Win32/Bagle.KM - problem, prosba o pomoc

Vin · 26 Październik 2007 01:12

Witam;

Win32/Bagle.KM to chyba jakis nowy parch ktory pojawil sie w ciagu ostatnich dni… sciagnalem z netu plik exe - mialo to byc demo… poniewaz nie jestem samobojca sprawdzilem go programem NOD32 z aktualna baza wirusow i otrzymalem komunikat ze plik jest czysty… no to “klik”… Cos mnie tknelo gdy ekran mignal - mysle puszcze tego NODA jeszcze raz - ale NOD juz nie zyl bo exe’ka gdzies wcielo, szybka proba zainstalowania spybota - ale zanim sie skonczyl instalowac to jego “exe” zdazylo zniknac… centrum zabezpieczen i windows defender sie wylaczyly i niedawaly wlaczyc, etc - masakra po prostu.

Pomogl ComboFix i wscsvcfix.exe - teraz niby jest czysto - przynajmniej NOD32 i Spyboot nie znajduja nic, ale system jakos kiepsko dziala - co jakis czas raczy mnie komunikatami w stylu “Program Usługa bram warstwy aplikacji przestał działać” i sypia sie rozne uslugi - bardzo bym prosil o sprawdzenie logow (na mysl ze bede musial reinstalowac calego sysa przechodza mnie ciarki…):

Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 01:32:15, on 2007-10-26 Platform: Windows Vista (WinNT 6.00.1904) Boot mode: Normal Running processes: C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe C:\Program Files\VMware\VMware Workstation\vmware-tray.exe C:\Program Files\VMware\VMware Workstation\hqtray.exe C:\Windows\System32\rundll32.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\DAEMON Tools\daemon.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Gadu-Gadu\gg.exe C:\Windows\System32\rundll32.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Skype\Plugin Manager\skypePM.exe C:\Program Files\Eset\nod32kui.exe C:\Program Files\Internet Explorer\ieuser.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Windows\system32\Macromed\Flash\FlashUtil9c.exe C:\Users\Ciachos\Desktop\SKRÓTY\SYSTEM\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\progs2\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\progs2\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM…\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM…\Run: [GrooveMonitor] “C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe” O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKLM…\Run: [RemoteControl] “C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” O4 - HKLM…\Run: [LanguageShortcut] “C:\Program Files\CyberLink\PowerDVD\Language\Language.exe” O4 - HKLM…\Run: [vmware-tray] “C:\Program Files\VMware\VMware Workstation\vmware-tray.exe” O4 - HKLM…\Run: [VMware hqtray] “C:\Program Files\VMware\VMware Workstation\hqtray.exe” O4 - HKLM…\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKCU…\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU…\Run: [DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033 O4 - HKCU…\Run: [skype] “C:\Program Files\Skype\Phone\Skype.exe” /nosplash /minimized O4 - HKCU…\Run: [Gadu-Gadu] “C:\Program Files\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [igndlm.exe] C:\Program Files\IGN\Download Manager\DLM.exe /windowsstart /startifwork O4 - HKUS\S-1-5-19…\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-19…\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User ‘USŁUGA SIECIOWA’) O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O4 - Global Startup: Adobe Acrobat Synchronizer.lnk = D:\progs2\Acrobat 8.0\Acrobat\AdobeCollabSync.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Dołącz do istniejącego pliku PDF - res://D:\progs2\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Konwertuj do Adobe PDF - res://D:\progs2\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Konwertuj miejsce docelowe łącza do Adobe PDF - res://D:\progs2\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Konwertuj miejsce docelowe łącza do istniejącego pliku PDF - res://D:\progs2\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Konwertuj wybrane łącza do Adobe PDF - res://D:\progs2\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Konwertuj wybrane łącza do istniejącego pliku PDF - res://D:\progs2\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Konwertuj zaznaczenie do Adobe PDF - res://D:\progs2\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Konwertuj zaznaczenie do istniejącego pliku PDF - res://D:\progs2\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra ‘Tools’ menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MIF269~1\OFFICE11\REFIEBAR.DLL O13 - Gopher Prefix: O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (CDownloadCtrl Object) - http://www.fileplanet.com/fpdlmgr/cabs/ … .6.108.cab O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/ … s-i586.cab O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (DownloadManager Control) - http://dlm.tools.akamai.com/dlmanager/v … .2.1.6.cab O17 - HKLM\System\CCS\Services\Tcpip…{ACB8B971-5530-4E20-ACB7-100C75EDDF00}: NameServer = 194.204.159.1 217.98.63.164 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apache2 - Apache Software Foundation - C:\Apache\bin\httpd.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe O23 - Service: MySQL - Unknown owner - C:\MySQL\bin\mysqld-nt (file missing) O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - D:\gry2\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-ufad.exe O23 - Service: Securom User Access for Windows 2000 and Windows XP a technology by Sony DADC (UserAccess) - Unknown owner - C:\Program Files\Common Files\YDP\UserAccessManager\useraccess.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Program Files\VMware\VMware Workstation\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Program Files\Common Files\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe – End of file - 10038 bytes

