Trojan w systemie TWK win32 CRAKPAI


(Zdzichu02) #1

Witam!Pomocy !!


(huber2t) #2

Podaj log z Combofix


(Zdzichu02) #3

Witam! Nie mam Combofix.


(huber2t) #4

Pobierz go, przeskanuj i daj zniego log na forum


(Zdzichu02) #5

Witam! Sorki za milczenie, ale nie miałem czasu. Podaje wydruk.

ComboFix 08-07-13.12 - Zdzislaw 2008-07-14 13:53:58.1 - FAT32 x86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.149 [GMT 2:00]

Running from: C:\Documents and Settings\Zdzislaw\Pulpit\Combo-Fix.exe

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

.

((((((((((((((((((((((((( Files Created from 2008-06-14 to 2008-07-14 )))))))))))))))))))))))))))))))

.

2008-07-14 08:56 . 2008-07-14 08:56

2008-07-12 10:08 . 2008-07-12 10:08

2008-07-11 10:40 . 2008-07-11 10:40

2008-07-05 07:35 . 2008-07-05 07:35

2008-06-29 17:22 . 2008-06-29 17:22

2008-06-28 08:46 . 2008-06-28 08:46

2008-06-27 09:33 . 2007-04-25 15:36 835,584 --a------ C:\WINDOWS\vsnp325.exe

2008-06-27 09:33 . 2007-04-21 09:30 270,336 --a------ C:\WINDOWS\tsnp325.exe

2008-06-27 09:33 . 2006-07-03 10:31 94,208 --a------ C:\WINDOWS\amcap.exe

2008-06-27 09:33 . 2007-02-12 14:50 20,480 --a------ C:\WINDOWS\FixCamera.exe

2008-06-27 09:33 . 2004-02-27 17:36 15,498 --a------ C:\WINDOWS\snp325.ini

2008-06-27 09:33 . 2004-02-27 17:36 13,023 --a------ C:\WINDOWS\snp325.src

2008-06-27 09:32 . 2008-06-27 09:32

2008-06-27 09:32 . 2007-04-26 11:03 10,343,168 --a------ C:\WINDOWS\system32\drivers\snp325.sys

2008-06-27 09:32 . 2006-04-12 12:11 147,456 --a------ C:\WINDOWS\system32\rsnp325.dll

2008-06-27 09:32 . 2007-04-24 15:40 57,344 --a------ C:\WINDOWS\system32\vsnp325.dll

2008-06-27 09:32 . 2005-11-23 13:55 53,248 --a------ C:\WINDOWS\system32\csnp325.dll

2008-06-26 06:17 . 2008-06-26 06:17

2008-06-22 06:15 . 2008-06-22 06:15

2008-06-18 23:07 . 2008-06-18 23:07

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-14 18:01 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys

2008-06-14 18:01 273,024 ------w C:\WINDOWS\system32\dllcache\bthport.sys

2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\dllcache\rmcast.sys

2008-05-07 05:16 1,291,264 ----a-w C:\WINDOWS\system32\quartz.dll

2008-05-07 05:16 1,291,264 ----a-w C:\WINDOWS\system32\dllcache\quartz.dll

2008-04-21 07:04 662,016 ----a-w C:\WINDOWS\system32\wininet.dll

2008-04-21 07:04 662,016 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll

2008-04-17 10:52 18,432 ----a-w C:\WINDOWS\system32\dllcache\iedw.exe

2008-04-07 09:47 34,008 ----a-w C:\Documents and Settings\Zdzislaw\Dane aplikacji\GDIPFONTCACHEV1.DAT

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 22:44 15360]

"ares"="E:\ares\Ares.exe" [2007-12-31 15:29 962560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-05-16 01:19 79224]

"DAEMON Tools"="E:\translator\DAEMON Tools\daemon.exe" [2005-12-10 15:57 133016]

"REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.EXE" [2002-02-04 22:32 53248]

"DTVRemote"="C:\Program Files\DTV\RemoteControl.exe" [2006-07-11 13:15 61440]

"FixCamera"="C:\WINDOWS\FixCamera.exe" [2007-02-12 14:50 20480]

"tsnp325"="C:\WINDOWS\tsnp325.exe" [2007-04-21 09:30 270336]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 22:44 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

ExifLauncher2.lnk - C:\Program Files\FinePixViewer\QuickDCF2.exe [2008-03-09 10:43:51 303104]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"C:\Program Files\Gadu-Gadu\gg.exe"=

"C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe"=

"C:\Program Files\Nero\Nero 7\Nero Home\NeroHome.exe"=

"C:\Program Files\Winamp Remote\bin\Orb.exe"=

"C:\Program Files\Winamp Remote\bin\OrbTray.exe"=

"C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe"=

"C:\Program Files\Joost\xulrunner\tvprunner.exe"=

"E:\ares\Ares.exe"=

"C:\Program Files\Skype\Phone\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"443:TCP"= 443:TCP:*:Disabled:ooVoo TCP port 443

"443:UDP"= 443:UDP:*:Disabled:ooVoo UDP port 443

"37674:TCP"= 37674:TCP:*:Disabled:ooVoo TCP port 37674

"37674:UDP"= 37674:UDP:*:Disabled:ooVoo UDP port 37674

"37675:UDP"= 37675:UDP:*:Disabled:ooVoo UDP port 37675

"60698:UDP"= 60698:UDP:AzureusUDP

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-16 01:20]

R1 Crlscsi;Crlscsi;C:\WINDOWS\system32\drivers\Crlscsi.sys [1995-11-07 11:57]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-05-16 01:16]

S1 M9207;M9207 USB Digital TV BOX;C:\WINDOWS\system32\DRIVERS\M9207_543.sys [2006-08-16 03:43]

*Newly Created Service* - CATCHME

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-14 13:56:45

Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-07-14 13:58:37

ComboFix-quarantined-files.txt 2008-07-14 11:58:28

Pre-Run: 3,235,586,048 bajtów wolnych

Post-Run: 3,215,204,352 bajtów wolnych

101 --- E O F --- 2008-06-22 08:50:17


(huber2t) #6

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

Folder::

C:\FOUND.010

C:\FOUND.009

C:\FOUND.008

C:\FOUND.007

C:\FOUND.006

C:\FOUND.005

C:\FOUND.004

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

02f8f1e3c410a4cc.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link


(Zdzichu02) #7

http://wklejto.pl/5734

mam nadzieję że dobrze zrozumiałem


(huber2t) #8

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Zdzichu02) #9

Dr WEB Curelt nie znajdował tej infekcji, czy mogę zrobić scan Avastem, bo go mam, czy mam robić jak podajesz?


(huber2t) #10

Lepiej przesknauj Kasperskim, Avast nie jest zbyt mocny


(Zdzichu02) #11

co to znaczy uruchom Kaspersky przez IE


(Lenviper1) #12

Znaczy że ten link: http://www.kaspersky.pl/virusscanner.html masz uruchomić w przeglądarce Internet Explorer :slight_smile:


(Zdzichu02) #13

http://wklejto.pl/5769

zrobiłem skan i jest infekcja


(huber2t) #14

Usuń to:

:slight_smile:


(Zdzichu02) #15

już usunięty i co dalej


(Spandau) #16

Powinno być OK, ale możesz przeskanować kontrolnie jeszcze raz.

:slight_smile:


(Zdzichu02) #17

http://wklejto.pl/5861

Nowe skanowanie op usunięciu pliku, wyglada OK

Dzięki za pomoc, pozdrawiam Zdzisław

W dniu 15.07.2008 , o godzinie 23:51 został dopisany post przez zdzichu02

Przeskanowałem i jest czysty, dziękuję za pomoc i pozdrawiam Zdzisław


(huber2t) #18

Tak, w raporcie czysto,powinno być ok

:slight_smile:


(Zdzichu02) #19

Witam ponownie! Czy możesz sprawdzić jeszcze raz logi, znów restartuje przy właczeniu komputera kilka razy

http://wklejto.pl/5976


(Leon$) #20

jeśli to wszystko zobiłeś

to powinno być OK

:slight_smile: