Wirusy w systemie

Moldar · 8 Sierpień 2007 07:51

Witam.

Mam problem. Avast wykrywa mi co jakiś czas po 4-5 plików takimi seriami, daje kwarantanna, ale potem jest to samo.

Przeskanowałem kompa avastem i a-squared Free. Coś tam znalazło i usunęło, ale dalej ten problem jest.

Ponadto, gdy jestem zalogowany i daje Przełącz użytkownika/Wyloguj i potem chce wejść na inny lub ten sam profil wyskakuje coś o Serwerze uwierzytelnienia i prosi o hasła tam gdzie go nie ma.

Proszę więc o sprawdzenie logów i poradę co zrobić.

Log z ComboFix: http://www.wklej.org/id/1bcbf90b0e

Log z HijackThis: http://www.wklej.org/id/4930074716

Pozdrawiam,

Moldar

PS. Jak będziecie dawać mi instrukcje podajcie, czy mam coś robić na awaryjnym, czy też na zwykłym trybie

Edit: No i na pulpicie sam robi mi się skrót do Internet Explorer i, gdy go usuwam wyskakuje:

http://img399.imageshack.us/img399/6201/screenhunter001nx5.png.

A gdy otwieram złą stronę wyskakuje:

http://img357.imageshack.us/img357/9919/screenhunter002su8.png, kiedy zawsze wyskakiwało, nie można odnaleźć serwera itp.

Monczkin · 8 Sierpień 2007 09:18

Czy mi się wydaję, czy to ten sam problem ??

http://forum.dobreprogramy.pl/viewtopic.php?t=172949

Moldar · 8 Sierpień 2007 09:21

Nie, tamte wirusy nie występowały. Teraz są zupełnie inne, więc dla porządku zrobiłem nowy temat. Chyba, że zamkniesz go i tam się dopisze.

jessica · 8 Sierpień 2007 11:20

Te w/w wpisy sfiksuj w Hijacku:

>>Hijack>>scan(Do a system scan only)>>zaznacz je >> Fix checked.

>>Start >>> Uruchom >>> wybierz (lub wpisz) cmd >> zastosować te komendy (po każdej wciśnij “ENTER”):

Masz Killboxa, więc te poniższe usuwaj przy jego pomocy:

Potem daj nowe logi.

.

Moldar · 8 Sierpień 2007 13:33

Log z ComboFix: http://wklej.org/id/d084fbdae6

Log z HijackThis: http://wklej.org/id/6bb9b457ed

A pojawiają się teraz takie wirusy:

http://img525.imageshack.us/img525/8809/screenhunter003uz6.png

adam9870 · 8 Sierpień 2007 13:53

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.BAT

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Zmień rozszerzenie z TXT na Wszystkie pliki >>> Zapisz pod nazwą FIX.REG

Przejdź do trybu awaryjnego i uruchom utworzone pliki.

Pobierz i uruchom w trybie awaryjnym ATF Cleaner >>> zaznacz Empty Selected >>> poczekaj chwilkę na pojawienie się pewnej informacji >>> ponownie kliknij Empty Selected >>> uruchom ponownie komputer.

Po wykonaniu wklej nowe logi.

Moldar · 8 Sierpień 2007 16:18

Done.

ComboFix: http://www.wklej.org/id/6c830c8fd3

HijackThis: http://www.wklej.org/id/17c4b08ea7

adam9870 · 8 Sierpień 2007 17:00

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable (wszystkie znaczki maja być na zielono, jeżeli któryś z nich będzie na żółto to go zostaw). Po użyciu narzędzia wymagany jest restart.

Start -> uruchom -> cmd -> wpisz:

Ściągnij program KillBox, zaznacz Delete on reboot , w polu full path of file wklej kolejno ścieżki:

C:\prsc32.exe

C:\WINDOWS\System32\dllcache\winsony.exe

Po wklejeniu każdej ścieżki z osobna kliknij na czerwonego iksa, ale dopiero po wklejeniu ostatniej zgódź się na restart.