ComboFix 07-10-23.2 - Ciachos 2007-10-26 1:59:16.3 - NTFSx86 Podczas wykonywania skryptu “C:\ComboFix\osid.vbs” przekroczono limit czasu. Wykonywanie skryptu zosta�o zakoäczone. Running from: E:\instalki\ratownicze po wirusie czy padzie rejestru\ComboFix.exe . ((((((((((((((((((((((((( Files Created from 2007-09-26 to 2007-10-26 ))))))))))))))))))))))))))))))) . 2007-10-25 17:42 512,096 --a------ C:\Windows\System32\drivers\amon.sys 2007-10-25 17:42 298,104 --a------ C:\Windows\System32\imon.dll 2007-10-25 17:42 15,424 --a------ C:\Windows\System32\drivers\nod32drv.sys 2007-10-25 17:26 51,200 --a------ C:\Windows\NirCmd.exe 2007-10-25 17:00 2007-10-25 16:58 102,664 --a------ C:\Windows\System32\drivers\tmcomm.sys 2007-10-25 16:49 2007-10-25 16:49 2007-10-25 16:48 2007-10-25 16:45 2007-10-25 16:24 2007-10-25 15:18 2007-10-25 15:15 2007-10-25 15:15 2007-10-25 15:14 2007-10-25 14:54 2007-10-25 14:52 2007-10-25 14:51 2007-10-21 14:31 2007-10-19 19:44 2007-10-19 19:40 2007-10-19 19:37 20,016 --------- C:\Windows\System32\drivers\pxhelp20.sys 2007-10-19 15:39 2007-10-19 15:31 23 --ahs---- C:\Windows\System32\cbcfbabc_g.dll 2007-10-19 13:13 2007-10-19 13:13 57,344 --a------ C:\Windows\System32\CGZipLibrary.DLL 2007-10-19 11:20 2007-10-18 18:36 2007-10-18 17:45 2007-10-18 17:31 2007-10-18 17:00 40,960 --a------ C:\Windows\System32\SSubTmr6.dll 2007-10-18 16:48 16,896 --a------ C:\Windows\System32\drivers\mondrv.sys 2007-10-18 13:41 2007-10-18 13:08 2007-10-18 13:08 2007-10-18 12:07 2007-10-18 12:07 2007-10-17 18:47 2,463,976 --a------ C:\Windows\System32\NPSWF32.dll 2007-10-17 18:47 190,696 --a------ C:\Windows\System32\NPSWF32_FlashUtil.exe 2007-10-17 17:41 2007-10-15 00:44 2007-10-14 12:03 2007-10-14 12:00 3,727,720 --a------ C:\Windows\System32\d3dx9_35.dll 2007-10-14 12:00 1,358,192 --a------ C:\Windows\System32\D3DCompiler_35.dll 2007-10-14 12:00 444,776 --a------ C:\Windows\System32\d3dx10_35.dll 2007-10-13 11:59 3,497,832 --a------ C:\Windows\System32\d3dx9_34.dll 2007-10-13 11:59 1,124,720 --a------ C:\Windows\System32\D3DCompiler_34.dll 2007-10-13 11:59 443,752 --a------ C:\Windows\System32\d3dx10_34.dll 2007-10-13 11:59 266,088 --a------ C:\Windows\System32\xactengine2_8.dll 2007-10-13 11:59 261,480 --a------ C:\Windows\System32\xactengine2_7.dll 2007-10-13 11:59 255,848 --a------ C:\Windows\System32\xactengine2_6.dll 2007-10-13 11:59 18,280 --a------ C:\Windows\System32\x3daudio1_2.dll 2007-10-13 11:59 15,128 --a------ C:\Windows\System32\x3daudio1_1.dll 2007-10-11 00:04 2,560 --a------ C:\Windows_MSRSTRT.EXE 2007-10-10 23:49 1,024 --a------ C:\Windows\System32\pwdremover.dat 2007-10-10 23:40 149,504 --a------ C:\Windows\UNWISE.EXE 2007-10-09 23:16 8,147,968 --a------ C:\Windows\System32\wmploc.DLL 2007-10-09 23:16 356,864 --a------ C:\Windows\System32\MediaMetadataHandler.dll 2007-10-09 23:16 7,680 --a------ C:\Windows\System32\spwmp.dll 2007-10-09 23:16 4,096 --a------ C:\Windows\System32\dxmasf.dll 2007-10-09 23:14 788,992 --a------ C:\Windows\System32\rpcrt4.dll 2007-10-09 23:14 737,792 --a------ C:\Windows\System32\inetcomm.dll 2007-10-09 23:14 84,480 --a------ C:\Windows\System32\INETRES.dll 2007-10-01 17:59 2007-10-01 12:00 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-25 