Win32/psw.onlinegames.nmy +dziwne zachowanie kompa

lbartnik · 30 Sierpień 2010 20:54

witam

roblem objawia się restartami kompa. na jednym koncie nie działa touchpad klawiatura ma pomylone znaki. na drugim koncie występuje tylko zamulenie. dziś zainstalowany nod podczas skanowania wywala błąd boot sectora oraz mbr-a i infekcję Win32/psw.onlinegames.nmy

poniżej log z combo na koncie gdzie klawiatura działa:

ComboFix 10-08-29.04 - 007 2010-08-30 21:40:18.1.2 - FAT32x86 Microsoft Windows XP Home Edition 5.1.2600.3.1250.48.1045.18.1919.1365 [GMT 1:00] Uruchomiony z: c:\documents and settings\007\Pulpit\ComboFix.exe AV: System Antywirusowy NOD32 2.51 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0} * Rezydentny antywirus jest aktywny . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\program files\myglobalsearch c:\program files\myglobalsearch\bar\1.bin\M9FFXTBR.JAR c:\program files\myglobalsearch\bar\1.bin\M9FFXTBR.MANIFEST c:\program files\myglobalsearch\bar\1.bin\M9NTSTBR.JAR c:\program files\myglobalsearch\bar\1.bin\M9NTSTBR.MANIFEST c:\program files\myglobalsearch\bar\1.bin\M9PLUGIN.DLL c:\program files\myglobalsearch\bar\1.bin\MGSBAR.DLL c:\program files\myglobalsearch\bar\1.bin\NPMYGLSH.DLL c:\program files\myglobalsearch\bar\Cache\18050B26 c:\program files\myglobalsearch\bar\Cache\18050D88 c:\program files\myglobalsearch\bar\Cache\18050F3D.bin c:\program files\myglobalsearch\bar\Cache\180510E3.bin c:\program files\myglobalsearch\bar\Cache\18051289.bin c:\program files\myglobalsearch\bar\Cache\files.ini c:\program files\myglobalsearch\bar\History\search c:\program files\myglobalsearch\bar\Settings\prevcfg.htm c:\program files\RelevantKnowledge c:\program files\RelevantKnowledge\rloci.bin c:\program files\RelevantKnowledge\rlph.dll c:\program files\RelevantKnowledge\rlservice.exe c:\program files\RelevantKnowledge\rlxf.dll c:\windows\Fonts\acrsecB.fon c:\windows\Fonts\acrsecI.fon . ((((((((((((((((((((((((( Pliki utworzone od 2010-07-28 do 2010-08-30 ))))))))))))))))))))))))))))))) . 2010-08-30 19:34 . 2010-08-30 19:34 503808 ----a-w- c:\documents and settings\007\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-306be3e8-n\msvcp71.dll 2010-08-30 19:34 . 2010-08-30 19:34 499712 ----a-w- c:\documents and settings\007\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-306be3e8-n\jmc.dll 2010-08-30 19:34 . 2010-08-30 19:34 348160 ----a-w- c:\documents and settings\007\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-306be3e8-n\msvcr71.dll 2010-08-30 19:34 . 2010-08-30 19:34 61440 ----a-w- c:\documents and settings\007\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-6fd3b876-n\decora-sse.dll 2010-08-30 19:34 . 2010-08-30 19:34 12800 ----a-w- c:\documents and settings\007\Dane aplikacji\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-6fd3b876-n\decora-d3d.dll 2010-08-30 19:33 . 2010-07-17 04:00 423656 ----a-w- c:\windows\system32\deployJava1.dll 2010-08-30 19:32 . 2010-08-30 19:32 79488 ----a-w- c:\documents and settings\007\Dane aplikacji\Sun\Java\jre1.6.0_21\gtapi.dll 2010-08-30 19:26 . 2010-08-30 19:26 -------- d-----w- c:\documents and settings\007\Dane aplikacji\Apple Computer 2010-08-30 19:26 . 2010-08-30 19:26 -------- d-----w- c:\documents and settings\007\Ustawienia lokalne\Dane aplikacji\Apple Computer 2010-08-30 19:18 . 2010-08-30 19:18 502368 ----a-w- c:\windows\system32\drivers\amon.sys 2010-08-30 19:18 . 2010-08-30 19:18 274432 ----a-w- c:\windows\system32\imon.dll 2010-08-30 19:18 . 2010-08-30 19:18 -------- d-----w- c:\program files\ESET 2010-08-30 18:48 . 2009-11-21 16:03 471552 ------w- c:\windows\system32\dllcache\aclayers.dll 2010-08-30 18:47 . 