet Connection Wizard,ShellNext = hxxp://www.google.pl/

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Eksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Pobierz plik wideo we Free Download Manager - file://d:\program files\Free Download Manager\dlfvideo.htm

IE: Pobierz w Free Download Manager - file://d:\program files\Free Download Manager\dllink.htm

IE: Pobierz wszystkie pliki w Free Download Manager - file://d:\program files\Free Download Manager\dlall.htm

IE: Pobierz zaznaczone w Free Download Manager - file://d:\program files\Free Download Manager\dlselected.htm

TCP: {1D8BF07A-2060-4550-ABA0-9273A455FF7C} = 82.160.43.13,82.160.43.2

FF - ProfilePath - c:\documents and settings\Olszewscy.SYLWEK\Dane aplikacji\Mozilla\Firefox\Profiles\so06bkn4.default\

FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=ie=UTF-8oe=UTF-8q=

FF - prefs.js: browser.search.selectedEngine - DAEMON Search

FF - component: c:\program files\Real\RealPlayer\browserrecord\components\nprpbrowserrecordplugin.dll

FF - component: d:\program files\Free Download Manager\Firefox\Extension\components\vmsfdmff.dll

FF - plugin: c:\documents and settings\All Users\Dane aplikacji\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll

FF - plugin: c:\documents and settings\Olszewscy.SYLWEK\Ustawienia lokalne\Dane aplikacji\Google\Update\1.2.141.5\npGoogleOneClick7.dll

.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-13 22:09

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów …

skanowanie ukrytych wpisów autostartu …

skanowanie ukrytych plików …

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_USERS\S-1-5-21-1644491937-1383384898-839522115-1004\Software\SecuROM\License information*]

“datasecu”=hex:58,2f,29,2f,ce,d9,33,e0,06,68,f2,84,89,c5,ea,be,44,17,bb,c8,4b,

0b,4f,3a,06,1f,bd,e9,6f,11,e9,fe,ce,f4,f6,0a,59,05,2c,03,c4,d2,b9,c4,66,0a,\

“rkeysecu”=hex:de,98,e9,ac,af,78,95,01,e0,88,b1,04,15,75,8a,de

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - ‘winlogon.exe’(720)

c:\windows\SYSTEM32\Ati2evxx.dll

.

Czas ukończenia: 2009-04-13 22:11

ComboFix-quarantined-files.txt 2009-04-13 20:11

Przed: 16 065 413 120 bajtów wolnych

Po: 17,040,011,264 bajtów wolnych

167 — E O F — 2009-03-20 07:50

Leon1 · 13 Kwiecień 2009 20:25

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

lub format

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

system · 14 Kwiecień 2009 07:56

Oto ponowny log z combofixa:

ComboFix 09-04-13.A2 - Olszewscy 2009-04-14 9:43.2 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.511.187 [GMT 2:00]

Uruchomiony z: c:\downloads\Software\ComboFix.exe

Użyto następujących komend :: c:\downloads\Software\CFScript.txt

AV: avast! antivirus 4.8.1335 [VPS 090413-0] *On-access scanning disabled* (Updated)

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_ASBP2POA

-------\Legacy_ASWSP

-------\Legacy_DDSXEISERVICE

-------\Legacy_SHLDDRV

-------\Service_asbp2poa

-------\Service_aswSP

-------\Service_ddsxeiservice

-------\Service_GAGPDrv

-------\Service_ShldDrv

((((((((((((((((((((((((( Pliki utworzone od 2009-03-14 do 2009-04-14 )))))))))))))))))))))))))))))))

.

2009-03-29 13:37 . 2009-03-29 13:37 57344 ----a-w c:\windows\SSEUninstaller.exe

2009-03-29 13:36 . 2009-03-29 13:36 44544 ----a-w c:\windows\system32\Gif89.dll

2009-03-29 13:36 . 2009-03-29 13:36 32768 ----a-w c:\windows\system32\ShellLnkSSE.dll

2009-03-16 12:02 . 2009-03-16 12:02 -------- d-----w c:\documents and settings\Olszewscy.SYLWEK\Dane aplikacji\Ashampoo

2009-03-16 12:01 . 2008-06-02 12:10 1363968 ----a-w c:\windows\system32\HDX4H263Decoder.ax

2009-03-16 12:01 . 2008-06-02 12:10 167936 ----a-w c:\windows\system32\HDX4FlashDemuxer.ax

2009-03-15 14:10 . 2009-04-14 07:47 -------- d-----w c:\documents and settings\Olszewscy.SYLWEK\Dane aplikacji\Free Download Manager

2009-03-15 14:10 . 2009-03-15 14:10 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\FreeDownloadManager.ORG

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-14 07:34 . 2009-02-16 16:52 -------- d-----w c:\documents and settings\Olszewscy.SYLWEK\Dane aplikacji\Software Informer