Problem z trojanem Ufo.exe


(Saja88) #1

Niestety na laptopie mojej dziewczyny pojawił się niestety ten trojan ;/

oto log z ComboFix'a:

ComboFix 09-09-23.02 - Mirek 2009-09-24 21:40.1.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.1.1250.48.1045.18.246.103 [GMT 2:00]

Uruchomiony z: c:\documents and settings\Mirek\Pulpit\ComboFix.exe


UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA 

.


((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.


c:\windows\system32\ieuinit.inf

c:\windows\system32\systeminfo.dll


c:\windows\system32\qmgr.dll . . . jest zainfekowany!!


.

((((((((((((((((((((((((( Pliki utworzone od 2009-08-24 do 2009-09-24 )))))))))))))))))))))))))))))))

.


2009-09-21 19:15 . 2001-08-17 19:56	7552	-c--a-w-	c:\windows\system32\dllcache\sonypvu1.sys

2009-09-21 19:15 . 2001-08-17 19:56	7552	----a-w-	c:\windows\system32\drivers\SONYPVU1.SYS

2009-09-20 15:57 . 2007-01-13 07:49	176128	----a-w-	c:\windows\system32\igfxres.dll

2009-09-20 15:47 . 2009-09-20 15:47	664	----a-w-	c:\windows\system32\d3d9caps.dat

2009-09-20 15:33 . 2009-09-20 15:33	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\PC Drivers HeadQuarters

2009-09-20 15:33 . 2009-09-20 15:33	--------	d-----w-	c:\documents and settings\Mirek\Ustawienia lokalne\Dane aplikacji\Downloaded Installations

2009-09-20 15:29 . 2009-09-20 15:29	12720	----a-w-	c:\documents and settings\Mirek\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-09-20 15:16 . 2009-09-20 15:16	--------	dc-h--w-	c:\windows\$MSI30UninstallMSI30-KB884016$

2009-09-20 15:07 . 2009-09-20 15:08	--------	d-----w-	c:\documents and settings\Mirek\Dane aplikacji\GetRightToGo

2009-09-20 15:01 . 2009-09-20 15:01	--------	d-----w-	C:\WUTemp

2009-09-20 15:01 . 2003-08-25 16:06	182880	-c--a-w-	c:\windows\system32\dllcache\iuengine.dll

2009-09-20 15:01 . 2003-08-25 16:06	182880	----a-w-	c:\windows\system32\iuengine.dll

2009-09-20 14:58 . 2001-10-26 14:57	12160	-c--a-w-	c:\windows\system32\dllcache\mouhid.sys

2009-09-20 14:58 . 2001-10-26 14:57	12160	----a-w-	c:\windows\system32\drivers\mouhid.sys

2009-09-20 14:58 . 2001-08-17 20:02	9600	-c--a-w-	c:\windows\system32\dllcache\hidusb.sys

2009-09-20 14:58 . 2001-08-17 20:02	9600	----a-w-	c:\windows\system32\drivers\hidusb.sys

2009-09-20 14:33 . 2009-09-20 14:33	552	----a-w-	c:\windows\system32\d3d8caps.dat

2009-09-20 14:33 . 2009-09-20 14:33	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\AVS4YOU

2009-09-20 14:32 . 2009-09-20 14:32	--------	d-----w-	c:\program files\Common Files\AVSMedia

2009-09-20 14:32 . 2007-09-27 12:22	638976	----a-w-	c:\windows\system32\divx.dll

2009-09-20 14:32 . 2007-09-27 12:22	524288	----a-w-	c:\windows\system32\xvidcore.dll

2009-09-20 14:32 . 2007-09-27 12:22	413760	----a-w-	c:\windows\system32\mpg4c32.dll

2009-09-20 14:32 . 2007-09-27 12:22	261632	----a-w-	c:\windows\system32\mcdvd_32.dll

2009-09-20 14:32 . 2007-09-27 12:22	139264	----a-w-	c:\windows\system32\xvidvfw.dll

2009-09-20 14:32 . 2003-05-21 10:50	24576	----a-w-	c:\windows\system32\msxml3a.dll

2009-09-20 14:32 . 2002-01-05 13:48	974848	----a-w-	c:\windows\system32\mfc70.dll

2009-09-20 14:32 . 2002-01-05 12:40	487424	----a-w-	c:\windows\system32\msvcp70.dll

2009-09-20 14:32 . 2002-01-05 00:37	344064	----a-w-	c:\windows\system32\msvcr70.dll

2009-09-20 14:32 . 2009-09-20 14:32	--------	d-----w-	c:\program files\AVS4YOU

2009-09-20 14:05 . 2009-09-20 14:11	--------	d--h--w-	c:\windows\msdownld.tmp

2009-09-20 14:05 . 2009-09-20 14:05	--------	d-----w-	c:\windows\Logs

2009-09-18 20:44 . 2009-09-23 09:01	--------	d-----w-	c:\documents and settings\Mirek\Dane aplikacji\Tlen.pl

2009-09-18 20:44 . 2009-09-18 20:44	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\Tlen.pl

2009-09-18 20:44 . 2009-09-18 20:44	--------	d-----w-	c:\program files\Tlen.pl

2009-09-18 20:36 . 2009-09-18 20:36	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\Last.fm

