Trojan.generic jak usunac


(system) #1

Heyka pisze w takiej sprawie bo moj Kasperski Natyvirus 6.0 wykryl mi trojana.generic problem tkwi jednak w tym iz.. nie moge z nim zrobic.. tzn do kwarantanny nie moge i usunac tez.. dodam jeszcze ze logi mam czyste wie ktos moze jak to usunac?bym byl wdzieczny za pomoc :wink:


(Arekmalek) #2

Podaj lokalizację zainfekowanego pliku

raquo


(system) #3

tzn jest tak ze mi wyskakuja te okienka z paroma sciezkami jedna z nich to np..C:\Widnows\system32.a.exe

albo C:\lo.exe albo C:\Windows.temp\dl787842.exe


(Gutek) #4

Daj log z ComboFix


(system) #5

ComboFix 08-01-10.2 - EWA 2008-01-10 18:19:29.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.0.1250.1.1045.18.103 [GMT 1:00]

Running from: C:\Downloads\ComboFix.exe

* Created a new restore point

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\EWA\Dane aplikacji\install.dat

C:\Documents and Settings\EWA\Menu Start\Programy\Brave-Sentry

C:\Documents and Settings\EWA\Menu Start\Programy\Brave-Sentry\BraveSentry.lnk

C:\Documents and Settings\EWA\Menu Start\Programy\Brave-Sentry\Uninstall.lnk

C:\Documents and Settings\LocalService\Dane aplikacji\NetMon

C:\Documents and Settings\LocalService\Dane aplikacji\NetMon\domains.txt

C:\Documents and Settings\LocalService\Dane aplikacji\NetMon\log.txt

C:\Program Files\bravesentry

C:\Program Files\bravesentry\BraveSentry.exe

C:\Program Files\bravesentry\BraveSentry.lic

C:\Program Files\bravesentry\BraveSentry0.bs

C:\Program Files\bravesentry\BraveSentry0.dll

C:\Program Files\bravesentry\BraveSentry1.bs

C:\Program Files\bravesentry\BraveSentry2.dll

C:\Program Files\bravesentry\BraveSentry3.dll

C:\Program Files\bravesentry\Uninstall.exe

C:\Program Files\network monitor

C:\Program Files\network monitor\netmon.exe

C:\Program Files\outlook

C:\WINDOWS\rundll32.exe

C:\WINDOWS\system32\atmtd.dll

C:\WINDOWS\system32\atmtd.dll._

C:\WINDOWS\system32\dlh9jkd1q8.exe

C:\WINDOWS\system32\dllgh8jkd1q8.exe

C:\WINDOWS\system32\drivers\runtime2.sys

C:\WINDOWS\system32\kdzfe.exe

C:\WINDOWS\system32\kernel32.exe

C:\WINDOWS\system32\kernelwind32.exe

C:\WINDOWS\system32\msmsgs.exe

C:\WINDOWS\system32\vx.tll

C:\WINDOWS\system32\wsnpoem

C:\WINDOWS\uninstall_nmon.vbs

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\LEGACY_DRIVER

-------\LEGACY_NDISWON

-------\LEGACY_NETWORK_MONITOR

-------\LEGACY_RUNTIME

-------\LEGACY_RUNTIME2

-------\LEGACY_SMTPDRV

-------\Driver

-------\NdisWon

-------\Network Monitor

-------\runtime

-------\smtpdrv

((((((((((((((((((((((((( Files Created from 2007-12-10 to 2008-01-10 )))))))))))))))))))))))))))))))

.

2008-01-10 16:08 . 2008-01-10 16:08 52,736 --------- C:\WINDOWS\system32\mdm.exe

2008-01-10 16:03 . 2008-01-10 16:03 53,248 ---hs---- C:\WINDOWS\system32\Offlce.exe

2008-01-10 16:01 . 2008-01-10 16:01 55,296 ---hs---- C:\lo.exe

2008-01-09 17:03 . 2008-01-10 18:26 6,042,656 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-01-09 17:03 . 2008-01-10 18:26 11,732 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

2008-01-09 17:03 . 2008-01-10 18:27 7,456 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat

2008-01-09 17:03 . 2008-01-10 18:26 1,748 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx

2008-01-09 16:33 . 2008-01-09 16:33

2008-01-08 22:17 . 2008-01-08 22:17 298,104 --a------ C:\WINDOWS\system32\imon.dll

2008-01-08 20:51 . 2008-01-08 20:51

2007-12-27 02:30 . 2007-12-27 02:30 1,568 --a------ C:\Uninstall.lnk

2007-12-27 01:16 . 2007-12-27 01:16 30,583 --a------ C:\WINDOWS\system32\e1.exe

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd.bak

2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd

2008-01-10 17:15 --------- d-----w C:\Program Files\Neostrada TP

2008-01-09 15:27 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab

2008-01-08 20:04 --------- d-----w C:\Program Files\Common Files\Symantec Shared

2008-01-08 19:35 21,857 ----a-w C:\Program Files\Default.bk1

2008-01-08 18:48 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Hamachi

2008-01-06 16:57 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\OpenOffice.ux.pl2

2008-01-06 10:57 21,599 ----a-w C:\Program Files\Default.bk2

2008-01-05 20:11 21,582 ----a-w C:\Program Files\Default.bk3

2007-12-27 01:49 --------- d-----w C:\Program Files\Common Files\G DATA

2007-12-27 01:03 16,512 ----a-w C:\WINDOWS\system32\drivers\ASPI32.SYS

2007-12-23 00:15 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Skype

2007-12-22 18:18 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys

2007-12-08 16:40 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\GanymedeNet

2007-12-07 17:23 --------- d-----w C:\Program Files\Ganymede

2007-12-02 17:39 --------- d-----w C:\Program Files\ConsoleClassix.com

2007-12-02 17:23 --------- d-----w C:\Program Files\Volleyball Manager 2007

2007-11-25 14:16 --------- d-----w C:\Program Files\gadunio

2007-05-23 03:00 1,006,944 ----a-w C:\Program Files\HamachiSetup-1.0.2.2-pl.exe

2007-01-25 22:40 21,696,576 ----a-w C:\Program Files\AdbeRdr602_pol_full.exe

2006-11-25 21:52 312,768 ----a-w C:\Program Files\InstallCZATeriaKam1_4.exe

2005-08-15 13:54 1,318,912 ----a-w C:\Program Files\flashget.exe

2007-08-30 19:39 23 --sha-w C:\WINDOWS\system32\defedbbb2_g.dll

2005-07-29 15:24 472 --sha-r C:\WINDOWS\WFhY\qI1s.vbs

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WooCnxMon"="C:\PROGRA~1\NEOSTR~1\CnxMon.exe" [2003-10-16 17:07 24576]

"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 10:38 866816]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43 83608]

"WOOTASKBARICON"="C:\Program Files\Neostrada TP\taskbaricon.exe" [2003-10-16 17:07 53248]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-04-01 15:16 5562368]

"kav"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 19:09 139367]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-10-26 18:29 13312]

"Microsoft Windows Driver"="C:\WINDOWS\rundll32.exe" []

S3 WLC811GPCI;802.11b WLAN PCI;C:\WINDOWS\System32\DRIVERS\WLC811G.sys []

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-10 18:28:17

Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-01-10 18:31:19 - machine was rebooted

ComboFix-quarantined-files.txt 2008-01-10 17:31:13

.

2007-09-01 16:59:01 --- E O F ---


(Gutek) #6

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350

Wklej do Notatnika:

File::

C:\WINDOWS\system32\mdm.exe

C:\WINDOWS\system32\Offlce.exe

C:\lo.exe

C:\WINDOWS\system32\e1.exe


Registry::

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Microsoft Windows Driver"=-

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(system) #7

ComboFix 08-01-10.2 - EWA 2008-01-12 13:35:10.4 - NTFSx86

Running from: C:\Downloads\ComboFix.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\WINDOWS\system32\a.exe

C:\WINDOWS\system32\msmsgs.exe

.

