Virtumonde dla laików

jck · 3 Lipiec 2008 16:34

Witam mam/miałem problem z tytułowym trojanem. Zasmakowałem jego działania w pełnej krasie. Po przejrzeniu mnóstwa forów o tej tematyce, podjąłem walkę z draniem. Spybot wykrywał lecz nie kasował trojana, programy typu Vundo fix, VondoRemoovalTool itp nic nie pomagały dopiero użycie programu Combofix przyniosło zauważalny rezultat. Jestem zupełnym laikiem i nie wiem czy to już koniec moich koszmarów w linku zamieszczam log z tego programu. W związku z powyższym prosze o pomoc w odpowiedzi na kilka pytań:

czy po skanowaniu/usunięciu programem Combofix muszę coś jeszcze zrobić aby zakończyć tą gehenne?
jak wystrzegać się zainfekowania tym trojanem w przyszłości?
jaka jest w miarę bezpieczna kombinacja darmowych programów zabezpieczający (antivir, firewall itp)?

PS

Wiem że są to pytania dość ogólne i może lakoniczne dla fachowców, ale niestety jak już pisałem jestem laikiem w tym temacie. Z góry dziękuje za każdą odpowiedź.

Pozdrawiam i życzę dalszych sukcesów!

link do loga http://wklejto.pl/txt4801

matio · 3 Lipiec 2008 17:03

Na logach się nie znam więc czekaj na fachowców. Ale co do Oprogramowania to mogę Ci pomóc. Dobrym pakietem jest Avira AntiVir Personal Antivirus + Comodo Firewall Pro + Ad-Aware 2008 Free + Spybot Search & Destroy + Windows+Worms+Doors+Cleaner+1.4.1 i masz fortecę nie do przejścia

jck · 3 Lipiec 2008 17:56

Dzięki za poradę tak też się sfortyfikuje.

huber2t · 4 Lipiec 2008 03:50

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\003272_.tmp

C:\WINDOWS\85EBB28365AF4C539EBE7C0A232762F7.TMP

C:\WINDOWS\system32\tmp203.tmp

C:\WINDOWS\system32\tmp202.tmp

C:\WINDOWS\system32\yATmlkii.dll

C:\WINDOWS\system32\lscafuxn.dll

C:\WINDOWS\system32\bbtsmdmh.dll


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30317C71-D995-4391-B2B7-69C254C81B94}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"SpybotDeletingB7297"=-

"SpybotDeletingD3643"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"=-

"SunJavaUpdateSched"=-

"BM973cfe3e"=-

"940fcda2"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkLdeCU]

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link

jck · 4 Lipiec 2008 05:10

Musiałem wyłączyć antyvira itp aby combo mógł spokojnie zadziałać oto mój log http://wklejto.pl/4853 ,

dziękuje za zainteresowanie i szybką odpowiedź.

huber2t · 4 Lipiec 2008 05:24

Powtórz moją wcześniejszą wskazówkę

jck · 4 Lipiec 2008 15:37

Przepraszam ostatnim razem chyba coś źle zapisałem loga, ale dla pewności powtórzyłem czynność w trybie awaryjnym oto log http://wklejto.pl/4912. Przepraszam za kłopot i dzięki za cierpliwość.

Gutek · 5 Lipiec 2008 00:31

Wklej do Notatnika:

File::

C:\WINDOWS\system32\tmpE.tmp


Folder::

C:\Program Files\AskSBar

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo oraz skan http://www.kaspersky.pl/virusscanner.html

jck · 5 Lipiec 2008 10:17

Oki to log z Combo po “scripcie” http://wklejto.pl/index.php?id=4957

potem ponowny po usunięciu Qoobxa

ComboFix 08-07-01.5 - Collin 2008-07-05 9:56:55.5 - NTFSx86 MINIMAL

Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.812 [GMT 2:00]

Running from: C:\Documents and Settings\Collin\Pulpit\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED

.

((((((((((((((((((((((((( Files Created from 2008-06-05 to 2008-07-05 )))))))))))))))))))))))))))))))

.

