Problem z usunięciem Smitfraud-C.Toolbar888 i OuterInfo

Janaczi · 20 Czerwiec 2007 13:41

Czy mógłby ktoś rzucić okiem na loga?? Już tydzień czasu męcze się z wirusami. Na początku wrąbał mi się Smitfraud-C.Toolbar888. Po uruchomieniu kompa na pulpicie było pusto. Programy uruchamiałem poprzez menadżer zadań. Zainstalowałem Kaspersky. Znalazł pare śmieci i usunął. SpyBot non-stop mi go wykrywa Smitfraud-C.Toolbar888, a jak biorę usuń to usuwa, ale po wznowieniu skanowania znowu znajduje go. Teraz w dodaj/usuń programy znalazłem OuterInfo. Jak pozbyc się tych śmieci?? POMOCY.

Oto log z hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 15:18:21, on 2007-06-20

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\lotus\notes\ntmulti.exe

e:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

E:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe

C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\ATK0100\HControl.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Kalendarz XP\Kalendarz.exe

C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\PROGRA~1\INCRED~1\bin\IMApp.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\Program Files\Opera\Opera.exe

C:\Program Files\Microsoft SQL Server\90\Tools\Binn\VSShell\Common7\IDE\ssmsee.exe

C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Documents and Settings\Jas\Pulpit\hijackthis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:3128

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {F36CCFBD-8FAA-4872-8576-15C88BC7B319} - (no file)

O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKCU\..\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - Global Startup: Kalendarz XP.lnk = C:\Program Files\Kalendarz XP\Kalendarz.exe

O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://mks.com.pl

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: ddcyw - C:\WINDOWS\system32\ddcyw.dll (file missing)

O20 - Winlogon Notify: hggfebb - hggfebb.dll (file missing)

O20 - Winlogon Notify: jkhhg - C:\WINDOWS\system32\jkhhg.dll (file missing)

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: winrzf32 - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: SQL Server (SQLE) (MSSQL$SQLE) - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe" -sSQLE (file missing)

O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Program Files\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)

O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Program Files\lotus\notes\ntmulti.exe

O23 - Service: OracleMTSRecoveryService - Oracle Corporation - E:\oraclexe\app\oracle\product\10.2.0\server\BIN\omtsreco.exe

O23 - Service: OracleServiceXE - Oracle Corporation - e:\oraclexe\app\oracle\product\10.2.0\server\bin\ORACLE.EXE

O23 - Service: OracleXEClrAgent - Unknown owner - E:\oraclexe\app\oracle\product\10.2.0\server\bin\OraClrAgnt.exe

O23 - Service: OracleXETNSListener - Unknown owner - E:\oraclexe\app\oracle\product\10.2.0\server\BIN\tnslsnr.exe

sdar · 20 Czerwiec 2007 13:44

Janaczi Wszystkie logi umieszczane na forum powinny być obejmowane tagami

adam9870 · 20 Czerwiec 2007 15:46

Złapałeś m.in trojana Vundo:

Użyj VundoFix + FixVundo + VirtumundoBeGone + SmitFraudFix z opcji numer 2 w trybie awaryjnym.

Po wykonaniu wklej log z ComboFix. Aby zrobić w nim log należy go uruchomić => nacisnąć klawisz Y => czekać cierpliwie i log powinien być w formie pliku .txt o nazwie combofix na partycji C.

Janaczi · 21 Czerwiec 2007 18:03

Po przeskanowaniu przez programiki które podałeś, dalej komp wariuje :-/

Log z ComboFix:

ComboFix 07-06-18.2 - C:\Documents and Settings\Jas\Pulpit\ComboFix.exe

slake · 21 Czerwiec 2007 18:53

Użyj narzędzia WWDC.Wszystkie znaczki w tym programie powinny być na zielono.

Pobierz The Avenger ->uruchom go w trybie awaryjnym->zaznacz opcję Input script manually ->kliknij w “lupkę”->w okienku,które się otworzy wklej:

Następnie kliknij przycisk Done ->kliknij na zielone światełko -> powinna pojawić się pewna informacja,klikasz na OK (restart).

Przeskanuj na http://virusscan.jotti.org poniższe pliki i podaj wynik skanowania:

Następnie nowy log.