((((((((((((((((((((((((( Files Created from 2007-12-12 to 2008-01-12 )))))))))))))))))))))))))))))))

.

2008-01-11 17:54 . 2008-01-11 17:54

2008-01-10 23:32 . 2008-01-10 23:32 128,000 -r-hs---- C:\WINDOWS\system32\spoolcv.exe

2008-01-10 22:25 . 2008-01-11 18:56

2008-01-10 22:25 . 2008-01-10 22:25

2008-01-10 22:25 . 2008-01-12 13:33

2008-01-10 22:25 . 2007-10-18 00:16 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys

2008-01-10 22:25 . 2007-10-18 00:15 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys

2008-01-10 22:25 . 2007-10-18 00:14 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys

2008-01-10 22:25 . 2007-10-18 00:16 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys

2008-01-10 22:24 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll

2008-01-10 16:08 . 2008-01-10 22:52 52,736 ---hs---- C:\WINDOWS\system32\mdm.exe

2008-01-10 16:03 . 2008-01-10 22:52 53,248 ---hs---- C:\WINDOWS\system32\Offlce.exe

2008-01-10 16:01 . 2008-01-10 16:01 55,296 ---hs---- C:\lo.exe

2008-01-09 17:03 . 2008-01-11 19:51 6,042,656 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-01-09 17:03 . 2008-01-12 13:38 18,720 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat

2008-01-09 17:03 . 2008-01-11 19:51 14,924 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

2008-01-09 17:03 . 2008-01-11 19:51 2,612 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx

2008-01-09 16:33 . 2008-01-09 16:33

2008-01-08 22:17 . 2008-01-08 22:17 298,104 --a------ C:\WINDOWS\system32\imon.dll

2008-01-08 20:51 . 2008-01-08 20:51

2007-12-27 01:16 . 2007-12-27 01:16 30,583 --a------ C:\WINDOWS\system32\e1.exe

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-12 12:36 --------- d-----w C:\Program Files\Neostrada TP

2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd.bak

2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd

2008-01-09 15:27 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab

2008-01-08 20:04 --------- d-----w C:\Program Files\Common Files\Symantec Shared

2008-01-08 19:35 21,857 ----a-w C:\Program Files\Default.bk1

2008-01-08 18:48 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Hamachi

2008-01-06 16:57 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\OpenOffice.ux.pl2

2008-01-06 10:57 21,599 ----a-w C:\Program Files\Default.bk2

2008-01-05 20:11 21,582 ----a-w C:\Program Files\Default.bk3

2007-12-27 01:49 --------- d-----w C:\Program Files\Common Files\G DATA

2007-12-27 01:07 50,458 ----a-w C:\WINDOWS\system32\interceptor.sys

2007-12-27 01:03 45,056 ----a-w C:\WINDOWS\system32\WNASPI32.DLL

2007-12-27 01:03 16,512 ----a-w C:\WINDOWS\system32\drivers\ASPI32.SYS

2007-12-23 00:15 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Skype

2007-12-22 18:18 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys

2007-12-08 16:40 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\GanymedeNet

2007-12-07 17:23 --------- d-----w C:\Program Files\Ganymede

2007-12-02 17:39 --------- d-----w C:\Program Files\ConsoleClassix.com

2007-12-02 17:23 --------- d-----w C:\Program Files\Volleyball Manager 2007

2007-11-25 14:16 --------- d-----w C:\Program Files\gadunio

2007-11-01 12:02 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe

2007-05-23 03:00 1,006,944 ----a-w C:\Program Files\HamachiSetup-1.0.2.2-pl.exe

2007-01-25 22:40 21,696,576 ----a-w C:\Program Files\AdbeRdr602_pol_full.exe

2006-11-25 21:52 312,768 ----a-w C:\Program Files\InstallCZATeriaKam1_4.exe

2005-08-15 13:54 1,318,912 ----a-w C:\Program Files\flashget.exe

2007-08-30 19:39 23 --sha-w C:\WINDOWS\system32\defedbbb2_g.dll

.

((((((((((((((((((((((((((((( snapshot@2008-01-10_18.30.50.98 )))))))))))))))))))))))))))))))))))))))))

.