23:57 --------- d-----w C:\Users\Ciachos\AppData\Roaming\VMware 2007-10-25 00:39 --------- d-----w C:\Program Files\Steam 2007-10-22 14:28 --------- d-----w C:\Program Files\Sony 2007-10-22 14:27 --------- d-----w C:\Program Files\VSTplugins 2007-10-21 12:31 --------- d-----w C:\Program Files\Słownik synonimów 1.0 2007-10-21 10:28 --------- d–h--w C:\Program Files\InstallShield Installation Information 2007-10-19 17:41 --------- d-----w C:\Program Files\Common Files\Adobe 2007-10-19 10:23 --------- d-----w C:\Users\Ciachos\AppData\Roaming\Bioshock 2007-10-18 15:00 --------- d-----w C:\Program Files\Add-Remove Master 6.0 2007-10-18 13:12 --------- d-----w C:\Users\Ciachos\AppData\Roaming\Skype 2007-10-16 19:39 --------- d-----w C:\Program Files\Common Files\Steam 2007-10-15 09:40 --------- d-----w C:\Users\Ciachos\AppData\Roaming\Notepad++ 2007-10-15 09:40 --------- d-----w C:\Program Files\Notepad++ 2007-10-14 09:59 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard 2007-10-14 09:59 --------- d-----w C:\Program Files\AGEIA Technologies 2007-10-13 18:48 --------- d-----w C:\Program Files\World of Warcraft 2007-10-09 21:40 --------- d-----w C:\Program Files\Windows Mail 2007-10-09 21:15 56,320 ----a-w C:\Windows\System32\iesetup.dll 2007-10-09 21:15 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll 2007-10-09 21:15 26,624 ----a-w C:\Windows\System32\ieUnatt.exe 2007-09-17 19:02 --------- d-----w C:\Users\Ciachos\AppData\Roaming\Thunderbird 2007-09-17 19:02 --------- d-----w C:\Program Files\Mozilla Thunderbird 2007-09-15 13:03 22,328 ----a-w C:\Windows\system32\drivers\PnkBstrK.sys 2007-09-15 13:03 103,736 ----a-w C:\Windows\System32\PnkBstrB.exe 2007-09-13 07:45 70,944 ----a-w C:\Windows\System32\PhysXLoader.dll 2007-09-11 20:28 86,016 ----a-w C:\Windows\System32\nvsvc.dll 2007-09-11 20:28 81,920 ----a-w C:\Windows\System32\nvmctray.dll 2007-09-11 20:28 8,497,696 ----a-w C:\Windows\System32\nvcpl.dll 2007-09-11 20:28 753,664 ----a-w C:\Windows\System32\nvcplui.exe 2007-09-11 20:28 7,623,968 ----a-w C:\Windows\system32\drivers\nvlddmkm.sys 2007-09-11 20:28 6,942,720 ----a-w C:\Windows\System32\nvoglv32.dll 2007-09-11 20:28 6,344,704 ----a-w C:\Windows\System32\nvdisps.dll 2007-09-11 20:28 5,509,120 ----a-w C:\Windows\System32\nvdispsr.dll 2007-09-11 20:28 458,752 ----a-w C:\Windows\System32\nvmccssr.dll 2007-09-11 20:28 45,056 ----a-w C:\Windows\System32\nvmccsrs.dll 2007-09-11 20:28 4,988,928 ----a-w C:\Windows\System32\nvd3dum.dll 2007-09-11 20:28 364,544 ----a-w C:\Windows\System32\nvapi.dll 2007-09-11 20:28 36,864 ----a-w C:\Windows\System32\nvcod100.dll 2007-09-11 20:28 36,864 ----a-w C:\Windows\System32\nvcod.dll 2007-09-11 20:28 356,352 ----a-w C:\Windows\System32\nvuninst.exe 2007-09-11 20:28 356,352 ----a-w C:\Windows\System32\nvudisp.exe 2007-09-11 20:28 307,200 ----a-w C:\Windows\System32\nvexpbar.dll 2007-09-11 20:28 3,629,056 ----a-w C:\Windows\System32\nvvitvsr.dll 2007-09-11 20:28 3,551,232 ----a-w C:\Windows\System32\nvvitvs.dll 2007-09-11 20:28 3,334,144 ----a-w C:\Windows\System32\nvgames.dll 2007-09-11 20:28 3,166,208 ----a-w C:\Windows\System32\nvgamesr.dll 2007-09-11 20:28 229,376 ----a-w C:\Windows\System32\nvmccs.dll 2007-09-11 20:28 2,854,912 ----a-w