Problem po usunięciu wirusa


(Karoldruc) #1

po przeglądaniu stron internetowych wyskoczyło mi na pulpit kilka ikonek ( w tym trojan). usunąłem je programem o nazwie unlocker, ale teraz chciałem jeszcze przejglądnąć procesy i wciskając kombinację alt+ctrl+del wyskoczył mi następujący komunikat:

http://img217.imageshack.us/img217/3599/kopot1rt9.jpg

to jest mój komputer i nie wyłączałem dostępu do menadżera zadań. I jeszcze jedno: za co odpowiada plik wml.exe?? ponieważ wchodząc na to forum wyskoczył mi jakiś skaner (chyba) i pokazał, że ten plik jest prawdopodobnie zagrożony, ale ja go nawet nie znalazłem w tej lokalizacji w jakiej mi go pokazywał ten program, czyli C:\WINDOWS\WML.EXE

W dniu 28.04.2008 , o godzinie 20:20 został dopisany post przez Arcane

zapomniałem dodać, że komputer się trochę wolniej rusza, a tak poza tym nic się nie dzieje. Obawiam się jednak, iż po pewnym czasie mogą wyniknąć problemy...

W dniu 28.04.2008 , o godzinie 20:34 został dopisany post przez Arcane

proszę o szybką odpowiedź...


(Asterisk) #2

Zapoznaj się proszę z tą stroną i zmień tytuł na

konkretny. Inaczej temat poleci do śmietnika.

Masz 528 postów i nadal nie wiesz, że logi umieszczamy

zawsze w tym temacie, w którym zaistnieje taka potrzeba ?


(Cosik Ktosik) #3

Przepraszam.

Tak więc Arcane , podaj logi z programu HijackThis. Więcej o HJT znajdziesz w tym linku: viewtopic.php?f=16&t=36654


(Karoldruc) #4

Zmieniłbym temat, gdyby można było zprecyzować to, co się stało. Poprostu temat byłby zbyt długi. Nie kasujcie tematu, bo jest mi potrzebna pomoc! !!

W dniu 29.04.2008 , o godzinie 21:54 został dopisany post przez Arcane

podaję logi z programu HijackThis:

http://wklej.org/id/2a867acbc0

(huber2t) #5

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\ofifqxsh.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła

się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.


(Karoldruc) #6

ComboFix 08-04-29.3 - x 2008-04-30 16:43:25.3 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.70 [GMT 2:00]

Running from: D:\karool\ComboFix.exe

Command switches used :: D:\karool\CFScript.txt

* Created a new restore point

* Resident AV is active

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

FILE ::

C:\WINDOWS\system32\ofifqxsh.exe

.

((((((((((((((((((((((((( Files Created from 2008-03-28 to 2008-04-30 )))))))))))))))))))))))))))))))

.

2008-04-30 16:30 . 2008-04-30 16:30 106,496 --a------ C:\WINDOWS\system32\doxklsti.exe

2008-04-29 13:51 . 2008-04-29 13:59

2008-04-28 19:47 . 2008-04-28 19:47

2008-04-28 19:47 . 2008-04-28 19:47 4,096 --a------ C:\WINDOWS\system32\WINWGPX.EXE

2008-04-21 15:31 . 2008-04-21 15:31

2008-04-09 17:52 . 2008-04-09 18:17

2008-03-25 19:38 . 2008-03-25 19:38

2008-03-19 09:19 . 2008-03-19 09:20

2008-03-19 09:19 . 2008-03-19 09:20

2008-03-12 18:14 . 2008-04-28 19:53

2008-03-12 18:13 . 2008-04-30 16:28

2008-03-12 18:13 . 2008-03-12 18:13 77,824 --a----t- C:\WINDOWS\system32\DRWEBSP.DLL

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-30 14:28 --------- d-----w C:\Program Files\DialNet

2008-04-25 11:48 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-04-24 15:14 --------- dc----w C:\Documents and Settings\x\Dane aplikacji\Tibia

2008-04-20 15:31 --------- d-----w C:\Program Files\Championship Manager 5 Demo

2008-04-20 15:27 --------- d-----w C:\Program Files\Polskie Derby

2008-04-08 18:35 --------- dc----w C:\Documents and Settings\x\Dane aplikacji\BearShare

2008-04-08 16:23 --------- dc--a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP

2008-03-05 15:32 19,688 -c--a-w C:\Documents and Settings\x\Dane aplikacji\GDIPFONTCACHEV1.DAT

2008-01-14 12:52 81,920 ----a-w C:\WINDOWS\system32\frapsvid.dll

2007-10-20 08:21 149 -c--a-w C:\Program Files\INSTALL.LOG

2001-11-23 04:08 712,704 -c--a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL

2007-11-15 15:12 56 -csh--r C:\WINDOWS\system32\6E12D84BB1.sys

2007-11-15 15:12 848 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys

.

((((((((((((((((((((((((((((( snapshot@2008-04-30_16.09.53,22 )))))))))))))))))))))))))))))))))))))))))

.

  • 2008-04-30 12:15:16 2,048 --s-a-w C:\WINDOWS\bootstat.dat

  • 2008-04-30 14:28:24 2,048 --s-a-w C:\WINDOWS\bootstat.dat

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 18:05 143360]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-09 19:36 68856]

"PC-Cleaner"="C:\Program Files\PC-Cleaner\PC-Cleaner.exe" []

"vzybsneg"="C:\WINDOWS\system32\doxklsti.exe" [2008-04-30 16:30 106496]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CapFax"="C:\Program Files\Classic PhoneTools\CapFax.EXE" [2001-12-10 18:34 20739]

"SoundMan"="SOUNDMAN.EXE" [2003-08-15 09:34 57344 C:\WINDOWS\SOUNDMAN.EXE]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]

"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 12:15 106496]

"Cmaudio"="cmicnfg.cpl" []

"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648]

"RestartNeroSetup"="F:\CDS\Nero\Installation\SetupX.exe" []

"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 15:10 56928]

"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 22:55 54832]

"WinampAgent"="D:\Winamp\winampa.exe" [2007-05-15 00:22 35328]

"UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2006-09-07 19:19 15872]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-10-19 21:16 286720]

"DAEMON Tools"="C:\Documents and Settings\x\Moje dokumenty\DAEMON Tools\daemon.exe" [2005-12-10 16:57 133016]

"a-winpoet-service"="C:\Program Files\DialNet\winpppoverethernet.exe" [2007-07-06 09:40 405504]

"z-WrDialer"="C:\Program Files\DialNet\wrdialer.exe" [2007-07-11 18:11 561152]

"SpIDerMail"="C:\Program Files\DrWeb\spiderml.exe" [2007-12-25 15:34 500976]

"DrWebScheduler"="C:\Program Files\DrWeb\DRWEBSCD.EXE" [2008-03-31 15:33 283888]

"SpIDerNT"="C:\PROGRA~1\DrWeb\spiderui.exe" [2008-03-31 15:33 230936]

"watch"="D:\karool\RÓŻNE :stuck_out_tongue_winking_eye:\oprogramowanie\actics\" [2008-03-25 16:13 0]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-04 00:33 44544]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 11:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

"bnW2lZWkwR"= C:\Documents and Settings\All Users\Dane aplikacji\obwtalut\kvmjgnkb.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Antiwpa]

antiwpa.dll 2006-11-04 11:28 5376 C:\WINDOWS\system32\antiwpa.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"E:\Program Files\BearShare Applications\BearShare\BearShare.exe"=

"E:\Gadu-Gadu\gg.exe"=

"C:\Program Files\Internet Explorer\IEXPLORE.EXE"=

"D:\gry\MotoGP2 Demo\motogp2_demo.exe"=

"D:\gry\Skoki Narciarskie 2005\SkiJumping2005.exe"=

"C:\WINDOWS\system32\dpvsetup.exe"=

"C:\WINDOWS\system32\rundll32.exe"=

"E:\Dark781v2_RC2\Darkonia781\DARK781.exe"=

"D:\gry\rct.exe"=

"E:\Angielski w pigulce 2.0 Rzeczpospolita\50\Tibia\ghjgj\hjkl\Dark781v2_RC2\Darkonia781\DARK781.exe"=

"E:\Angielski w pigulce 2.0 Rzeczpospolita\50\Tibia\ghjgj\dwdd\Zorzin OTServ 1.1 (XML)\XML Version 1.1\Zorzin OTServer 1.1 - XML.exe"=

"D:\karool\pozostałe\eMule\emule.exe"=

"D:\Criss\rozne\ots\Zorzin OTServ 1.1 (XML)\XML Version 1.1\Zorzin OTServer 1.1 - XML.exe"=

"D:\gry\Stronghold2Demo.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"24016:TCP"= 24016:TCP:BitComet 24016 TCP