Janaczi · 22 Czerwiec 2007 07:22

Status każdego przeskanowanego pliku wynosił OK.

Podsumowanie z The Avenger:

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\dcxlbmnx


*******************


Script file located at: \??\€Ě$bemqfmtu.txt


Script file not found! Error


Could not open script file! Status: 0xc0000034 Abort!

Log z comboFix:

ComboFix 07-06-18.2 - C:\Documents and Settings\Jas\Pulpit\ComboFix.exe

qrczak13 · 22 Czerwiec 2007 18:48

Resztki po vundo.

The avenger > uruchom > Input script manually > klikasz w lupkę > w nowo otwartym oknie wklejasz:

Po wklejeniu > Done > klik na zielone światło > ok i będzie restart. Po restarcie wchodzisz gdzie masz The Avenger i wklejasz raport C:\avenger.txt

Do notatnika wklej:

Plik > zapisz jako > zmień rozszerzenie z .txt na wszystkie pliki > zapisz pod nazwą Fix.reg np na

pulpicie > dwuklik na Fix.reg > potwierdzasz > restart.

Czyszczenie rejestru - jv16 PowerTools 2006 1.5.2.350

Nowy log z Combofix

Janaczi · 22 Czerwiec 2007 22:59

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\nnnlqhht


*******************


Script file located at: \??\C:\WINDOWS\eviwtaad.txt

Script file opened successfully.


Script file read successfully


Backups directory opened successfully at C:\Avenger


*******************


Beginning to process script file:


File C:\WINDOWS\system32\rttss.ini2 deleted successfully.

File C:\WINDOWS\system32\aaaffbeaa_r.dll deleted successfully.

File C:\WINDOWS\system32\rqtwa.ini2 deleted successfully.

File C:\WINDOWS\system32\wycdd.bak1 deleted successfully.

File C:\WINDOWS\system32\ghhkj.bak1 deleted successfully.


Completed script processing.


*******************


Finished! Terminate.

Log z ComboFix:

ComboFix 07-06-18.2 - C:\Documents and Settings\Jas\Pulpit\ComboFix.exe “Jas” - 2007-06-23 0:46:26 - Dodatek Service Pack 2 NTFS [sAFE MODE] ((((((((((((((((((((((((( Files Created from 2007-05-22 to 2007-06-22 ))))))))))))))))))))))))))))))) 2007-06-23 00:35 2007-06-23 00:19 60,416 --a------ C:\WINDOWS\system32\drivers\cfavdxba.sys 2007-06-23 00:19 126,976 --a------ C:\zip.exe 2007-06-23 00:19 1,080 --a------ C:\scwjqrpd.bat 2007-06-22 19:29 2007-06-22 11:31 95,872 --a------ C:\WINDOWS\system32\AvastSS.scr 2007-06-22 11:31 94,552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-06-22 11:31 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-06-22 11:31 745,600 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-06-22 11:31 43,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-06-22 11:31 26,888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-06-22 11:31 23,416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-06-21 10:55 49,152 --a------ C:\WINDOWS\nircmd.exe 2007-06-21 08:12 2,008 --a------ C:\WINDOWS\system32\tmp.reg 2007-06-20 19:35 20,992 --a------ C:\WINDOWS\system32\drivers\RTL8139.sys 2007-06-20 16:02 2007-06-20 14:48 49,152 --a------ C:\WINDOWS\system32\ChCfg.exe 2007-06-20 14:47 520,192 --a------ C:\WINDOWS\RtlExUpd.dll 2007-06-20 14:47 315,392 --a------ C:\WINDOWS\HideWin.exe 2007-06-20 14:47 1,826,816 --a------ C:\WINDOWS\SkyTel.exe 2007-06-20 14:36 2007-06-20 14:16 2007-06-18 08:38 2007-06-11 16:51 2007-06-11 16:49 2,977,792 --------- C:\WINDOWS\UNNMP.exe 2007-06-11 16:47 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe 2007-06-11 16:46 3,051,520 --------- C:\WINDOWS\UNNeroVision.exe 2007-06-11 16:45 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll 2007-06-11 16:45 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll 2007-06-11 16:45 38,912 --------- C:\WINDOWS\system32\picn20.dll 2007-06-11 16:45 364,544 --------- C:\WINDOWS\system32\TwnLib4.dll 2007-06-11 16:45 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll 2007-06-11 16:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll 2007-06-11 16:45 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll 2007-06-11 16:45 2007-06-11 16:45 2007-06-11 16:45 2007-06-11 11:08 36,352 --------- C:\WINDOWS\system32\tsgqec.dll 2007-06-11 11:08 288,768 --------- C:\WINDOWS\system32\rhttpaa.dll 2007-06-11 11:08 116,736 --------- C:\WINDOWS\system32\aaclient.dll 2007-06-11 11:08 2007-06-11 11:06 2007-06-11 11:04 69,120 --------- C:\WINDOWS\system32\wlanapi.dll 2007-06-11 11:04 2007-06-11 11:04 2007-06-11 11:03 2007-06-11 10:51 2007-06-11 10:45 10,752 --a------ C:\WINDOWS\system32\aamd532.dll 2007-06-09 14:24 2007-06-09 14:24 2007-06-08 15:33 2007-06-08 15:28 2007-06-08 08:28 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys 2007-06-08 08:24 2007-06-07 11:44 2007-06-07 11:34 44,544 --a------ C:\WINDOWS\system32\hticons.dll 2007-06-07 11:34 351,744 --a------ C:\WINDOWS\system32\hypertrm.dll 2007-06-07 11:33 87,424 --a------ C:\WINDOWS\system32\drivers\irda.sys 2007-06-07 11:33 8,192 --a------ C:\WINDOWS\system32\wshirda.dll 2007-06-07 11:33 27,648 --a------ C:\WINDOWS\system32\irmon.dll 2007-06-07 11:33 153,088 --a------ C:\WINDOWS\system32\irftp.exe 2007-06-07 11:31 18,688 --a------ C:\WINDOWS\system32\drivers\irsir.sys 2007-06-07 03:05 19,584 --a------ C:\WINDOWS\system32\drivers\rasirda.sys 2007-06-07 03:02 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll 2007-06-07 03:02 13,312 --a------ C:\WINDOWS\system32\irclass.dll 2007-06-07 01:02 2007-06-06 09:13 2007-05-30 15:56 2007-05-28 11:22 2007-05-28 11:22 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-06-22 22:14:46 -------- d-----w C:\Program Files\Kalendarz XP 2007-06-22 19:10:46 -------- d-----w C:\Program Files\eMule 2007-06-22 15:41:27 -------- d-----w C:\Program Files\Opera 2007-06-22 10:43:52 -------- d-----w C:\Program Files\Microsoft SQL Server 2007-06-20 13:02:52 -------- d–h--w C:\Program Files\InstallShield Installation Information 2007-06-20 13:02:52 -------- d-----w C:\Program Files\Realtek 2007-06-18 07:42:03 -------- d-----w C:\Program Files\Microsoft Visual Studio 8 2007-06-17 01:04:46 -------- d-----w C:\DOCUME~1\Jas\DANEAP~1\Skype 2007-06-15 06:00:01 646,276 ----a-w C:\WINDOWS\system32\perfh015.dat 2007-06-15 06:00:01 142,306 ----a-w C:\WINDOWS\system32\perfc015.dat 2007-06-14 14:41:00 4,429,312 ----a-w C:\WINDOWS\system32\drivers\RtkHDAud.sys 2007-06-13 12:49:00 16,377,344 ----a-w C:\WINDOWS\RTHDCPL.exe 2007-06-13 09:36:00 -------- d-----w C:\Program Files\Common Files\Merge Modules 2007-06-11 08:45:33 -------- d-----w C:\Program Files\AutoPatcher 2007-06-10 08:53:29 -------- d-----w C:\DOCUME~1\Jas\DANEAP~1\Real 2007-06-07 09:35:19 26,592 ----a-w C:\WINDOWS\system32\emptyregdb.dat 2007-06-06 23:14:39 -------- d-----w C:\Program Files\Messenger 2007-06-06 14:24:42 -------- d-----w C:\Program Files\Google 2007-05-30 14:21:46 -------- d-----w C:\DOCUME~1\Jas\DANEAP~1\Lavasoft 2007-05-28 05:48:19 -------- d-----w C:\Program Files\PowerPoint2DVD 2.1 2007-05-22 12:10:07 -------- d-----w C:\Program Files\CCleaner 2007-05-22 10:03:59 -------- d-----w C:\Program Files\Wondershare 2007-05-22 09:51:24 -------- d-----w C:\Program Files\Keronsoft 2007-05-19 13:23:22 -------- d-----w C:\Program Files\D-Tools 2007-05-19 12:08:19 -------- d-----w C:\DOCUME~1\Jas\DANEAP~1\Nero 2007-05-18 18:56:56 -------- d-----w C:\Program Files\DVDx 2007-05-12 14:57:51 -------- d-----w C:\Program Files\Microsoft Visual Studio .NET 2007-05-09 08:00:53 -------- d-----w C:\Program Files\GG Ikony 2007-05-08 13:40:52 -------- d-----w C:\Program Files\IrfanView 2007-05-08 08:35:08 682,232 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2007-05-07 15:01:57 -------- d-----w C:\Program Files\Gadu-Gadu 2007-05-07 14:53:30 -------- d-----w C:\Program Files\Winamp 2007-05-07 14:46:45 -------- d-----w C:\DOCUME~1\Jas\DANEAP~1\MusicIP 2007-05-02 09:57:25 -------- d-----w C:\DOCUME~1\Jas\DANEAP~1\Media Player Classic 2007-05-02 09:56:24 -------- d-----w C:\Program Files\K-Lite Codec Pack 2007-05-02 06:21:19 -------- d-----w C:\DOCUME~1\Jas\DANEAP~1\Gadu-Gadu 2007-04-30 19:46:52 -------- d-----w C:\Program Files\UltraVNC 2007-04-27 11:03:36 -------- d-----w C:\Program Files\IconBook 2007-04-27 11:00:25 249,856 ----a-w C:\WINDOWS\Setup1.exe 2007-04-27 11:00:24 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE 2007-04-25 14:55:00 2,162,688 ----a-w C:\WINDOWS\MicCal.exe 2007-04-23 09:32:56 -------- d-----w C:\Program Files\Hermes SQL 2007-04-20 12:14:27 6,656 ----a-w C:\WINDOWS\system32\haspvdd.dll 2007-04-20 12:14:27 383 ----a-w C:\WINDOWS\system32\haspdos.sys 2007-04-18 16:14:32 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll 2007-04-11 06:47:00 1,843,840 ----a-w C:\WINDOWS\system32\win32k.sys 2007-03-23 17:19:00 9,715,200 ----a-w C:\WINDOWS\RTLCPL.exe ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 01:04] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll [2006-11-09 16:21] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “SynTPEnh”=“C:\Program Files\Synaptics\SynTP\SynTPEnh.exe” [2005-10-21 08:26] “RemoteControl”=“C:\Program Files\ASUSTek\ASUSDVD\PDVDServ.exe” [2005-01-12 04:01] “ATIPTA”=“C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe” [2006-03-08 22:05] “RTHDCPL”=“RTHDCPL.EXE” [2007-06-13 14:49 C:\WINDOWS\RTHDCPL.exe] “Alcmtr”=“ALCMTR.EXE” [2005-05-03 18:43 C:\WINDOWS\Alcmtr.exe] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-04-30 17:42] “njqicqem”=“C:\scwjqrpd.bat” [2007-06-23 00:19] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “IncrediMail”=“C:\Program Files\IncrediMail\bin\IncMail.exe” [2007-01-23 09:06] “ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-05-10 16:36] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] “NoRemoteRecursiveEvents”=1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] “NoLowDiskSpaceChecks”=1 (0x1) “NoChangeKeyboardNavigationIndicators”=0 (0x0) “NoSharedDocuments”=1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Gamma Loader.lnk] path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Bluetooth Manager.lnk] path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Bluetooth Manager.lnk backup=C:\WINDOWS\pss\Bluetooth Manager.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Cisco Systems VPN Client.lnk] path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Cisco Systems VPN Client.lnk backup=C:\WINDOWS\pss\Cisco Systems VPN Client.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^DSLMON.lnk] path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\DSLMON.lnk backup=C:\WINDOWS\pss\DSLMON.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^hamachi.lnk] path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\hamachi.lnk backup=C:\WINDOWS\pss\hamachi.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] ALCMTR.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler] “C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe” -start [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL] RTHDCPL.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SMSERIAL] sm56hlpr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] “C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] “NBService”=3 (0x3) “edgesrv”=2 (0x2) “CVPND”=2 (0x2) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2##Janek#multi (e)] AutoRun\command- X:\ Contents of the ‘Scheduled Tasks’ folder 2007-06-16 23:01:00 C:\WINDOWS\tasks\Uniblue SpeedUpMyPC Nag.job 2007-06-06 23:01:45 C:\WINDOWS\tasks\Uniblue SpeedUpMyPC.job ************************************************************************** catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-06-23 00:50:40 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … ************************************************************************** Completion time: 2007-06-23 0:51:50 C:\ComboFix-quarantined-files.txt … 2007-06-22 09:18 C:\ComboFix2.txt … 2007-06-22 09:18 C:\ComboFix3.txt … 2007-06-22 00:24 — E O F —

slake · 23 Czerwiec 2007 10:26

W The Avenger wklej:

Następnie kliknij przycisk Done ->kliknij na zielone światełko -> powinna pojawić się pewna informacja,klikasz na OK (restart).

Plik przeskanuj na http://virusscan.jotti.org i podaj wynik skanowania.

Poberz GMER i pokaż dwa logi:

Rootkit -> Szukaj -> Bez zaznaczania Pokaż Wszystko -> Ctrl + V i wklej na forum.
Rootkit -> Zaznaczone tylko Pokazuj wszystko + Usługi -> Szukaj -> Kopiuj -> Ctrl + V wklej na forum.

Pokaż także nowy log z ComboFix.

Janaczi · 25 Czerwiec 2007 06:39

Pliczek

C:\scwjqrpd.bat

został usunięty przez The Avenger, gorzej z rejestrem, operacja usunięcia nie powiodła się :/. Nie ma takiego pliku jak:

C:\WINDOWS\system32\drivers\cfavdxba.sys

Jeśli chodzi o GMER to po odpaleniu mam pozaznaczane odrazu wszystkie opcje, tj:System, Sekcje, Urządzenia, Moduły, Procesy, Wątki, Biblioteki, Usługi, Rejestr, Pliki: C:,D:,E:,F:. Jak klikam na szukaj to rekordów jest od … i ciut ciut. Mam to wszystko na forum wkleic?? Log z ComboFix:

ComboFix 07-06-18.2 - C:\Documents and Settings\Jas\Pulpit\ComboFix.exe

"Jas" - 2007-06-25 8:34:44 - Dodatek Service Pack 2 NTFS  



((((((((((((((((((((((((( Files Created from 2007-05-25 to 2007-06-25 )))))))))))))))))))))))))))))))



2007-06-24 23:36	
 



[color=darkblue][size=75][i][b]Złączono Posta[/b]: 25.06.2007 (Pon) 8:40[/i][/size][/color]

Pliczek

[code]C:\scwjqrpd.bat
został usunięty przez The Avenger, gorzej z rejestrem, operacja usunięcia nie powiodła się :/. Nie ma takiego pliku jak:

C:\WINDOWS\system32\drivers\cfavdxba.sys

Jeśli chodzi o GMER to po odpaleniu mam pozaznaczane odrazu wszystkie opcje, tj:System, Sekcje, Urządzenia, Moduły, Procesy, Wątki, Biblioteki, Usługi, Rejestr, Pliki: C:,D:,E:,F:. Jak klikam na szukaj to rekordów jest od … i ciut ciut. Mam to wszystko na forum wkleic??

Log z ComboFix:

ComboFix 07-06-18.2 - C:\Documents and Settings\Jas\Pulpit\ComboFix.exe

qrczak13 · 25 Czerwiec 2007 19:08

Do notatnika wklej:

Plik > zapisz jako > zmień rozszerzenie z .txt na wszystkie pliki > zapisz pod nazwą Fix.reg np na

pulpicie > dwuklik na Fix.reg > potwierdzasz > restart.

Czyszczenie rejestru - jv16 PowerTools 2006 1.5.2.350

Logi z gmera wklej tu > http://wklej.org/ i potem podaj link.

Janaczi · 26 Czerwiec 2007 15:49

Logi z GMER: http://wklej.org/id/62caa10ace

adam9870 · 29 Czerwiec 2007 18:15

Jest Ok.

Janaczi · 29 Czerwiec 2007 21:33

Dziękuje za pomoc.