Prosze o pomoc wirus amvo.exe

Dla specjalistów Bezpieczeństwo
#1

Dzisiaj rano gdy wlaczylem kompa pokazalo sie : Plik amovo.exe odwluje sie do pamieci ble ble ble…

Domyslilem sie ze to wirus amov. Zamieszaczam log z hjt.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 06:39:42, on 2008-05-03

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe

C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe

C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Program Files\Creative\Shared Files\CTDevSrv.exe

C:\Program Files\Executive Software\Diskeeper\DkService.exe

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Alwil Software\Avast4\ashSimpl.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/pl

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: My Global Search Bar BHO - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O3 - Toolbar: My Global Search Bar - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL

O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM…\Run: [nwiz] nwiz.exe /install

O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM…\Run: [DiskeeperSystray] “C:\Program Files\Executive Software\Diskeeper\DkIcon.exe”

O4 - HKLM…\Run: [HPWT myPrintMileage Agent] C:\Program Files\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe

O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe”

O4 - HKLM…\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe

O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU…\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe”

O4 - HKCU…\Run: [amva] C:\WINDOWS\system32\amvo.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra ‘Tools’ menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: CT Device Query service (CTDevice_Srv) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTDevSrv.exe

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program Files\Executive Software\Diskeeper\DkService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

End of file - 6418 bytes

#2

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\amvo.exe


Folder::

C:\Program Files\MyGlobalSearch

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

#3

Pomocy nie moge z nikad pobrac combofixa

#4

W tym linku co ci podąłem masz program

masz jeszcze tutaj:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

http://www.techsupportforum.com/sectool … mboFix.exe

#5

A jedno pytanie gdzie on wygeneruje ten log

W dniu 03.05.2008 , o godzinie 7:18 został dopisany post przez luczki

teraz skanuje kasperskym wiec narazie poczekam z combo

I jescze jak dokladnie dziala combo jak usuwam te pliki

W dniu 03.05.2008 , o godzinie 7:27 został dopisany post przez luczki

Ale ten program co pobralem ze strony techssupportu nie wyglda na obrazku. A na dodatek ma 0 bajtów. Czy cos nie jest nie tak

W dniu 03.05.2008 , o godzinie 7:41 został dopisany post przez luczki

Pomożecie ?

#6

Ten adres już od dawna nie zawiera ComboFixa. Skorzystaj z tego innego adresu.

jessi

#7

Ale z tego wyzej juz pobieralem ale nie chce sie pobrac

#8

Ja przed chwilą pobrałam, a więc to Twój System jest zniszczony.

Nie wiem, czy w takim przypadku warto usuwać wirusa, skoro System praktycznie nie istnieje?

Daj log z -->DSS. (niżej na stronie linku)

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

Usuwanie bez ComboFixa będzie utrudnione.

jessi

#9

A moge poczekac z tym logiem do momentu gdy kaspersky skonczy prace ?

W dniu 03.05.2008 , o godzinie 7:56 został dopisany post przez luczki

Dobra udalo mi sie pobrac tego combo. Co dalej ?

W dniu 03.05.2008 , o godzinie 8:02 został dopisany post przez luczki

I jescze jedno. Kaspersky online wykryl juz 4 wirusy i 14 zainfekowanych plikow. Czy on to sam usunie ?

#10

Jak to co? Po prostu zrób normalny log (opis: ComboFix.

“amvo” oraz “MyGlobalSearch” usunie ComboFix samoczynnie, a resztę będziemy usuwać po obejrzeniu logu.

EDIT:

Jeśli chodzi o Kaspra, to tego nie wiem, daj z niego raport (też na wklej.org).

jessi

#11

a nie wystarczy ze zrobie to co napisal huber2t

File::

C:\WINDOWS\system32\amvo.exe

Folder::

C:\Program Files\MyGlobalSearch

Czy to nie bedzie wystarczec

#12

Oczywiście możesz uruchomić w ten sposób, ja nie mam nic przeciwko temu - to obojętne.