C:\Windows\System32\nvmoblsr.dll 2007-09-11 20:28 2,441,216 ----a-w C:\Windows\System32\nvwssr.dll 2007-09-11 20:28 2,371,584 ----a-w C:\Windows\System32\nvwss.dll 2007-09-11 20:28 188,416 ----a-w C:\Windows\System32\nvmccss.dll 2007-09-11 20:28 147,456 ----a-w C:\Windows\System32\nvcolor.exe 2007-09-11 20:28 1,521,664 ----a-w C:\Windows\System32\nvwgf2um.dll 2007-09-11 20:28 1,150,976 ----a-w C:\Windows\System32\nvmobls.dll 2007-09-11 20:28 1,073,152 ----a-w C:\Windows\System32\nvcpluir.dll 2007-09-11 10:55 66,872 ----a-w C:\Windows\System32\PnkBstrA.exe 2007-09-11 06:43 22,328 ----a-w C:\Users\Ciachos\AppData\Roaming\PnkBstrK.sys 2007-09-11 04:44 --------- d-----w C:\Users\Ciachos\AppData\Roaming\IGN_DLM 2007-09-03 11:08 --------- d-----w C:\Program Files\Cyanide 2007-08-28 23:21 174 --sha-w C:\Program Files\desktop.ini 2007-08-28 23:19 --------- d-----w C:\Program Files\Windows Calendar 2007-08-28 23:12 8,192 ----a-w C:\Windows\System32\riched32.dll 2007-08-28 23:12 77,824 ----a-w C:\Windows\System32\rascfg.dll 2007-08-28 23:12 70,144 ----a-w C:\Windows\system32\drivers\pacer.sys 2007-08-28 23:12 694,784 ----a-w C:\Windows\System32\localspl.dll 2007-08-28 23:12 619,008 ----a-w C:\Windows\system32\drivers\dxgkrnl.sys 2007-08-28 23:12 61,952 ----a-w C:\Windows\system32\drivers\wanarp.sys 2007-08-28 23:12 52,736 ----a-w C:\Windows\System32\rasdiag.dll 2007-08-28 23:12 48,640 ----a-w C:\Windows\system32\drivers\ndproxy.sys 2007-08-28 23:12 384,000 ----a-w C:\Windows\System32\netcfgx.dll 2007-08-28 23:12 36,864 ----a-w C:\Windows\System32\cdd.dll 2007-08-28 23:12 33,280 ----a-w C:\Windows\System32\traffic.dll 2007-08-28 23:12 32,768 ----a-w C:\Windows\System32\rasmxs.dll 2007-08-28 23:12 286,208 ----a-w C:\Windows\System32\ipnathlp.dll 2007-08-28 23:12 22,016 ----a-w C:\Windows\System32\rasser.dll 2007-08-28 23:12 20,480 ----a-w C:\Windows\system32\drivers\ndistapi.sys 2007-08-28 23:12 15,360 ----a-w C:\Windows\System32\pacerprf.dll 2007-08-28 23:12 134,656 ----a-w C:\Windows\System32\dps.dll 2007-08-28 23:12 13,824 ----a-w C:\Windows\System32\wshqos.dll 2007-08-28 23:12 13,824 ----a-w C:\Windows\System32\icsunattend.exe 2007-08-28 23:11 704,000 ----a-w C:\Windows\System32\PhotoScreensaver.scr 2007-08-28 23:11 61,440 ----a-w C:\Windows\System32\ntprint.exe 2007-08-28 23:11 320,000 ----a-w C:\Windows\system32\drivers\csc.sys 2007-08-28 23:11 3,504,824 ----a-w C:\Windows\System32\ntkrnlpa.exe 2007-08-28 23:11 3,470,008 ----a-w C:\Windows\System32\ntoskrnl.exe 2007-08-28 23:11 269,824 ----a-w C:\Windows\System32\schannel.dll 2007-08-28 23:11 25,600 ----a-w C:\Windows\System32\LangCleanupSysprepAction.dll 2007-08-28 23:11 23,552 ----a-w C:\Windows\System32\lpremove.exe 2007-08-28 23:11 220,160 ----a-w C:\Windows\System32\ntprint.dll 2007-08-28 23:11 166,912 ----a-w C:\Windows\System32\lpksetup.exe 2007-08-28 23:11 120,320 ----a-w C:\Windows\System32\dhcpcsvc6.dll 2007-08-28 23:11 105,984 ----a-w C:\Windows\System32\CscMig.dll 2007-08-28 23:11 10,240 ----a-w C:\Windows\System32\MUILanguageCleanup.dll 2007-08-28 23:11 10,240 ----a-w C:\Windows\System32\dhcpcmonitor.dll 2007-08-28 23:11 1,984,512 ----a-w C:\Windows\System32\authui.dll 2007-08-28 23:10 88,576 ----a-w C:\Windows\System32\avifil32.dll 2007-08-28 23:10 82,944 ----a-w C:\Windows\System32\mciavi32.dll 2007-08-28 23:10 8,138,240 ----a-w C:\Windows\System32\ssBranded.scr 2007-08-28 23:10 750,080 ----a-w C:\Windows\System32\qmgr.dll 2007-08-28 23:10 712,192 ----a-w C:\Windows\System32\WindowsCodecs.dll 2007-07-21 23:33:20 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat 2007-07-21 23:33:20 32,768 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat 2007-07-21 23:33:20 16,384 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Windows Defender”=“C:\Program Files\Windows Defender\MSASCui.exe” [2007-06-28 13:54] “GrooveMonitor”=“C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe” [2006-10-27 00:47] “nod32kui”=“C:\Program Files\Eset\nod32kui.exe” [2007-10-25 17:42] “RemoteControl”=“C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” [2007-02-07 16:24] “LanguageShortcut”=“C:\Program Files\CyberLink\PowerDVD\Language\Language.exe” [2007-02-07 16:21] “RegistryMechanic”="" [] “vmware-tray”=“C:\Program Files\VMware\VMware Workstation\vmware-tray.exe” [2007-05-01 22:52] “VMware hqtray”=“C:\Program Files\VMware\VMware Workstation\hqtray.exe” [2007-05-01 22:52] “NvSvc”=“C:\Windows\system32\nvsvc.dll” [2007-09-11 22:28] “NvCplDaemon”=“C:\Windows\system32\NvCpl.dll” [2007-09-11 22:28] “NvMediaCenter”=“C:\Windows\system32\NvMcTray.dll” [2007-09-11 22:28] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Sidebar”=“C:\Program Files\Windows Sidebar\sidebar.exe” [2006-11-02 14:33] “DAEMON Tools”=“C:\Program Files\DAEMON Tools\daemon.exe” [2007-04-04 00:29] “Skype”=“C:\Program Files\Skype\Phone\Skype.exe” [2007-06-08 15:18] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-05-10 16:36] “igndlm.exe”=“C:\Program Files\IGN\Download Manager\DLM.exe” [2007-03-05 13:57] C:\Users\Ciachos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ Adobe Gamma.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2007-06-29 23:08:37] Tworzenie wycink˘w ekranu i uruchamianie programu OneNote 2007.lnk - C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE [2006-10-26 20:24:54] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoCloseDragDropBands "=0 (0x0) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] “{93994DE8-8239-4655-B1D1-5F4E91300429}”= C:\Program Files\DVDIdle Pro\DVDShell.dll [2004-10-09 15:18 49152] R1 ISODrive;ISO CD-ROM Device Driver;??\C:\Program Files\UltraISO\drivers\ISODrive.sys S2 ELOADER;General Purpose USB Driver (adildr.sys);C:\Windows\system32\Drivers\adildr.sys S3 Memctl;Memctl;??\C:\Program Files\U-ABIT\BlackBox\Memctl.sys HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs wscsvc AutoRun\command - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe Open(&0)\command - Recycled\ctfmon.exe . Contents of the ‘Scheduled Tasks’ folder “2007-10-18 20:39:04 C:\Windows\Tasks\AppleSoftwareUpdate.job” “2007-10-19 00:01:15 C:\Windows\Tasks\At1.job” “2007-10-25 22:46:24 C:\Windows\Tasks\User_Feed_Synchronization-{874ABE32-1A43-40C3-B05D-94887647CCD9}.job” . ************************************************************************** catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-26 02:06:36 Windows 6.0.6000 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-10-26 2:07:11 - machine was rebooted . — E O F —