Po wykonaniu wklej nowe logi.

Moldar · 8 Sierpień 2007 17:30

Done: http://img513.imageshack.us/img513/8373/screenhunter004nj5.png

ComboFix: http://wklej.org/id/f7f7003db1

HijackThis: http://wklej.org/id/8742e96686

jessica · 8 Sierpień 2007 20:03

Usuń Killboxem.

Ciekawa jestem, co masz jeszcze niewidocznego w komputerze, co przyciąga cały czas nowe infekcje.

.

Moldar · 8 Sierpień 2007 20:19

Zrobiłem to. Jeszcze coś?

jessica · 8 Sierpień 2007 20:28

Na razie nic, ale jestem przekonana, że jutro lub pojutrze powrócisz tu, bo pewnie znowu coś Ci się “przyklei”. Jest coś, co ściąga te śmieci, a my nie potrafimy tego dostrzec.

.Trzymaj się.

Moldar · 21 Sierpień 2007 23:12

Teraz wyskakuje taki wirus:

http://img341.imageshack.us/img341/4350/wirussb4.jpg

Dać logi?

jessica · 22 Sierpień 2007 08:00

Tego " wi.exe" już raz usuwałeś.

Daj log z ComboFixa, ale przedtem zastosuj SDFix

Daj z niego raport - będzie gdzieś w jego folderze.

Uwaga: SDFix działa tylko w Trybie Awaryjnym.

jessi

Moldar · 22 Sierpień 2007 08:46

Wklej.org nie działa więc muszę tu dać

SDFix

SDFix: Version 1.99 Run by Bolo on 2007-08-22 at 10:36 Microsoft Windows XP [Wersja 5.1.2600] Running From: C:\SDFix Safe Mode: Checking Services: Name: Sony Network Analysis Tool ImagePath: “C:\WINDOWS\System32\dllcache\winsony.exe” Sony Network Analysis Tool - Deleted Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting… Normal Mode: Checking Files: Trojan Files Found: C:\WINDOWS\system32\dllcache\winsony.exe - Deleted C:\WINDOWS\system32\mirc.ini - Deleted C:\WINDOWS\system32\svhost.exe - Deleted Removing Temp Files… ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] “C:\WINDOWS\lsassxp.exe”=“C:\WINDOWS\lsassxp.exe:*:Enabled:lsassxp” [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] Remaining Files: --------------- File Backups: - C:\SDFix\backups\backups.zip Registry Backups: - C:\SDFix\backups\backupreg.zip Full Registry Backup: - C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE Files with Hidden Attributes: C:\BOLO\Kom˘rka\3510i\gry\1000.Java.games_NOKIA.MOBILES(http://www.elitetopdown.com)\SplinterCell\Thumbs.db C:\Program Files\SubEdit-Player\subs\Step.Up.[TS].[DvD-RiPPeRS].[WwW.HQToRrEnTs.CoM].avi.ini C:\WINDOWS\system32\kkijerdlcgc.exe C:\WINDOWS\system32\prvegangniv.exe C:\Program Files\FlashGet\Torrent\Playstation emulator + Tekken 3.rar.torrent.bits C:\Program Files\FlashGet\Torrent\Playstation emulator + Tekken 3.rar.torrent.filelist C:\Program Files\FlashGet\Torrent\Playstation emulator + Tekken 3.rar.torrent.seeds Finished

ComboFix

“Bolo” - 2007-08-22 10:41:56 - ComboFix 07-07-14.6 NTFS ((((((((((((((((((((((((( Files Created from 2007-07-22 to 2007-08-22 ))))))))))))))))))))))))))))))) 2007-08-22 10:41 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-08-20 23:32 2007-08-20 23:32 2007-08-20 16:06 2007-08-20 16:06 2007-08-20 16:06 2007-08-20 15:54 2007-08-20 15:54 2007-08-20 15:54 2007-08-20 15:52 2007-08-19 23:28 2007-08-19 12:36 2007-08-19 00:11 2007-08-19 00:09 2007-08-18 14:15 77,618 --a------ C:\WINDOWS\War3Unin.dat 2007-08-18 14:15 2,829 --a------ C:\WINDOWS\War3Unin.pif 2007-08-18 14:15 139,264 --a------ C:\WINDOWS\War3Unin.exe 2007-08-18 14:12 2007-08-18 13:51 2007-08-18 13:51 2007-08-14 12:30 2007-08-14 12:30 2007-08-13 16:48 2007-08-13 16:46 2007-08-13 13:37 720,896 --a------ C:\WINDOWS\iun6002.exe 2007-08-13 13:37 2007-08-13 13:33 2007-08-12 21:24 2007-08-12 21:21 25,992 --a------ C:\WINDOWS\system32\pgdfgsvc.exe 2007-08-12 14:27 2007-08-11 14:58 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL 2007-08-11 14:58 854,528 --------- C:\WINDOWS\system32\Ltwvc12n.dll 2007-08-11 14:58 78,336 --------- C:\WINDOWS\system32\LFFAX12n.DLL 2007-08-11 14:58 6,097 --a------ C:\WINDOWS\system32\drivers\sonyhcb.sys 2007-08-11 14:58 53,248 --a------ C:\WINDOWS\system32\SONYHCY.DLL 2007-08-11 14:58 43,008 --------- C:\WINDOWS\system32\lfgif12n.dll 2007-08-11 14:58 41,472 --------- C:\WINDOWS\system32\LTTWN12n.DLL 2007-08-11 14:58 406,528 --------- C:\WINDOWS\system32\LTKRN12n.DLL 2007-08-11 14:58 38,739 --a------ C:\WINDOWS\system32\drivers\sonyhcc.sys 2007-08-11 14:58 314,880 --------- C:\WINDOWS\system32\LFCMP12n.DLL 2007-08-11 14:58 3,654 --a------ C:\WINDOWS\system32\drivers\Sonyhcp.dll 2007-08-11 14:58 299,923 --a------ C:\WINDOWS\system32\drivers\sonyhcs.sys 2007-08-11 14:58 278,528 --------- C:\WINDOWS\system32\LTDIS12n.DLL 2007-08-11 14:58 25,600 --------- C:\WINDOWS\system32\lfavi12n.dll 2007-08-11 14:58 227,840 --------- C:\WINDOWS\system32\LTEFX12n.DLL 2007-08-11 14:58 166,400 --------- C:\WINDOWS\system32\LTIMG12n.DLL 2007-08-11 14:58 155,648 --------- C:\WINDOWS\system32\LFTIF12n.DLL 2007-08-11 14:58 13,566 --------- C:\WINDOWS\system32\drivers\cdrbsvsd.sys 2007-08-11 14:58 122,368 --------- C:\WINDOWS\system32\LTFIL12n.DLL 2007-08-11 14:58 121,856 --------- C:\WINDOWS\system32\lfmpg12n.dll 2007-08-11 14:58 102,220 --a------ C:\WINDOWS\system32\drivers\sonypvs1.sys 2007-08-11 14:58 2007-08-11 14:58 2007-08-11 14:58 2007-08-11 13:55 2007-08-11 13:29 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll 2007-08-11 13:29 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll 2007-08-11 13:29 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll 2007-08-11 13:29 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll 2007-08-11 13:29 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll 2007-08-11 13:29 255,848 --a------ C:\WINDOWS\system32\xactengine2_6.dll 2007-08-11 13:29 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll 2007-08-11 13:29 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll 2007-08-11 13:29 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll 2007-08-10 23:09 81,920 --------- C:\WINDOWS\system32\vdrmux.dll 2007-08-10 23:09 46,592 --------- C:\WINDOWS\system32\vdrcodec.dll 2007-08-10 23:09 40,960 --------- C:\WINDOWS\system32\langserv.dll 2007-08-10 23:08 898,736 --------- C:\WINDOWS\system32\Ltr13n.dll 2007-08-10 23:08 86,016 --a------ C:\WINDOWS\unvise32.exe 2007-08-10 23:08 298,168 --------- C:\WINDOWS\system32\Ltrio13n.dll 2007-08-10 23:07 73,728 --------- C:\WINDOWS\system32\MMAviAx.dll 2007-08-10 23:07 61,440 --------- C:\WINDOWS\system32\pclepim1.dll 2007-08-10 23:07 60,416 --------- C:\WINDOWS\system32\miroDV2Bmp.dll 2007-08-10 23:07 49,152 --------- C:\WINDOWS\system32\PCLEGetGuid.dll 2007-08-10 23:07 450,641 --------- C:\WINDOWS\system32\DiskIO.dll 2007-08-10 23:07 32,838 --------- C:\WINDOWS\system32\Cachex.dll 2007-08-10 23:07 32,768 --------- C:\WINDOWS\system32\MLPagAx.dll 2007-08-10 23:07 143,360 --------- C:\WINDOWS\system32\RALMain.dll 2007-08-10 23:07 14,604 --------- C:\WINDOWS\system32\drivers\pfc.sys 2007-08-10 23:07 114,759 --------- C:\WINDOWS\system32\Aviprax.dll 2007-08-10 23:07 2007-08-10 22:06 2007-08-08 23:00 2007-08-08 23:00 2007-08-08 22:30 2007-08-07 22:54 2007-08-05 12:50 86,016 --a------ C:\WINDOWS\system32\OpenAL32.dll 2007-08-05 12:50 413,696 --a------ C:\WINDOWS\system32\wrap_oal.dll 2007-08-05 12:50 2007-08-05 12:31 2007-08-04 15:14 2007-08-04 15:13 2007-08-04 15:10 2007-08-04 13:31 2007-08-04 11:33 24,576 --a------ C:\WINDOWS\system32\xpsp1hfm.exe 2007-08-04 11:33 2007-08-02 12:48 2007-07-31 20:24 2007-07-31 20:24 2007-07-31 16:52 299,008 --a------ C:\WINDOWS\uninst.exe (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-08 13:48:07 355,486 ----a-w C:\WINDOWS\system32\perfh015.dat 2007-08-08 13:48:06 49,492 ----a-w C:\WINDOWS\system32\perfc015.dat 2007-07-23 11:51:45 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2007-07-22 19:51:15 -------- d-----w C:\Program Files\Usługi online 2001-10-26 17:29:52 169,984 --sh–r C:\WINDOWS\system32\kkijerdlcgc.exe 2001-10-26 17:29:52 169,984 --sh–r C:\WINDOWS\system32\prvegangniv.exe ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE~\Browser Helper Objects{2F364306-AA45-47B5-9F9D-39A8B94E7EF7}] [HKEY_LOCAL_MACHINE~\Browser Helper Objects{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] 2007-07-12 04:00 501136 --a------ C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll [HKEY_LOCAL_MACHINE~\Browser Helper Objects{F156768E-81EF-470C-9057-481BA8380DBA}] 2007-05-16 07:05 163840 --a------ C:\Program Files\FlashGet\getflash.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “ATIPTA”=“C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe” [2005-08-30 21:05] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-07-28 00:03] “TkBellExe”=“C:\Program Files\Common Files\Real\Update_OB\realsched.exe” [2007-08-20 15:54] [HKEY_USERS.default\software\microsoft\windows\currentversion\run] “Windows Service Agent”=kkijerdlcgc.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Bolo^Menu Start^Programy^Autostart^HotSync Manager.lnk] path=C:\Documents and Settings\Bolo\Menu Start\Programy\Autostart\HotSync Manager.lnk backup=C:\WINDOWS\pss\HotSync Manager.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Komunikator] C:\Program Files\Tlen.pl\tlen.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] “C:\Program Files\CyberLink\PowerDVD\Language\Language.exe” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Service Agent] prvegangniv.exe HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components{ACC563BC-4266-43f0-B6ED-9D38C4202C7E} rundll32 iesetup.dll,IEAccessUserInst ************************************************************************** catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-22 10:42:32 Windows 5.1.2600 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-08-22 10:42:57 — E O F —

