Trojan w systemie TWK win32 CRAKPAI

Witam!Pomocy !!

Podaj log z Combofix

Witam! Nie mam Combofix.

Pobierz go, przeskanuj i daj zniego log na forum

Witam! Sorki za milczenie, ale nie miałem czasu. Podaje wydruk.

ComboFix 08-07-13.12 - Zdzislaw 2008-07-14 13:53:58.1 - FAT32 x86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.149 [GMT 2:00]

Running from: C:\Documents and Settings\Zdzislaw\Pulpit\Combo-Fix.exe

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

.

((((((((((((((((((((((((( Files Created from 2008-06-14 to 2008-07-14 )))))))))))))))))))))))))))))))

.

2008-07-14 08:56 . 2008-07-14 08:56

2008-07-12 10:08 . 2008-07-12 10:08

2008-07-11 10:40 . 2008-07-11 10:40

2008-07-05 07:35 . 2008-07-05 07:35

2008-06-29 17:22 . 2008-06-29 17:22

2008-06-28 08:46 . 2008-06-28 08:46

2008-06-27 09:33 . 2007-04-25 15:36 835,584 --a------ C:\WINDOWS\vsnp325.exe

2008-06-27 09:33 . 2007-04-21 09:30 270,336 --a------ C:\WINDOWS\tsnp325.exe

2008-06-27 09:33 . 2006-07-03 10:31 94,208 --a------ C:\WINDOWS\amcap.exe

2008-06-27 09:33 . 2007-02-12 14:50 20,480 --a------ C:\WINDOWS\FixCamera.exe

2008-06-27 09:33 . 2004-02-27 17:36 15,498 --a------ C:\WINDOWS\snp325.ini

2008-06-27 09:33 . 2004-02-27 17:36 13,023 --a------ C:\WINDOWS\snp325.src

2008-06-27 09:32 . 2008-06-27 09:32

2008-06-27 09:32 . 2007-04-26 11:03 10,343,168 --a------ C:\WINDOWS\system32\drivers\snp325.sys

2008-06-27 09:32 . 2006-04-12 12:11 147,456 --a------ C:\WINDOWS\system32\rsnp325.dll

2008-06-27 09:32 . 2007-04-24 15:40 57,344 --a------ C:\WINDOWS\system32\vsnp325.dll

2008-06-27 09:32 . 2005-11-23 13:55 53,248 --a------ C:\WINDOWS\system32\csnp325.dll

2008-06-26 06:17 . 2008-06-26 06:17

2008-06-22 06:15 . 2008-06-22 06:15

2008-06-18 23:07 . 2008-06-18 23:07

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-14 18:01 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys

2008-06-14 18:01 273,024 ------w C:\WINDOWS\system32\dllcache\bthport.sys

2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\dllcache\rmcast.sys

2008-05-07 05:16 1,291,264 ----a-w C:\WINDOWS\system32\quartz.dll

2008-05-07 05:16 1,291,264 ----a-w C:\WINDOWS\system32\dllcache\quartz.dll

2008-04-21 07:04 662,016 ----a-w C:\WINDOWS\system32\wininet.dll

2008-04-21 07:04 662,016 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll

2008-04-17 10:52 18,432 ----a-w C:\WINDOWS\system32\dllcache\iedw.exe

2008-04-07 09:47 34,008 ----a-w C:\Documents and Settings\Zdzislaw\Dane aplikacji\GDIPFONTCACHEV1.DAT

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-03 22:44 15360]

“ares”=“E:\ares\Ares.exe” [2007-12-31 15:29 962560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2008-05-16 01:19 79224]

“DAEMON Tools”=“E:\translator\DAEMON Tools\daemon.exe” [2005-12-10 15:57 133016]

“REGSHAVE”=“C:\Program Files\REGSHAVE\REGSHAVE.EXE” [2002-02-04 22:32 53248]

“DTVRemote”=“C:\Program Files\DTV\RemoteControl.exe” [2006-07-11 13:15 61440]

“FixCamera”=“C:\WINDOWS\FixCamera.exe” [2007-02-12 14:50 20480]

“tsnp325”=“C:\WINDOWS\tsnp325.exe” [2007-04-21 09:30 270336]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-03 22:44 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

ExifLauncher2.lnk - C:\Program Files\FinePixViewer\QuickDCF2.exe [2008-03-09 10:43:51 303104]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“AntiVirusOverride”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“C:\Program Files\Gadu-Gadu\gg.exe”=

“C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe”=

“C:\Program Files\Nero\Nero 7\Nero Home\NeroHome.exe”=

“C:\Program Files\Winamp Remote\bin\Orb.exe”=

“C:\Program Files\Winamp Remote\bin\OrbTray.exe”=

“C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe”=

“C:\Program Files\Joost\xulrunner\tvprunner.exe”=

“E:\ares\Ares.exe”=

“C:\Program Files\Skype\Phone\Skype.exe”=

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

“443:TCP”= 443:TCP:*:Disabled:ooVoo TCP port 443

“443:UDP”= 443:UDP:*:Disabled:ooVoo UDP port 443

“37674:TCP”= 37674:TCP:*:Disabled:ooVoo TCP port 37674

“37674:UDP”= 37674:UDP:*:Disabled:ooVoo UDP port 37674

“37675:UDP”= 37675:UDP:*:Disabled:ooVoo UDP port 37675

“60698:UDP”= 60698:UDP:AzureusUDP

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]

R1 Crlscsi;Crlscsi;C:\WINDOWS\system32\drivers\Crlscsi.sys [1995-11-07 11:57]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

S1 M9207;M9207 USB Digital TV BOX;C:\WINDOWS\system32\DRIVERS\M9207_543.sys [2006-08-16 03:43]

*Newly Created Service* - CATCHME

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-14 13:56:45

Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-07-14 13:58:37

ComboFix-quarantined-files.txt 2008-07-14 11:58:28

Pre-Run: 3,235,586,048 bajtów wolnych

Post-Run: 3,215,204,352 bajtów wolnych

101 — E O F — 2008-06-22 08:50:17

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

Folder::

C:\FOUND.010

C:\FOUND.009

C:\FOUND.008

C:\FOUND.007

C:\FOUND.006

C:\FOUND.005

C:\FOUND.004

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link

http://wklejto.pl/5734

mam nadzieję że dobrze zrozumiałem

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

Dr WEB Curelt nie znajdował tej infekcji, czy mogę zrobić scan Avastem, bo go mam, czy mam robić jak podajesz?

Lepiej przesknauj Kasperskim, Avast nie jest zbyt mocny

co to znaczy uruchom Kaspersky przez IE

Znaczy że ten link: http://www.kaspersky.pl/virusscanner.html masz uruchomić w przeglądarce Internet Explorer :slight_smile:

http://wklejto.pl/5769

zrobiłem skan i jest infekcja

Usuń to:

:slight_smile:

już usunięty i co dalej

Powinno być OK, ale możesz przeskanować kontrolnie jeszcze raz.

:slight_smile:

http://wklejto.pl/5861

Nowe skanowanie op usunięciu pliku, wyglada OK

Dzięki za pomoc, pozdrawiam Zdzisław

W dniu 15.07.2008 , o godzinie 23:51 został dopisany post przez zdzichu02

Przeskanowałem i jest czysty, dziękuję za pomoc i pozdrawiam Zdzisław

Tak, w raporcie czysto,powinno być ok

:slight_smile:

Witam ponownie! Czy możesz sprawdzić jeszcze raz logi, znów restartuje przy właczeniu komputera kilka razy

http://wklejto.pl/5976

jeśli to wszystko zobiłeś

to powinno być OK

:slight_smile: