Ponowne zarazenie amvo

Dla specjalistów Bezpieczeństwo
#1

Znow zarazilem sie amvo.exe

Log z hjt :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:51:07, on 2008-05-03

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Program Files\Creative\Shared Files\CTDevSrv.exe

C:\Program Files\Executive Software\Diskeeper\DkService.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\BearShare\BearShare.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [DiskeeperSystray] “C:\Program Files\Executive Software\Diskeeper\DkIcon.exe”

O4 - HKLM…\Run: [HPWT myPrintMileage Agent] C:\Program Files\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe”

O4 - HKLM…\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe”

O4 - HKCU…\Run: [amva] C:\WINDOWS\system32\amvo.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra ‘Tools’ menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virus … nicode.cab

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

End of file - 6190 bytes

#2

Do wyleczenia pendrive z wirusów użyj http://www.brothersoft.com/prt-(perlovga-removal-tool-60877.html lub format

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\amvo.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

#3

Dajew log po usuwaniu combo :

ComboFix 08-05-01.3 - Żarko 2008-05-03 13:59:15.3 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.576 [GMT 2:00]

Running from: C:\Documents and Settings\Żarko\Pulpit\ComboFix.exe

Command switches used :: C:\Documents and Settings\Żarko\Pulpit\CFScript.txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

FILE ::

C:\WINDOWS\system32\amvo.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\autorun.inf

C:\WINDOWS\system32\amvo.exe

C:\WINDOWS\xmg.exe

D:\Autorun.inf

.

((((((((((((((((((((((((( Files Created from 2008-04-03 to 2008-05-03 )))))))))))))))))))))))))))))))

.

2008-05-03 13:46 . 2008-04-28 12:37 104,269 -r-hs---- C:\jfvkcsy.bat

2008-05-03 07:25 . 2008-05-03 07:25

2008-05-03 07:03 . 2008-05-03 07:03

2008-05-03 07:03 . 2008-05-03 07:03

2008-05-03 06:39 . 2008-05-03 06:39

2008-04-05 19:59 . 2008-04-05 20:01 151 --a------ C:\WINDOWS\PhotoSnapViewer.INI

2008-04-03 20:09 . 2006-03-02 14:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-03 11:30 --------- d-----w C:\Program Files\SpeedFan

2008-04-28 11:00 --------- d–h--w C:\Program Files\InstallShield Installation Information

2008-04-27 04:32 --------- d-----w C:\Program Files\Valve

2008-04-27 04:32 --------- d-----w C:\Program Files\sXe Injected

2008-04-26 05:26 --------- d-----w C:\Program Files\SkanerOnline

2008-04-08 19:02 --------- d-----w C:\Documents and Settings\Żarko\Dane aplikacji\Skype

2008-04-04 11:04 --------- d-----w C:\Documents and Settings\Żarko\Dane aplikacji\skypePM

2008-03-22 11:01 --------- d-----w C:\Program Files\Gadu-Gadu

2008-03-21 13:00 --------- d-----w C:\Documents and Settings\Żarko\Dane aplikacji\Ahead

2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\win32k.sys

2008-03-12 18:38 --------- d-----w C:\Program Files\Common Files\Ahead

2008-03-12 18:36 --------- d-----w C:\Program Files\Nero

2008-03-12 17:49 --------- d-----w C:\Program Files\MSXML 4.0

2008-03-01 13:02 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-02-21 18:04 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat

2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll

2008-02-20 05:38 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll

2008-01-02 16:23 19,552 ----a-w C:\Documents and Settings\Żarko\Dane aplikacji\GDIPFONTCACHEV1.DAT

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2006-03-02 14:00 15360]

“BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”=“C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe” [2006-03-01 20:43 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2007-12-05 02:41 8523776]

“nwiz”=“nwiz.exe” [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]

“NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2007-12-05 02:41 81920]

“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2008-03-29 19:37 79224]

“DiskeeperSystray”=“C:\Program Files\Executive Software\Diskeeper\DkIcon.exe” [2005-07-26 18:52 184408]

