Cześć witam Wszystkich.
Jak wielu innych potrzebuję pomocy przy usuwaniu trojanów.
Zaczęło się od wyłączenia autom. aktualizacji. Nie dało się ich uruchomić. Spyware doctor stwierdzał obecność trojanów i najczęściej poddawał je kwarantannie. Na wszystkich odwiedzanych stronach internet. wyświetlały się komunikaty, że komputer jest zawirusowany - nie korzystałem z możliwości skanowania. Odważnie usunąłem wszystkie trojany (nie pamiętam wszystkich nazw ale były tam Virtumondo, Downloader, Generic i kilka innych) z kwarantanny-nic to nie dało. Dowiedziałem się o Combofix. Przeskanowałem.
Tak wyglądał log: http://wklejto.pl/12374
Po ponownym uruchomieniu i połączeniu z Internetem zaczęły się znowu pokazywać virus alerty. Przeskanowałem raz jeszcze. Loga zamieściłem na tym forum. Komputera nie łączę z Internetem. Wykorzystuję laptopa.
Bardzo proszę o poradę
Tak wygląda log(po tym drugim skanowaniu):
ComboFix 08-10-08.04 - Daddy 2008-10-12 22:18:15.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.232 [GMT 2:00]
Uruchomiony z: C:\Documents and Settings\Daddy\Pulpit\ComboFix.exe
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\blphc9qmj0e5ev.scr
C:\WINDOWS\system32\lphc9qmj0e5ev.exe
C:\WINDOWS\system32\phc9qmj0e5ev.bmp
C:\WINDOWS\system32\yoskqjg.dll
.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_restore
((((((((((((((((((((((((( Pliki utworzone od 2008-09-12 do 2008-10-12 )))))))))))))))))))))))))))))))
.
2008-10-11 17:18 . 2008-10-11 17:18
2008-10-10 13:29 . 2008-10-10 11:37 86,016 --a------ C:\WINDOWS\qkeftmxn.exe
2008-10-09 17:16 . 2008-10-12 22:25 103,394 --a------ C:\WINDOWS\system32\drivers\df6bafca.sys
2008-10-09 11:44 . 2008-10-09 11:44 61,440 --------- C:\WINDOWS\system32\bvdmss.exe
2008-10-09 11:44 . 2008-10-09 12:00 61,440 --a------ C:\Documents and Settings\Daddy\nkp2.exe
2008-10-09 11:42 . 2008-10-12 22:25 103,394 --a------ C:\WINDOWS\system32\drivers\a26545bc.sys
2008-10-09 11:42 . 32,256 C:\WINDOWS\system32\drivers\ati1ikxx.sys
2008-10-09 11:42 . 2008-10-09 17:16 705 --a------ C:\d3.exe
2008-10-09 11:42 . 2008-10-09 17:16 705 --a------ C:\d2.exe
2008-10-09 11:42 . 2008-10-09 17:16 2 --a------ C:-52286571
2008-10-03 19:39 . 2008-10-03 19:39 23,392 --a------ C:\WINDOWS\system32\nscompat.tlb
2008-10-03 19:39 . 2008-10-03 19:39 16,832 --a------ C:\WINDOWS\system32\amcompat.tlb
2008-10-03 18:39 . 2008-10-03 18:39
2008-10-03 18:36 . 2008-10-03 18:37
2008-10-03 18:36 . 2008-10-03 18:38
2008-10-03 18:35 . 2008-10-03 18:36
2008-09-29 15:41 . 2008-09-29 15:41
2008-09-29 14:08 . 2008-09-29 14:08
2008-09-29 14:08 . 2008-09-29 14:08
2008-09-29 14:07 . 2008-09-29 14:08
2008-09-29 14:07 . 2008-09-29 14:08
2008-09-29 14:07 . 2008-09-29 14:07
2008-09-23 17:14 . 2008-09-23 17:18
2008-09-23 17:14 . 2008-09-23 17:18
2008-09-23 17:14 . 2008-09-23 17:18
2008-09-23 17:14 . 2008-09-23 17:17
2008-09-23 17:00 . 2007-10-25 18:57 8,483,328 --a------ C:\WINDOWS\system32\dllcache\shell32.dll
2008-09-23 16:59 . 2008-09-23 16:59
2008-09-21 17:30 . 2008-09-21 17:36
2008-09-21 17:30 . 2008-09-21 17:30
2008-09-20 22:04 . 2008-09-24 15:04
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-12 20:17 --------- d—a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-10-11 16:19 --------- d-----w C:\Documents and Settings\Michal\Dane aplikacji\Skype
2008-10-03 16:35 --------- d-----w C:\Program Files\Windows Media Connect
2008-10-01 17:17 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\avg8
2008-10-01 12:55 --------- d-----w C:\Program Files\Gadu-Gadu
2008-09-21 16:09 --------- d-----w C:\Documents and Settings\Michal\Dane aplikacji\uTorrent
2008-09-03 18:20 --------- d-----w C:\Documents and Settings\Daddy\Dane aplikacji\uTorrent
2008-09-03 15:09 --------- d-----w C:\Program Files\Picasa2
2008-08-20 15:59 --------- d-----w C:\Program Files\Winamp
2008-08-17 19:54 --------- d-----w C:\Documents and Settings\Daddy\Dane aplikacji\Corel
2008-08-16 19:15 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Corel
2008-08-16 19:14 1,115,728 ----a-w C:\Documents and Settings\All Users\Dane aplikacji\pswi_preloaded.exe
.
((((((((((((((((((((((((((((( snapshot@2008-10-12_22.06.05.37 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-10-25 20:36:08 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-10-12 20:12:32 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2005-10-25 20:36:08 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
- 2008-10-12 20:12:13 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
- 2005-10-25 20:36:08 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
- 2008-10-12 20:12:28 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
“{57BCA5FA-5DBB-45A2-B558-1755C3F6253B}”= “C:\Program Files\Winamp Toolbar\winamptb.dll” [2008-03-20 1267040]
[HKEY_CLASSES_ROOT\clsid{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 15360]
“MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2004-10-13 1694208]
“Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2006-01-31 2408448]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“RaidTool”=“C:\Program Files\VIA\RAID\raid_tool.exe” [2005-06-20 1056768]
“NeroFilterCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2001-07-09 155648]
“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2005-07-20 7110656]
“NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2005-07-20 86016]
“RemoteControl”=“C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe” [2004-07-15 32768]
“PinnacleDriverCheck”=“C:\WINDOWS\system32\PSDrvCheck.exe” [2004-03-10 406016]
“UMonit”=“C:\WINDOWS\system32\umonit.exe” [2003-08-21 49152]
“PCSuiteTrayApplication”=“C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE” [2006-04-26 237568]
“QuickTime Task”=“C:\Program Files\QuickTime\qttask.exe” [2006-12-24 155648]
“DAEMON Tools”=“C:\Program Files\DAEMON Tools\daemon.exe” [2005-12-10 133016]
“SunJavaUpdateSched”=“C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe” [2004-09-28 32881]
“Acrobat Assistant 7.0”=“C:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe” [2008-04-23 483328]
“REGSHAVE”=“C:\Program Files\REGSHAVE\REGSHAVE.EXE” [2002-02-04 53248]
“WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2008-04-01 36352]
“nwiz”=“nwiz.exe” [2005-07-20 C:\WINDOWS\system32\nwiz.exe]
“SoundMan”=“SOUNDMAN.EXE” [2005-09-22 C:\WINDOWS\soundman.exe]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 15360]
“Picasa Media Detector”=“C:\Program Files\Picasa2\PicasaMediaDetector.exe” [2007-09-28 443968]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Adobe Acrobat Speed Launcher.lnk - C:\WINDOWS\Installer{AC76BA86-1033-0000-7760-000000000002}\SC_Acrobat.exe [2007-04-08 25214]
Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2007-03-03 113664]
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]
