redox_84
(Radiactive)
22 Marzec 2008 12:45
#1
Witam. Mam problem z jakimś trojanem z którym nie umiem sobie poradzić. Avira Antyvir wykrywa go jako TR/DownLd.B, Norton jako Graybird. Symantec podaje jak usunąć tego wirusa, tyle tylko że w moim rejestrze nie ma żadnego z podawanego przez nich wpisu. Wirus tworzy sobie pliki .tmp w folderze windows\temp\ numerując je po kolei tmp1.tmp, tmp2.tmp itd. Po jakimkolwiek działaniu na wykrytym pliku (obojętnię czy daję delete, ignore, deny acces, move to quarantine) tworzona jest kolejna kopia wirusa. Próbowałem wyłączyć przywracanie systemu i w safemodzie przeskanować system powyższymi antywirusami, dodatkowo spybotem s&d, superantispywarem, prevx sci i spyware terminator (da ostatnie miały wykrywać i usuwać tego wirusa, ale prevx wykrywa tylko jakiś malware w pliku miccyhook.dll, spyware terminator jedynie nieprawidłowy wpis w rejestrze dotczący msmsgs). Przy starcie systemu, po zalogowaniu i jak urochomią się avira antyvir i norton od razu pojawia się komunikat, że wykryto wirusa.
Poniżej mój log z Hijacka (wiem, że powinienem wrzucić na wklej.org , ale nie chce mi na tą stronę wejść).
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:25:51, on 2008-03-22 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\ATKKBService.exe C:\Program Files\Bonjour\mDNSResponder.exe C:\Program Files\Common Files\Symantec Shared\ccProxy.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\PrevxCSI\PrevxCSI.exe C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe C:\Program Files\Norton Internet Security\ISSVC.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Program Files\Spyware Terminator\sp_rsser.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Mouse Driver\MouseDrv.exe C:\Program Files\Microsoft IntelliType Pro\itype.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\PrevxCSI\PrevxCSI.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE C:\WINDOWS\system32\wuauclt.exe D:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Spyware Terminator\SpywareTerminator.exe D:\Program Files\Gadu-Gadu\gg.exe D:\Program Files\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Program Files\BitComet\tools\BitCometBHO_1.1.11.30.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FLASHGET\jccatch.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program Files\Common Files\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll O4 - HKLM…\Run: [ccApp] “C:\Program Files\Common Files\Symantec Shared\ccApp.exe” O4 - HKLM…\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM…\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [CreativeMouse] C:\Program Files\Mouse Driver\MouseDrv.exe O4 - HKLM…\Run: [itype] “C:\Program Files\Microsoft IntelliType Pro\itype.exe” O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” O4 - HKLM…\Run: [avgnt] “C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe” /min O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM…\Run: [PrevxCSI] “C:\Program Files\PrevxCSI\prevxcsi.exe” /bootupreg O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU…\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU…\Run: [MSMSGS] 0 O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O8 - Extra context menu item: &D&ownload &with BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://D:\Program Files\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Ściągnij przy pomocy FlashGet’a - D:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet’a - D:\Program Files\FlashGet\jc_all.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Program Files\BitComet\tools\BitCometBHO_1.1.11.30.dll/206 (file missing) O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra ‘Tools’ menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.mks.com.pl O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: ##Id_String1 .6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: CSIScanner - Prevx - C:\Program Files\PrevxCSI\PrevxCSI.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Harmonogram automatycznej usługi LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program Files\Norton Internet Security\ISSVC.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe – End of file - 11382 bytes
dawidek11
(Dawidex11)
22 Marzec 2008 12:51
#3
Witaj, zafixuj tylko to ,
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://D:\Program Files\BitComet\tools\BitCometBHO_1.1.11.30.dll/206 (file missing)
Nic innego więcej nie widzę ,
Podaj log z ComboFix’a http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Instrukcja Obsługi:
1) Trzeba zamknąć wszystkie otwarte okna i programy. 2) ComboFix uruchamia się przez dwuklik na ikonkę ComboFix.exe 3) pojawi się napis please wait - więc czekać 4) pojawi się napis the process cannot access the file because it is being users by another process - dalej czekać 5) pojawi się napis na dole okienka type 1 to continue, or 2 to abort. _ - trzeba wpisać 1 i nacisnąć ENTER 6) pojawi się napis: Scanning for infectes files… Shouldn,t take more than 10minutes - czekać 7) W czasie skanowania nie wolno nic robić, nawet poruszać myszką. 8) Po skończeniu skanowania pojawi się log. Jeśli się nie pojawi na ekranie, to można go znaleźć na C:\ComboFix.txt 9) Log może być długi, więc zapisz go sobie gdzieś, a potem wklej na http://wklej.org/ , a w poście daj tylko link.
