Wirus w mailu - ecard.exe, yodi

fantaklaus · 4 Lipiec 2007 20:10

Żona otworzyła kartkę pocztową. Był to program ecard.exe. Podobno to jakiś Yodi. Przeskanowałem mksem ale zawiesza sie skanowanie na pliku rtcres.dll.

Daje log z hijacka:

qrczak13 · 4 Lipiec 2007 21:58

Log z silenta ucięty, musisz poczekać aż skończy, wtedy wyskoczy komunikat All Done. W logach czysto, więc wklej jeszcze log z ComboFix

fantaklaus · 4 Lipiec 2007 22:04

“Genisz_2” - 2007-07-04 23:59:26 - ComboFix 07-07-04.4 - Dodatek Service Pack 2 ADS removed - svchost.exe: deleted 68 bytes in 1 streams. ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) D:\DOCUME~1\Genisz_2\Pulpit.\internet explorer.lnk D:\WINDOWS\system32\windev-peers.ini ((((((((((((((((((((((((( Files Created from 2007-06-04 to 2007-07-04 ))))))))))))))))))))))))))))))) 2007-07-04 23:59 51,200 --a------ D:\WINDOWS\nircmd.exe 2007-07-04 21:21 2007-07-04 21:21 2007-07-04 13:06 5,632 --a------ D:\WINDOWS\system32\pxc25pm.dll 2007-07-04 13:06 258,352 --a------ D:\WINDOWS\system32\unicows.dll 2007-07-04 13:06 2007-07-03 19:46 271,224 --a------ D:\WINDOWS\system32\mucltui.dll 2007-07-03 10:59 630,784 --a------ D:\WINDOWS\system32\vp7vfw.dll 2007-07-03 10:59 564,224 --a------ D:\WINDOWS\system32\x264vfw.dll 2007-07-03 10:59 438,272 --a------ D:\WINDOWS\system32\vp6vfw.dll 2007-07-03 10:59 39,936 --a------ D:\WINDOWS\system32\huffyuv.dll 2007-07-03 10:59 217,088 --a------ D:\WINDOWS\system32\i420vfw.dll 2007-07-03 10:59 144,384 --a------ D:\WINDOWS\system32\Iacenc.dll 2007-07-03 10:24 740,442 --a------ D:\WINDOWS\system32\divx.dll 2007-07-03 10:24 73,728 --a------ D:\WINDOWS\system32\dpl100.dll 2007-07-03 10:24 593,920 --a------ D:\WINDOWS\system32\xvidcore.dll 2007-07-03 10:24 3,596,288 --a------ D:\WINDOWS\system32\qt-dx331.dll 2007-07-03 10:24 217,088 --a------ D:\WINDOWS\system32\yv12vfw.dll 2007-07-03 10:24 180,224 --a------ D:\WINDOWS\system32\xvidvfw.dll 2007-07-03 10:24 10,752 --a------ D:\WINDOWS\system32\ff_vfw.dll 2007-07-03 10:24 2007-07-03 10:11 2007-07-03 10:11 2007-06-13 18:42 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-07-03 19:52:11 18,344 ----a-w D:\DOCUME~1\Genisz_2\DANEAP~1\GDIPFONTCACHEV1.DAT 2007-06-30 16:35:18 -------- d-----w D:\Program Files\Soulseek 2007-06-13 16:40:05 -------- d–h--w D:\Program Files\InstallShield Installation Information 2007-06-05 05:26:32 -------- d-----w D:\Program Files\SkanerOnline 2007-05-21 06:08:53 -------- d-----w D:\Program Files\hp deskjet 920c series 2007-05-20 08:21:52 -------- d-----w D:\DOCUME~1\Genisz_2\DANEAP~1\OpenOffice.ux.pl2 2007-05-20 08:09:46 -------- d-----w D:\DOCUME~1\Genisz_2\DANEAP~1\Skype 2007-05-19 08:44:29 -------- d-----w D:\Program Files\OpenOffice.ux.pl 2.2.0 2007-05-16 15:18:58 683,520 ----a-w D:\WINDOWS\system32\inetcomm.dll 2007-05-10 16:58:22 72,748 ----a-w D:\WINDOWS\unins001.exe 2007-05-10 16:58:22 652 ----a-w D:\WINDOWS\unins001.dat 2007-05-09 17:14:15 -------- d-----w D:\DOCUME~1\Genisz_2\DANEAP~1\SopCast 2007-05-03 18:51:15 3,189 ----a-w D:\WINDOWS\mozver.dat 2007-04-25 14:23:30 144,896 ----a-w D:\WINDOWS\system32\schannel.dll 2007-04-18 16:14:32 2,854,400 ----a-w D:\WINDOWS\system32\msi.dll 2007-04-16 20:47:36 33,624 ----a-w D:\WINDOWS\system32\wups.dll 2007-04-16 20:45:54 1,710,936 ----a-w D:\WINDOWS\system32\wuaueng.dll 2007-04-16 20:45:48 549,720 ----a-w D:\WINDOWS\system32\wuapi.dll 2007-04-16 20:45:42 325,976 ----a-w D:\WINDOWS\system32\wucltui.dll 2007-04-16 20:45:36 203,096 ----a-w D:\WINDOWS\system32\wuweb.dll 2007-04-16 20:45:28 92,504 ----a-w D:\WINDOWS\system32\cdm.dll 2007-04-16 20:45:20 53,080 ----a-w D:\WINDOWS\system32\wuauclt.exe 2007-04-16 20:45:20 43,352 ----a-w D:\WINDOWS\system32\wups2.dll 2007-04-16 20:43:40 208,248 ----a-w D:\WINDOWS\system32\muweb.dll 2007-04-05 07:31:45 49,712 ----a-w D:\WINDOWS\system32\perfc015.dat 2007-04-05 07:31:45 355,830 ----a-w D:\WINDOWS\system32\perfh015.dat ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE~\Browser Helper Objects{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] 2007-03-14 03:43 501400 --a------ D:\Program Files\Java\jre1.6.0_01\bin\ssv.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “SoundMan”=“SOUNDMAN.EXE” [2002-09-11 04:57 D:\WINDOWS\SOUNDMAN.EXE] “nwiz”=“nwiz.exe” [2005-12-10 04:06 D:\WINDOWS\system32\nwiz.exe] “SunJavaUpdateSched”=“D:\Program Files\Java\jre1.6.0_01\bin\jusched.exe” [2007-03-14 03:43] “Picasa Media Detector”=“D:\Program Files\Picasa2\PicasaMediaDetector.exe” [2007-02-01 04:52] “OrderReminder”=“D:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe” [2006-01-30 18:00] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“D:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44] “Zinio DLM”=“D:\Program Files\Zinio\ZinioDeliveryManager.exe” [] ************************************************************************** catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-07-05 00:01:29 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-07-05 0:02:02 D:\ComboFix-quarantined-files.txt … 2007-07-05 00:01 — E O F —

qrczak13 · 4 Lipiec 2007 22:39

Daj jeszcze logi z gmera.

Pobierz Gmer

Rootkit=>szukaj=>bez zaznaczania pokaż wszystko=> Ctrl + V do posta wklej
Rootkit => zaznaczone tylko Pokazuj wszystko + Usługi => Szukaj => Kopiuj => Ctrl + V do posta wklej

Jak nie wejdą na forum to http://wklej.org/ i daj link do nich.

fantaklaus · 5 Lipiec 2007 05:36

Gutek · 5 Lipiec 2007 10:26

Już powinno być Ok