  • 2008-01-10 17:18:48 630,784 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT

  • 2008-01-11 17:56:20 630,784 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT

  • 2008-01-10 17:18:48 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat

  • 2008-01-11 17:56:20 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat

  • 2008-01-10 17:18:49 626,688 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT

  • 2008-01-11 17:56:20 626,688 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT

  • 2008-01-10 17:18:49 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat

  • 2008-01-11 17:56:20 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat

  • 2008-01-10 17:18:49 3,956,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT

  • 2008-01-11 17:56:21 3,956,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT

  • 2008-01-10 17:18:49 163,840 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat

  • 2008-01-11 17:56:21 163,840 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat

  • 2008-01-10 15:08:59 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat

  • 2008-01-12 11:42:03 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat

  • 2008-01-10 17:19:15 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat

  • 2008-01-12 12:35:04 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat

  • 2008-01-10 15:08:59 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat

  • 2008-01-12 11:42:03 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat

  • 2008-01-10 21:52:12 52,736 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\4YUS11WJ\bin[1].exe

  • 2008-01-12 11:51:51 19,470 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\4YUS11WJ\f[1].exe

  • 2008-01-12 12:02:56 14,659 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\84T8UGNC\mixit[1].exe

  • 2008-01-12 09:04:20 54,272 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\84T8UGNC\mmdmm[1].exe

  • 2008-01-12 11:42:03 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat

  • 2008-01-10 21:52:08 53,248 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\TRM10EZP\md[1].exe

  • 2008-01-12 11:54:18 4,380 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\TRM10EZP\mmdmm[1].exe

  • 2008-01-11 17:48:45 31,232 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\V0H28BQ9\staff[1].exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Microsoft Oftice"="C:\WINDOWS\System32\msmsgs.exe" []

"OfficeWord Monitors"="C:\WINDOWS\System32\Offlce.exe" [2008-01-10 22:52 53248]

"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [2008-01-10 22:52 52736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WooCnxMon"="C:\PROGRA~1\NEOSTR~1\CnxMon.exe" [2003-10-16 17:07 24576]

"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 10:38 866816]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43 83608]

"WOOTASKBARICON"="C:\Program Files\Neostrada TP\taskbaricon.exe" [2003-10-16 17:07 53248]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-04-01 15:16 5562368]

"kav"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 19:09 139367]

"Microsoft Oftice"="C:\WINDOWS\System32\msmsgs.exe" []

"OfficeWord Monitors"="C:\WINDOWS\System32\Offlce.exe" [2008-01-10 22:52 53248]

"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [2008-01-10 22:52 52736]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-10-26 18:29 13312]

"Microsoft Oftice"="C:\WINDOWS\System32\msmsgs.exe" []

"OfficeWord Monitors"="C:\WINDOWS\System32\Offlce.exe" [2008-01-10 22:52 53248]

"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [2008-01-10 22:52 52736]

S3 WLC811GPCI;802.11b WLAN PCI;C:\WINDOWS\System32\DRIVERS\WLC811G.sys []

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-12 13:38:39

Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-01-12 13:40:32

ComboFix-quarantined-files.txt 2008-01-12 12:40:23

ComboFix2.txt 2008-01-10 17:31:19

.

2007-09-01 16:59:01 --- E O F ---

nie wiem czy usunelo tamto komp chodzi tak jak wczesniej


(Gutek) #8

Przeczytaj uważnie co masz zrobić:

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable. Po użyciu tego narzędzia wymagany jest reset sysa.