To, co podane w Scripcie zostanie usunięte bez względu na sposób uruchomienia, - czy normalnie, czy Scriptem.

jessi

#13

dobra zrobilem combo. Daje raport:

ComboFix 08-05-01.3 - Żarko 2008-05-03 8:33:40.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.589 [GMT 2:00]

Running from: C:\Documents and Settings\Żarko\Pulpit\ComboFix.exe

Command switches used :: C:\Documents and Settings\Żarko\Pulpit\CFScript.txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

FILE ::

C:\WINDOWS\system32\amvo.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\autorun.inf

C:\Program Files\myglobalsearch

C:\Program Files\myglobalsearch\bar\1.bin\M9FFXTBR.JAR

C:\Program Files\myglobalsearch\bar\1.bin\M9FFXTBR.MANIFEST

C:\Program Files\MyGlobalSearch\bar\1.bin\M9NTSTBR.JAR

C:\Program Files\myglobalsearch\bar\1.bin\M9NTSTBR.MANIFEST

C:\Program Files\MyGlobalSearch\bar\1.bin\M9PLUGIN.DLL

C:\Program Files\myglobalsearch\bar\1.bin\MGSBAR.DLL

C:\Program Files\MyGlobalSearch\bar\1.bin\NPMYGLSH.DLL

C:\Program Files\MyGlobalSearch\bar\Cache\00123B7B

C:\Program Files\MyGlobalSearch\bar\Cache\00158DD2.bin

C:\Program Files\myglobalsearch\bar\Cache\001590D0.bin

C:\Program Files\myglobalsearch\bar\Cache\001592B4.bin

C:\Program Files\MyGlobalSearch\bar\Cache\files.ini

C:\Program Files\MyGlobalSearch\bar\History\search

C:\Program Files\MyGlobalSearch\bar\Settings\prevcfg.htm

C:\Program Files\myglobalsearch\bar\Settings\settings.dat

C:\Program Files\myglobalsearch\bar\Settings\settings.htm

C:\WINDOWS\system32\amvo.exe

C:\WINDOWS\system32\amvo0.dll

D:\Autorun.inf

.

((((((((((((((((((((((((( Files Created from 2008-04-03 to 2008-05-03 )))))))))))))))))))))))))))))))

.

2008-05-03 07:25 . 2008-05-03 07:25

2008-05-03 07:03 . 2008-05-03 07:03

2008-05-03 07:03 . 2008-05-03 07:03

2008-05-03 07:03 . 2008-05-03 07:03

2008-05-03 06:39 . 2008-05-03 06:39

2008-05-02 19:23 . 2008-04-28 12:37 104,269 -r-hs---- C:\jfvkcsy.bat

2008-04-05 19:59 . 2008-04-05 20:01 151 --a------ C:\WINDOWS\PhotoSnapViewer.INI

2008-04-03 20:09 . 2006-03-02 14:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-03 05:36 --------- d-----w C:\Program Files\SpeedFan

2008-04-28 11:00 --------- d–h--w C:\Program Files\InstallShield Installation Information

2008-04-27 04:32 --------- d-----w C:\Program Files\Valve

2008-04-27 04:32 --------- d-----w C:\Program Files\sXe Injected

2008-04-26 05:26 --------- d-----w C:\Program Files\SkanerOnline

2008-04-08 19:02 --------- d-----w C:\Documents and Settings\Żarko\Dane aplikacji\Skype

2008-04-04 11:04 --------- d-----w C:\Documents and Settings\Żarko\Dane aplikacji\skypePM

2008-03-22 11:01 --------- d-----w C:\Program Files\Gadu-Gadu

2008-03-21 13:00 --------- d-----w C:\Documents and Settings\Żarko\Dane aplikacji\Ahead

2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\win32k.sys

2008-03-12 18:38 --------- d-----w C:\Program Files\Common Files\Ahead

2008-03-12 18:36 --------- d-----w C:\Program Files\Nero

2008-03-12 17:49 --------- d-----w C:\Program Files\MSXML 4.0

2008-03-01 13:02 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-02-21 18:04 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat

2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll

2008-02-20 05:38 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll

2008-01-02 16:23 19,552 ----a-w C:\Documents and Settings\Żarko\Dane aplikacji\GDIPFONTCACHEV1.DAT

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2006-03-02 14:00 15360]

“BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”=“C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe” [2006-03-01 20:43 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2007-12-05 02:41 8523776]

“nwiz”=“nwiz.exe” [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]

“NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2007-12-05 02:41 81920]

“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2008-03-29 19:37 79224]

“DiskeeperSystray”=“C:\Program Files\Executive Software\Diskeeper\DkIcon.exe” [2005-07-26 18:52 184408]

“HPWT myPrintMileage Agent”=“C:\Program Files\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe” [2005-01-26 04:45 102400]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” [2007-09-25 02:11 132496]

“NeroFilterCheck”=“C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe” [2006-01-12 16:40 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“AntiVirusOverride”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“C:\Program Files\Valve\hl.exe”=