2009-09-18 20:35 . 2009-09-18 20:35	--------	d-----w-	c:\documents and settings\Mirek\Ustawienia lokalne\Dane aplikacji\Last.fm

2009-09-18 20:35 . 2009-09-18 20:35	--------	d-----w-	c:\program files\Last.fm

2009-09-18 20:25 . 2009-09-23 23:52	--------	d-----w-	c:\documents and settings\Mirek\Dane aplikacji\foobar2000

2009-09-18 20:25 . 2009-09-18 20:25	--------	d-----w-	c:\program files\foobar2000

2009-09-18 20:18 . 2009-09-18 20:18	0	----a-w-	c:\windows\nsreg.dat

2009-09-18 20:18 . 2009-09-18 20:18	--------	d-----w-	c:\documents and settings\Mirek\Ustawienia lokalne\Dane aplikacji\Mozilla


.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-24 19:38 . 2009-09-24 18:36	--------	d-----w-	c:\documents and settings\All Users\Dane aplikacji\NOS

2009-09-24 19:07 . 2009-09-24 19:07	--------	d-----w-	c:\program files\Common Files\Adobe

2009-09-20 16:01 . 2009-07-02 16:28	--------	d--h--w-	c:\program files\InstallShield Installation Information

2009-09-20 15:24 . 2001-10-26 17:15	74428	----a-w-	c:\windows\system32\perfc015.dat

2009-09-20 15:24 . 2001-10-26 17:15	448242	----a-w-	c:\windows\system32\perfh015.dat

2009-09-04 15:44 . 2009-09-20 14:13	515416	----a-w-	c:\windows\system32\XAudio2_5.dll

2009-09-04 15:44 . 2009-09-20 14:13	238936	----a-w-	c:\windows\system32\xactengine3_5.dll

2009-09-04 15:44 . 2009-09-20 14:13	69464	----a-w-	c:\windows\system32\XAPOFX1_3.dll

2009-09-04 15:29 . 2009-09-20 14:13	235344	----a-w-	c:\windows\system32\d3dx11_42.dll

2009-09-04 15:29 . 2009-09-20 14:13	453456	----a-w-	c:\windows\system32\d3dx10_42.dll

2009-09-04 15:29 . 2009-09-20 14:13	1974616	----a-w-	c:\windows\system32\D3DCompiler_42.dll

2009-09-04 15:29 . 2009-09-20 14:13	5501792	----a-w-	c:\windows\system32\d3dcsx_42.dll

2009-09-04 15:29 . 2009-09-20 14:13	1892184	----a-w-	c:\windows\system32\D3DX9_42.dll

2009-06-01 17:55 . 2009-07-04 07:53	54245019	----a-w-	c:\program files\Portable Microsoft Office Word 2003.exe

.


((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2002-08-20 1511453]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\System32\igfxtray.exe" [2007-01-13 131072]

"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2007-01-13 163840]

"Persistence"="c:\windows\System32\igfxpers.exe" [2007-01-13 135168]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-20 13312]


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute	REG_MULTI_SZ PDBoot.exe\0autocheck autochk *


R1 Prio;Prio;c:\windows\system32\drivers\prio.sys [2008-03-31 34576]

R2 PD91Agent;PD91Agent;c:\program files\Raxco\PerfectDisk2008\PD91Agent.exe [2008-09-09 693512]

S3 PD91Engine;PD91Engine;c:\program files\Raxco\PerfectDisk2008\PD91Engine.exe [2008-09-09 906504]


--- Inne Usługi/Sterowniki w Pamięci ---


*NewlyCreated* - ALG

*NewlyCreated* - IPNAT

.

.

------- Skan uzupełniający -------

.

IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java

FF - ProfilePath - c:\documents and settings\Mirek\Dane aplikacji\Mozilla\Firefox\Profiles\ws2000cp.default\

.


**************************************************************************


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-24 21:45

Windows 5.1.2600 Dodatek Service Pack. 1 NTFS


skanowanie ukrytych procesów ...  


skanowanie ukrytych wpisów autostartu ... 


skanowanie ukrytych plików ...  


skanowanie pomyślnie ukończone

ukryte pliki: 0


**************************************************************************

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------


- - - - - - - > 'winlogon.exe'(544)

c:\windows\System32\ODBC32.dll


- - - - - - - > 'lsass.exe'(600)

c:\windows\System32\dssenh.dll


- - - - - - - > 'explorer.exe'(1468)

c:\windows\System32\msi.dll

.

Czas ukończenia: 2009-09-24 21:48 - komputer został uruchomiony ponownie

ComboFix-quarantined-files.txt 2009-09-24 19:48


Przed: 22 666 420 224 bajtów wolnych

Po: 22 742 642 688 bajtów wolnych


126

[/code]

(Magik) #2

Przeniesiona podpinka z innego tematu.


(Henio Mazurek) #3

Nic tutaj nie widać. Przeskanuj plik

na VirusTotal, pokaż raport.

Pobierz AVZ

Zaznaczasz do skanu wszystkie partycje, potem File => Standard scripts => zaznaczasz opcję 2 => klikasz Execute selected scripts => po zakończeniu skanu klikasz ikonę dyskietki po prawej stronie, zapisujesz log i podajesz tutaj jego zawartość.

Wklej logi z OTL, GMER i System Repair Engineer

Logi wklej na wklej.to a tutaj tylko link do wklejki.