system
(system)
5 Listopad 2007 19:25
#1
Witam.
Mam problem z wirusem, zostałem za to odłączony od sieci i musiałem formatowac komputer… jednak po formacie wirus znowu jest widoczny jako ikonka na dysku C o nbazwie “3d3t4t8n7l” ikonka przypomina krzyzyk na czarnym tle
natomiast w menu start jest jjakis dziwny program o nazwie “carlton”
i niebardzo umię sobie z nim poradzić…
tu jest log z HijackThis:
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:10:38, on 2007-11-05 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Program Files\Lexmark 4300 Series\lxcemon.exe C:\Program Files\Lexmark 4300 Series\ezprint.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\VTTray.exe D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\WINDOWS\System32\svchost.exe D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\System32\lxcecoms.exe D:\Program Files\Mozilla Firefox\firefox.exe D:\Program Files\Gadu-Gadu\gg.exe D:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\VTTray.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM…\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16 O4 - HKLM…\Run: [lxcemon.exe] “C:\Program Files\Lexmark 4300 Series\lxcemon.exe” O4 - HKLM…\Run: [EzPrint] “C:\Program Files\Lexmark 4300 Series\ezprint.exe” O4 - HKLM…\Run: [FaxCenterServer] “C:\Program Files\Lexmark Fax Solutions\fm3032.exe” /s O4 - HKLM…\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [instantTray] C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe O4 - HKCU…\Run: [iW_Drop_Icon] C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc O4 - HKCU…\Run: [Gadu-Gadu] “D:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\System32\lxcecoms.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: s3contrl (32-bit) - Unknown owner - C:\WINDOWS\VTTray.exe O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe – End of file - 4126 bytes
A tu z combofixa:
ComboFix 07-11-01.1** - Marffik 2007-11-05 20:20:34.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.0.1250.1.1045.18.492 [GMT 1:00] Running from: C:\Documents and Settings\Marffik\Pulpit\ComboFix.exe * Created a new restore point . ((((((((((((((((((((((((( Files Created from 2007-10-05 to 2007-11-05 ))))))))))))))))))))))))))))))) . 2007-11-05 20:19 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-05 20:16 90,112 --a------ C:\WINDOWS\system32\RegDACL.exe 2007-11-05 20:16 53,248 --a------ C:\WINDOWS\system32\process.exe 2007-11-05 20:16 8,925 --a------ C:\clean.bat 2007-11-05 20:16 4,096 --a------ C:\WINDOWS\system32\reboot.exe 2007-11-05 20:16 347 --a------ C:\run2.reg 2007-11-05 20:10 2007-11-05 20:09 2007-11-05 20:09 2007-11-05 20:07 2007-11-05 20:07 745,600 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-11-05 20:07 95,872 --a------ C:\WINDOWS\system32\AvastSS.scr 2007-11-05 20:07 94,552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-11-05 20:07 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-11-05 20:07 43,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-11-05 20:07 26,888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-11-05 20:07 23,416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-11-05 20:03 44,495 --a------ C:\3d3t4t8n7l.exe 2007-11-05 20:01 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-05 19:02 42,496 ----a-w C:\WINDOWS\system32\ftp.exe 2007-11-05 19:02 16,896 ----a-w C:\WINDOWS\system32\tftp.exe 2007-11-05 18:56 --------- d–h--w E:\Program Files\Common Files\Carlson 2007-11-05 18:52 --------- d-----w C:\Documents and Settings\Marffik\Dane aplikacji\FaxCtr 2007-11-05 18:34 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\FaxCtr 2007-11-05 18:27 1,816,779 ----a-w C:\WINDOWS\Recorder.reg 2007-11-05 17:56 577,024 --sh–r C:\WINDOWS\VTTray.exe 2007-11-05 17:56 133,120 ----a-w C:\WINDOWS\system32\sfc_os.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “NvCplDaemon”=“C:\WINDOWS\System32\NvCpl.dll” [2004-07-13 01:50] “nwiz”=“nwiz.exe” [2004-07-13 01:50 C:\WINDOWS\system32\nwiz.exe] “NvMediaCenter”=“C:\WINDOWS\System32\NvMcTray.dll” [2004-07-13 01:50] “PinnacleDriverCheck”=“C:\WINDOWS\System32\PSDrvCheck.exe” [2003-11-10 16:06] “LXCECATS”=“C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll” [2005-07-20 14:46] “lxcemon.exe”=“C:\Program Files\Lexmark 4300 Series\lxcemon.exe” [2005-08-02 18:47] “EzPrint”=“C:\Program Files\Lexmark 4300 Series\ezprint.exe” [2005-07-26 13:17] “FaxCenterServer”=“C:\Program Files\Lexmark Fax Solutions\fm3032.exe” [2005-07-12 10:36] “avast!”=“D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-04-30 17:42] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\ctfmon.exe” [2001-10-26 18:29] “MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2001-08-02 07:14] “InstantTray”=“C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe” [2004-05-06 15:14] “IW_Drop_Icon”=“C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe” [2004-07-30 15:10] “Gadu-Gadu”=“D:\Program Files\Gadu-Gadu\gg.exe” [2007-05-10 15:36] R0 VOBID;VOBID;C:\WINDOWS\System32\DRIVERS\vobid.sys R1 fwdrv;Firewall Driver;C:\WINDOWS\System32\drivers\fwdrv.sys R1 khips;Kerio HIPS Driver;C:\WINDOWS\System32\drivers\khips.sys R1 vobiw;vobiw;C:\WINDOWS\System32\drivers\vobiw.sys R2 s3contrl (32-bit);s3contrl (32-bit);“C:\WINDOWS\VTTray.exe” R2 SPF4;Sunbelt Personal Firewall 4;D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe R3 cdrdrv;Cdrdrv;C:\WINDOWS\System32\Drivers\Cdrdrv.sys R3 usbscan;Sterownik skanera USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys R3 usbstor;Sterownik magazynu masowego USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS *Newly Created Service* - CATCHME *Newly Created Service* - FWDRV *Newly Created Service* - KHIPS *Newly Created Service* - SPF4 . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-05 20:23:36 Windows 5.1.2600 NTFS scanning hidden processes … scanning hidden autostart entries … HKLM\Software\Microsoft\Windows\CurrentVersion\Run LXCECATS = rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16??? scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-05 20:24:46 . — E O F —
Xaros
(Xaros)
5 Listopad 2007 20:05
#2
Log z HJT jest czysty o ile się nie mylę A co do tego wirusa i pliku to usuń to A jeśli się nie da to zainstaluj Adaware i zrób skana, tak samo twoim antywirusem.
jessica
(jessica)
5 Listopad 2007 20:20
#3
@Xaros - Log z Hijacka nie jest wcale czysty.
@Marffik -
>>Hijack>>scan(Do a system scan only)>>zaznacz (V) >> Fix checked .
Wklej do Notatnika :
File::
C:\WINDOWS\VTTray.exe
C:\3d3t4t8n7l.exe
Driver::
"s3contrl (32-bit)"
Folder::
E:\Program Files\Common Files\Carlson
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Daj ten log.
jessi
Gutek
(Gutek)
5 Listopad 2007 22:35
#4
jeszcze raz będziesz wypisywał bzdury to polecą nagrody
system
(system)
6 Listopad 2007 17:10
#5
tu jest log po tych operacjach :
ComboFix 07-11-01.1** - Marffik 2007-11-06 17:57:27.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.0.1250.1.1045.18.506 [GMT 1:00] Running from: C:\Documents and Settings\Marffik\Pulpit\ComboFix.exe Command switches used :: C:\Documents and Settings\Marffik\Pulpit\CFScript.txt * Created a new restore point FILE:: C:\3d3t4t8n7l.exe C:\WINDOWS\VTTray.exe . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\3d3t4t8n7l.exe C:\WINDOWS\VTTray.exe E:\Program Files\Common Files\Carlson E:\Program Files\Common Files\Carlson\carlton . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\LEGACY_S3CONTRL_(32-BIT) -------\s3contrl (32-bit) ((((((((((((((((((((((((( Files Created from 2007-10-06 to 2007-11-06 ))))))))))))))))))))))))))))))) . 2007-11-06 17:56 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-05 21:31 2007-11-05 21:26 2007-11-05 21:18 2007-11-05 21:18 2007-11-05 21:18 2007-11-05 21:18 2007-11-05 21:18 2007-11-05 21:18 2007-11-05 21:18 2007-11-05 20:47 2007-11-05 20:47 2007-11-05 20:34 1,156 --a------ C:\WINDOWS\mozver.dat 2007-11-05 20:31 2007-11-05 20:31 2007-11-05 20:31 2007-11-05 20:16 90,112 --a------ C:\WINDOWS\system32\RegDACL.exe 2007-11-05 20:16 53,248 --a------ C:\WINDOWS\system32\process.exe 2007-11-05 20:16 8,925 --a------ C:\clean.bat 2007-11-05 20:16 4,096 --a------ C:\WINDOWS\system32\reboot.exe 2007-11-05 20:16 347 --a------ C:\run2.reg 2007-11-05 20:09 2007-11-05 20:07 745,600 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-11-05 20:07 95,872 --a------ C:\WINDOWS\system32\AvastSS.scr 2007-11-05 20:07 94,552 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-11-05 20:07 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-11-05 20:07 43,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-11-05 20:07 26,888 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-11-05 20:07 23,416 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-06 16:46 42,496 ----a-w C:\WINDOWS\system32\ftp.exe 2007-11-06 16:46 16,896 ----a-w C:\WINDOWS\system32\tftp.exe 2007-11-05 20:18 165 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err 2007-11-05 18:52 --------- d-----w C:\Documents and Settings\Marffik\Dane aplikacji\FaxCtr 2007-11-05 18:34 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\FaxCtr 2007-11-05 18:27 1,816,779 ----a-w C:\WINDOWS\Recorder.reg 2007-11-05 17:56 133,120 ----a-w C:\WINDOWS\system32\sfc_os.dll . ((((((((((((((((((((((((((((( snapshot@2007-11-05_20.23.58,40 ))))))))))))))))))))))))))))))))))))))))) . + 2007-03-13 09:57:10 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE - 2007-11-05 19:02:14 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2007-11-06 16:52:10 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2007-11-05 19:02:14 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat + 2007-11-06 16:52:10 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat - 2007-11-05 19:02:14 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat + 2007-11-06 16:52:10 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat - 2007-11-05 19:02:15 42,496 -c–a-w C:\WINDOWS\system32\dllcache\ftp.exe + 2007-11-06 16:46:30 42,496 -c–a-w C:\WINDOWS\system32\dllcache\ftp.exe - 2007-11-05 19:02:15 16,896 -c–a-w C:\WINDOWS\system32\dllcache\tftp.exe + 2007-11-06 16:46:30 16,896 -c–a-w C:\WINDOWS\system32\dllcache\tftp.exe + 2007-06-11 12:34:00 2,115,816 ----a-w C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll + 2007-06-11 12:34:00 190,696 ----a-w C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe - 2007-11-05 18:56:09 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat + 2007-11-05 19:30:08 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat - 2007-11-05 18:56:09 49,492 ----a-w C:\WINDOWS\system32\perfc015.dat + 2007-11-05 19:30:08 49,492 ----a-w C:\WINDOWS\system32\perfc015.dat - 2007-11-05 18:56:09 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat + 2007-11-05 19:30:08 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat - 2007-11-05 18:56:09 355,486 ----a-w C:\WINDOWS\system32\perfh015.dat + 2007-11-05 19:30:08 355,486 ----a-w C:\WINDOWS\system32\perfh015.dat + 2007-11-06 17:01:29 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_61c.