“HPWT myPrintMileage Agent”=“C:\Program Files\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe” [2005-01-26 04:45 102400]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” [2007-09-25 02:11 132496]

“NeroFilterCheck”=“C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe” [2006-01-12 16:40 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“AntiVirusOverride”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“C:\Program Files\Valve\hl.exe”=

“C:\Program Files\BearShare\BearShare.exe”=

“C:\Program Files\Gadu-Gadu\gg.exe”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“C:\Program Files\Skype\Phone\Skype.exe”=

“C:\WINDOWS\system32\dpvsetup.exe”=

“C:\WINDOWS\system32\rundll32.exe”=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]

R3 tj2knd5;Terayon Cable Modem (NDIS);C:\WINDOWS\system32\DRIVERS\tj2knd5.sys [2005-11-25 06:23]

R3 tj2kunic;Terayon Cable Modem (WDM);C:\WINDOWS\system32\DRIVERS\tj2kunic.sys [2005-11-25 06:23]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{0504d80f-b547-11dc-9f93-00909c0a4db5}]

\Shell\AutoRun\command - G:\jfvkcsy.bat

\Shell\explore\Command - G:\jfvkcsy.bat

\Shell\open\Command - G:\jfvkcsy.bat

.

Contents of the ‘Scheduled Tasks’ folder

“2008-03-19 06:38:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job”

  • C:\Program Files\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-03 14:00:07

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-05-03 14:00:37

ComboFix-quarantined-files.txt 2008-05-03 12:00:31

ComboFix2.txt 2008-05-03 06:50:28

Pre-Run: 20,653,359,104 bajtów wolnych

Post-Run: 20,646,002,688 bajtów wolnych

104 — E O F — 2008-04-09 13:51:40

#4

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\jfvkcsy.bat


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Wykonaj format pendrive!

#5

nowy log :

ComboFix 08-05-01.3 - Żarko 2008-05-03 14:09:53.4 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.569 [GMT 2:00]

Running from: C:\Documents and Settings\Żarko\Pulpit\ComboFix.exe

Command switches used :: C:\Documents and Settings\Żarko\Pulpit\CFScript.txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

FILE ::

C:\jfvkcsy.bat

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\jfvkcsy.bat

.

((((((((((((((((((((((((( Files Created from 2008-04-03 to 2008-05-03 )))))))))))))))))))))))))))))))

.

2008-05-03 07:25 . 2008-05-03 07:25

2008-05-03 07:03 . 2008-05-03 07:03

2008-05-03 07:03 . 2008-05-03 07:03

2008-05-03 06:39 . 2008-05-03 06:39

2008-04-05 19:59 . 2008-04-05 20:01 151 --a------ C:\WINDOWS\PhotoSnapViewer.INI

2008-04-03 20:09 . 2006-03-02 14:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-03 11:30 --------- d-----w C:\Program Files\SpeedFan

2008-04-28 11:00 --------- d–h--w C:\Program Files\InstallShield Installation Information

2008-04-27 04:32 --------- d-----w C:\Program Files\Valve

2008-04-27 04:32 --------- d-----w C:\Program Files\sXe Injected

2008-04-26 05:26 --------- d-----w C:\Program Files\SkanerOnline

2008-04-08 19:02 --------- d-----w C:\Documents and Settings\Żarko\Dane aplikacji\Skype

2008-04-04 11:04 --------- d-----w C:\Documents and Settings\Żarko\Dane aplikacji\skypePM

2008-03-22 11:01 --------- d-----w C:\Program Files\Gadu-Gadu

2008-03-21 13:00 --------- d-----w C:\Documents and Settings\Żarko\Dane aplikacji\Ahead

2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\win32k.sys

2008-03-12 18:38 --------- d-----w C:\Program Files\Common Files\Ahead

2008-03-12 18:36 --------- d-----w C:\Program Files\Nero

2008-03-12 17:49 --------- d-----w C:\Program Files\MSXML 4.0

2008-03-01 13:02 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-02-21 18:04 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat

2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll

2008-02-20 05:38 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll

2008-01-02 16:23 19,552 ----a-w C:\Documents and Settings\Żarko\Dane aplikacji\GDIPFONTCACHEV1.DAT

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2006-03-02 14:00 15360]

“BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”=“C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe” [2006-03-01 20:43 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2007-12-05 02:41 8523776]

“nwiz”=“nwiz.exe” [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]

“NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2007-12-05 02:41 81920]

“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2008-03-29 19:37 79224]

“DiskeeperSystray”=“C:\Program Files\Executive Software\Diskeeper\DkIcon.exe” [2005-07-26 18:52 184408]

“HPWT myPrintMileage Agent”=“C:\Program Files\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe” [2005-01-26 04:45 102400]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” [2007-09-25 02:11 132496]

“NeroFilterCheck”=“C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe” [2006-01-12 16:40 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“AntiVirusOverride”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“C:\Program Files\Valve\hl.exe”=

“C:\Program Files\BearShare\BearShare.exe”=

“C:\Program Files\Gadu-Gadu\gg.exe”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“C:\Program Files\Skype\Phone\Skype.exe”=

“C:\WINDOWS\system32\dpvsetup.exe”=

“C:\WINDOWS\system32\rundll32.exe”=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]

R3 tj2knd5;Terayon Cable Modem (NDIS);C:\WINDOWS\system32\DRIVERS\tj2knd5.sys [2005-11-25 06:23]

R3 tj2kunic;Terayon Cable Modem (WDM);C:\WINDOWS\system32\DRIVERS\tj2kunic.sys [2005-11-25 06:23]

.

Contents of the ‘Scheduled Tasks’ folder

“2008-03-19 06:38:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job”

  • C:\Program Files\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-03 14:10:35

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-05-03 14:10:58

ComboFix-quarantined-files.txt 2008-05-03 12:10:54

ComboFix2.txt 2008-05-03 12:00:37

ComboFix3.txt 2008-05-03 06:50:28

Pre-Run: 20,625,690,624 bajtów wolnych

Post-Run: 20,616,441,856 bajtów wolnych

97 — E O F — 2008-04-09 13:51:40

W dniu 03.05.2008 , o godzinie 14:16 został dopisany post przez luczki

pomozcie prosze

#6

Log wyglada na czysty

Usuń ręcznie folder C: \Qoobox

usuń instalkę Combofix z dysku.

Optymalizacja autostartu

Optymalizacja xp

Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

#7

Dobra za 1,5 godz dam log z kaspra

#8

olcia9393 , daruj sobie te porady :evil: Ten dział to nie piaskownica dla dzieci

#9

Daje log z kaspersky:

KASPERSKY ONLINE SCANNER REPORT

3 maj 2008 16:58:21

System operacyjny: Microsoft Windows XP Home Edition, Dodatek Service Pack 2 (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.0

Ostatnia aktualizacja Kaspersky Anti-Virus 3/05/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus737090

Ustawienia skanowania:

Skanowanie przy użyciu następujących baz danych: rozszerzone

Skanuj archiwa: tak

Skanuj pocztowe bazy danych: tak

Obszar skanowania - Mój komputer:

A:\

C:\

D:\

E:\

Statystyki skanowania:

Liczba skanowanych obiektów: 47215

Liczba wykrytych wirusów: 2

Liczba zainfekowanych obiektów: 6

Liczba podejrzanych obiektów: 0

Czas trwania skanowania: 01:10:10

Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\Żarko\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\Żarko\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\Żarko\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\Żarko\Ustawienia lokalne\Dane aplikacji\Microsoft\Feeds Cache\index.dat Object is locked pominięty

C:\Documents and Settings\Żarko\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\Żarko\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\Żarko\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\xyor4mdl.default\Cache_CACHE_001_ Object is locked pominięty

C:\Documents and Settings\Żarko\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\xyor4mdl.default\Cache_CACHE_002_ Object is locked pominięty

C:\Documents and Settings\Żarko\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\xyor4mdl.default\Cache_CACHE_003_ Object is locked pominięty