Druga kwestia - cos mi od jakiegos czasu blokuje rejestr (od czasow “sprzed” virusa) a przynajmniej niektore jego kawalki: chcialem poprawic wpis HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Discardable\PostSetup\ShellNew bo mnie kontekstowe menu myszki draznilo (za duzo tam dziadostwa) i nie moge wprowadzic zmian - albo raczej moge ale na max 30 sekund - potem wyglada jakby sie “samoczynnie” odswierzal - nic nie pomaga tryb administartora, awaryjny, reset uprawnien programem RegAssasin… ktos ma jakis pomysl moze? Pytam bo mam kopie sprzed paru tygodni (kopie moge zrobic - tylko zaladowac jej nie idzie - komunikta ze zmiany zostaly wprowadzone sie pojawia a efektu nie widac) i moze jakbym ja przeladowal to by pomoglo.

jessica · 26 Październik 2007 07:51

Log z Hijacka - czysty.

Pierwszy raz widzę, by komuś udało się uruchomić ComboFixa na VIŚCIE!

Czyżby ComboFix wreszcie dostosował się do VISTY?

W logu jest ten wpis, który normalnie kojarzy się z infekcją na pendrive.

Ale u Ciebie nie jest to skojarzone z kluczem rejestru pendrive.

Tak więc nie wiem, co to za cudo?

Może ComboFix jednak coś przekłamał?

Poszukaj, czy gdzieś na dysku nie ma: Recycled** ctfmon.exe** (nie pomyl z C:\Windows\system32\ctfmon.exe!).

Zrób też to:

Nic więcej podejrzanego nie widzę.

jessi

Vin · 26 Październik 2007 11:23

Nie wiem… sciagnałem plik przez link podany w jakims innym topiku na tym forum - odpalil sie bez problemu i zadzialal - wiec pewnie jakas nowa wersja kompatybilna w vista.

