jarzyn20
(Krzysztofjarzyna3)
24 Marzec 2008 12:39
#1
witam złapałem wczoraj jakiegoś wirusa a dokładniej chyba trojana wie ktoś jak go usunąć? jedyne co do tej pory wiem to to ze te dwa pliki są z nim powiązane(rqrpnno.dll i rxbjidun.dll) oba siedzia w system32 a ten drugi jeszcze chce mi się ciągle do autostartu dostać tyle że startupmonitor go blokuje dodatkowo jeszcze powiazane sa z nim jakieś foldery z “program files” ale dokladnie nie wiem jakie
jarzyn20
(Krzysztofjarzyna3)
24 Marzec 2008 13:29
#5
O4 - HKLM…\Run: [9c1974b6] rundll32.exe “C:\WINDOWS\system32\wxwboygj.dll”,b
O4 - HKLM…\Run: [bM9f2a472a] Rundll32.exe “C:\WINDOWS\system32\rxbjidun.dll”,s
no dobra z tego co widze to z tymi wpisami jest cos nie tak tylke teraz jeszcze jak ktos moglby napisac mi jak je usunac to bylbym wdzieczyny
jarzyn20
(Krzysztofjarzyna3)
24 Marzec 2008 14:07
#6
no i moze jeszcze to sory ze nie na http://wklej.org/ ale ta stronka mi nie chodzi
ComboFix 07-08-03.4 - “xxx” 2008-03-24 14:54:57.4 [GMT 1:00] - NTFS Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.Prawda ((((((((((((((((((((((((( Files Created from 2008-02-24 to 2008-03-24 ))))))))))))))))))))))))))))))) 2008-03-24 14:54 51,200 --a------ C:\WINDOWS\nircmd.exe 2008-03-24 14:50 2008-03-24 13:27 93,248 --a------ C:\WINDOWS\system32\vfuqssvd.dll 2008-03-24 13:24 89,152 --a------ C:\WINDOWS\system32\wxwboygj.dll 2008-03-24 13:23 91,200 --a------ C:\WINDOWS\system32\rxbjidun.dll 2008-03-24 01:20 290,816 --a------ C:\WINDOWS\system32\awtsq.dll 2008-03-24 01:20 186,765 --ahs---- C:\WINDOWS\system32\qstwa.ini2 2008-03-24 01:15 37,376 --a------ C:\WINDOWS\mrofinu1044.exe 2008-03-19 15:16 2008-03-19 00:09 2008-03-19 00:06 2008-03-19 00:04 2008-03-13 18:49 2008-03-12 18:38 19,584 --a------ C:\WINDOWS\system32\drivers\dsnpfd.sys 2008-03-04 20:09 2008-03-01 16:34 2008-02-29 18:51 94,064 -ra------ C:\WINDOWS\system32\drivers\k510mdm.sys 2008-02-29 18:51 85,408 -ra------ C:\WINDOWS\system32\drivers\k510mgmt.sys 2008-02-29 18:51 83,344 -ra------ C:\WINDOWS\system32\drivers\k510obex.sys 2008-02-29 18:51 8,336 -ra------ C:\WINDOWS\system32\drivers\k510mdfl.sys 2008-02-29 18:51 6,176 -ra------ C:\WINDOWS\system32\drivers\k510cmnt.sys 2008-02-29 18:51 6,176 -ra------ C:\WINDOWS\system32\drivers\k510cm.sys 2008-02-29 18:51 58,288 -ra------ C:\WINDOWS\system32\drivers\k510bus.sys 2008-02-29 18:51 5,808 -ra------ C:\WINDOWS\system32\drivers\k510whnt.sys 2008-02-29 18:51 5,808 -ra------ C:\WINDOWS\system32\drivers\k510wh.sys (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2008-03-24 13:50 --------- d-------- C:\Program Files\BFG 2008-03-21 13:34 --------- d–h----- C:\Program Files\InstallShield Installation Information 2008-03-20 22:04 560 --a------ C:\Program Files\Global.sw 2008-03-12 18:39 --------- d-------- C:\DOCUME~1\xxx\DANEAP~1\DeskSoft 2008-03-12 18:38 --------- d-------- C:\Program Files\BWMeter 2008-03-03 20:27 --------- d-------- C:\DOCUME~1\xxx\DANEAP~1\Skype 2008-02-26 01:55 4316 --a------ C:\WINDOWS\mozver.dat 2008-02-18 18:57 --------- d-------- C:\Program Files\Creative32 2008-01-29 19:58 --------- d-------- C:\Program Files\Common Files\Onet.pl 2008-01-28 21:13 74752 --a------ C:\WINDOWS\cadkasdeinst01e.exe 2007-12-30 20:23 78278 --a------ C:\WINDOWS\system32\perfc015.dat 2007-12-30 20:23 455030 --a------ C:\WINDOWS\system32\perfh015.dat 2007-05-16 17:33 81920 --a------ C:\DOCUME~1\xxx\DANEAP~1\ezpinst.exe 2007-05-16 17:33 47360 --a------ C:\DOCUME~1\xxx\DANEAP~1\pcouffin.sys ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE~\Browser Helper Objects{1492DD5D-9D3D-4A9D-BCED-3DDE95DAC58B}] 2008-03-24 01:20 290816 --a------ C:\WINDOWS\system32\awtsq.dll [HKEY_LOCAL_MACHINE~\Browser Helper Objects{26615e9d-1c53-4745-a7a1-699edb9726aa}] 2008-03-24 13:27 93248 --a------ C:\WINDOWS\system32\vfuqssvd.dll [HKEY_LOCAL_MACHINE~\Browser Helper Objects{3762BEBA-0423-04D4-5766-5200BAB2DDBB}] C:\WINDOWS\system32\evxmefwj.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Run StartupMonitor”=“StartupMonitor.exe” [2000-05-20 17:23 C:\WINDOWS\StartupMonitor.exe] “NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2007-06-28 23:43] “nwiz”=“nwiz.exe” [2007-06-28 23:43 C:\WINDOWS\system32\nwiz.exe] “NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2007-06-28 23:43] “avast!”=“E:\Programy\ALWILS~1\Avast4\ashDisp.exe” [2007-12-04 14:00] “iKeyWorks”=“E:\Programy\A4Tech\Keyboard\Ikeymain.exe” [2005-04-14 05:35] “9c1974b6”=“C:\WINDOWS\system32\wxwboygj.dll” [2008-03-24 13:24] “MSConfig”=“C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe” [2004-08-04 00:44] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “BySoft FreeRAM”=“E:\Programy\BySoft FreeRAM\FreeRAM.exe” [2004-12-17 21:44] C:\Documents and Settings\xxx\Menu Start\Programy\Autostart\ BWMeter.lnk - C:\Program Files\BWMeter\bwmeter.exe [2008-03-12 18:38:35] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ RaConfig.lnk - C:\WINDOWS\system32\RaConfig.exe [2006-11-30 21:35:10] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] “NoLowDiskSpaceChecks”=0 (0x0) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] “{162C6BC2-E852-4D45-B139-E8A6737F1054}”= C:\WINDOWS\system32\rqrpnno.dll [] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrpnno] rqrpnno.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] “Authentication Packages”= msv1_0 C:\WINDOWS\system32\awtsq.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck] %systemroot%\system32\dumprep 0 -k [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] “ose”=3 (0x3) “MDM”=2 (0x2) “LightScribeService”=2 (0x2) “Adobe LM Service”=3 (0x3) “wuauserv”=2 (0x2) “NBService”=3 (0x3) “Autodata Limited License Service”=2 (0x2) “IDriverT”=3 (0x3) “odserv”=3 (0x3) R0 gagp30kx;Filtr rodzajowy AGPv3.0 firmy Microsoft dla platform procesora K8;C:\WINDOWS\system32\DRIVERS\gagp30kx.sys R0 prohlp02;StarForce Protection Helper Driver v2;C:\WINDOWS\system32\drivers\prohlp02.sys R0 prosync1;StarForce Protection Synchronization Driver v1;C:\WINDOWS\system32\drivers\prosync1.sys R0 sfhlp01;StarForce Protection Helper Driver;C:\WINDOWS\system32\drivers\sfhlp01.sys R0 sfsync02;StarForce Protection Synchronization Driver (version 2.x);C:\WINDOWS\system32\drivers\sfsync02.sys R1 NetworkX;NetworkX;C:\WINDOWS\system32\ckldrv.sys R1 oreans32;oreans32;??\C:\WINDOWS\system32\drivers\oreans32.sys R1 PQNTDrv;PQNTDrv;C:\WINDOWS\system32\drivers\PQNTDrv.sys R1 prodrv06;StarForce Protection Environment Driver v6;C:\WINDOWS\system32\drivers\prodrv06.sys R2 atksgt;atksgt;C:\WINDOWS\system32\DRIVERS\atksgt.sys R2 lirsgt;lirsgt;C:\WINDOWS\system32\DRIVERS\lirsgt.sys R3 actser;actser;C:\WINDOWS\system32\drivers\actser.sys R3 cmuda;C-Media WDM Audio Interface;C:\WINDOWS\system32\drivers\cmuda.sys R3 ElbyCDFL;ElbyCDFL;C:\WINDOWS\system32\Drivers\ElbyCDFL.sys R3 RT2400;RT2400 Wireless Driver;C:\WINDOWS\system32\DRIVERS\RT2400.sys S3 FETNDISB;VIA Rhine Family Fast Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5b.sys S3 ggsemc;SEMC USB Flash Driver;C:\WINDOWS\system32\DRIVERS\ggsemc.sys S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\k510bus.sys S3 k510mdfl;Sony Ericsson K510 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k510mdfl.sys S3 k510mdm;Sony Ericsson K510 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\k510mdm.sys S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\k510mgmt.sys S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\k510obex.sys S3 NVR0Dev;NVR0Dev;??