C:\Documents and Settings\Żarko\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\xyor4mdl.default\Cache_CACHE_MAP_ Object is locked pominięty

C:\Documents and Settings\Żarko\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\Żarko\Ustawienia lokalne\Historia\History.IE5\MSHist012008050320080504\index.dat Object is locked pominięty

C:\Documents and Settings\Żarko\Ustawienia lokalne\Temp~DF2908.tmp Object is locked pominięty

C:\Documents and Settings\Żarko\Ustawienia lokalne\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked pominięty

C:\Documents and Settings\Żarko\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\mksbasel.cpp.log Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\report\Osłona rezydentna.txt Object is locked pominięty

C:\Program Files\BearShare\db\library.2.db Object is locked pominięty

C:\Program Files\BearShare\db\library.db Object is locked pominięty

C:\Program Files\BearShare\Temp\TMPZjadacz Grzechów (Lektor Pl) - Horror.avi Object is locked pominięty

C:\Program Files\SkanerOnline\Raporty\2008-05-03_15-34-29.mrp Object is locked pominięty

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

C:\System Volume Information_restore{2DC7039C-E69C-4613-B6E2-110E8EA0C328}\RP6\A0000169.exe Zainfekowanych: Worm.Win32.AutoRun.dpg pominięty

C:\System Volume Information_restore{2DC7039C-E69C-4613-B6E2-110E8EA0C328}\RP6\A0000170.exe Zainfekowanych: Worm.Win32.AutoRun.dpg pominięty

C:\System Volume Information_restore{2DC7039C-E69C-4613-B6E2-110E8EA0C328}\RP6\A0000171.inf Zainfekowanych: Trojan-PSW.Win32.OnLineGames.acgu pominięty

C:\System Volume Information_restore{2DC7039C-E69C-4613-B6E2-110E8EA0C328}\RP7\A0000211.bat Zainfekowanych: Trojan-PSW.Win32.OnLineGames.acgu pominięty

C:\System Volume Information_restore{2DC7039C-E69C-4613-B6E2-110E8EA0C328}\RP7\change.log Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\EventCache{0A121333-1A40-47A8-8118-A93551E9997A}.bin Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\Internet.evt Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\Temp\Perflib_Perfdata_2ec.dat Object is locked pominięty

C:\WINDOWS\Temp\Perflib_Perfdata_550.dat Object is locked pominięty

C:\WINDOWS\Temp_avast4_\Webshlock.txt Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

D:\jfvkcsy.bat Zainfekowanych: Trojan-PSW.Win32.OnLineGames.acgu pominięty

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

D:\System Volume Information_restore{2DC7039C-E69C-4613-B6E2-110E8EA0C328}\RP6\A0000172.inf Zainfekowanych: Trojan-PSW.Win32.OnLineGames.acgu pominięty

D:\System Volume Information_restore{2DC7039C-E69C-4613-B6E2-110E8EA0C328}\RP7\change.log Object is locked pominięty

Proces skanowania został zakończony.

#10

Pobierz Avenger

wklej do niego ten tekst:

Files to delete:

D:\jfvkcsy.bat

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Powinno być ok

:slight_smile:

#11

A moge to usunac combo ?

#12

Tak tylko co to zmienia?

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

D:\jfvkcsy.bat

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła

się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

#13

Log po usuwaniu combo :

ComboFix 08-05-01.3 - Żarko 2008-05-03 18:03:14.5 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.563 [GMT 2:00]

Running from: C:\Documents and Settings\Żarko\Pulpit\ComboFix.exe

Command switches used :: C:\Documents and Settings\Żarko\Pulpit\CFScript.txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

FILE ::

D:\jfvkcsy.bat

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

D:\jfvkcsy.bat

.

((((((((((((((((((((((((( Files Created from 2008-04-03 to 2008-05-03 )))))))))))))))))))))))))))))))

.