Ponieważ wklej.org nie dziala podaj log na forum.
dawidek11
(Dawidex11)
22 Marzec 2008 12:54
#4
huber2t:
fix
Jest to wpis uruchamiający Windows Messenger przy starcie systemu .
redox_84
(Radiactive)
22 Marzec 2008 13:07
#5
Pliki wirusą są zawsze w c:\windows\temp\temp?.tmp
log z combofixa
ComboFix 08-03-21.2 - Radek 2008-03-22 13:55:54.1 - FAT32x86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.508 [GMT 1:00] Running from: C:\Documents and Settings\Radek\Pulpit\ComboFix.exe * Created a new restore point WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED . ((((((((((((((((((((((((( Files Created from 2008-02-22 to 2008-03-22 ))))))))))))))))))))))))))))))) . 2008-03-22 08:40 . 2008-03-22 08:40 2008-03-22 08:40 . 2008-03-22 08:40 2008-03-22 08:40 . 2008-03-22 08:40 138,752 --a------ C:\WINDOWS\system32\drivers\sp_rsdrv2.sys 2008-03-22 08:39 . 2008-03-22 08:39 2008-03-22 08:18 . 2008-03-22 08:18 2008-03-22 08:18 . 2008-03-22 08:18 2008-03-22 08:18 . 2008-03-22 13:23 10,880 --a------ C:\WINDOWS\system32\drivers\pxark.sys 2008-03-21 14:15 . 2008-03-21 14:15 2008-03-20 20:03 . 2008-03-20 20:03 249,856 --------- C:\WINDOWS\Setup1.exe 2008-03-20 20:02 . 2008-03-20 20:02 73,216 --a------ C:\WINDOWS\ST6UNST.EXE 2008-03-20 19:49 . 2008-03-20 19:49 106,496 --a------ C:\WINDOWS\DIIUnin.exe 2008-03-20 19:49 . 2008-03-20 19:55 25,287 --a------ C:\WINDOWS\DIIUnin.dat 2008-03-20 19:49 . 2008-03-20 19:49 2,829 --a------ C:\WINDOWS\DIIUnin.pif 2008-03-20 08:13 . 2008-03-20 08:13 2008-03-18 19:02 . 2008-03-21 21:49 299,008 --a------ C:\WINDOWS\system32\miccyhook.dll 2008-03-18 11:48 . 2008-03-18 11:48 704 --a------ C:\WINDOWS\hpinfo.lnk 2008-03-18 11:47 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys 2008-03-18 11:47 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys 2008-03-18 11:46 . 2008-03-18 11:46 376 --a------ C:\WINDOWS\mozregistry.dat 2008-03-18 11:44 . 2008-03-18 11:44 2008-03-18 11:43 . 2008-03-18 11:43 2008-03-18 09:58 . 2008-03-18 09:58 2,758 --a------ C:\WINDOWS\system32\sdbackup.reg 2008-03-17 08:14 . 2008-03-17 08:14 303 --a------ C:\WINDOWS\ST6UNST.000 2008-03-16 12:54 . 2008-03-20 18:07 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll 2008-03-16 12:53 . 2008-03-16 12:53 21,840 --a------ C:\WINDOWS\system32\SIntfNT.dll 2008-03-16 12:53 . 2008-03-16 12:53 17,212 --a------ C:\WINDOWS\system32\SIntf32.dll 2008-03-16 12:53 . 2008-03-16 12:53 12,067 --a------ C:\WINDOWS\system32\SIntf16.dll 2008-03-11 21:00 . 2008-03-11 21:00 2008-03-11 21:00 . 2008-03-11 21:00 253,116 --a------ C:\WINDOWS\PDFCreator_Toolbar_Uninstaller_1218.exe 2008-03-11 21:00 . 2008-03-11 21:00 14,290 --a------ C:\Program Files\settings.dat 2008-03-11 20:59 . 2004-03-09 00:00 662,288 --a------ C:\WINDOWS\system32\MSCOMCT2.OCX 2008-03-11 20:59 . 2005-10-15 12:32 196,608 --a------ C:\WINDOWS\system32\pdfcmnnt.dll 2008-03-11 20:59 . 1998-06-24 00:00 137,000 --a------ C:\WINDOWS\system32\MSMAPI32.OCX 2008-03-11 20:59 . 1998-07-06 00:00 23,552 --a------ C:\WINDOWS\system32\MSMPIDE.DLL 2008-03-04 20:06 . 2008-03-04 20:06 2008-03-02 21:52 . 2008-03-02 21:52 2008-03-01 11:40 . 2008-03-01 11:40 2008-03-01 11:37 . 2008-03-01 11:37 2008-03-01 11:37 . 2008-03-01 11:37 2008-03-01 11:37 . 2008-03-01 11:37 2008-02-28 20:45 . 2008-02-28 20:45 2008-02-28 20:45 . 2008-02-28 20:45 32 --a------ C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\ezsid.dat 2008-02-28 20:38 . 2008-02-28 20:38 2008-02-28 20:38 . 2008-02-28 20:38 2008-02-28 20:37 . 2008-02-28 20:37 2008-02-27 17:42 . 2008-02-27 17:42 2008-02-26 19:41 . 2008-02-26 19:41 2008-02-26 11:51 . 2008-02-26 11:51 2008-02-26 11:49 . 2008-02-26 11:49 2008-02-26 11:49 . 2008-02-26 11:49 2008-02-26 11:46 . 2008-02-26 11:46 2008-02-26 11:03 . 2002-01-05 03:40 487,424 -ra------ C:\WINDOWS\system32\msvcp70.dll 2008-02-26 11:03 . 2002-08-15 10:11 344,064 -ra------ C:\WINDOWS\system32\msvcr70.dll 2008-02-25 20:44 . 2008-02-25 20:44 2008-02-24 13:21 . 2008-02-24 13:21 2008-02-24 10:03 . 2008-02-24 10:03 2008-02-24 10:03 . 2008-02-24 10:03 2008-02-23 12:35 . 2008-02-23 12:35 2008-02-23 12:26 . 2008-02-23 12:26 2008-02-23 12:25 . 2008-02-23 12:25 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-02-23 14:05 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-02-23 14:05 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2008-02-20 12:00 --------- d-----w C:\Documents and Settings\Radek\Dane aplikacji\Softplicity 2008-02-18 14:05 --------- d-----w C:\Program Files\Sony Ericsson 2008-02-13 10:33 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe 2008-02-11 08:51 --------- d-----w C:\Documents and Settings\Radek\Dane aplikacji\Nokia Multimedia Player 2008-02-04 18:20 --------- d-----w C:\Program Files\VID_0E8FPID_0003 2008-02-03 19:00 --------- d-----w C:\Documents and Settings\Radek\Dane aplikacji\My Games 2008-02-03 15:59 --------- d-----w C:\Documents and Settings\Radek\Dane aplikacji\InstallShield Installation Information 2008-02-02 11:35 --------- d-----w C:\Program Files\ReflexiveArcade 2008-01-31 19:20 --------- d-----w C:\Program Files\Activision Value 2008-01-31 18:23 --------- d-----w C:\Program Files\AGEIA Technologies 2008-01-31 17:15 --------- d-----w C:\Documents and Settings\Ola\Dane aplikacji\Winamp 2008-01-30 14:36 720,896 ----a-w C:\WINDOWS\iun6002ev.exe 2008-01-29 20:29 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\PopCap 2008-01-29 20:23 --------- d-----w C:\Program Files\PopCap Games 2008-01-28 19:16 --------- d-----w C:\Documents and Settings\Agata\Dane aplikacji\PC Suite 2008-01-28 16:33 --------- d-----w C:\Documents and Settings\Ola\Dane aplikacji\PC Suite 2008-01-28 08:29 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\PC Suite 2008-01-28 08:28 --------- d-----w C:\Program Files\DIFX 2008-01-28 08:28 --------- d-----w C:\Program Files\Common Files\PCSuite 2008-01-28 08:28 --------- d-----w C:\Program Files\Common Files\Nokia 2008-01-28 08:28 --------- d-----w C:\Documents and Settings\Radek\Dane aplikacji\Nokia 2008-01-28 08:27 --------- d-----w C:\Program Files\PC Connectivity Solution 2008-01-28 08:27 --------- d-----w C:\Documents and Settings\Radek\Dane aplikacji\PC Suite 2008-01-28 08:16 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Installations 2008-01-22 18:10 --------- d-----w C:\Documents and Settings\Agata\Dane aplikacji\Corel 2008-01-22 15:46 0 —ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf 2008-01-22 15:46 0 —ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_ggsemc_01005.Wdf 2008-01-22 15:44 20,520 ----a-w C:\WINDOWS\system32\drivers\ggsemc.sys 2008-01-22 15:44 13,352 ----a-w C:\WINDOWS\system32\drivers\ggflt.sys 2008-01-22 15:44 1,419,232 ----a-w C:\WINDOWS\system32\wdfcoinstaller01005.dll 2008-01-18 08:07 98,304 ----a-w C:\WINDOWS\system32CmdLineExt.dll 2008-01-08 20:40 98,512 ----a-w C:\WINDOWS\GREUninstall.exe 2008-01-05 14:08 737,280 ----a-w C:\WINDOWS\iun6002.exe . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44 15360] “SpybotSD TeaTimer”=“C:\Program Files\Spybot - Search Destroy\TeaTimer.exe” [2007-08-31 16:46 1460560] “MSMSGS”=“0” [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “ccApp”=“C:\Program Files\Common Files\Symantec Shared\ccApp.exe” [2007-02-22 10:58 58984] “SoundMan”=“SOUNDMAN.EXE” [2006-06-20 22:42 577536 C:\WINDOWS\soundman.exe] “Symantec NetDriver Monitor”=“C:\PROGRA~1\SYMNET~1\SNDMon.exe” [2008-01-05 14:20 100056] “NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2007-12-05 01:41 8523776] “nwiz”=“nwiz.exe” [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe] "CreativeMouse "=“C:\Program Files\Mouse Driver\MouseDrv.exe” [2004-06-27 14:54 503808] “itype”=“C:\Program Files\Microsoft IntelliType Pro\itype.exe” [2006-11-21 17:08 813912] “SunJavaUpdateSched”=“C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe” [2007-09-25 01:11 132496] “avgnt”=“C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe” [2008-01-05 19:56 249896] “NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2007-12-05 01:41 81920] “HPDJ Taskbar Utility”=“C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe” [2001-09-12 17:38 196608] “PrevxCSI”=“C:\Program Files\PrevxCSI\prevxcsi.exe” [2008-03-22 08:18 109568] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\CTFMON.EXE” [2004-08-04 00:44 15360] “Nokia.PCSync”=“D:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe” [2007-11-07 17:35 1294336] C:\Documents and Settings\Ola\Menu Start\Programy\Autostart\ Last.fm Helper.lnk - D:\Program Files\Last.fm\LastFMHelper.exe [2008-02-25 20:43:30 106496] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] “{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}”= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify!SASWinLogon] C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll [HKLM~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk] path=C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKLM~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Start^Programy^Autostart^Adobe Reader Synchronizer.lnk] path=C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Autostart\Adobe Reader Synchronizer.lnk backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup [HKLM~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Menu Start^Programy^Autostart^Nokia Connectivity Framework Lite.lnk] path=C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Autostart\Nokia Connectivity Framework Lite.lnk backup=C:\WINDOWS\pss\Nokia Connectivity Framework Lite.lnkCommon Startup [HKLM~\startupfolder\C:^Documents and Settings^Radek^Menu Start^Programy^Autostart^Last.fm Helper.lnk] path=C:\Documents and Settings\Radek\Menu Start\Programy\Autostart\Last.fm Helper.lnk backup=C:\WINDOWS\pss\Last.fm Helper.lnkStartup [HKLM~\startupfolder\C:^Documents and Settings^Radek^Menu Start^Programy^Autostart^Xfire.lnk] path=C:\Documents and Settings\Radek\Menu Start\Programy\Autostart\Xfire.lnk backup=C:\WINDOWS\pss\Xfire.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS SmartDoctor] --a------ 2006-06-29 16:59 1081344 C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] --a------ 2006-11-12 11:48 157592 D:\Program Files\DAEMON Tools\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GameFace Messenger] --a------ 2005-08-11 04:39 1916928 C:\Program Files\GameFace Messenger\GameFace.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --------- 2004-08-04 00:44 1667584 C:\Program Files\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray] --a------ 2007-12-10 10:12 695808 D:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware] --a------ 2008-03-21 08:06 1481968 C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] “AntiVirusDisableNotify”=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] “DisableMonitoring”=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] “DisableMonitoring”=dword:00000001 [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile] “EnableFirewall”= 0 (0x0) [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “%windir%\system32\sessmgr.exe”= “C:\Program Files\Google\Google Talk\googletalk.exe”= “C:\Program Files\Bonjour\mDNSResponder.exe”= “D:\Program Files\Skype\Phone\Skype.exe”= [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] “27455:TCP”= 27455:TCP:BitComet 27455 TCP “27455:UDP”= 27455:UDP:BitComet 27455 UDP R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-03-22 13:23] R2 CSIScanner;CSIScanner;“C:\Program Files\PrevxCSI\PrevxCSI.exe” /service [] R2 Harmonogram automatycznej usługi