2010-06-14 14:31 744448 ------w- c:\windows\system32\dllcache\helpsvc.exe 2010-08-30 18:47 . 2009-10-15 16:33 81920 ------w- c:\windows\system32\dllcache\fontsub.dll 2010-08-30 18:47 . 2009-10-15 16:33 119808 ------w- c:\windows\system32\dllcache\t2embed.dll 2010-08-30 18:47 . 2010-08-30 18:47 -------- d-----w- c:\documents and settings\007\Ustawienia lokalne\Dane aplikacji\Temp 2010-08-30 18:47 . 2010-08-30 18:47 -------- d-----w- c:\documents and settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Google 2010-08-30 18:46 . 2009-06-21 21:48 153088 ------w- c:\windows\system32\dllcache\triedit.dll 2010-08-30 18:42 . 2010-08-30 18:42 -------- d-----w- c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\Google 2010-08-30 18:34 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe 2010-08-30 18:33 . 2010-06-18 13:36 3558912 ------w- c:\windows\system32\dllcache\moviemk.exe 2010-08-18 16:00 . 2010-08-18 16:00 -------- d-----w- C:\FOUND.027 2010-08-16 14:39 . 2010-08-16 14:39 -------- d-----w- c:\documents and settings\007\Dane aplikacji\MusicIP 2010-08-08 08:18 . 2010-08-08 08:18 -------- d-----w- C:\FOUND.026 2010-08-04 18:58 . 2010-08-04 18:58 -------- d-----w- C:\FOUND.025 . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-08-30 20:31 . 2009-05-14 04:56 12 ----a-w- c:\windows\bthservsdp.dat 2010-07-31 11:42 . 2010-07-31 11:41 70728 ----a-w- c:\documents and settings\007\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT 2010-07-31 11:42 . 2010-07-31 11:42 -------- d-----w- c:\documents and settings\007\Dane aplikacji\Virgin Broadband 2010-07-31 11:42 . 2010-07-31 11:42 -------- d-----w- c:\documents and settings\007\Dane aplikacji\AutoUpdate 2010-07-31 11:42 . 2010-07-31 11:42 -------- d-----w- c:\documents and settings\007\Dane aplikacji\ATI 2010-07-27 12:01 . 2010-07-27 12:01 -------- d-----w- c:\program files\Black Isle Studios 2010-07-27 09:00 . 2010-07-27 09:00 -------- d-----w- c:\program files\CHNP 2010-07-26 18:27 . 2010-07-26 18:27 -------- d-----w- c:\program files\VID_0E8F&PID_0003 2010-07-26 14:23 . 2010-07-26 14:23 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Trymedia 2010-07-26 14:23 . 2010-07-26 14:23 -------- d-----w- c:\program files\18 WoS Pedal to the Metal 2010-07-15 13:45 . 2010-07-15 13:45 187128 ----a-w- c:\documents and settings\007\Dane aplikacji\Virgin Broadband\advisor\downloads\VirginDetectionScriptsBundle.41.zip.dir\tools\NetworkFinder.signed.exe 2010-06-30 12:33 . 2006-08-27 10:39 149504 ----a-w- c:\windows\system32\schannel.dll 2010-06-24 12:17 . 2006-08-27 10:39 832512 ----a-w- c:\windows\system32\wininet.dll 2010-06-24 12:17 . 2006-08-27 10:39 78336 ----a-w- c:\windows\system32\ieencode.dll 2010-06-24 12:17 . 2006-08-27 10:38 17408 ----a-w- c:\windows\system32\corpol.dll 2010-06-24 09:02 . 2006-08-27 10:39 1852160 ----a-w- c:\windows\system32\win32k.sys 2010-06-21 15:27 . 2006-08-27 10:39 354304 ----a-w- c:\windows\system32\drivers\srv.sys 2010-06-17 14:03 . 2006-08-27 10:39 80384 ----a-w- c:\windows\system32\iccvid.dll 2010-06-14 14:31 . 2008-02-12 11:50 744448 ----a-w- c:\windows\pchealth\helpctr\binaries\HelpSvc.exe 2010-06-14 07:43 . 2006-08-27 10:39 1172480 ----a-w- c:\windows\system32\msxml3.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_LOCAL_MACHINE~\Browser Helper Objects{6D023EBF-70B8-45A6-9ED5-556515FA0FE4}] 2008-07-07 10:27 398776 ----a-w- c:\program files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “StartCCC”=“c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” [2006-11-10 90112] “LightScribe Control Panel”=“c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe” [2007-06-20 451872] “swg”=“c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2009-01-22 68856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “ATKOSD2”=“c:\program files\ATKOSD2\ATKOSD2.exe” [2007-07-03 7708672] “ATKHOTKEY”=“c:\program files\ATK Hotkey\Hcontrol.exe” [2007-07-12 225280] “RTHDCPL”=“RTHDCPL.EXE” [2006-10-30 16269312] “SkyTel”=“SkyTel.EXE” [2006-05-16 2879488] “ATKMEDIA”=“c:\program files\ASUS\ATK Media\DMEDIA.EXE” [2006-11-02 61440] “SynTPEnh”=“c:\program files\Synaptics\SynTP\SynTPEnh.exe” [2006-05-25 786521] “ACMON”=“c:\program files\ASUS\Splendid\ACMON.exe” [2007-07-10 851968] “ABLKSR”=“c:\windows\ABLKSR\ABLKSR.exe” [2006-01-02 61440] “NeroFilterCheck”=“c:\program files\Common Files\Ahead\Lib\NeroCheck.exe” [2007-03-01 153136] “SecurDisc”=“c:\program files\Nero\Nero 7\InCD\NBHGui.exe” [2007-06-01 1629744] “InCD”=“c:\program files\Nero\Nero 7\InCD\InCD.exe” [2007-06-01 1057328] “SMSERIAL”=“c:\program files\Motorola\SMSERIAL\sm56hlpr.exe” [2006-11-22 630784] “Power_Gear”=“c:\program files\ASUS\Power4 Gear\BatteryLife.exe” [2006-07-26 90112] “Wireless Console 2”=“c:\program files\Wireless Console 2\wcourier.exe” [2007-07-05 1040384] “ASUSTPE”=“c:\windows\system32\ASUSTPE.exe” [2007-01-16 106496] “ASUS Camera ScreenSaver”=“c:\windows\ASScrProlog.exe” [2008-02-12 37232] “ASUS Screen Saver Protector”=“c:\windows\ASScrPro.exe” [2008-02-12 33136] “ACU”=“c:\program files\Atheros\ACU.exe” [2007-05-03 376921] “Onet.pl AutoUpdate”=“c:\program files\Common Files\Onet.pl\AutoUpdate.exe” [2005-07-27 260096] “WinampAgent”=“c:\program files\Winamp\winampa.exe” [2007-04-25 35328] “TkBellExe”=“c:\program files\Real Alternative\Update_OB\realsched.exe” [2008-12-14 180269] “QuickTime Task”=“c:\program files\QuickTime\qttask.exe” [2006-09-01 282624] “Adobe Reader Speed Launcher”=“c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe” [2009-02-27 35696] “BluetoothAuthenticationAgent”=“bthprops.cpl” [2008-04-14 110592] “ISUSPM”=“c:\program files\Common Files\InstallShield\UpdateService\isuspm.exe” [2006-05-16 213936] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2008-04-14 15360] c:\documents and settings\Winnicki\Menu Start\Programy\Autostart\ CCC.lnk - c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152] OpenOffice.org 2.1.lnk - c:\program files\OpenOffice.org 2.1\program\quickstart.exe [2006-11-27 393216] c:\documents and settings\007\Menu Start\Programy\Autostart\ CCC.lnk - c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ ClientManager3.lnk - c:\program files\BUFFALO\Client Manager3\cm3_tray.exe [2009-7-5 471040] c:\documents and settings\Default User\Menu Start\Programy\Autostart\ CCC.lnk - c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-9-29 49152] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nod32kui] 2005-11-15 11:48 921600 ----a-w- c:\program files\ESET\nod32kui.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] “AntiVirusOverride”=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] “DisableMonitoring”=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] “DisableMonitoring”=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] “DisableMonitoring”=dword:00000001 [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile] “EnableFirewall”= 0 (0x0) [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “%windir%\system32\sessmgr.exe”= “c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE”= “d:\gry\dawn of war winter assault\W40k.exe”= “%windir%\Network Diagnostic\xpnetdiag.exe”= “c:\Program Files\BearShare\BearShare.exe”= “c:\Program Files\Bonjour\mDNSResponder.exe”= “d:\gry\dawn of war soulstorm\Soulstorm.exe”= “d:\gry\dawn of war winter assault\W40kWA.exe”= “c:\Program Files\Microsoft ActiveSync\wcescomm.exe”= “c:\Program Files\Microsoft ActiveSync\WCESMgr.exe”= “c:\Program Files\BUFFALO\Client Manager3\BWSVC\bwsvc.exe”= “c:\Program Files\BUFFALO\Client Manager3\AOSS\aoss.exe”= “c:\Program Files\Skype\Phone\Skype.exe”= S2 gupdate;Usługa Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-08-30 135664] S3 ATE_PROCMON;ATE_PROCMON;??\c:\program files\Anti Trojan Elite\ATEPMon.sys --> c:\program files\Anti Trojan Elite\ATEPMon.sys [?] [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components{10880D85-AAD9-4558-ABDC-2AB1552D831F}] 2007-06-20 11:47 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe . Zawartość folderu ‘Zaplanowane zadania’ 2009-05-30 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\program files\Apple Software Update\SoftwareUpdate.exe [2006-08-29 13:21] 2010-08-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-08-30 18:42] 2010-08-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files\Google\Update\GoogleUpdate.exe [2010-08-30 18:42] . . ------- Skan uzupełniający ------- . uStart Page = hxxp://www.asus.com IE: Google Sidewiki… - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html LSP: c:\windows\system32\imon.dll DPF: {1E53EA77-34F2-474E-9046-B2B0C86F1821} - hxxp://www.eska.pl/streamplayers/OggX.ocx DPF: {631FF594-EC25-4CFF-B869-402DF294E1D6} - hxxp://slimak.onet.pl/_m/kamerzysta/One … or012s.ocx . - - - - USUNIĘTO PUSTE WPISY - - - - HKLM-Run-PowerForPhone - c:\program files\P4P\P4P.exe HKLM-Run-Anti Trojan Elite - c:\program files\Anti Trojan Elite\TjEnder.exe HKLM-Run-SunJavaUpdateSched - c:\program files\Java\jre6\bin\jusched.exe ActiveSetup-ccc-core-static - msiexec AddRemove-AltnetDM - c:\program files\Altnet\Download Manager\AltnetUninstall.exe AddRemove-setup - c:\windows\rundll32.exe AddRemove-{d08d9f98-1c78-4704-87e6-368b0023d831} - c:\program files\RelevantKnowledge\rlvknlg.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-08-30 21:43 Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPI skanowanie ukrytych procesów … skanowanie ukrytych wpisów autostartu … skanowanie ukrytych plików … skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > ‘winlogon.exe’(908) c:\windows\system32\Ati2evxx.dll c:\program files\BUFFALO\Client Manager3\NtCommon\BwcProv.dll - - - - - - - > ‘lsass.exe’(964) c:\windows\system32\imon.dll c:\program files\Eset\pr_imon.dll . Czas ukończenia: 2010-08-30 21:44:44 ComboFix-quarantined-files.txt 2010-08-30 20:44 Przed: 11 684 708 352 bajtów wolnych Po: 12 461 703 168 bajtów wolnych WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons multi(0)disk(0)rdisk(0)partition(2)\WINDOWS=“Microsoft Windows XP Home Edition” /noexecute=optin /fastdetect - - End Of File - - 95155A720316A1345E56D07251D9F2A6

anon65442529 · 30 Sierpień 2010 21:32

ComboFix używamy tylko jeśli padnie taka prośba. Jest to narzędzie o dużej sile rażenia więc używa się go tylko w sytuacjach ekstremalnych.

Nie wklejaj logów bezpośrednio na forum tylko na strony to tego przeznaczone.

Pokaż logi z narzędzi:

OTL

Ustawiasz go tak jak na tym obrazku.

Klikasz przycisk “Skanuj”.

Pokazujesz dwa wynikowe logi OTL.txt + Extras.txt.

GMER

W GMER nic nie zmieniamy tylko wciskamy przycisk “Szukaj” (skan potrwa kilkadziesiąt minut) a po skanie przycisk “Kopiuj”.

Na Windows Vista i 7 uruchamiamy programy z menu “Uruchom jako Administrator”.

Przed uruchomieniem powyższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe to OK).

Zawartość logów wklejasz na http://wklej.org lub http://wklej.to a w poście dajesz link.

lbartnik · 30 Sierpień 2010 22:21

log z OTL:

http://wklej.to/XULc

jessica · 31 Sierpień 2010 06:39

Nie ma tu żadnej infekcji.

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script.

jessi