bat75
(Wojtp)
12 Grudzień 2009 22:23
#1
Niczym nie mogę usunąć tego trojana.
Proszę o analizę loga z combofixa
1.ComboFix 09-12-11.05 - bat 2009-12-12 22:30:09.2.2 - x86 2.Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.2047.1268 [GMT 1:00] 3.Uruchomiony z: c:\documents and settings\bat\Pulpit\ComboFix.exe 4.AV: avast! antivirus 4.8.1368 [VPS 091212-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D} 5.AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7} 6… 7. 8.((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) 9… 10… 11.---- Poprzednie uruchomienie ------- 12… 13.c:\documents and settings\bat\Dane aplikacji\wiaserva.log 14.c:\documents and settings\LocalService\Dane aplikacji\wsnpoem\audio.dll 15.c:\documents and settings\NetworkService\Dane aplikacji\wsnpoem\audio.dll 16.c:\windows\system32\5_exception.nls 17.c:\windows\system32\rc.dat 18.c:\windows\system32\sklh.dat 19.c:\windows\system32\svcp.csv 20.c:\windows\system32\twain.dll 21.c:\windows\system32\twain_32.dll 22.c:\windows\system32\winsub.xml 23.c:\windows\Sysvxd.exe 24.c:\windows\wiaservb.log 25. 26… 27.((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))) 28… 29. 30.-------\Legacy_MSUPDATE 31.-------\Legacy_TCPSR 32.-------\Service_runtime 33.-------\Service_tcpsr 34. 35. 36.((((((((((((((((((((((((( Pliki utworzone od 2009-11-12 do 2009-12-12 ))))))))))))))))))))))))))))))) 37… 38. 39.2009-12-12 02:24 . 2009-12-12 02:24 -------- d-sh–w- c:\documents and settings\LocalService\IETldCache 40.2009-12-12 02:24 . 2009-12-12 02:24 -------- d-----r- c:\documents and settings\LocalService\Ulubione 41.2009-12-10 02:22 . 2009-12-10 00:50 15880 ----a-w- c:\windows\system32\lsdelete.exe 42.2009-12-10 01:44 . 2009-12-10 01:44 -------- d-sh–w- c:\documents and settings\NetworkService\IETldCache 43.2009-12-10 01:40 . 2009-12-10 01:40 -------- d-sh–w- c:\documents and settings\bat\PrivacIE 44.2009-12-10 01:39 . 2009-12-10 01:39 -------- d-sh–w- c:\documents and settings\bat\IETldCache 45.2009-12-10 01:36 . 2009-12-10 01:37 -------- dc-h–w- c:\windows\ie8 46.2009-12-10 01:36 . 2009-12-10 01:37 -------- d-----w- c:\windows\system32\pl-PL 47.2009-12-10 01:21 . 2009-12-10 01:21 -------- d–h--w- c:\windows$hf_mig$ 48.2009-12-10 01:21 . 2008-02-26 12:01 294912 -c----w- c:\windows\system32\dllcache\msctf.dll 49.2009-12-10 00:56 . 2009-12-10 00:56 -------- d-----w- c:\documents and settings\LocalService\Pulpit 50.2009-12-10 00:50 . 2009-09-23 12:55 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys 51.2009-12-10 00:50 . 2009-12-10 00:50 862040 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Lavasoft\Ad-Aware\Update\threatwork.exe 52.2009-12-10 00:50 . 2009-12-10 00:50 15880 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Lavasoft\Ad-Aware\Update\lsdelete.exe 53.2009-12-10 00:50 . 2009-12-10 00:50 206944 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Lavasoft\Ad-Aware\Update\lavamessage.dll 54.2009-12-10 00:50 . 2009-12-10 00:50 390288 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Lavasoft\Ad-Aware\Update\lavalicense.dll 55.2009-12-10 00:50 . 2009-12-10 00:50 537576 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Lavasoft\Ad-Aware\Update\aawapi.dll 56.2009-12-10 00:50 . 2009-12-10 00:50 370744 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Lavasoft\Ad-Aware\Update\UpdateManager.dll 57.2009-12-10 00:50 . 2009-12-10 00:50 163728 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Lavasoft\Ad-Aware\Update\ShellExt.dll 58.2009-12-10 00:50 . 2009-12-10 00:50 194104 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Lavasoft\Ad-Aware\Update\Savapibridge.dll 59.2009-12-10 00:49 . 2009-12-10 00:49 5908024 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Lavasoft\Ad-Aware\Update\Resources.dll 60.2009-12-10 00:49 . 