\C:\WINDOWS\nvoclock.sys S3 P2k;Motorola USB Device;C:\WINDOWS\system32\DRIVERS\P2k.sys S3 pcouffin;VSO Software pcouffin;C:\WINDOWS\system32\Drivers\pcouffin.sys S3 SiS7012;Service for AC’97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys S3 tunmp;Sterownik karty Microsoft Tun Miniport;C:\WINDOWS\system32\DRIVERS\tunmp.sys S3 usbscan;Sterownik skanera USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys S3 usbser;Motorola USB Modem Driver;C:\WINDOWS\system32\DRIVERS\usbser.sys S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS S3 w300bus;Sony Ericsson W300 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\w300bus.sys S3 w300mdfl;Sony Ericsson W300 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w300mdfl.sys S3 w300mdm;Sony Ericsson W300 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w300mdm.sys S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\w300mgmt.sys S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\w300obex.sys S4 odserv;Microsoft Office Diagnostics Service;“C:\Program Files\Common Files\Microsoft Shared\OFFICE12\ODSERV.EXE” [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] Usnsvc usnsvc [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{44607020-c626-11dc-be1f-0080c6e85cbb}] AutoRun\command- N:\LaunchU3.exe -a ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-03-24 14:57:33 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden registry entries … [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher] “TracesProcessed”=dword:000001cd [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] “AppInit_DLLs”="" “DeviceNotSelectedTimeout”=“15” “GDIProcessHandleQuota”=dword:00002710 “Spooler”=“yes” “swapdisk”="" “TransmissionRetryTimeout”=“90” “USERProcessHandleQuota”=dword:00002710 “LoadAppInit_DLLs”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c] “Order”=hex:08,00,00,00,02,00,00,00,0c,00,00,00,01,00,00,00,00,00,00,00 scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2008-03-24 14:59:11 C:\ComboFix-quarantined-files.txt … 2008-03-24 14:58 C:\ComboFix2.txt … 2007-08-06 02:04 C:\ComboFix3.txt … 2007-08-03 18:18 — E O F —
Gutek
(Gutek)
25 Marzec 2008 14:56
#7
Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350
Wklej do Notatnika:
File::
C:\WINDOWS\system32\vfuqssvd.dll
C:\WINDOWS\system32\wxwboygj.dll
C:\WINDOWS\system32\rxbjidun.dll
C:\WINDOWS\system32\awtsq.dll
C:\WINDOWS\system32\qstwa.ini2
C:\WINDOWS\mrofinu1044.exe
C:\WINDOWS\system32\awtsq.dll
C:\WINDOWS\system32\evxmefwj.dll
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1492DD5D-9D3D-4A9D-BCED-3DDE95DAC58B}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{26615e9d-1c53-4745-a7a1-699edb9726aa}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3762BEBA-0423-04D4-5766-5200BAB2DDBB}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{162C6BC2-E852-4D45-B139-E8A6737F1054}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqrpnno]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=-
"Authentication Packages"=hex(7):6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,00,\
00
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Po tym nowy log z Combo
jarzyn20
(Krzysztofjarzyna3)
25 Marzec 2008 16:26
#8
Gutek
(Gutek)
25 Marzec 2008 16:54
#9
Wklej do Notatnika:
File::
C:\WINDOWS\system32\webrgtpf.dll
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{dc9350a3-a1f5-4e58-a537-82ef0ba75696}]
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Po tym nowy log z Combo
jarzyn20
(Krzysztofjarzyna3)
25 Marzec 2008 17:43
#10
zrobilem tak jak mowiles ale przy ponownym uruchomieniu komputera system sie nie chcial wczytac w trybie awaryjnym tez poszedl dopiero na “ostatnio znana dobra koniguracja” czyli te pliki skasowane combofix’em wrocily czy nie?
no i moze jeszcze swiezy log
http://wklej.org/id/e69de1617e
Gutek
(Gutek)
25 Marzec 2008 19:24
#11
Wklej do Notatnika:
File::
C:\WINDOWS\system32\awtsq.dll
C:\WINDOWS\system32\cobnxxsy.dll
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\9c1974b6]
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe ) Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe ) – podobnie jak na tym obrazku –>
jarzyn20
(Krzysztofjarzyna3)
26 Marzec 2008 13:30
#12
jarzyn20
(Krzysztofjarzyna3)
26 Marzec 2008 21:24
#14
ok w takim razie dzieki wielkie za pomoc