IrDA Monitor.lnk - C:\Program Files\IrCOMM2k\irmon2k.exe [2004-12-12 40960]
NETGEAR WG111v2 Smart Wizard.lnk - C:\Program Files\NETGEAR\WG111v2\WG111v2.exe [2008-04-28 1261568]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
“vidc.I420”= vdrcodec.dll
“VIDC.MJPG”= Pvmjpg21.dll
“VIDC.PIM1”= pclepim1.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1ikxx.sys]
@=“Driver”
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
“AntiVirusDisableNotify”=dword:00000001
“AntiVirusOverride”=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
“DisableMonitoring”=dword:00000001
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
“C:\Program Files\Shareaza\Shareaza.exe”=
“C:\Program Files\Codemasters\Colin McRae Rally 04\cmr4.exe”=
“C:\Program Files\Gadu-Gadu\gg.exe”=
“C:\Program Files\SopCast\SopCast.exe”=
“C:\Documents and Settings\Michal\Dane aplikacji\SopCast\adv\SopAdver.exe”=
“C:\Program Files\NETGEAR\WG111v2\WG111v2.exe”=
“C:\Program Files\uTorrent\uTorrent.exe”=
“C:\Documents and Settings\Michal\Pulpit\utorrent-1.8-rc7.upx.exe”=
“nkp2.exe”= nkp2.exe:BVDMSS
“C:\Documents and Settings\Daddy\nkp2.exe”=
“C:\WINDOWS\system32\bvdmss.exe”=
“C:\Program Files\Skype\Phone\Skype.exe”=
R0 AFPAnsi;G-DATA Ukrywacz Ansi;C:\WINDOWS\system32\Drivers\AFPAnsi.sys [2002-10-09 43904]
R0 ati1ikxx;ati1ikxx;C:\WINDOWS\system32\Drivers\ati1ikxx.sys []
R0 FO_PAnt;FotoOffice VirtualDisc Driver;C:\WINDOWS\system32\Drivers\FO_PAnt.sys [2003-07-17 89216]
R2 bvdmss;Windows Network Data Management System Service;C:\WINDOWS\system32\bvdmss.exe [2008-10-09 61440]
R2 Harmonogram automatycznej usługi LiveUpdate;Harmonogram automatycznej usługi LiveUpdate;C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe [2006-08-03 100032]
R2 IrDA2k;IrDA2k Protocol;C:\WINDOWS\system32\DRIVERS\irda2k.sys [2004-12-12 246272]
R3 fixustor;fixustor;C:\WINDOWS\system32\drivers\fixustor.sys [2003-08-21 6016]
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2007-02-06 194304]
S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{1e1af5ef-d4c6-11dc-b5f1-0013d3c8084e}]
\Shell\AutoRun\command - mgjpcfdg.cmd
\Shell\explore\Command - mgjpcfdg.cmd
\Shell\open\Command - mgjpcfdg.cmd
.
-
-
-
- USUNIĘTO PUSTE WPISY - - - -
-
-
HKLM-Run-lphc9qmj0e5ev - C:\WINDOWS\system32\lphc9qmj0e5ev.exe
.
------- Skan uzupełniający -------
.
FireFox -: Profile - C:\Documents and Settings\Daddy\Dane aplikacji\Mozilla\Firefox\Profiles\9zsd6hws.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.onet.pl
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-12 22:23:55
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów …
skanowanie ukrytych wpisów autostartu …
skanowanie ukrytych plików …
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
Binary file raw_enum.dat matches
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
PROCES: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\RtlGina2.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
C:\WINDOWS\system32\bgsvcgen.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
C:\Program Files\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe
.
**************************************************************************
.
Czas ukończenia: 2008-10-12 22:28:26 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2008-10-12 20:28:21
ComboFix2.txt 2008-10-12 20:06:41
Przed: 58 981 961 728 bajtów wolnych
Po: 58,972,274,688 bajtów wolnych
193 — E O F — 2008-10-04 19:43:30