jessica · 22 Sierpień 2007 10:42

Te powyższe usuń Killboxem.

SDFix usuwał to samo, co już wcześnie usuwałeś, czyli “zabawa” trwa dalej.

Potem zajmij się rejestrem:

>>Start >>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK> >rozwiń ten klucz: >(+)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects >>zaznacz: {2F364306-AA45-47B5-9F9D-39A8B94E7EF7}>>prawoklik>>usuń >zwiń ten klucz klikając na (-) >>rozwiń ten klucz: >(+)HKEY_USERS.default\software\microsoft\windows\currentversion\run >w okienku po prawej zaznacz: “Windows Service Agent”>>prawoklik>>usuń >zwiń ten klucz klikając na (-) >>rozwiń ten klucz: >(+)HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg >zaznacz: Windows Service Agent>>prawoklik>>usuń >zwiń ten klucz klikając na (-) >>rozwiń ten klucz: >(+)HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list >w okienku po prawej zaznacz:“C:\WINDOWS\lsassxp.exe”>>prawoklik>>usuń >zwiń ten klucz klikając na (-)

Potem możesz, na wszelki wypadek, dać jeszcze raz log z ComboFixa.

Wklej.org działa, przynajmniej u mnie otwiera się bez problemów.

jessi

Moldar · 23 Sierpień 2007 13:45

Ale czy to moja wina czy nie?

Mi nie działa

Log z ComboFix:

“Bolo” - 2007-08-23 15:35:28 - ComboFix 07-07-14.6 NTFS ((((((((((((((((((((((((( Files Created from 2007-07-23 to 2007-08-23 ))))))))))))))))))))))))))))))) 2007-08-23 15:30 2007-08-23 11:38 816,326 --a------ C:\WINDOWS\hr.exe 2007-08-23 10:36 2007-08-23 10:28 816,326 --a------ C:\hr.exe 2007-08-23 10:25 2007-08-23 10:25 2007-08-22 22:02 2007-08-22 14:59 2007-08-22 10:41 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-08-20 23:32 2007-08-20 23:32 2007-08-20 16:06 2007-08-20 16:06 2007-08-20 16:06 2007-08-20 15:54 2007-08-20 15:54 2007-08-20 15:54 2007-08-20 15:52 2007-08-19 23:28 2007-08-19 12:36 2007-08-19 00:11 2007-08-19 00:09 2007-08-18 14:15 77,618 --a------ C:\WINDOWS\War3Unin.dat 2007-08-18 14:15 2,829 --a------ C:\WINDOWS\War3Unin.pif 2007-08-18 14:15 139,264 --a------ C:\WINDOWS\War3Unin.exe 2007-08-18 14:12 2007-08-18 13:51 2007-08-18 13:51 2007-08-14 12:30 2007-08-14 12:30 2007-08-13 16:48 2007-08-13 16:46 2007-08-13 13:37 720,896 --a------ C:\WINDOWS\iun6002.exe 2007-08-13 13:37 2007-08-13 13:33 2007-08-12 21:24 2007-08-12 21:21 25,992 --a------ C:\WINDOWS\system32\pgdfgsvc.exe 2007-08-12 14:27 2007-08-11 14:58 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL 2007-08-11 14:58 854,528 --------- C:\WINDOWS\system32\Ltwvc12n.dll 2007-08-11 14:58 78,336 --------- C:\WINDOWS\system32\LFFAX12n.DLL 2007-08-11 14:58 6,097 --a------ C:\WINDOWS\system32\drivers\sonyhcb.sys 2007-08-11 14:58 53,248 --a------ C:\WINDOWS\system32\SONYHCY.DLL 2007-08-11 14:58 43,008 --------- C:\WINDOWS\system32\lfgif12n.dll 2007-08-11 14:58 41,472 --------- C:\WINDOWS\system32\LTTWN12n.DLL 2007-08-11 14:58 406,528 --------- C:\WINDOWS\system32\LTKRN12n.DLL 2007-08-11 14:58 38,739 --a------ C:\WINDOWS\system32\drivers\sonyhcc.sys 2007-08-11 14:58 314,880 --------- C:\WINDOWS\system32\LFCMP12n.DLL 2007-08-11 14:58 3,654 --a------ C:\WINDOWS\system32\drivers\Sonyhcp.dll 2007-08-11 14:58 299,923 --a------ C:\WINDOWS\system32\drivers\sonyhcs.sys 2007-08-11 14:58 278,528 --------- C:\WINDOWS\system32\LTDIS12n.DLL 2007-08-11 14:58 25,600 --------- C:\WINDOWS\system32\lfavi12n.dll 2007-08-11 14:58 227,840 --------- C:\WINDOWS\system32\LTEFX12n.DLL 2007-08-11 14:58 166,400 --------- C:\WINDOWS\system32\LTIMG12n.DLL 2007-08-11 14:58 155,648 --------- C:\WINDOWS\system32\LFTIF12n.DLL 2007-08-11 14:58 13,566 --------- C:\WINDOWS\system32\drivers\cdrbsvsd.sys 2007-08-11 14:58 122,368 --------- C:\WINDOWS\system32\LTFIL12n.DLL 2007-08-11 14:58 121,856 --------- C:\WINDOWS\system32\lfmpg12n.dll 2007-08-11 14:58 102,220 --a------ C:\WINDOWS\system32\drivers\sonypvs1.sys 2007-08-11 14:58 2007-08-11 14:58 2007-08-11 14:58 2007-08-11 13:55 2007-08-11 13:29 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll 2007-08-11 13:29 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll 2007-08-11 13:29 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll 2007-08-11 13:29 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll 2007-08-11 13:29 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll 2007-08-11 13:29 255,848 --a------ C:\WINDOWS\system32\xactengine2_6.dll 2007-08-11 13:29 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll 2007-08-11 13:29 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll 2007-08-11 13:29 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll 2007-08-10 23:09 81,920 --------- C:\WINDOWS\system32\vdrmux.dll 2007-08-10 23:09 46,592 --------- C:\WINDOWS\system32\vdrcodec.dll 2007-08-10 23:09 40,960 --------- C:\WINDOWS\system32\langserv.dll 2007-08-10 23:08 898,736 --------- C:\WINDOWS\system32\Ltr13n.dll 2007-08-10 23:08 86,016 --a------ C:\WINDOWS\unvise32.exe 2007-08-10 23:08 298,168 --------- C:\WINDOWS\system32\Ltrio13n.dll 2007-08-10 23:07 73,728 --------- C:\WINDOWS\system32\MMAviAx.dll 2007-08-10 23:07 61,440 --------- C:\WINDOWS\system32\pclepim1.dll 2007-08-10 23:07 60,416 --------- C:\WINDOWS\system32\miroDV2Bmp.dll 2007-08-10 23:07 49,152 --------- C:\WINDOWS\system32\PCLEGetGuid.dll 2007-08-10 23:07 450,641 --------- C:\WINDOWS\system32\DiskIO.dll 2007-08-10 23:07 32,838 --------- C:\WINDOWS\system32\Cachex.dll 2007-08-10 23:07 32,768 --------- C:\WINDOWS\system32\MLPagAx.dll 2007-08-10 23:07 143,360 --------- C:\WINDOWS\system32\RALMain.dll 2007-08-10 23:07 14,604 --------- C:\WINDOWS\system32\drivers\pfc.sys 2007-08-10 23:07 114,759 --------- C:\WINDOWS\system32\Aviprax.dll 2007-08-10 23:07 2007-08-10 22:06 2007-08-08 23:00 2007-08-08 23:00 2007-08-08 22:30 2007-08-07 22:54 2007-08-05 12:50 86,016 --a------ C:\WINDOWS\system32\OpenAL32.dll 2007-08-05 12:50 413,696 --a------ C:\WINDOWS\system32\wrap_oal.dll 2007-08-05 12:50 2007-08-05 12:31 2007-08-04 15:14 2007-08-04 15:13 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-08-17 22:21:53 -------- d-----w C:\Program Files\NAPI-PROJEKT 2007-08-12 21:41:50 -------- d-----w C:\Program