"24016:UDP"= 24016:UDP:BitComet 24016 UDP

"7951:TCP"= 7951:TCP:BitComet 7951 TCP

"7951:UDP"= 7951:UDP:BitComet 7951 UDP

R2 OpSrv;Opiekun;C:\WINDOWS\system32\opsrv.exe [2006-02-14 16:15]

R2 SPIDER;SpIDer Guard File System Monitor;C:\PROGRA~1\DrWeb\spider.sys [2008-03-31 15:33]

R2 SPIDERNT;SpIDer Guard for Windows;C:\PROGRA~1\DrWeb\spidernt.exe [2008-03-31 15:33]

R2 TopWinPoETDriver;WinPoET PPPoE Optimized Driver;C:\WINDOWS\system32\DRIVERS\WrKPoET2000.sys [2007-07-04 17:27]

R3 FPD;Fine Point Packet Service;C:\WINDOWS\system32\drivers\fpd.sys [2007-07-04 17:27]

R3 WrKPoET2000;WrKPoET2000;C:\Program Files\DialNet\WrKPoET2000.sys [2007-07-04 17:27]

R3 WRSWanDD;WinPoET PPPoE Adapter;C:\WINDOWS\system32\DRIVERS\WrKPoETNic2000.sys [2007-07-04 17:27]

S3 ewdmaudn;ewdmaudn;C:\DOCUME~1\x\USTAWI~1\Temp\ewdmaudn.sys []

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;D:\Common\Database\bin\fbserver.exe [2005-11-17 15:18]

S3 usbscan;Sterownik skanera USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58]

S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 14:00]

.

Contents of the 'Scheduled Tasks' folder

"2008-04-28 13:06:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

  • C:\Program Files\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-30 16:45:54

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\OpSrv]

"ImagePath"="C:\WINDOWS\system32\opsrv.exe /startedbyscm:BB66DA22-40E2A281-OpiekunService"

.

--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe

  • C:\WINDOWS\system32\OPLSP.DLL

PROCESS: C:\WINDOWS\explorer.exe

  • C:\Program Files\Unlocker\UnlockerHook.dll

.

Completion time: 2008-04-30 16:49:00

ComboFix-quarantined-files.txt 2008-04-30 14:48:52

ComboFix2.txt 2008-04-30 14:10:32

Pre-Run: 538,791,936 bajtów wolnych

Post-Run: 547,155,968 bajtów wolnych

149 --- E O F --- 2008-04-29 20:16:02


(huber2t) #7

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\doxklsti.exe

C:\WINDOWS\system32\WINWGPX.EXE


Folder::

C:\Documents and Settings\All Users\Dane aplikacji\obwtalut


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"vzybsneg"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]

"bnW2lZWkwR"=-

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.


(Karoldruc) #8

ile razy będę musiał powtarzać tą czynność? :frowning:


(Adrienks) #9

Arcane pomogę Ci ale napisz do mnie na gg 451896, bo tak przez posty to nie dam rady.


(huber2t) #10

Będziesz musiała zrobić to jeden raz, po tym daj log z combofix


(Karoldruc) #11

ok podaje log

ComboFix 08-04-29.3 - x 2008-04-30 20:33:36.4 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.60 [GMT 2:00]

Running from: D:\karool\ComboFix.exe

Command switches used :: D:\karool\CFScript.txt

* Created a new restore point

* Resident AV is active

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

FILE ::

C:\WINDOWS\system32\doxklsti.exe

C:\WINDOWS\system32\WINWGPX.EXE

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\All Users\Dane aplikacji\obwtalut

C:\Documents and Settings\All Users\Dane aplikacji\obwtalut\kvmjgnkb.exe

C:\WINDOWS\system32\doxklsti.exe

C:\WINDOWS\system32\WINWGPX.EXE

.

((((((((((((((((((((((((( Files Created from 2008-03-28 to 2008-04-30 )))))))))))))))))))))))))))))))

.

2008-04-30 20:25 . 2008-04-30 20:25

2008-04-30 19:11 . 2008-04-30 19:11 110,592 --a------ C:\WINDOWS\system32\qnsdcdoj.exe

2008-04-29 13:51 . 2008-04-29 13:59

2008-04-28 19:47 . 2008-04-28 19:47 4,096 --a------ C:\WINDOWS\system32\winsystem.exe

2008-04-21 15:31 . 2008-04-21 15:31

2008-04-09 17:52 . 2008-04-09 18:17

2008-03-25 19:38 . 2008-03-25 19:38

2008-03-19 09:19 . 2008-03-19 09:20

2008-03-19 09:19 . 2008-03-19 09:20

2008-03-12 18:14 . 2008-04-28 19:53

2008-03-12 18:13 . 2008-04-30 20:24

2008-03-12 18:13 . 2008-03-12 18:13 77,824 --a----t- C:\WINDOWS\system32\DRWEBSP.DLL

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-04-30 18:22 --------- d-----w C:\Program Files\DialNet

2008-04-25 11:48 --------- d--h--w C:\Program Files\InstallShield Installation Information

2008-04-24 15:14 --------- dc----w C:\Documents and Settings\x\Dane aplikacji\Tibia

2008-04-20 15:31 --------- d-----w C:\Program Files\Championship Manager 5 Demo

2008-04-20 15:27 --------- d-----w C:\Program Files\Polskie Derby

2008-04-08 18:35 --------- dc----w C:\Documents and Settings\x\Dane aplikacji\BearShare

2008-04-08 16:23 --------- dc--a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP

2008-03-05 15:32 19,688 -c--a-w C:\Documents and Settings\x\Dane aplikacji\GDIPFONTCACHEV1.DAT

2007-10-20 08:21 149 -c--a-w C:\Program Files\INSTALL.LOG

2001-11-23 04:08 712,704 -c--a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL

2007-11-15 15:12 56 -csh--r C:\WINDOWS\system32\6E12D84BB1.sys

2007-11-15 15:12 848 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys

.

((((((((((((((((((((((((((((( snapshot@2008-04-30_16.09.53,22 )))))))))))))))))))))))))))))))))))))))))

.

  • 2008-04-30 12:15:16 2,048 --s-a-w C:\WINDOWS\bootstat.dat

  • 2008-04-30 18:22:19 2,048 --s-a-w C:\WINDOWS\bootstat.dat

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 18:05 143360]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-09 19:36 68856]

"PC-Cleaner"="C:\Program Files\PC-Cleaner\PC-Cleaner.exe" []

"iblqtzus"="C:\WINDOWS\system32\qnsdcdoj.exe" [2008-04-30 19:11 110592]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CapFax"="C:\Program Files\Classic PhoneTools\CapFax.EXE" [2001-12-10 18:34 20739]

"SoundMan"="SOUNDMAN.EXE" [2003-08-15 09:34 57344 C:\WINDOWS\SOUNDMAN.EXE]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]

"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 12:15 106496]

"Cmaudio"="cmicnfg.cpl" []

"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648]

"RestartNeroSetup"="F:\CDS\Nero\Installation\SetupX.exe" []

"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 15:10 56928]

"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 22:55 54832]

"WinampAgent"="D:\Winamp\winampa.exe" [2007-05-15 00:22 35328]

"UnlockerAssistant"="C:\Program Files\Unlocker\UnlockerAssistant.exe" [2006-09-07 19:19 15872]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2007-10-19 21:16 286720]

"DAEMON Tools"="C:\Documents and Settings\x\Moje dokumenty\DAEMON Tools\daemon.exe" [2005-12-10 16:57 133016]

"a-winpoet-service"="C:\Program Files\DialNet\winpppoverethernet.exe" [2007-07-06 09:40 405504]

"z-WrDialer"="C:\Program Files\DialNet\wrdialer.exe" [2007-07-11 18:11 561152]

"SpIDerMail"="C:\Program Files\DrWeb\spiderml.exe" [2007-12-25 15:34 500976]

"DrWebScheduler"="C:\Program Files\DrWeb\DRWEBSCD.EXE" [2008-03-31 15:33 283888]

"SpIDerNT"="C:\PROGRA~1\DrWeb\spiderui.exe" [2008-03-31 15:33 230936]

"watch"="D:\karool\RÓŻNE :stuck_out_tongue_winking_eye:\oprogramowanie\actics\" [2008-03-25 16:13 0]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-04 00:33 44544]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 11:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Antiwpa]

antiwpa.dll 2006-11-04 11:28 5376 C:\WINDOWS\system32\antiwpa.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"E:\Program Files\BearShare Applications\BearShare\BearShare.exe"=

"E:\Gadu-Gadu\gg.exe"=

"C:\Program Files\Internet Explorer\IEXPLORE.EXE"=

"D:\gry\MotoGP2 Demo\motogp2_demo.exe"=

"D:\gry\Skoki Narciarskie 2005\SkiJumping2005.exe"=

"C:\WINDOWS\system32\dpvsetup.exe"=

"C:\WINDOWS\system32\rundll32.exe"=

"E:\Dark781v2_RC2\Darkonia781\DARK781.exe"=

"D:\gry\rct.exe"=

"E:\Angielski w pigulce 2.0 Rzeczpospolita\50\Tibia\ghjgj\hjkl\Dark781v2_RC2\Darkonia781\DARK781.exe"=

"E:\Angielski w pigulce 2.0 Rzeczpospolita\50\Tibia\ghjgj\dwdd\Zorzin OTServ 1.1 (XML)\XML Version 1.1\Zorzin OTServer 1.1 - XML.exe"=

"D:\karool\pozostałe\eMule\emule.exe"=

"D:\Criss\rozne\ots\Zorzin OTServ 1.1 (XML)\XML Version 1.1\Zorzin OTServer 1.1 - XML.exe"=

"D:\gry\Stronghold2Demo.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"24016:TCP"= 24016:TCP:BitComet 24016 TCP

"24016:UDP"= 24016:UDP:BitComet 24016 UDP

"7951:TCP"= 7951:TCP:BitComet 7951 TCP

"7951:UDP"= 7951:UDP:BitComet 7951 UDP

R2 OpSrv;Opiekun;C:\WINDOWS\system32\opsrv.exe [2006-02-14 16:15]

R2 SPIDER;SpIDer Guard File System Monitor;C:\PROGRA~1\DrWeb\spider.sys [2008-03-31 15:33]

R2 SPIDERNT;SpIDer Guard for Windows;C:\PROGRA~1\DrWeb\spidernt.exe [2008-03-31 15:33]

R2 TopWinPoETDriver;WinPoET PPPoE Optimized Driver;C:\WINDOWS\system32\DRIVERS\WrKPoET2000.sys [2007-07-04 17:27]

R3 FPD;Fine Point Packet Service;C:\WINDOWS\system32\drivers\fpd.sys [2007-07-04 17:27]

R3 WrKPoET2000;WrKPoET2000;C:\Program Files\DialNet\WrKPoET2000.sys [2007-07-04 17:27]

R3 WRSWanDD;WinPoET PPPoE Adapter;C:\WINDOWS\system32\DRIVERS\WrKPoETNic2000.sys [2007-07-04 17:27]

S3 ewdmaudn;ewdmaudn;C:\DOCUME~1\x\USTAWI~1\Temp\ewdmaudn.sys []

S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;D:\Common\Database\bin\fbserver.exe [2005-11-17 15:18]

S3 usbscan;Sterownik skanera USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58]

S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-04 14:00]

.

Contents of the 'Scheduled Tasks' folder

"2008-04-28 13:06:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

  • C:\Program Files\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-04-30 20:36:38

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\OpSrv]

"ImagePath"="C:\WINDOWS\system32\opsrv.exe /startedbyscm:BB66DA22-40E2A281-OpiekunService"

.

--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe

  • C:\WINDOWS\system32\OPLSP.DLL

.

Completion time: 2008-04-30 20:39:46

ComboFix-quarantined-files.txt 2008-04-30 18:39:41

ComboFix2.txt 2008-04-30 14:49:02

ComboFix3.txt 2008-04-30 14:10:32

Pre-Run: 477,958,144 bajtów wolnych

Post-Run: 495,050,752 bajtów wolnych

153 --- E O F --- 2008-04-30 17:47:04

W dniu 30.04.2008 , o godzinie 21:57 został dopisany post przez Arcane

mam jedno pytanko: jak skanuję tym ComboFix'em to za pierwszym razem znika mi pasek menu, wiec jak raz próbowałem zminimalizować stronkę, to już nie mogłem jej odzyskać żeby wkleić loga, a podczas skanowania mój antywirus, nagle znajduje zainfekowane pliki, które należą do ComboFix'a więc muszę je ignorować. Czy takie zachowanie jest normalne??


(system) #12

Wpierw poczytaj, jak należy używać ComboFix.

Następnie wykonaj poprawne skanowanie systemu ComboFix i daj nowego loga.


(huber2t) #13

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\qnsdcdoj.exe

C:\WINDOWS\system32\winsystem.exe


Folder::

C:\Documents and Settings\x\Dane aplikacji\PC-Cleaner

C:\Program Files\PC-Cleaner


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PC-Cleaner"=-

"iblqtzus"=-

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.