“C:\Program Files\BearShare\BearShare.exe”=

“C:\Program Files\Gadu-Gadu\gg.exe”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“C:\Program Files\Skype\Phone\Skype.exe”=

“C:\WINDOWS\system32\dpvsetup.exe”=

“C:\WINDOWS\system32\rundll32.exe”=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]

R3 tj2knd5;Terayon Cable Modem (NDIS);C:\WINDOWS\system32\DRIVERS\tj2knd5.sys [2005-11-25 06:23]

R3 tj2kunic;Terayon Cable Modem (WDM);C:\WINDOWS\system32\DRIVERS\tj2kunic.sys [2005-11-25 06:23]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{0504d80f-b547-11dc-9f93-00909c0a4db5}]

\Shell\AutoRun\command - G:\jfvkcsy.bat

\Shell\explore\Command - G:\jfvkcsy.bat

\Shell\open\Command - G:\jfvkcsy.bat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{edb71d20-edb0-11dc-a0c9-00909c0a4db5}]

\Shell\AutoRun\command - EXPLORER.EXE

\Shell\explore\Command - EXPLORER.EXE

\Shell\open\Command - EXPLORER.EXE

*Newly Created Service* - CATCHME

.

Contents of the ‘Scheduled Tasks’ folder

“2008-03-19 06:38:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job”

  • C:\Program Files\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-03 08:34:42

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-05-03 8:35:12

ComboFix-quarantined-files.txt 2008-05-03 06:35:07

Pre-Run: 21,161,172,992 bajtów wolnych

Post-Run: 21,205,004,288 bajtów wolnych

126 — E O F — 2008-04-09 13:51:40

W dniu 03.05.2008 , o godzinie 8:36 został dopisany post przez luczki

Co dalej

#14

Ale logi wklejaj na http://wklej.org/, a w poście dawaj tylko link.(czyli skopiuj adres z paska adresów), bo Moderator może usunąć temat do Śmietnika z powodu wklejania logów bezpośrednio do postu.

Wklej do Notatnika :

File::

C:\jfvkcsy.bat

D:\jfvkcsy.bat

G:\jfvkcsy.bat


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0504d80f-b547-11dc-9f93-00909c0a4db5}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{edb71d20-edb0-11dc-a0c9-00909c0a4db5}]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

–>CFScript3.gif

Ma się rozpocząć usuwanie. (i powstanie log). Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox**.

jessi

#15

dobra zrobilem kolejnego loga :

ComboFix 08-05-01.3 - Żarko 2008-05-03 8:49:22.2 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.602 [GMT 2:00]

Running from: C:\Documents and Settings\Żarko\Pulpit\ComboFix.exe

Command switches used :: C:\Documents and Settings\Żarko\Pulpit\CFScript.txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

FILE ::

C:\jfvkcsy.bat

D:\jfvkcsy.bat

G:\jfvkcsy.bat

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\jfvkcsy.bat

D:\jfvkcsy.bat

.

((((((((((((((((((((((((( Files Created from 2008-04-03 to 2008-05-03 )))))))))))))))))))))))))))))))

.

2008-05-03 07:25 . 2008-05-03 07:25

2008-05-03 07:03 . 2008-05-03 07:03

2008-05-03 07:03 . 2008-05-03 07:03

2008-05-03 07:03 . 2008-05-03 07:03

2008-05-03 06:39 . 2008-05-03 06:39

2008-04-05 19:59 . 2008-04-05 20:01 151 --a------ C:\WINDOWS\PhotoSnapViewer.INI

2008-04-03 20:09 . 2006-03-02 14:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-03 05:36 --------- d-----w C:\Program Files\SpeedFan

2008-04-28 11:00 --------- d–h--w C:\Program Files\InstallShield Installation Information

2008-04-27 04:32 --------- d-----w C:\Program Files\Valve

2008-04-27 04:32 --------- d-----w C:\Program Files\sXe Injected

2008-04-26 05:26 --------- d-----w C:\Program Files\SkanerOnline

2008-04-08 19:02 --------- d-----w C:\Documents and Settings\Żarko\Dane aplikacji\Skype

2008-04-04 11:04 --------- d-----w C:\Documents and Settings\Żarko\Dane aplikacji\skypePM

2008-03-22 11:01 --------- d-----w C:\Program Files\Gadu-Gadu

2008-03-21 13:00 --------- d-----w C:\Documents and Settings\Żarko\Dane aplikacji\Ahead