Files\FlashGet 2007-08-12 12:47:38 -------- d–h--w C:\Program Files\InstallShield Installation Information 2007-08-08 13:48:07 355,486 ----a-w C:\WINDOWS\system32\perfh015.dat 2007-08-08 13:48:06 49,492 ----a-w C:\WINDOWS\system32\perfc015.dat 2007-08-06 08:33:52 -------- d-----w C:\Program Files\Mozilla Thunderbird 2007-07-23 15:57:35 -------- d-----w C:\Program Files\Messenger 2007-07-23 11:51:45 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2007-07-22 22:46:22 -------- d-----w C:\Program Files\Common Files\InstallShield 2007-07-22 20:47:01 -------- d-----w C:\Program Files\Common Files\ODBC 2007-07-22 20:46:59 -------- d-----w C:\Program Files\Common Files\SpeechEngines 2007-07-22 20:32:48 -------- d-----w C:\DOCUME~1\Bolo\DANEAP~1\Help 2007-07-22 20:29:22 -------- d-----w C:\Program Files\ATI Technologies 2007-07-22 20:23:19 -------- d-----w C:\DOCUME~1\Bolo\DANEAP~1\WinRAR 2007-07-22 20:22:22 -------- d-----w C:\Program Files\QuickTime 2007-07-22 20:21:49 -------- d-----w C:\Program Files\Wisdom-soft ScreenHunter 2007-07-22 20:21:36 -------- d-----w C:\Program Files\SubEdit-Player 2007-07-22 20:21:19 -------- d-----w C:\Program Files\Winamp 2007-07-22 20:17:30 639,224 ----a-w C:\WINDOWS\system32\drivers\sptd.sys 2007-07-22 20:17:12 -------- d-----w C:\Program Files\CWK 2007-07-22 20:12:36 -------- d-----w C:\DOCUME~1\Bolo\DANEAP~1\Gadu-Gadu 2007-07-22 20:03:37 -------- d-----w C:\Program Files\Realtek Sound Manager 2007-07-22 20:03:37 -------- d-----w C:\Program Files\AvRack 2007-07-22 20:03:36 -------- d-----w C:\Program Files\Realtek AC97 2007-07-22 20:00:51 -------- d-----w C:\DOCUME~1\Bolo\DANEAP~1\Talkback 2007-07-22 19:59:02 -------- d-----w C:\DOCUME~1\Bolo\DANEAP~1\Thunderbird 2007-07-22 19:58:33 0 ----a-w C:\WINDOWS\nsreg.dat 2007-07-22 19:56:10 -------- d–h--w C:\Program Files\WindowsUpdate 2007-07-22 19:53:52 -------- d-----w C:\Program Files\microsoft frontpage 2007-07-22 19:53:38 0 --sha-r C:\MSDOS.SYS 2007-07-22 19:53:38 0 --sha-r C:\IO.SYS 2007-07-22 19:53:38 0 ----a-w C:\CONFIG.SYS 2007-07-22 19:53:38 0 ----a-w C:\AUTOEXEC.BAT 2007-07-22 19:52:27 -------- d-----w C:\Program Files\Movie Maker 2007-07-22 19:51:54 -------- d-----w C:\Program Files\Common Files\MSSoap 2007-07-22 19:51:33 21,856 ----a-w C:\WINDOWS\system32\emptyregdb.dat 2007-07-22 19:51:15 -------- d-----w C:\Program Files\Usługi online 2007-07-22 19:51:03 -------- d-----w C:\Program Files\Windows NT 2007-07-22 19:51:03 -------- d-----w C:\Program Files\MSN Gaming Zone 2001-10-26 17:29:52 533,504 --sh–r C:\WINDOWS\system32\smew.exe ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE~\Browser Helper Objects{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] 2007-07-12 04:00 501136 --a------ C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll [HKEY_LOCAL_MACHINE~\Browser Helper Objects{F156768E-81EF-470C-9057-481BA8380DBA}] 2007-05-16 07:05 163840 --a------ C:\Program Files\FlashGet\getflash.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “ATIPTA”=“C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe” [2005-08-30 21:05] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-07-28 00:03] “TkBellExe”=“C:\Program Files\Common Files\Real\Update_OB\realsched.exe” [2007-08-20 15:54] “Windowss Insecure”=“smew.exe” [2001-10-26 19:29 C:\WINDOWS\system32\smew.exe] “nassor”=“C:\Program Files\gfdgfdg\ms04.exe” [2006-10-08 23:50] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Windowss Insecure”=“smew.exe” [2001-10-26 19:29 C:\WINDOWS\system32\smew.exe] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices] “Windowss Insecure”=smew.exe [HKEY_USERS.default\software\microsoft\windows\currentversion\run] “Windowss Insecure”=smew.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Bolo^Menu Start^Programy^Autostart^HotSync Manager.lnk] path=C:\Documents and Settings\Bolo\Menu Start\Programy\Autostart\HotSync Manager.lnk backup=C:\WINDOWS\pss\HotSync Manager.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] “C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools] “C:\Program Files\DAEMON Tools\daemon.exe” -lang 1033 [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Komunikator] C:\Program Files\Tlen.pl\tlen.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut] “C:\Program Files\CyberLink\PowerDVD\Language\Language.exe” [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan] SOUNDMAN.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe” HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components{ACC563BC-4266-43f0-B6ED-9D38C4202C7E} rundll32 iesetup.dll,IEAccessUserInst ************************************************************************** catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-23 15:36:45 Windows 5.1.2600 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-08-23 15:37:13 C:\ComboFix2.txt … 2007-08-22 10:42 — E O F —