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350

Wklej do Notatnika:

File::

C:\WINDOWS\system32\spoolcv.exe

C:\WINDOWS\system32\mdm.exe

C:\WINDOWS\system32\Offlce.exe

C:\lo.exe

C:\WINDOWS\system32\e1.exe


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Microsoft Oftice"=-

"OfficeWord Monitors"=-

"Windows Networking Monitoring"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Microsoft Oftice"=-

"OfficeWord Monitors"=-

"Windows Networking Monitoring"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Microsoft Oftice"=-

"OfficeWord Monitors"=-

"Windows Networking Monitoring"=-

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(system) #9

Ten program Windows Worms Doors Cleaner to nie wiem czy go dobze uzylem.. chyba zle :expressionless: jak bys mogl to jakos jasniej wyjasnic to by bylo fajnie co do tych wpisow to zrobilem jak kazales ale nic to nie dalo pewno te wirusy sie uaktualnia przy stracie kompa czy cos takiego to daje loga nastepnego.. mam nadzieje ze ostatni

ComboFix 08-01-10.2 - EWA 2008-01-12 19:53:45.5 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.0.1250.1.1045.18.73 [GMT 1:00]

Running from: C:\Downloads\ComboFix.exe

Command switches used :: C:\Downloads\CFScript.txt

* Created a new restore point

FILE

C:\lo.exe

C:\WINDOWS\system32\e1.exe

C:\WINDOWS\system32\mdm.exe

C:\WINDOWS\system32\Offlce.exe

C:\WINDOWS\system32\spoolcv.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\lo.exe

C:\WINDOWS\system32\a.exe

C:\WINDOWS\system32\e1.exe

C:\WINDOWS\system32\mdm.exe

C:\WINDOWS\system32\Offlce.exe

C:\WINDOWS\system32\spoolcv.exe

.

((((((((((((((((((((((((( Files Created from 2007-12-12 to 2008-01-12 )))))))))))))))))))))))))))))))

.

2008-01-11 17:54 . 2008-01-11 17:54

2008-01-10 22:25 . 2008-01-11 18:56

2008-01-10 22:25 . 2008-01-10 22:25

2008-01-10 22:25 . 2008-01-12 13:33

2008-01-10 22:25 . 2007-10-18 00:16 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys

2008-01-10 22:25 . 2007-10-18 00:15 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys

2008-01-10 22:25 . 2007-10-18 00:14 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys

2008-01-10 22:25 . 2007-10-18 00:16 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys

2008-01-10 22:24 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll

2008-01-09 17:03 . 2008-01-11 19:51 6,042,656 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-01-09 17:03 . 2008-01-12 14:18 20,000 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat

2008-01-09 17:03 . 2008-01-11 19:51 14,924 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

2008-01-09 17:03 . 2008-01-11 19:51 2,612 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx

2008-01-09 16:33 . 2008-01-09 16:33

2008-01-08 22:17 . 2008-01-08 22:17 298,104 --a------ C:\WINDOWS\system32\imon.dll

2008-01-08 20:51 . 2008-01-08 20:51

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-12 18:52 --------- d-----w C:\Program Files\Neostrada TP

2008-01-12 15:14 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy

2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd.bak

2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd

2008-01-09 15:27 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab

2008-01-08 20:04 --------- d-----w C:\Program Files\Common Files\Symantec Shared

2008-01-08 19:35 21,857 ----a-w C:\Program Files\Default.bk1

2008-01-08 18:48 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Hamachi

2008-01-06 16:57 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\OpenOffice.ux.pl2

2008-01-06 10:57 21,599 ----a-w C:\Program Files\Default.bk2

2008-01-05 20:11 21,582 ----a-w C:\Program Files\Default.bk3

2007-12-27 01:49 --------- d-----w C:\Program Files\Common Files\G DATA

2007-12-27 01:07 50,458 ----a-w C:\WINDOWS\system32\interceptor.sys

2007-12-27 01:03 45,056 ----a-w C:\WINDOWS\system32\WNASPI32.DLL

2007-12-27 01:03 16,512 ----a-w C:\WINDOWS\system32\drivers\ASPI32.SYS

2007-12-23 00:15 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Skype

2007-12-22 18:18 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys

2007-12-08 16:40 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\GanymedeNet

2007-12-07 17:23 --------- d-----w C:\Program Files\Ganymede

2007-12-02 17:39 --------- d-----w C:\Program Files\ConsoleClassix.com

2007-12-02 17:23 --------- d-----w C:\Program Files\Volleyball Manager 2007

2007-11-25 14:16 --------- d-----w C:\Program Files\gadunio

2007-11-01 12:02 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe

2007-05-23 03:00 1,006,944 ----a-w C:\Program Files\HamachiSetup-1.0.2.2-pl.exe

2007-01-25 22:40 21,696,576 ----a-w C:\Program Files\AdbeRdr602_pol_full.exe

2006-11-25 21:52 312,768 ----a-w C:\Program Files\InstallCZATeriaKam1_4.exe

2005-08-15 13:54 1,318,912 ----a-w C:\Program Files\flashget.exe

2007-08-30 19:39 23 --sha-w C:\WINDOWS\system32\defedbbb2_g.dll

.

((((((((((((((((((((((((((((( snapshot@2008-01-10_18.30.50.98 )))))))))))))))))))))))))))))))))))))))))

.

  • 2008-01-10 17:18:48 630,784 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT

  • 2008-01-12 18:53:38 630,784 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT

  • 2008-01-10 17:18:48 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat

  • 2008-01-12 18:53:38 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat

  • 2008-01-10 17:18:49 626,688 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT

  • 2008-01-12 18:53:38 626,688 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT

  • 2008-01-10 17:18:49 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat

  • 2008-01-12 18:53:38 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat

  • 2008-01-10 17:18:49 3,956,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT

  • 2008-01-12 18:53:38 3,956,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT

  • 2008-01-10 17:18:49 163,840 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat

  • 2008-01-12 18:53:39 163,840 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat

  • 2008-01-10 15:08:59 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat

  • 2008-01-12 18:41:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat

  • 2008-01-10 17:19:15 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat

  • 2008-01-12 12:35:04 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat

  • 2008-01-10 15:08:59 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat

  • 2008-01-12 18:41:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat

  • 2008-01-12 18:27:33 3,867 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\C5Q74TQF\md[1].exe

  • 2008-01-12 18:41:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat

  • 2008-01-12 18:29:14 3,936 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\MV0H2F2J\f[1].exe

  • 2008-01-12 18:51:00 11,704 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\MV0H2F2J\f[2].exe

  • 2008-01-12 17:46:00 7,682 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\MV0H2F2J\md[1].exe

  • 2008-01-12 17:48:21 14,127 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SDE3STEV\f[1].exe

  • 2008-01-12 15:26:32 54,272 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\UZILG3IB\mixit[1].exe

  • 2008-01-12 16:11:15 4,096 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\UZILG3IB\staff[1].exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WooCnxMon"="C:\PROGRA~1\NEOSTR~1\CnxMon.exe" [2003-10-16 17:07 24576]

"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 10:38 866816]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43 83608]

"WOOTASKBARICON"="C:\Program Files\Neostrada TP\taskbaricon.exe" [2003-10-16 17:07 53248]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-04-01 15:16 5562368]

"kav"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 19:09 139367]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-10-26 18:29 13312]

S3 WLC811GPCI;802.11b WLAN PCI;C:\WINDOWS\System32\DRIVERS\WLC811G.sys []

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-12 19:57:10

Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-01-12 19:58:59

ComboFix-quarantined-files.txt 2008-01-12 18:58:50

ComboFix2.txt 2008-01-12 12:40:33

ComboFix3.txt 2008-01-10 17:31:19

.

2007-09-01 16:59:01 --- E O F ---


(Gutek) #10

PROSIŁEM o coś - Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350

Wklej do Notatnika:

File::

C:\Program Files\Default.jcd.bak

C:\Program Files\Default.jcd

C:\Program Files\Default.bk1

C:\Program Files\Default.bk2

C:\Program Files\Default.bk3

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Pobierz program SDFix

-


(system) #11

No to zrobilem tak jak kazales uzylem jeszcze tego.. Windows costam ze byly zielone i zolte trojkaciki i uzylem tego SDFix chyba wszystko jest juz ok.. chociaz moj spybot search and destroy.. wykryl przy wlaczaniu jakies zmiany rejestru to zablokowalem dobra daje loga

http://wklej.org/id/f1189d1bfa


(Gutek) #12

SDFix zrobił też swoje, już powinno być Ok