2008-03-20 08:09 1,845,504 ----a-w C:\WINDOWS\system32\win32k.sys

2008-03-12 18:38 --------- d-----w C:\Program Files\Common Files\Ahead

2008-03-12 18:36 --------- d-----w C:\Program Files\Nero

2008-03-12 17:49 --------- d-----w C:\Program Files\MSXML 4.0

2008-03-01 13:02 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-02-21 18:04 32 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat

2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll

2008-02-20 05:38 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll

2008-01-02 16:23 19,552 ----a-w C:\Documents and Settings\Żarko\Dane aplikacji\GDIPFONTCACHEV1.DAT

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2006-03-02 14:00 15360]

“BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}”=“C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe” [2006-03-01 20:43 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2007-12-05 02:41 8523776]

“nwiz”=“nwiz.exe” [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]

“NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2007-12-05 02:41 81920]

“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2008-03-29 19:37 79224]

“DiskeeperSystray”=“C:\Program Files\Executive Software\Diskeeper\DkIcon.exe” [2005-07-26 18:52 184408]

“HPWT myPrintMileage Agent”=“C:\Program Files\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe” [2005-01-26 04:45 102400]

“SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” [2007-09-25 02:11 132496]

“NeroFilterCheck”=“C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe” [2006-01-12 16:40 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“AntiVirusOverride”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“C:\Program Files\Valve\hl.exe”=

“C:\Program Files\BearShare\BearShare.exe”=

“C:\Program Files\Gadu-Gadu\gg.exe”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“C:\Program Files\Skype\Phone\Skype.exe”=

“C:\WINDOWS\system32\dpvsetup.exe”=

“C:\WINDOWS\system32\rundll32.exe”=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]

R3 tj2knd5;Terayon Cable Modem (NDIS);C:\WINDOWS\system32\DRIVERS\tj2knd5.sys [2005-11-25 06:23]

R3 tj2kunic;Terayon Cable Modem (WDM);C:\WINDOWS\system32\DRIVERS\tj2kunic.sys [2005-11-25 06:23]

*Newly Created Service* - CATCHME

.

Contents of the ‘Scheduled Tasks’ folder

“2008-03-19 06:38:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job”

  • C:\Program Files\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-03 08:50:04

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-05-03 8:50:27

ComboFix-quarantined-files.txt 2008-05-03 06:50:24

ComboFix2.txt 2008-05-03 06:35:12

Pre-Run: 21,185,941,504 bajtów wolnych

Post-Run: 21,176,414,208 bajtów wolnych

101 — E O F — 2008-04-09 13:51:40

#16

Log wyglada na czysty

Usuń ręcznie folder C: \Qoobox

usuń instalkę Combofix z dysku.

Optymalizacja autostartu

Optymalizacja xp

Przeskanuj komputer tym (uruchom przez IE) http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

#17

Podaje log z kaspersky scaner online :

KASPERSKY ONLINE SCANNER REPORT

3 maj 2008 10:12:40

System operacyjny: Microsoft Windows XP Home Edition, Dodatek Service Pack 2 (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.0

Ostatnia aktualizacja Kaspersky Anti-Virus 3/05/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus736525

Ustawienia skanowania:

Skanowanie przy użyciu następujących baz danych: rozszerzone

Skanuj archiwa: tak

Skanuj pocztowe bazy danych: tak

Obszar skanowania - Mój komputer:

A:\

C:\

D:\

E:\

Statystyki skanowania:

Liczba skanowanych obiektów: 47537

Liczba wykrytych wirusów: 4

Liczba zainfekowanych obiektów: 14

Liczba podejrzanych obiektów: 0

Czas trwania skanowania: 01:05:15

Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\Żarko\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\Żarko\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\Żarko\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\Żarko\Pulpit\Kurs Komendantów WKU AON ,grudzien,2007\Kurs Komendantów WKU-AON-05.2007\Różne\Prezentacje\płyta\Dorosz opracowany\Programy nieznane\rys.EXE/rys/RYS_45(16)_A3.doc Zainfekowanych: Virus.MSWord.Marker.fq2 pominięty

C:\Documents and Settings\Żarko\Pulpit\Kurs Komendantów WKU AON ,grudzien,2007\Kurs Komendantów WKU-AON-05.2007\Różne\Prezentacje\płyta\Dorosz opracowany\Programy nieznane\rys.EXE RAR: zainfekowany - 1 pominięty