Postapilem zgodnie z twoimi radami - komp wyglada na czysty tylko… nie wiem czy sam virus czy raczej te “lekarstwa” na niego (np wscsvcfix.exe ktorego uzylem a ktory jest na XP nie na viste i ktory musialem odpalic kilka razy by “zaskoczyl”) cos napsuly w systemie - non stop po kilku max kilkunastu minutach pracy mam komunikaty w stylu:

-“Program Usługa bram warstwy aplikacji przestał działać”

-“Program pomoc IP przestał działać”

Po kazdym takim wypadku net przestaje dzialac i konieczny jest restart kompa - tak sie po prostu nie da pracowac…

Co z tym rejestrem? - da sie z tym cos zrobic - tj sa jakies programy ktore “odblokowuja rejestr”? Jak juz wspomnialem probowalem RegAssasin do wyzerowania praw ale nie pomaga. Nie ma jakiegos programu ktory by mozna odpalic w trybie awaryjnym czy nawet z plyty/dyskietki i zaladowac nim kopie rejestru?!

jessica · 27 Październik 2007 06:45

Nie wiem, o czym mówisz.?

Z logów wynika, że nie masz zablokowanego rejestru.

Możesz dać jeszcze log z Sillent Runner, by się o tym upewnić.

jessi

Vin · 27 Październik 2007 15:53

Hej Jessi; dzięki za odpowiedź. Loga z Silen Runera wkleje pózniej - w tej chwili ściagam demo Crysis i nie chciałbym przerywać.

Udało mi się przywrócic stabilność systemu poprzez przywrócenie go do stanu sprzed paru tygodni - nigdy nie tworzyłem ręcznie zadnego punktu przywracania wiec bylem zaskoczony że on istnieje (prawdę mówiąc byłem przekonany że takowego nie posiadam i nic mnie nie uchroni przed formatem, całe szczeście że w ostatniej chwili postanowiłem tam zerknąć)- przysiaglbym ze wylaczylem gdzies zaraz po instalacji visty opcje automatycznego tworzenia punktow przywracania - zreszta byl właśnie tylko ten jeden jedyny; nie wiem skąd się tam wziął ale nie bede darowanemu koniowi zagladal w zęby Jestem po prostu szczęsliwy że nie muszę sysa i masy softu instalowac, konfigurowac i aktualizowac od nowa bo to by było 2 dni roboty jak nic. /tu dygresja - w moim przypadku samo usunięcie wirusa wiele nie pomoglo bo albo po nim albo po usuwających go programach zrobil sie taki syf że system całkowicie utracil stabilność i gdyby nie ten punkt przywracania to bym po prostu musial zrobic format c: pomimo tego że system byl czysty/

Wracając do moich problemów z rejestrem o których wspomniałem niejako przy okazji, sprawa wyglada tak: chce przeedytowac wpis odpowiadający za menu kontekstowe myszki. Odpalam w trybie administratora konsolę, pisze sobie “regedit” i wchodze do rejestru do HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Discardable\PostSetup\ShellNew. W “Classes” mam coś takiego:

.accdb

.as

.CDR

.cpt

.docx

.fla

.jnt

.lnk

.mpp

.pptx

.psd

.pub

.rar

.txt

.xlsx

.zip

Briefcase

Folder

Ponieważ np tworzenie skrótu nie jest mi do niczego potrzebne kasuje “.lnk”. W tym momęcie gdy klikne prawym myszy na pulpicie i dam “Nowy” nie ma juz opcji “skrót” - znikla… problem w tym że wystarczy odczekac 30 sekund kliknac prawym na pulpicie jeszcze raz i “skrot” pojawia sie na powrót - wyglada jakby wpis sie sam odświerzył i cofnał wprowadzone przezemnie zmiany… jesli teraz chce jeszcze raz wejsc w “classes” (regedit otwarty i zminimalizowany do paska był) dostaje komunikat “Bład przy edycji wartosci; Nie mozna edytowac Classes: bład przy czytaniu zawartości wartosci”. Zamykam regedita, odpalam go ponownie - znowu moge wejsc w classes i edytować zawartość więc wprowadzam zmiane jeszcze raz… i historia sie powtarza. Nie mam pojecia co jest tego przyczyna i jak to odfiksowac - nie żeby to byl jakis wielki problem, niemniej chętnie bym zrobił porządek w tym menu a nie moge i nie mam pojecia dlaczego.

Kaka2 · 27 Październik 2007 16:02

Vin przypominam, że na forum należy pisać także z polskimi literkami (ą, ę, ź, ż, ć, ó, ł, ń), dlatego proszę o poprawienie swoich postów. W przypadku zignorowania prośby, temat poleci do śmietnika.