2009-12-10 00:49 327000 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Lavasoft\Ad-Aware\Update\RPAPI.dll 61.2009-12-10 00:49 . 2009-12-10 00:49 87496 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Lavasoft\Ad-Aware\Update\PrivacyClean.dll 62.2009-12-10 00:49 . 2009-12-10 00:49 933120 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Lavasoft\Ad-Aware\Update\CEAPI.dll 63.2009-12-10 00:49 . 2009-12-10 00:49 641632 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Lavasoft\Ad-Aware\Update\AutoLaunch.exe 64.2009-12-10 00:48 . 2009-12-10 00:48 816272 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Lavasoft\Ad-Aware\Update\Ad-AwareCommand.exe 65.2009-12-10 00:48 . 2009-12-10 00:48 822904 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Lavasoft\Ad-Aware\Update\Ad-AwareAdmin.exe 66.2009-12-10 00:48 . 2009-12-10 00:48 1638640 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Lavasoft\Ad-Aware\Update\Ad-Aware.exe 67.2009-12-10 00:48 . 2009-12-10 00:48 788880 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Lavasoft\Ad-Aware\Update\AAWTray.exe 68.2009-12-10 00:48 . 2009-12-10 00:48 1184912 ----a-w- c:\documents and settings\All Users\Dane aplikacji\Lavasoft\Ad-Aware\Update\AAWService.exe 69.2009-12-10 00:46 . 2009-12-10 00:46 -------- dc-h–w- c:\documents and settings\All Users\Dane aplikacji{CFBD8779-FAAB-4357-84F2-1EC8619FADA6} 70.2009-12-10 00:46 . 2009-10-03 08:15 2924848 -c–a-w- c:\documents and settings\All Users\Dane aplikacji{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}\Ad-AwareInstallation.exe 71.2009-12-10 00:46 . 2009-12-10 00:46 -------- d-----w- c:\program files\Lavasoft 72.2009-11-15 16:51 . 2009-11-15 16:51 -------- d-----w- c:\program files\NAPI-PROJEKT 73. 74… 75.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) 76… 77.2009-12-12 21:19 . 2009-01-19 00:32 -------- d-----w- c:\documents and settings\bat\Dane aplikacji\nView_Wallpaper 78.2009-12-10 00:46 . 2008-09-12 20:43 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Lavasoft 79.2009-12-04 01:17 . 2007-10-03 19:23 -------- d-----w- c:\program files\eMule 80.2009-11-24 23:54 . 2007-10-03 17:11 1280480 ----a-w- c:\windows\system32\aswBoot.exe 81.2009-11-24 23:51 . 2007-10-03 17:11 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys 82.2009-11-24 23:50 . 2007-10-03 17:11 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys 83.2009-11-24 23:50 . 2008-04-02 22:57 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys 84.2009-11-24 23:50 . 2008-04-02 22:57 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys 85.2009-11-24 23:49 . 2007-10-03 17:11 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys 86.2009-11-24 23:48 . 2007-10-03 17:11 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys 87.2009-11-24 23:47 . 2007-10-03 17:11 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys 88.2009-11-24 23:47 . 2007-10-03 17:11 97480 ----a-w- c:\windows\system32\AvastSS.scr 89.2009-11-16 00:45 . 2007-10-03 16:45 8 ----a-w- c:\windows\system32\nvModes.dat 90.2009-11-15 18:42 . 2008-02-04 01:02 -------- d-----w- c:\documents and settings\bat\Dane aplikacji\LPC 91.2009-11-15 18:41 . 2008-02-04 01:02 -------- d-----w- c:\program files\Link Popularity Check 92.2009-11-08 22:55 . 2007-10-17 16:24 -------- d-----w- c:\program files\Adsen FavIcon 93.2009-10-30 20:06 . 2008-04-19 14:09 -------- d-----w- c:\program files\Screen Capture Professional 94.2009-10-25 17:13 . 2001-10-26 16:15 49712 ----a-w- c:\windows\system32\perfc015.dat 95.2009-10-25 17:13 . 2001-10-26 16:15 355830 ----a-w- c:\windows\system32\perfh015.dat 96.2009-10-23 21:40 . 2008-08-15 20:45 -------- d-----w- c:\documents and settings\bat\Dane aplikacji\Gzegzolka XP 97.2004-10-01 13:00 . 2007-10-03 16:48 40960 ----a-w- c:\program files\Uninstall_CDS.exe 98… 99. 100.