C:\Documents and Settings\Żarko\Pulpit\Kurs Komendantów WKU AON ,grudzien,2007\Kurs Komendantów WKU-AON-05.2007\Różne\Prezentacje\płyta\Dorosz opracowany.exe/Dorosz opracowany/Programy nieznane/rys.EXE/rys/RYS_45(16)_A3.doc Zainfekowanych: Virus.MSWord.Marker.fq2 pominięty

C:\Documents and Settings\Żarko\Pulpit\Kurs Komendantów WKU AON ,grudzien,2007\Kurs Komendantów WKU-AON-05.2007\Różne\Prezentacje\płyta\Dorosz opracowany.exe/Dorosz opracowany/Programy nieznane/rys.EXE Zainfekowanych: Virus.MSWord.Marker.fq2 pominięty

C:\Documents and Settings\Żarko\Pulpit\Kurs Komendantów WKU AON ,grudzien,2007\Kurs Komendantów WKU-AON-05.2007\Różne\Prezentacje\płyta\Dorosz opracowany.exe ZIP: zainfekowany - 2 pominięty

C:\Documents and Settings\Żarko\Ustawienia lokalne\Dane aplikacji\Microsoft\Feeds Cache\index.dat Object is locked pominięty

C:\Documents and Settings\Żarko\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\Żarko\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\Żarko\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\Żarko\Ustawienia lokalne\Historia\History.IE5\MSHist012008050320080504\index.dat Object is locked pominięty

C:\Documents and Settings\Żarko\Ustawienia lokalne\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked pominięty

C:\Documents and Settings\Żarko\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\report\Osłona rezydentna.txt Object is locked pominięty

C:\Program Files\Mozilla Firefox\plugins\NPMyGlSh.dll Zainfekowanych: not-a-virus:AdTool.Win32.MyWebSearch.i pominięty

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

C:\System Volume Information_restore{2DC7039C-E69C-4613-B6E2-110E8EA0C328}\RP2\A0000049.DLL Zainfekowanych: not-a-virus:AdTool.Win32.MyWebSearch.i pominięty

C:\System Volume Information_restore{2DC7039C-E69C-4613-B6E2-110E8EA0C328}\RP2\A0000051.exe Zainfekowanych: Trojan-PSW.Win32.OnLineGames.acgu pominięty

C:\System Volume Information_restore{2DC7039C-E69C-4613-B6E2-110E8EA0C328}\RP2\A0000052.dll Zainfekowanych: Trojan-PSW.Win32.OnLineGames.acgu pominięty

C:\System Volume Information_restore{2DC7039C-E69C-4613-B6E2-110E8EA0C328}\RP2\A0000053.inf Zainfekowanych: Trojan-PSW.Win32.OnLineGames.acgu pominięty

C:\System Volume Information_restore{2DC7039C-E69C-4613-B6E2-110E8EA0C328}\RP3\A0000092.bat Zainfekowanych: Trojan-PSW.Win32.OnLineGames.acgu pominięty

C:\System Volume Information_restore{2DC7039C-E69C-4613-B6E2-110E8EA0C328}\RP3\change.log Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\EventCache{0A121333-1A40-47A8-8118-A93551E9997A}.bin Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\Internet.evt Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\Temp\Perflib_Perfdata_2ec.dat Object is locked pominięty

C:\WINDOWS\Temp\Perflib_Perfdata_550.dat Object is locked pominięty

C:\WINDOWS\Temp_avast4_\Webshlock.txt Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

D:\Instalacyjna\Test komputera\Test baterii\BatteryMonitorDemoSetup-RegNowAff.exe Zainfekowanych: not-a-virus:FraudTool.Win32.SpywareDetector.d pominięty

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

D:\System Volume Information_restore{2DC7039C-E69C-4613-B6E2-110E8EA0C328}\RP2\A0000054.inf Zainfekowanych: Trojan-PSW.Win32.OnLineGames.acgu pominięty

D:\System Volume Information_restore{2DC7039C-E69C-4613-B6E2-110E8EA0C328}\RP3\A0000093.bat Zainfekowanych: Trojan-PSW.Win32.OnLineGames.acgu pominięty

D:\System Volume Information_restore{2DC7039C-E69C-4613-B6E2-110E8EA0C328}\RP3\change.log Object is locked pominięty

Proces skanowania został zakończony.

W dniu 03.05.2008 , o godzinie 10:14 został dopisany post przez luczki

co dalej ?

#18

usuń te pliki:

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Powinno być ok

:slight_smile:

#19

Jak to uzunac recznie ?

#20

Tak najlepiej było by ręcznie

Bo skyptem nie wiadmo czy usuneło by się