2008-07-03 21:18 . 2008-07-03 21:18

2008-07-03 21:18 . 2008-07-03 21:26

2008-07-03 21:18 . 2008-07-03 21:18 249,592 --a------ C:\WINDOWS\system32\cssdll32.dll

2008-07-03 21:18 . 2008-07-03 21:18 143,104 --a------ C:\WINDOWS\system32\guard32.dll

2008-07-03 21:18 . 2008-07-03 21:18 87,056 --a------ C:\WINDOWS\system32\drivers\cmdguard.sys

2008-07-03 21:18 . 2008-07-03 21:18 24,208 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys

2008-07-03 20:04 . 2008-07-03 20:26

2008-07-01 23:20 . 2008-07-02 22:50 385 --a------ C:\WINDOWS\wininit.ini

2008-07-01 23:04 . 2008-07-04 07:05

2008-07-01 21:24 . 2008-07-01 21:24 413,696 --a------ C:\WINDOWS\system32\wrap_oal.dll

2008-07-01 21:24 . 2008-07-01 21:24 110,592 --a------ C:\WINDOWS\system32\OpenAL32.dll

2008-07-01 21:10 . 2008-07-01 21:10

2008-07-01 20:01 . 2004-08-04 02:44 221,184 --a------ C:\WINDOWS\system32\wmpns.dll

2008-07-01 19:51 . 2008-04-13 23:53 1,309,184 --------- C:\WINDOWS\system32\drivers\mtlstrm.sys

2008-07-01 19:40 . 2008-07-01 19:40

2008-07-01 17:35 . 2008-07-02 00:00

2008-06-28 10:09 . 2008-06-28 10:09

2008-06-28 10:05 . 2008-06-28 10:10 38 --a------ C:\WINDOWS\avisplitter.INI

2008-06-28 09:39 . 2008-06-28 14:45

2008-06-25 18:48 . 2008-06-25 18:48

2008-06-25 18:48 . 1998-06-24 03:00 115,016 --a------ C:\WINDOWS\system32\MSINET.OCX

2008-06-25 18:48 . 1998-06-18 03:00 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL

2008-06-25 18:48 . 2000-03-17 12:21 69,632 --a------ C:\WINDOWS\system32\xmltok.dll

2008-06-25 18:48 . 2000-03-17 12:21 36,864 --a------ C:\WINDOWS\system32\xmlparse.dll

2008-06-25 18:48 . 2002-04-24 15:43 35,840 --a------ C:\WINDOWS\system32\comdlg32.oca

2008-06-25 18:48 . 2002-10-17 13:35 26,096 --a------ C:\WINDOWS\system32\xmlinst.exe

2008-06-25 18:48 . 2002-01-07 20:30 24,576 --a------ C:\WINDOWS\system32\msxml3a.dll

2008-06-24 17:16 . 2008-06-28 14:50 69 --a------ C:\WINDOWS\NeroDigital.ini

2008-06-24 06:40 . 2008-06-24 06:40

2008-06-23 23:33 . 2008-06-23 23:33 271,360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys

2008-06-23 23:33 . 2008-06-23 23:33 18,048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys

2008-06-23 23:29 . 2008-06-23 23:29

2008-06-23 07:46 . 2006-07-01 23:32 43,520 --a------ C:\WINDOWS\system32\drivers\AmdK8.sys

2008-06-23 07:02 . 2008-06-23 07:02

2008-06-21 18:52 . 2008-06-21 18:52

2008-06-21 11:43 . 2008-06-21 11:43

2008-06-19 20:17 . 2008-07-01 00:35

2008-06-19 20:16 . 2008-04-28 12:29 805,400 -ra------ C:\WINDOWS\system32\tmp6A.tmp

2008-06-19 16:39 . 2008-06-19 16:39

2008-06-17 06:36 . 2008-06-19 23:39

2008-06-16 20:10 . 2008-06-16 20:10

2008-06-15 20:08 . 2008-06-16 07:00 126,976 --a------ C:\WINDOWS\system32\UAService7.exe

2008-06-15 20:08 . 2008-06-19 20:16 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll

2008-06-15 19:32 . 2008-06-15 19:32

2008-06-15 19:27 . 2008-06-15 19:27 685,816 --a------ C:\WINDOWS\system32\drivers\sptd.sys

2008-06-15 11:20 . 2008-05-30 14:11 3,850,760 --a------ C:\WINDOWS\system32\D3DX9_38.dll

2008-06-15 11:20 . 2008-05-30 14:11 1,491,992 --a------ C:\WINDOWS\system32\D3DCompiler_38.dll

2008-06-15 11:20 . 2008-05-30 14:19 507,400 --a------ C:\WINDOWS\system32\XAudio2_1.dll

2008-06-15 11:20 . 2008-05-30 14:11 467,984 --a------ C:\WINDOWS\system32\d3dx10_38.dll

2008-06-15 11:20 . 2008-05-30 14:18 238,088 --a------ C:\WINDOWS\system32\xactengine3_1.dll

2008-06-15 11:20 . 2008-05-30 14:17 65,032 --a------ C:\WINDOWS\system32\XAPOFX1_0.dll

2008-06-15 11:20 . 2008-05-30 14:17 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_4.dll

2008-06-15 11:19 . 2008-06-15 11:19

2008-06-14 18:39 . 2007-07-11 14:06 42,672 --a------ C:\WINDOWS\system32\wbsys.dll

2008-06-14 10:16 . 2008-06-19 20:03 81 --a------ C:\WINDOWS\WB.ini

2008-06-13 20:04 . 2008-06-20 06:55

2008-06-13 19:41 . 2008-06-14 10:25 2,560 --a------ C:\WINDOWS_MSRSTRT.EXE

2008-06-08 19:02 . 2008-06-13 19:36 49 --a------ C:\WINDOWS\transp.gif

2008-06-08 15:26 . 2008-06-22 21:13 287 --a------ C:\WINDOWS\game.ini

2008-06-08 15:16 . 2008-06-08 15:16

2008-06-08 10:43 . 2008-06-13 19:39 153 --a------ C:\WINDOWS\ODBC.INI

2008-06-07 22:58 . 2008-06-07 22:58

2008-06-07 20:57 . 2008-06-07 20:57

2008-06-07 20:56 . 2008-07-03 20:03

2008-06-07 20:56 . 2008-06-28 15:05

2008-06-07 12:07 . 2008-06-07 12:07

2008-06-07 10:07 . 2008-06-07 10:07

2008-06-07 09:51 . 2008-07-05 09:50 2,540 --a------ C:\WINDOWS\wincmd.ini

2008-06-07 09:51 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\UC.PIF

2008-06-07 09:51 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\RAR.PIF

2008-06-07 09:51 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\PKZIP.PIF

2008-06-07 09:51 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\PKUNZIP.PIF

2008-06-07 09:51 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\NOCLOSE.PIF

2008-06-07 09:51 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\LHA.PIF

2008-06-07 09:51 . 2008-04-22 07:03 545 --a------ C:\WINDOWS\ARJ.PIF

2008-06-07 08:03 . 2008-07-05 09:57

2008-06-07 08:03 . 2008-06-06 18:48

2008-06-07 08:03 . 2008-06-06 16:58

2008-06-07 08:03 . 2008-06-06 18:48

2008-06-07 08:03 . 2008-06-07 08:03

2008-06-06 22:29 . 2008-06-13 19:41

2008-06-06 22:08 . 2008-06-06 22:08

2008-06-06 21:38 . 2008-06-06 21:38

2008-06-06 21:12 . 2008-06-06 21:12

2008-06-06 21:12 . 2008-06-06 21:12 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav

2008-06-06 21:12 . 2008-06-06 21:12 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav

2008-06-06 21:10 . 2008-06-06 21:10

2008-06-06 20:34 . 2008-06-06 20:34

2008-06-06 20:34 . 2008-07-05 09:50

2008-06-06 20:17 . 2008-06-06 20:17

2008-06-06 20:16 . 2008-06-06 20:16

2008-06-06 20:14 . 2008-06-06 20:14

2008-06-06 20:14 . 2008-06-06 20:19

2008-06-06 20:10 . 2006-10-26 19:58 30,512 --a------ C:\WINDOWS\system32\mdimon.dll

2008-06-06 20:09 . 2008-06-06 20:09

2008-06-06 20:07 . 2008-06-06 20:07

2008-06-06 20:03 . 2008-06-06 20:10

2008-06-06 19:52 . 2008-06-06 19:52

2008-06-06 19:52 . 2005-10-17 17:15 2,605,056 --a------ C:\WINDOWS\system32\BCGCBPRO800u.dll

2008-06-06 19:52 . 2005-10-17 17:07 2,600,960 --a------ C:\WINDOWS\system32\BCGCBPRO800.dll

2008-06-06 19:52 . 2004-07-26 17:16 1,568,768 --a------ C:\WINDOWS\system32\imagX7.dll

2008-06-06 19:52 . 2003-03-19 07:20 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll

2008-06-06 19:52 . 2003-03-18 21:12 1,047,552 --a------ C:\WINDOWS\system32\mfc71u.dll

2008-06-06 19:52 . 2004-07-26 17:16 476,320 --a------ C:\WINDOWS\system32\imagXpr7.dll

2008-06-06 19:52 . 2004-07-26 17:16 471,040 --a------ C:\WINDOWS\system32\imagXRA7.dll

2008-06-06 19:52 . 2004-07-09 09:43 364,544 --a------ C:\WINDOWS\system32\TwnLib4.dll

2008-06-06 19:52 . 2004-07-26 17:16 262,144 --a------ C:\WINDOWS\system32\imagXR7.dll

2008-06-06 19:52 . 2005-12-23 17:50 32,768 --a------ C:\WINDOWS\system32\BCGPOleAcc.dll

2008-06-06 19:49 . 2007-09-15 15:11 27,136 --a------ C:\WINDOWS\system32\PCWizard.cpl

2008-06-06 19:47 . 2005-05-26 15:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll

2008-06-06 19:44 . 2008-06-23 23:32

2008-06-06 19:44 . 2008-06-23 07:46

2008-06-06 19:43 . 2008-06-23 07:46

2008-06-06 19:42 . 2008-07-04 20:01

2008-06-06 19:42 . 2008-06-06 19:42 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-07-04 20:16 --------- d–h--w C:\Program Files\InstallShield Installation Information

2008-06-28 13:58 --------- d-----w C:\Program Files\Java

2008-06-25 16:53 --------- d-----w C:\Program Files\Unlocker

2008-06-22 19:04 --------- d-----w C:\Program Files\Common Files\InstallShield

2008-06-06 19:10 315,392 ----a-w C:\WINDOWS\HideWin.exe

2008-06-06 16:51 4,100 ----a-w C:\WINDOWS\system32\hdvirffo.dll

2008-06-06 16:45 15,781 ----a-w C:\WINDOWS\system32\drivers\mdc8021x.sys

2008-06-06 16:44 --------- d-----w C:\Program Files\RALINK

2008-06-06 15:58 --------- d-----w C:\Program Files\Malicious Software Removal Tool

2008-06-06 15:54 --------- d-----w C:\Program Files\Common Files\Java

2008-06-06 15:51 --------- d-----w C:\Program Files\MSXML 6.0

2008-06-06 15:49 --------- d-----w C:\Program Files\Windows Media Connect 2

2008-06-06 15:47 --------- d-----w C:\Program Files\MSXML 4.0

2008-06-06 15:46 --------- d-----w C:\Program Files\xp-AntiSpy

2008-06-06 15:33 --------- d-----w C:\Program Files\MSBuild

2008-06-06 15:30 --------- d-----w C:\Program Files\Reference Assemblies

2008-06-06 15:27 --------- d-----w C:\Program Files\CWShredder

2008-06-06 15:21 --------- d-----w C:\Program Files\HighMAT CD Writing Wizard

2008-06-06 15:20 --------- d-----w C:\Program Files\AutoPatcher Tools

2008-06-06 15:02 --------- d-----w C:\Program Files\microsoft frontpage

2008-06-06 15:01 --------- d-----w C:\Program Files\Usługi online

2008-05-20 15:53 4,800,000 ----a-w C:\WINDOWS\system32\drivers\RtkHDAud.sys

2008-05-16 12:39 16,862,720 ----a-w C:\WINDOWS\RTHDCPL.exe

2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe

2008-04-30 15:27 442,368 ----a-w C:\WINDOWS\system32\NVUNINST.EXE

2008-04-28 06:52 2,121,235 ----a-w C:\WINDOWS\system32\x264vfw.dll

2008-04-14 21:16 1,804 ----a-w C:\WINDOWS\system32\dcache.bin

2008-04-14 20:56 332,288 ----a-w C:\WINDOWS\system32\netsetup.exe

2008-04-14 20:52 92,424 ----a-w C:\WINDOWS\system32\rdpdd.dll

2008-04-14 20:52 87,176 ----a-w C:\WINDOWS\system32\rdpwsx.dll

2008-04-14 20:52 299,520 ----a-w C:\WINDOWS\system32\drmclien.dll

2008-04-14 20:52 12,168 ----a-w C:\WINDOWS\system32\tsddd.dll

2008-04-14 20:50 999,936 ----a-w C:\WINDOWS\system32\syssetup.dll

2008-04-14 20:49 98,304 ----a-w C:\WINDOWS\system32\actxprxy.dll

2008-04-14 20:48 76,288 ----a-w C:\WINDOWS\system32\uniime.dll

2008-04-14 20:48 5,632 ----a-w C:\WINDOWS\system32\wmi.dll

2008-04-14 20:48 1,449,472 ----a-w C:\WINDOWS\system32\winntbbu.dll

2008-04-14 20:47 57,375 ----a-w C:\WINDOWS\system32\odbcji32.dll

2008-04-14 20:47 103,424 ----a-w C:\WINDOWS\system32\dpcdll.dll

2008-04-14 20:43 4,126 ----a-w C:\WINDOWS\system32\msdxmlc.dll

2008-04-14 20:42 3,584 ----a-w C:\WINDOWS\system32\msafd.dll

2008-04-14 20:37 811,064 ----a-w C:\WINDOWS\system32\imjp81k.dll

2008-04-14 20:36 3,584 ----a-w C:\WINDOWS\system32\icmp.dll

2008-04-14 20:35 9,344 ----a-w C:\WINDOWS\system32\framebuf.dll

2008-04-14 20:35 569,856 ----a-w C:\WINDOWS\system32\gpedit.dll

2008-04-14 20:34 7,168 ----a-w C:\WINDOWS\system32\f3ahvoas.dll

2008-04-14 20:33 3,072 ----a-w C:\WINDOWS\system32\dpnlobby.dll

2008-04-14 20:33 3,072 ----a-w C:\WINDOWS\system32\dpnaddr.dll

2008-04-14 20:33 24,064 ----a-w C:\WINDOWS\system32\pidgen.dll

2008-04-14 20:31 16,896 ----a-w C:\WINDOWS\system32\cfgmgr32.dll

2008-04-14 20:30 285,696 ----a-w C:\WINDOWS\system32\atmfd.dll

2008-04-14 19:59 2,146,816 ----a-w C:\WINDOWS\system32\ntoskrnl.exe

2008-04-14 19:59 2,025,472 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe

2008-04-14 19:55 4,096 ----a-w C:\WINDOWS\system32\dsprpres.dll

2008-04-14 19:52 89,600 ----a-w C:\WINDOWS\system32\msxml6r.dll

2008-04-14 19:50 80,896 ------w C:\WINDOWS\system32\msshavmsg.dll

2008-04-14 19:45 49,664 ----a-w C:\WINDOWS\system32\inetres.dll

2008-04-14 19:43 563,200 ----a-w C:\WINDOWS\system32\shdoclc.dll

2008-04-14 19:37 10,240 ----a-w C:\WINDOWS\system32\gpkrsrc.dll

2008-04-14 19:35 67,584 ----a-w C:\WINDOWS\system32\browselc.dll

2008-04-14 19:35 1,845,888 ----a-w C:\WINDOWS\system32\win32k.sys

2008-04-14 19:32 57,344 ----a-w C:\WINDOWS\system32\mshtmler.dll

2008-04-13 22:15 17,664 ----a-w C:\WINDOWS\system32\watchdog.sys

2008-04-13 22:13 9,728 ------w C:\WINDOWS\system32\comsdupd.exe

2008-04-13 22:13 12,800 ----a-w C:\WINDOWS\system32\spiisupd.exe

2008-04-13 22:10 427,008 ----a-w C:\WINDOWS\system32\xpob2res.dll

2008-04-13 22:08 2,953,216 ----a-w C:\WINDOWS\system32\xpsp2res.dll

2008-04-13 22:05 194,560 ----a-w C:\WINDOWS\system32\xpsp1res.dll

2008-04-13 22:01 7,424 ----a-w C:\WINDOWS\system32\kd1394.dll

2008-04-13 22:00 61,440 ----a-w C:\WINDOWS\system32\msvcrt40.dll

2008-04-13 21:07 208,384 ----a-w C:\WINDOWS\system32\rsaenh.dll

2008-04-13 21:07 138,752 ----a-w C:\WINDOWS\system32\dssenh.dll

2008-04-13 20:56 12,288 ----a-w C:\WINDOWS\system32\odbcp32r.dll

2008-04-13 20:56 12,288 ----a-w C:\WINDOWS\system32\mscpx32r.dll

2008-04-13 20:51 733,696 ----a-w C:\WINDOWS\system32\qedwipes.dll

2008-04-13 20:18 1,647,616 ----a-w C:\WINDOWS\system32\winbrand.dll

2008-04-13 20:15 216,064 ----a-w C:\WINDOWS\system32\moricons.dll

2008-04-13 19:53 48,128 ----a-w C:\WINDOWS\system32\msprivs.dll

2008-04-13 19:09 884,736 ----a-w C:\WINDOWS\system32\msimsg.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2008-04-14 22:51 15360]

“AGEIA PhysX SysTray”=“C:\Program Files\AGEIA Technologies\bin\TrayIcon.exe” [2007-01-05 23:23 357928]

“uTorrent”=“D:\Program Files\uTorrent\uTorrent.exe” [2008-06-28 21:38 266544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“IMJPMIG8.1”=“C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE” [2004-08-04 00:32 208952]

“PHIME2002ASync”=“C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE” [2004-08-04 00:32 455168]

“PHIME2002A”=“C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE” [2004-08-04 00:32 455168]

“UnlockerAssistant”=“C:\Program Files\Unlocker\UnlockerAssistant.exe” [2006-09-07 19:19 15872]

“Gainward”=“C:\WINDOWS\TBPanel.exe” [2008-03-10 12:46 2177576]

“Sony Ericsson PC Suite”=“D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe” [2007-06-13 08:16 528384]

“avgnt”=“D:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe” [2008-02-12 10:06 262401]

“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2008-05-03 05:46 13529088]

“NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2008-05-03 05:46 86016]

“Ad-Watch”=“D:\Program Files\Lavasoft\Ad-Aware\Ad-Watch.exe” [2008-05-22 09:36 2468200]

“COMODO SafeSurf”=“C:\Program Files\COMODO\SafeSurf\cssurf.exe” [2008-07-03 21:18 278264]

“COMODO Firewall Pro”=“C:\Program Files\COMODO\Firewall\cfp.exe” [2008-07-03 21:18 1655552]

“RTHDCPL”=“RTHDCPL.EXE” [2008-05-16 14:39 16862720 C:\WINDOWS\RTHDCPL.exe]

“nwiz”=“nwiz.exe” [2008-05-03 05:46 1630208 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2008-04-14 22:51 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

Raconfig.lnk - C:\Program Files\RALINK\RT2400 Wireless LAN Card\Installer\WINXP\RaConfig.exe [2008-06-06 18:44:44 479232]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

“ForceClassicControlPanel”= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WBSrv]

2008-06-14 18:40 210168 D:\Program Files\Stardock\Object Desktop\WindowBlinds\WbSrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

“AppInit_DLLs”=wbsys.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

“msacm.l3fhg”= mp3fhg.acm

“msacm.divxa32”= divxa32.acm

“VIDC.X264”= x264vfw.dll

“VIDC.HFYU”= huffyuv.dll

“vidc.i263”= i263_32.drv

“VIDC.YV12”= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“AntiVirusDisableNotify”=dword:00000001

“UpdatesDisableNotify”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

“EnableFirewall”= 0 (0x0)

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“D:\Program Files\Mozilla Thunderbird\thunderbird.exe”=

“D:\Program Files\Mozilla Firefox\firefox.exe”=

“D:\Program Files\Gadu-Gadu\gg.exe”=

“D:\Program Files\uTorrent\uTorrent.exe”=

“C:\WINDOWS\system32\sessmgr.exe”=

“D:\Program Files\Codemasters\GRID\GRID.exe”=

“%windir%\system32\sessmgr.exe”=

“C:\Program Files\Skype\Phone\Skype.exe”=

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

“AllowInboundEchoRequest”= 1 (0x1)

R0 ahcix86;ahcix86;C:\WINDOWS\system32\drivers\ahcix86.sys [2007-01-12 12:16]

R0 sojubus;sojubus;C:\WINDOWS\system32\DRIVERS\sojubus.sys [2003-10-05 10:41]

R0 sojuscsi;sojuscsi;C:\WINDOWS\system32\DRIVERS\sojuscsi.sys [2003-09-28 10:57]

S1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-07-03 21:18]

S1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-07-03 21:18]

S3 RT2400;RT2400 Wireless Driver;C:\WINDOWS\system32\DRIVERS\RT2400.sys [2004-04-22 10:57]

S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2008-04-14 00:15]

.

- - - ORPHANS REMOVED - - - -

HKLM-Run-SpybotSnD - D:\Program Files\Spybot - Search Destroy\SpybotSD.exe

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-05 09:57:56

Windows 5.1.2600 Dodatek Service Pack 3 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-07-05 9:58:20

ComboFix-quarantined-files.txt 2008-07-05 07:58:17

Pre-Run: 7,095,754,752 bajtów wolnych

Post-Run: 7,082,221,568 bajtów wolnych

298

po skanie Kasperski pokazuje cały czas że jest zainfekowanych 5 plików:

KASPERSKY ONLINE SCANNER REPORT

5 lipiec 2008 12:09:09

System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 3 (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.0

Ostatnia aktualizacja Kaspersky Anti-Virus 5/07/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus915351

Ustawienia skanowania:

Skanowanie przy użyciu następujących baz danych: rozszerzone

Skanuj archiwa: tak

Skanuj pocztowe bazy danych: tak

Obszar skanowania - Foldery:

C:\System Volume Information\

C:\WINDOWS\

Statystyki skanowania:

Liczba skanowanych obiektów: 7738

Liczba wykrytych wirusów: 1

Liczba zainfekowanych obiektów: 5

Liczba podejrzanych obiektów: 0

Czas trwania skanowania: 00:04:24

Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie

C:\System Volume Information_restore{E6D3A521-6D13-4A24-8ECF-7F79E2C03B0C}\RP218\A0026897.dll Zainfekowanych: Trojan.Win32.Monderc.gen pominięty

C:\System Volume Information_restore{E6D3A521-6D13-4A24-8ECF-7F79E2C03B0C}\RP218\A0026898.dll Zainfekowanych: Trojan.Win32.Monderc.gen pominięty

C:\System Volume Information_restore{E6D3A521-6D13-4A24-8ECF-7F79E2C03B0C}\RP218\A0026899.dll Zainfekowanych: Trojan.Win32.Monderc.gen pominięty

C:\System Volume Information_restore{E6D3A521-6D13-4A24-8ECF-7F79E2C03B0C}\RP218\A0026903.dll Zainfekowanych: Trojan.Win32.Monderc.gen pominięty

C:\System Volume Information_restore{E6D3A521-6D13-4A24-8ECF-7F79E2C03B0C}\RP218\A0026920.dll Zainfekowanych: Trojan.Win32.Monderc.gen pominięty

co teraz?

huber2t · 5 Lipiec 2008 12:07

Wyłącz i Włącz przywracanie systemu na wszystkich dyskach. Instrukcja

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Gutek · 10 Sierpień 2008 16:55

Proszę nie zapominać - Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052