LiveUpdate;Harmonogram automatycznej usługi LiveUpdate;“C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe” [2006-08-03 17:40] R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2005-09-27 10:02] S1 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\system32\drivers\asusgsb32.sys [2005-10-20 16:25] S3 ggflt;SEMC USB Flash Driver Filter;C:\WINDOWS\system32\DRIVERS\ggflt.sys [2008-01-22 16:44] . Contents of the ‘Scheduled Tasks’ folder “2008-03-21 19:00:42 C:\WINDOWS\Tasks\Norton AntiVirus - Skanuj komputer - Radek.job” - C:\PROGRA~1\NORTON~1\NORTON~1\Navw32.exen/task: “2008-01-05 15:48:24 C:\WINDOWS\Tasks\Microsoft_Hardware_Launch_IType_exe.job” - C:\Program Files\Microsoft IntelliType Pro\itype.exe “2008-03-19 18:38:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job” - C:\Program Files\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-22 14:02:24 Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-03-22 14:03:02 ComboFix-quarantined-files.txt 2008-03-22 13:03:00
baldys16
(Baldys15)
22 Marzec 2008 13:44
#6
Sfixuj:
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
pozatym log jest czysty,przeleć kompa tym:
http://dobreprogramy.pl/index.php?dz=2& … Build+2522
i tym:
http://dobreprogramy.pl/index.php?dz=2& … +2.1.1.314
baldys16
(Baldys15)
22 Marzec 2008 13:45
#7
log z combofixa niech sprawdzi ‘‘znawca’’ dawidek11
dawidek11
(Dawidex11)
22 Marzec 2008 13:58
#8
Ja w logu nic nie widzę , czy nadal antywirusy wykrywają tego wirusa?
Widzę że masz 2 antywirusy nie radzę używać dwóch .
Przeleć dysk CCleaner’e, http://dobreprogramy.pl/index.php?dz=22&id=1125&CCleaner+2.05.555
Do tego skanerami online np. Nod32 lub Trendmicro http://www.eset.com/onlinescan/ , http://prerelease.trendmicro-europe.com/hc66/launch/
Również możesz przelecieć dobrym Anti-spyware’em http://www.ewido.net/en/onlinescan/ .
Przeskanuj te pliki na http://www.virustotal.com Napisz czy coś znalazło
Możesz jeszcze podać log z SDFix’a http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Instrukcja Obsługi:
* Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix) * Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa) * Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat * Wciśnij Y nastąpi proces usuwania. * Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera. * Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie. * Pokaż Report.txt znajdujący się w folderze SDFix.
Pozdrawiam.
redox_84
(Radiactive)
22 Marzec 2008 14:10
#9
trojan remover znalazł tylko dwa wpisy live update nortona jako podejrzane, spyware terminator tylko ten dotyczący msmsgs.
Antywirusy dalej wirusa widzą. Co do tych dwóch antywirusów, to na razie nie zauważyłem żeby się jakoś zwalczały czy coś.
Spróbuję jeszcze tymi programami przelecieć, może to coś da. W każdym razie dzięki za pomoc.
EDIT:
Z tych wszystkich plików virustotal.com znalazł mi tylko coś w miccyhook.dll: Prevx1 V2 2008.03.22 Generic.Malware. Prevx ściągnąłem już wcześniej, też wykrył coś w tym pliku, tyle tylko że nie mam na niego pełnej licencji, która pozwoliłaby na usunięcie zagrożenia z tego pliku. Na stronie prevx informacji o tego typu infekcji w zasadzie brak.
This dynamic link library has a file size of 299,008 bytes, it is called MICCYHOOK.DLL and is located in the %windir%\system32\ folder. The file header contains the following information: Product: Miccy’s D3D9 Hook Version: 1, 0, 0, This file is considered unsafe. It was first seen on Friday, Jun 8 2007. It has been seen frequently by 24 users in this section of the community. MICCYHOOK.DLL has yet to be seen running in this section of the community. MICCYHOOK.DLL has been the subject of the following behavior: - Registered as a Dynamic Link Library File - Created as a process on disk
SDFix niczego nie usuwał, napisał tylko, że nie może znaleźć ścieżki/pliku i się zamknął.