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “NvCplDaemon”=“C:\WINDOWS\System32\NvCpl.dll” [2004-07-13 01:50] “nwiz”=“nwiz.exe” [2004-07-13 01:50 C:\WINDOWS\system32\nwiz.exe] “NvMediaCenter”=“C:\WINDOWS\System32\NvMcTray.dll” [2004-07-13 01:50] “PinnacleDriverCheck”=“C:\WINDOWS\System32\PSDrvCheck.exe” [2003-11-10 16:06] “LXCECATS”=“C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll” [2005-07-20 14:46] “lxcemon.exe”=“C:\Program Files\Lexmark 4300 Series\lxcemon.exe” [2005-08-02 18:47] “EzPrint”=“C:\Program Files\Lexmark 4300 Series\ezprint.exe” [2005-07-26 13:17] “FaxCenterServer”=“C:\Program Files\Lexmark Fax Solutions\fm3032.exe” [2005-07-12 10:36] “avast!”=“D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-04-30 17:42] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\ctfmon.exe” [2001-10-26 18:29] “MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2001-08-02 07:14] “InstantTray”=“C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe” [2004-05-06 15:14] “IW_Drop_Icon”=“C:\Program Files\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe” [2004-07-30 15:10] “Gadu-Gadu”=“D:\Program Files\Gadu-Gadu\gg.exe” [2007-05-10 15:36] R0 VOBID;VOBID;C:\WINDOWS\System32\DRIVERS\vobid.sys R1 fwdrv;Firewall Driver;C:\WINDOWS\System32\drivers\fwdrv.sys R1 khips;Kerio HIPS Driver;C:\WINDOWS\System32\drivers\khips.sys R1 vobiw;vobiw;C:\WINDOWS\System32\drivers\vobiw.sys R2 SPF4;Sunbelt Personal Firewall 4;D:\Program Files\Sunbelt Software\Personal Firewall\kpf4ss.exe R3 cdrdrv;Cdrdrv;C:\WINDOWS\System32\Drivers\Cdrdrv.sys R3 usbscan;Sterownik skanera USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys R3 usbstor;Sterownik magazynu masowego USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-06 18:02:03 Windows 5.1.2600 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-06 18:03:24 - machine was rebooted C:\ComboFix2.txt … 2007-11-05 20:24 . — E O F —
Po tym wirusie “3d3t4t8n7l” z tego co wiedzę nie ma ani śladu
jednak tego carltona dalej widzę przynamniej w menu start…
jessica
(jessica)
6 Listopad 2007 17:25
#6
Jak widać - ComboFix usunął tego “carltona”, więc nie wiem, co on robi w Twoim Autostarcie?
Może to tylko pusty zapis, bo w logu nie widzę, by był on a Autostarcie.
Wg mnie - log jest czysty.
Ale trochę niepokoi mnie data modyfikacjo tych plików. Czyżby coś się do nich “przykleiło”?
Może, tak na wszelki wypadek:
Użyj -->SDFix
Uwaga: Da się go uruchomić tylko w Trybie Awaryjnym .
Pokaż Report.txt znajdujący się w folderze SDFix.
Instrukcja obsługi: Dwuklik na SDFix.exe, program wypakuje się na C:\SDFix (standardowo) Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed startem Windowsa) Wejdź do folderu z SDFix, dwuklik na plik RunThis.bat Wciśnij Y, nastąpi proces usuwania. Kiedy usuwanie się ukończy, wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera. Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania. Kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie. Pokaż Report.txt znajdujący się w folderze SDFix.
jessi
system
(system)
6 Listopad 2007 17:56
#7
już nie ma tego carltona więc to chyba to był pusty zapis tylko…
tu jest log
SDFix: Version 1.113 Run by Administrator on 2007-11-06 at 18:49 Microsoft Windows XP [Wersja 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting… Normal Mode: Checking Files: No Trojan Files Found Removing Temp Files… ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: catchme 0.3.1253 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-06 18:51:37 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden services & system hive … scanning hidden registry entries … [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c] “Order”=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00,00,8c,… scanning hidden files … scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] “%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll ,-22019" “D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe”=“D:\Program Files\Sunbelt Software\Personal Firewall\kpf4gui.exe:*:Enabled:Sunbelt Firewall GUI” “D:\Program Files\Gadu-Gadu\gg.exe”=“D:\Program Files\Gadu-Gadu\gg.exe:*:Enabled:Gadu-Gadu - program główny” [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] “%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll ,-22019" Remaining Files: --------------- Files with Hidden Attributes: Finished!
jessica
(jessica)
6 Listopad 2007 18:03
#8
Na szczęście wszystko jest w porządku - nic się nie podczepiło pod te pliki.
To wszystko z mojej strony.
jessi
system
(system)
6 Listopad 2007 18:50
#9
ok. Dzięki wielkie za pomoc
Pozdrawiam