2008-05-03 07:25 . 2008-05-03 07:25

2008-05-03 07:03 . 2008-05-03 07:03

2008-05-03 07:03 . 2008-05-03 07:03

2008-05-03 06:39 . 2008-05-03 06:39

2008-04-05 19:59 . 2008-04-05 20:01 151 --a------ C:\WINDOWS\PhotoSnapViewer.INI

2008-04-03 20:09 . 2006-03-02 14:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-03 11:30 --------- d-----w C:\Program Files\SpeedFan

2008-04-28 11:00 --------- d–h--w C:\Program Files\InstallShield Installation Information

2008-04-27 04:32 --------- d-----w C:\Program Files\Valve

2008-04-27 04:32 --------- d-----w C:\Program Files\sXe Injected

2008-04-26 05:26 --------- d-----w C:\Program Files\SkanerOnline

2008-04-08 19:02 --------- d-----w C:\Documents and Settings\Żarko\Dane aplikacji\Skype

2008-04-04 11:04 --------- d-----w C:\Documents and Settings\Żarko\Dane aplikacji\skypePM

2008-03-22 11:01 --------- d-----w C:\Program Files\Gadu-Gadu

2008-03-21 13:00 --------- d-----w C:\Documents and Settings\Żarko\Dane aplikacji\Ahead

2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\win32k.sys

2008-03-12 18:38 --------- d-----w C:\Program Files\Common Files\Ahead

2008-03-12 18:36 --------- d-----w C:\Program Files\Nero

2008-03-12 17:49 --------- d-----w C:\Program Files\MSXML 4.0

2008-03-01 13:02 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-02-21 18:04 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat

2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll

2008-02-20 05:38 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll

2008-01-02 16:23 19,552 ----a-w C:\Documents and Settings\Żarko\Dane aplikacji\GDIPFONTCACHEV1.DAT

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2006-03-02 14:00 15360]

“BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”=“C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe” [2006-03-01 20:43 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2007-12-05 02:41 8523776]

“nwiz”=“nwiz.exe” [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]

“NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2007-12-05 02:41 81920]

“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2008-03-29 19:37 79224]

“DiskeeperSystray”=“C:\Program Files\Executive Software\Diskeeper\DkIcon.exe” [2005-07-26 18:52 184408]

“HPWT myPrintMileage Agent”=“C:\Program Files\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe” [2005-01-26 04:45 102400]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” [2007-09-25 02:11 132496]

“NeroFilterCheck”=“C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe” [2006-01-12 16:40 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“AntiVirusOverride”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“C:\Program Files\Valve\hl.exe”=

“C:\Program Files\BearShare\BearShare.exe”=

“C:\Program Files\Gadu-Gadu\gg.exe”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“C:\Program Files\Skype\Phone\Skype.exe”=

“C:\WINDOWS\system32\dpvsetup.exe”=

“C:\WINDOWS\system32\rundll32.exe”=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]

R3 tj2knd5;Terayon Cable Modem (NDIS);C:\WINDOWS\system32\DRIVERS\tj2knd5.sys [2005-11-25 06:23]

R3 tj2kunic;Terayon Cable Modem (WDM);C:\WINDOWS\system32\DRIVERS\tj2kunic.sys [2005-11-25 06:23]

.

Contents of the ‘Scheduled Tasks’ folder

“2008-03-19 06:38:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job”

  • C:\Program Files\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-03 18:04:09

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-05-03 18:04:39

ComboFix-quarantined-files.txt 2008-05-03 16:04:34

ComboFix2.txt 2008-05-03 12:10:58

Pre-Run: 20,670,574,592 bajtów wolnych

Post-Run: 20,661,669,888 bajtów wolnych

96 — E O F — 2008-04-09 13:51:40

#14

Log wyglada na czysty

Usuń ręcznie folder C: \Qoobox

usuń instalkę Combofix z dysku.

Optymalizacja autostartu

Optymalizacja xp

Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

#15

Huber2t. Bardzo mi pomogles. jutro juz przeskanuje kasperskim i mam nadzieje ze niec nie wykryje. A jesli nawet to mam nadzieje ze mi pomozesz.