((((((((((((((((((((((((((((( SnapShot@2009-12-12_02.03.48 ))))))))))))))))))))))))))))))))))))))))) 101… 102.+ 2009-12-12 21:18 . 2009-12-12 21:18 16384 c:\windows\Temp\Perflib_Perfdata_654.dat 103… 104.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) 105… 106… 107.*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 108.REGEDIT4 109. 110.[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 111.“BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”=“c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe” [2006-10-09 139264] 112.“IBP”="" [bU] 113.“PowerBar”="" [bU] 114.“Nowe Gadu-Gadu”=“c:\program files\Nowe Gadu-Gadu\gg.exe” [2009-08-31 11391592] 115.“PC Suite Tray”=“c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe” [2009-05-18 1312256] 116.“EA Core”=“c:\program files\Electronic Arts\EADM\Core.exe” [bU] 117. 118.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 119.“RTHDCPL”=“RTHDCPL.EXE” [2006-11-14 16270848] 120.“SkyTel”=“SkyTel.EXE” [2006-05-16 2879488] 121.“RemoteControl”=“c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe” [2004-11-02 32768] 122.“avast!”=“c:\progra~1\ALWILS~1\Avast4\ashDisp.exe” [2009-11-24 81000] 123.“NeroFilterCheck”=“c:\program files\Common Files\Ahead\Lib\NeroCheck.exe” [2006-01-12 155648] 124.“avgnt”=“c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe” [2008-06-12 266497] 125.“HPDJ Taskbar Utility”=“c:\windows\system32\spool\drivers\w32x86\3\hpztsb11.exe” [2004-04-06 172032] 126.“HPHUPD06”=“c:\program files\HP{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe” [2004-07-13 49152] 127.“HP Software Update”=“c:\program files\HP\HP Software Update\HPWuSchd2.exe” [2004-02-12 49152] 128.“HP Component Manager”=“c:\program files\HP\hpcoretech\hpcmpmgr.exe” [2004-05-12 241664] 129.“HPHmon06”=“c:\windows\system32\hphmon06.exe” [2004-07-13 659456] 130.“NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2007-04-12 8429568] 131.“nwiz”=“nwiz.exe” [2007-04-12 1626112] 132.“NvMediaCenter”=“c:\windows\system32\NvMcTray.dll” [2007-04-12 81920] 133.“Spik”=“c:\program files\Spik\Spik.exe” [2009-02-27 103912] 134. 135.[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 136.“CTFMON.EXE”=“c:\windows\System32\CTFMON.EXE” [2004-08-03 15360] 137.“Nokia.PCSync”=“c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe” [bU] 138. 139.[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run] 140.“4JTAeqIMdG”=“c:\documents and settings\All Users\Dane aplikacji\ezixazix\cbmdqtcx.exe” [bU] 141. 142.c:\documents and settings\All Users\Menu Start\Programy\Autostart\ 143.Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2007-10-3 113664] 144.BlueSoleil.lnk - c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2005-9-20 1200128] 145.Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [2000-1-21 65588] 146. 147.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ejo05.sys] 148.@=“Driver” 149. 150.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service] 151.@=“Service” 152. 153.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys] 154.@=“Driver” 155. 156.[HKEY_LOCAL_MACHINE\software\microsoft\security center] 157.“FirewallOverride”=dword:00000001 158. 159.[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile] 160.“EnableFirewall”= 0 (0x0) 161. 162.[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] 163."%windir%\system32\sessmgr.exe"= 164.“c:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe”= 165.“c:\Program Files\IBP 9\IBP.exe”= 166.“c:\Program Files\IBP 10\IBP.exe”= 167.“c:\WINDOWS\system32\winver.exe”= 168.“c:\Program Files\Electronic Arts\Burnout Paradise The Ultimate Box\BurnoutLauncher.exe”= 169.“c:\Program Files\Electronic Arts\Burnout Paradise The Ultimate Box\BurnoutConfigTool.exe”= 170.“c:\Program Files\Electronic Arts\Burnout Paradise The Ultimate Box\BurnoutParadise.exe”= 171. 172.R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-12-10 64288] 173.R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-02 114768] 174.R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-04-02 20560] 175.R2 ppsio2;PPDevice;c:\windows\system32\drivers\ppsio2.sys [2007-12-12 23200] 176.R3 pmxscan;PrimaScan USB Kernel;c:\windows\system32\drivers\usbscan.sys [2007-12-12 15104] 177.S0 Ejo05;Ejo05;c:\windows\system32\Drivers\Ejo05.sys --> c:\windows\system32\Drivers\Ejo05.sys [?] 178.S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2007-10-11 685816] 179.S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-09-24 1184912] 180.S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2009-06-06 136704] 181.S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2009-06-06 8320] 182… 183.------- Skan uzupełniający ------- 184… 185.uStart Page = hxxp://www.wp.pl/ 186.uInternet Connection Wizard,ShellNext = hxxp://www.avast.com/go.php?verb=register-home〈=pol 187.Handler: ic32pp - {BBCA9F81-8F4F-11D2-90FF-0080C83D3571} - c:\windows\wc98pp.dll 188.Handler: wpmsg - {2E0AC5A0-3597-11D6-B3ED-0001021DC1C3} - c:\program files\Spik\url_wpmsg.dll 189.DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab 190.DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab 191.FF - ProfilePath - c:\documents and settings\bat\Dane aplikacji\Mozilla\Firefox\Profiles\z72acx9w.default\ 192.FF - prefs.js: browser.search.selectedEngine - Google 193.FF - plugin: c:\documents and settings\bat\Dane aplikacji\Nowe Gadu-Gadu_userdata\npgg.1.dll 194.FF - plugin: c:\program files\Mozilla Firefox\plugins\npwpk.dll 195.FF - plugin: c:\program files\Spik\mozilla\npwpk.dll 196. 197.---- FIREFOX - SPOSÓB POSTĘPOWANIA ---- 198.c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref(“security.ssl3.rsa_seed_sha”, true); 199… 200. 201.************************************************************************** 202. 203.catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net 204.Rootkit scan 2009-12-12 22:36 205.Windows 5.1.2600 Dodatek Service Pack 2 NTFS 206. 207.skanowanie ukrytych procesów … 208. 209.skanowanie ukrytych wpisów autostartu … 210. 211.HKCU\Software\Microsoft\Windows\CurrentVersion\Run 212. PowerBar = ???l?@?l?@?D???w???wl?@?l?@??? ???w???w???w?m?wx???m?w??? ???|x???0???w???)???v???[???l?@?l?@???w???t?@???l?@?8?@?l?@?3??s???8?@?_??s8?@?8?@ 213. 214.skanowanie ukrytych plików … 215. 216.skanowanie pomyślnie ukończone 217.ukryte pliki: 0 218. 219.************************************************************************** 220… 221.--------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- 222. 223.- - - - - - - > ‘explorer.exe’(704) 224.c:\windows\system32\nview.dll 225.c:\windows\system32\NVWRSPL.DLL 226.c:\windows\system32\msi.dll 227.c:\windows\system32\ieframe.dll 228.c:\windows\system32\nvwddi.dll 229.c:\windows\system32\webcheck.dll 230… 231.Czas ukończenia: 2009-12-12 22:37:40 232.ComboFix-quarantined-files.txt 2009-12-12 21:37 233. 234.Przed: 54 824 861 696 bajtów wolnych 235.Po: 54 818 758 656 bajtów wolnych 236. 237.- - End Of File - - ECB7D5D7EDD266E010C85CF9ACBD9D3A
http://www.wklej.org/id/233420/
Gutek
(Gutek)
13 Grudzień 2009 22:52
#2
Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052
Wklej do Notatnika:
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Po tym nowy log z Combo oraz skan http://www.kaspersky.pl/virusscanner.html
bat75
(Wojtp)
15 Grudzień 2009 20:53
#3
Zrobiłem jak doradzano, ale coś poszło nie tak i po resecie kompa przez Combofixa już się nie odpalił.
Resetował sie zapętlony, nie odpalił się nawet awaryjnie i z ostatniej działąjącej kopii.
Przeinstalowałem instalatorem winde i działa, ale za to jak stare 386, zawiesza wszystkie instalatory i wywala co chwila explorer.
Chciałem uniknąć nieuniknionego, ale chcąc nie chcąc będzie dokładniejszy skan komendą FORMAT C: