Witam wszystkich!
Od jakiegoś czasu mam problem z tym robakiem (jak w temacie) i w żaden sposób nie potrafię go zwalczyć. NOD32 notorycznie mi go wykrywa a jedyne co potrafi zrobić, to przenieść do kwarantanny. Poczytałem o tym u Was i uzyłem Combofixa - oto log po jego użyciu:
ComboFix 08-11-30.01 - Krzychu 2008-11-30 21:39:53.14 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.654 [GMT 1:00]
Uruchomiony z: d:\trojan\ComboFix.exe
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA
.
((((((((((((((((((((((((( Pliki utworzone od 2008-10-28 do 2008-11-30 )))))))))))))))))))))))))))))))
.
2008-11-27 20:16 . 2008-11-27 20:22
2008-10-20 18:54 . 2008-10-20 18:54
2008-10-12 11:23 . 2008-10-12 11:23
2008-10-12 11:23 . 2008-11-30 21:30
2008-10-11 09:16 . 2008-10-11 09:16
2008-10-02 20:23 . 2008-10-02 20:23
2008-10-02 20:22 . 2007-10-04 05:58 507,950 --a------ c:\windows\system32\getver.exe
2008-10-02 20:22 . 2007-10-20 14:42 133,120 --a------ c:\windows\system32\HASPXPx64.dll
2008-10-02 20:22 . 2007-10-20 14:42 110,592 --a------ c:\windows\system32\HASPXPx32.dll
2008-10-02 20:21 . 2006-11-22 09:01 693,760 --a------ c:\windows\system32\drivers\hardlock.sys
2008-10-02 20:21 . 2008-10-02 20:21 47,616 --a------ c:\windows\system32\drivers\Haspnt.sys
2008-10-02 20:21 . 2008-10-02 20:21 6,656 --a------ c:\windows\system32\haspvdd.dll
2008-10-02 20:21 . 2008-02-29 18:23 2,596 --a------ c:\windows\system32\config.hsp
2008-10-02 20:21 . 2008-10-02 20:21 383 --a------ c:\windows\system32\haspdos.sys
2008-10-02 20:20 . 1998-10-29 14:45 306,688 --a------ c:\windows\IsUninst.exe
2008-10-02 20:20 . 2002-12-17 15:23 33,340 --a------ c:\windows\system32\dbmsqlgc.dll
2008-10-02 20:20 . 2002-10-20 13:05 24,576 --a------ c:\windows\system32\dbmsgnet.dll
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-30 20:30 --------- d-----w c:\documents and settings\Krzychu\Dane aplikacji\uTorrent
2008-11-30 15:41 --------- d-----w c:\program files\AIMP2
2008-11-29 09:16 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\ZoomBrowser
2008-11-23 15:32 --------- d-----w c:\documents and settings\Krzychu\Dane aplikacji\ZoomBrowser EX
2008-11-18 20:09 --------- d-----w c:\program files\The KMPlayer
2008-11-13 19:43 --------- d-----w c:\program files\Spybot - Search & Destroy
2008-11-13 19:43 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2008-10-25 17:46 --------- d-----w c:\program files\IsoBuster
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-21 13:58 361,728 ----a-w c:\windows\system32\TuneUpDefragService.exe
2008-09-15 15:40 1,846,272 ----a-w c:\windows\system32\win32k.sys
2008-09-04 16:46 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-08-26 08:27 826,368 ----a-w c:\windows\system32\wininet.dll
2008-08-22 21:00 37,888 ----a-w c:\windows\system32\setupnt.dll
2008-08-22 21:00 367,104 ----a-w c:\windows\system32\autoprnt.exe
2008-08-14 13:46 2,137,600 ----a-w c:\windows\system32\ntoskrnl.exe
2008-08-14 13:46 2,017,280 ----a-w c:\windows\system32\ntkrnlpa.exe
2008-04-27 10:02 7,780 ----a-w c:\documents and settings\Krzychu\FMCodec.dat
.
((((((((((((((((((((((((((((( snapshot@2008-11-30_21.35.44.20 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-11-30 20:41:55 16,384 ----atw c:\windows\Temp\Perflib_Perfdata_79c.dat
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“ctfmon.exe”=“c:\windows\system32\ctfmon.exe” [2004-08-03 15360]
“Active Desktop Calendar”=“c:\program files\Active Desktop Calendar\ADC.exe” [2008-08-13 3780608]
“RocketDock”=“c:\windows\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe” [2006-05-14 344064]
“CTZDetec.exe”=“c:\program files\Creative\Creative Media Lite\CTZDetec.exe” [2007-12-18 401408]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“LanguageMonitor”=“c:\windows\system32\Oplmsb01.exe” [2004-01-09 94208]
“egui”=“c:\program files\ESET\ESET Smart Security\egui.exe” [2008-02-20 1443072]
“Ad Muncher”=“c:\program files\Ad Muncher\AdMunch.exe” [2008-03-16 779776]
“WinFastDTV”=“c:\program files\WinFast\WFDTV\DTVSchdl.exe” [2007-12-21 90112]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
“MaxRecentDocs”= 11 (0xb)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
“msacm.ac3filter”= ac3filter.acm
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
“DiskeeperSystray”=“c:\program files\Diskeeper\DkIcon.exe”
“SunJavaUpdateSched”=“c:\program files\Java\jre1.6.0_03\bin\jusched.exe”
“Acronis Scheduler2 Service”=“c:\program files\Common Files\Acronis\Schedule2\schedhlp.exe”
“TrueImageMonitor.exe”=c:\program files\Acronis\TrueImageEchoEnterpriseServer\TrueImageMonitor.exe
“AcronisTimounterMonitor”=c:\program files\Acronis\TrueImageEchoEnterpriseServer\TimounterMonitor.exe
“RemoteControl”=“c:\program files\CyberLink\PowerDVD\PDVDServ.exe”
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
“EnableFirewall”= 0 (0x0)
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
“c:\Program Files\uTorrent\utorrent.exe”=
“c:\Program Files\totalcmd\TOTALCMD.EXE”=
“c:\Program Files\Skype\Phone\Skype.exe”=
R2 ppsio2;PPDevice;c:\windows\system32\drivers\ppsio2.sys [2008-09-30 22400]
R2 UPSmart;UPSmart;c:\program files\Commander Pro\UPServ.exe UPSmart []
S2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe /s c:\windows\nod32fixtemdono.reg [2001-10-26 3584]
S3 WFIOCTL;WFIOCTL;??\c:\program files\WinFast\WFDTV\WFIOCTL.SYS [2008-04-28 9446]
S4 HASPSrv;HASPSrv;c:\windows\system32\HASPSrv.exe []
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Zawartość folderu ‘Zaplanowane zadania’
2008-11-30 c:\windows\Tasks\Konserwacja jednym kliknięciem.job
- c:\program files\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-27 11:09]
2008-11-29 c:\windows\Tasks\shutdown.job
- C:\shutdown.bat [2007-09-30 11:17]
.
.
------- Skan uzupełniający -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = iexplore
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Subscribe in RSS Popper - c:\program files\RSS Popper\ie_subscribe.htm
c:\windows\system32\SkanerOnlineUninstall.exe - c:\windows\system32\SkanerOnline.dll
O16 -: {68282C51-9459-467B-95BF-3C0E89627E55}
hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
c:\windows\Downloaded Program Files\SkanerOnline.inf
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-30 21:41:49
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów …
skanowanie ukrytych wpisów autostartu …
skanowanie ukrytych plików …
skanowanie pomyślnie ukończone
ukryte pliki: 0
Proszę o wskazanie co tu może mi jeszcze śmiecić. Dzieki za każda rade i informację