Gutek · 23 Sierpień 2007 14:14

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot i w polu Full Path of File to Delete wklejasz ścieżkę

Program poprosi o reset kompa … czyli resetujesz.

C:\Program Files\gfdgfdg - nadal folder

Pobierz Gmer

Rootkit=>szukaj=>bez zaznaczania pokaż wszystko=> Ctrl + V do posta wklej
Rootkit => zaznaczone tylko Pokazuj wszystko + Usługi => Szukaj => Kopiuj => Ctrl + V do posta wklej

Moldar · 23 Sierpień 2007 19:59

jessica · 24 Sierpień 2007 00:17

W logach GMERa jest tylko ta szkodliwa usługa - (choć już była usuwana).

>>GMER>>>zakładka CMD >>zaznacz REGEDIT >>w górne czarne pole wklej to:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windowss Insecure"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"nassor"=-


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windowss Insecure"=-


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]

"Windowss Insecure"=-


[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"Windowss Insecure"=-

Kliknij “Uruchom” z prawej strony.

Potem znów >>GMER>>>zakładka CMD >>zaznacz tym razem CMD >>w górne czarne pole wklej to:

Kliknij „Uruchom” z prawej strony. Komputer powinien się samoczynnie wyłączyć i włączyć.

Potem daj tu log z ComboFix a oraz log z GMER a , ale tylko ten “usługowy” (>>Rootkit >> zaznaczone tylko Pokazuj wszystko + Usługi >> Szukaj >> Kopiuj >> Ctrl + V do posta wklej)

jessi