Witam.
Mialem Trojan.Vundo , poczytalem troche o nim na forach przepuściłem go przez:
-
VundoFix - nic nie znalazl
-
Trojan.Vundo Removal Tool, firmy Symantec - też nic nie znalazł
-
VirtumondoBeGone
-
Puściłem ComboFix w trybie awaryjnym i wyświetlił się raport:
Wszedzie pisza o jakims zapisywaniu w notatniku i kopiowaniu na ikonke combofixa, nie wiem kompletnie o co chodzi prosze o pomoc.
ComboFix 09-05-13.02 - Mati 2009-05-14 21:02.1 - FAT32 x86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.2046.1745 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Mati\Pulpit\ComboFix.exe
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32__c0010B66.exe
c:\windows\system32__c0015D7F.exe
c:\windows\system32__c0018AAD.exe
c:\windows\system32__c001D053.exe
c:\windows\system32__c0020E14.exe
c:\windows\system32__c002B158.exe
c:\windows\system32__c002B811.exe
c:\windows\system32__c00336E2.exe
c:\windows\system32__c0035348.exe
c:\windows\system32__c0037BB8.exe
c:\windows\system32__c0046B9C.exe
c:\windows\system32__c0048A4E.exe
c:\windows\system32__c0066699.exe
c:\windows\system32__c0067484.exe
c:\windows\system32__c0080335.exe
c:\windows\system32__c00951C3.exe
c:\windows\system32__c009984A.exe
c:\windows\system32__c009D816.exe
c:\windows\system32__c009F6FE.exe
c:\windows\system32__c00A0304.exe
c:\windows\system32__c00A0CD9.exe
c:\windows\system32__c00A2CF1.exe
c:\windows\system32__c00C14E6.exe
c:\windows\system32__c00C6DDC.exe
c:\windows\system32__c00CFB3C.exe
c:\windows\system32__c00D4D16.exe
c:\windows\system32__c00D7BA1.exe
c:\windows\system32__c00DE890.exe
c:\windows\system32__c00EE821.exe
c:\windows\system32__c00F5811.exe
c:\windows\system32__c00FA82E.exe
c:\windows\system32\comca.dll
c:\windows\system32\ftsrc.dll
C:\xcrashdump.dat
.
((((((((((((((((((((((((( Pliki utworzone od 2009-04-14 do 2009-05-14 )))))))))))))))))))))))))))))))
.
2009-05-14 17:46 . 2008-12-11 06:38 159600 ----a-w c:\windows\system32\drivers\pctgntdi.sys
2009-05-14 17:45 . 2009-05-14 17:45 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\TEMP
2009-05-14 17:45 . 2009-03-06 14:45 130424 ----a-w c:\windows\system32\drivers\PCTCore.sys
2009-05-14 17:45 . 2008-12-18 10:16 73840 ----a-w c:\windows\system32\drivers\PCTAppEvent.sys
2009-05-14 17:45 . 2009-05-14 17:45 -------- d-----w c:\program files\Common Files\PC Tools
2009-05-14 17:45 . 2008-12-10 10:36 64392 ----a-w c:\windows\system32\drivers\pctplsg.sys
2009-05-14 17:45 . 2009-05-14 17:45 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\PC Tools
2009-05-14 17:45 . 2009-05-14 17:45 -------- d-----w c:\documents and settings\Mati\Dane aplikacji\PC Tools
2009-05-14 17:45 . 2009-05-14 17:45 -------- d-----w c:\program files\Spyware Doctor
2009-05-14 17:41 . 2009-05-14 17:41 -------- d-----w c:\documents and settings\Mati\Dane aplikacji\Desktopicon
2009-05-14 15:50 . 2009-05-14 15:50 -------- d-----w C:\VundoFix Backups
2009-05-13 21:37 . 2009-05-13 21:37 -------- d-----w c:\program files\Lavasoft
2009-05-13 21:37 . 2009-05-13 21:37 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\Lavasoft
2009-05-13 21:36 . 2009-05-13 21:36 -------- d-----w c:\program files\Common Files\Wise Installation Wizard
2009-05-04 17:41 . 2009-05-04 17:41 -------- d-----w c:\documents and settings\Mati\Dane aplikacji\Skype
2009-05-04 17:41 . 2009-05-04 17:41 -------- d-----w c:\program files\Skype
2009-05-02 22:12 . 2009-05-02 22:12 -------- d-----w c:\documents and settings\Mati\Dane aplikacji\CyberLink
2009-05-02 22:11 . 2009-05-02 22:11 -------- d-----w c:\documents and settings\All Users\Dane aplikacji\CyberLink
2009-05-02 22:11 . 2009-05-02 22:11 -------- d-----w c:\program files\CyberLink
2009-05-01 08:25 . 2009-05-01 08:25 -------- d-sh–w c:\windows\ftpcache
2009-04-30 20:55 . 2009-05-13 22:08 24 ----a-w c:\windows\popcinfo.dat
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-10 16:50 . 2008-09-14 13:12 24944 ----a-w c:\windows\system32\drivers\GVTDrv.sys
2009-04-09 19:43 . 2009-04-09 19:43 -------- d-----w c:\program files\BitComet
2009-04-06 20:03 . 2004-07-17 07:36 163644 ----a-w c:\windows\system32\drivers\secdrv.sys
2009-04-06 19:22 . 2009-04-06 19:22 271360 ----a-w c:\windows\system32\drivers\atksgt.sys
2009-04-06 19:22 . 2009-04-06 19:22 18048 ----a-w c:\windows\system32\drivers\lirsgt.sys
2009-04-03 10:12 . 2009-04-03 10:12 152904 ----a-w c:\windows\system32\vghd.scr
2009-04-03 10:12 . 2009-04-03 10:12 -------- d-----w c:\program files\vghd
2009-03-11 17:28 . 2009-03-11 17:28 413696 ----a-w c:\windows\system32\wrap_oal.dll
2009-03-11 17:28 . 2009-03-11 17:28 110592 ----a-w c:\windows\system32\OpenAL32.dll
2009-02-16 21:03 . 2009-02-16 21:01 45056 ----a-w c:\windows\NCUNINST.EXE
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\system32\ctfmon.exe” [2004-08-03 15360]
“Gadu-Gadu”=“c:\program files\Gadu-Gadu\PowerGG.exe” [2002-11-17 21551]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“GEST”=“m‘|\ü” [X]
“NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2008-05-03 13529088]
“NvMediaCenter”=“c:\windows\system32\NvMcTray.dll” [2008-05-03 86016]
“ccApp”=“c:\program files\Common Files\Symantec Shared\ccApp.exe” [2006-03-31 71304]
“URLLSTCK.exe”=“c:\program files\Norton Internet Security\UrlLstCk.exe” [2003-10-21 70840]
“PPort11reminder”=“c:\program files\ScanSoft\PaperPort\Ereg\Ereg.exe” [2007-02-01 255528]
“SunJavaUpdateSched”=“c:\program files\Java\jre6\bin\jusched.exe” [2008-11-06 136600]
“RemoteControl”=“c:\program files\CyberLink\PowerDVD\PDVDServ.exe” [2003-10-31 32768]
“ISTray”=“c:\program files\Spyware Doctor\pctsTray.exe” [2008-12-08 1173384]
“RTHDCPL”=“RTHDCPL.EXE” - c:\windows\RTHDCPL.exe [2008-02-13 16857600]
“nwiz”=“nwiz.exe” - c:\windows\system32\nwiz.exe [2008-05-03 1630208]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
“AntiVirusDisableNotify”=dword:00000001
“UpdatesDisableNotify”=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
“DisableMonitoring”=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
“DisableMonitoring”=dword:00000001
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
“EnableFirewall”= 0 (0x0)
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
“c:\Program Files\Gadu-Gadu\gg.exe”=
“c:\Program Files\eMule\emule.exe”=
“c:\Program Files\Skype\Phone\Skype.exe”=
R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2009-05-14 130424]
R2 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2009-05-14 348752]
.
Zawartość folderu ‘Zaplanowane zadania’
2009-05-14 c:\windows\Tasks\Symantec NetDetect.job
- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2008-09-14 12:21]
2009-04-10 c:\windows\Tasks\Norton AntiVirus - Skanuj komputer.job
- c:\progra~1\NORTON~1\NORTON~1\Navw32.exe [2003-10-21 11:00]
.
-
-
-
- USUNIĘTO PUSTE WPISY - - - -
-
-
BHO-{8EB2D012-1F33-4043-A264-BC824F509722} - c:\windows\system32\comca.dll
HKLM-Run-UnlockerAssistant - c:\program files\Unlocker\UnlockerAssistant.exe
Notify-__c0019A88 - c:\windows\system32__c0019A88.dat
Notify-__c0024AA8 - c:\windows\system32__c0024AA8.dat
Notify-__c00B749B - c:\windows\system32__c00B749B.dat
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.onet.pl/
uInternet Connection Wizard,ShellNext = hxxp://porn.gonzo-movies.com/video5047/ … ke_u_Atini
IE: Eksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Mati\Dane aplikacji\Mozilla\Firefox\Profiles\g8v50yo2.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.onet.pl/
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-14 21:03
Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI
skanowanie ukrytych procesów …
skanowanie ukrytych wpisów autostartu …
skanowanie ukrytych plików …
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
Czas ukończenia: 2009-05-14 21:04
ComboFix-quarantined-files.txt 2009-05-14 19:04
Przed: 6 666 264 576 bajtów wolnych
Po: 7 060 430 848 bajtów wolnych
155