r   e   k   l   a   m   a

trojan.generic jak usunac

Zaloguj się, aby obserwować  
Obserwujący 0

12 postów w tym temacie

Napisano

Heyka pisze w takiej sprawie bo moj Kasperski Natyvirus 6.0 wykryl mi trojana.generic problem tkwi jednak w tym iz.. nie moge z nim zrobic.. tzn do kwarantanny nie moge i usunac tez.. dodam jeszcze ze logi mam czyste wie ktos moze jak to usunac?bym byl wdzieczny za pomoc ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano

Podaj lokalizację zainfekowanego pliku

raquo

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano

tzn jest tak ze mi wyskakuja te okienka z paroma sciezkami jedna z nich to np..C:\Widnows\system32.a.exe

albo C:\lo.exe albo C:\Windows.temp\dl787842.exe

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
r   e   k   l   a   m   a

Napisano

Daj log z ComboFix

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano

ComboFix 08-01-10.2 - EWA 2008-01-10 18:19:29.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.0.1250.1.1045.18.103 [GMT 1:00]

Running from: C:\Downloads\ComboFix.exe

* Created a new restore point

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\EWA\Dane aplikacji\install.dat

C:\Documents and Settings\EWA\Menu Start\Programy\Brave-Sentry

C:\Documents and Settings\EWA\Menu Start\Programy\Brave-Sentry\BraveSentry.lnk

C:\Documents and Settings\EWA\Menu Start\Programy\Brave-Sentry\Uninstall.lnk

C:\Documents and Settings\LocalService\Dane aplikacji\NetMon

C:\Documents and Settings\LocalService\Dane aplikacji\NetMon\domains.txt

C:\Documents and Settings\LocalService\Dane aplikacji\NetMon\log.txt

C:\Program Files\bravesentry

C:\Program Files\bravesentry\BraveSentry.exe

C:\Program Files\bravesentry\BraveSentry.lic

C:\Program Files\bravesentry\BraveSentry0.bs

C:\Program Files\bravesentry\BraveSentry0.dll

C:\Program Files\bravesentry\BraveSentry1.bs

C:\Program Files\bravesentry\BraveSentry2.dll

C:\Program Files\bravesentry\BraveSentry3.dll

C:\Program Files\bravesentry\Uninstall.exe

C:\Program Files\network monitor

C:\Program Files\network monitor\netmon.exe

C:\Program Files\outlook

C:\WINDOWS\rundll32.exe

C:\WINDOWS\system32\atmtd.dll

C:\WINDOWS\system32\atmtd.dll._

C:\WINDOWS\system32\dlh9jkd1q8.exe

C:\WINDOWS\system32\dllgh8jkd1q8.exe

C:\WINDOWS\system32\drivers\runtime2.sys

C:\WINDOWS\system32\kdzfe.exe

C:\WINDOWS\system32\kernel32.exe

C:\WINDOWS\system32\kernelwind32.exe

C:\WINDOWS\system32\msmsgs.exe

C:\WINDOWS\system32\vx.tll

C:\WINDOWS\system32\wsnpoem

C:\WINDOWS\uninstall_nmon.vbs

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\LEGACY_DRIVER

-------\LEGACY_NDISWON

-------\LEGACY_NETWORK_MONITOR

-------\LEGACY_RUNTIME

-------\LEGACY_RUNTIME2

-------\LEGACY_SMTPDRV

-------\Driver

-------\NdisWon

-------\Network Monitor

-------\runtime

-------\smtpdrv

((((((((((((((((((((((((( Files Created from 2007-12-10 to 2008-01-10 )))))))))))))))))))))))))))))))

.

2008-01-10 16:08 . 2008-01-10 16:08 52,736 --------- C:\WINDOWS\system32\mdm.exe

2008-01-10 16:03 . 2008-01-10 16:03 53,248 ---hs---- C:\WINDOWS\system32\Offlce.exe

2008-01-10 16:01 . 2008-01-10 16:01 55,296 ---hs---- C:\lo.exe

2008-01-09 17:03 . 2008-01-10 18:26 6,042,656 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-01-09 17:03 . 2008-01-10 18:26 11,732 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

2008-01-09 17:03 . 2008-01-10 18:27 7,456 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat

2008-01-09 17:03 . 2008-01-10 18:26 1,748 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx

2008-01-09 16:33 . 2008-01-09 16:33

2008-01-08 22:17 . 2008-01-08 22:17 298,104 --a------ C:\WINDOWS\system32\imon.dll

2008-01-08 20:51 . 2008-01-08 20:51

2007-12-27 02:30 . 2007-12-27 02:30 1,568 --a------ C:\Uninstall.lnk

2007-12-27 01:16 . 2007-12-27 01:16 30,583 --a------ C:\WINDOWS\system32\e1.exe

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd.bak

2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd

2008-01-10 17:15 --------- d-----w C:\Program Files\Neostrada TP

2008-01-09 15:27 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab

2008-01-08 20:04 --------- d-----w C:\Program Files\Common Files\Symantec Shared

2008-01-08 19:35 21,857 ----a-w C:\Program Files\Default.bk1

2008-01-08 18:48 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Hamachi

2008-01-06 16:57 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\OpenOffice.ux.pl2

2008-01-06 10:57 21,599 ----a-w C:\Program Files\Default.bk2

2008-01-05 20:11 21,582 ----a-w C:\Program Files\Default.bk3

2007-12-27 01:49 --------- d-----w C:\Program Files\Common Files\G DATA

2007-12-27 01:03 16,512 ----a-w C:\WINDOWS\system32\drivers\ASPI32.SYS

2007-12-23 00:15 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Skype

2007-12-22 18:18 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys

2007-12-08 16:40 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\GanymedeNet

2007-12-07 17:23 --------- d-----w C:\Program Files\Ganymede

2007-12-02 17:39 --------- d-----w C:\Program Files\ConsoleClassix.com

2007-12-02 17:23 --------- d-----w C:\Program Files\Volleyball Manager 2007

2007-11-25 14:16 --------- d-----w C:\Program Files\gadunio

2007-05-23 03:00 1,006,944 ----a-w C:\Program Files\HamachiSetup-1.0.2.2-pl.exe

2007-01-25 22:40 21,696,576 ----a-w C:\Program Files\AdbeRdr602_pol_full.exe

2006-11-25 21:52 312,768 ----a-w C:\Program Files\InstallCZATeriaKam1_4.exe

2005-08-15 13:54 1,318,912 ----a-w C:\Program Files\flashget.exe

2007-08-30 19:39 23 --sha-w C:\WINDOWS\system32\defedbbb2_g.dll

2005-07-29 15:24 472 --sha-r C:\WINDOWS\WFhY\qI1s.vbs

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WooCnxMon"="C:\PROGRA~1\NEOSTR~1\CnxMon.exe" [2003-10-16 17:07 24576]

"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 10:38 866816]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43 83608]

"WOOTASKBARICON"="C:\Program Files\Neostrada TP\taskbaricon.exe" [2003-10-16 17:07 53248]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-04-01 15:16 5562368]

"kav"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 19:09 139367]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-10-26 18:29 13312]

"Microsoft Windows Driver"="C:\WINDOWS\rundll32.exe" [ ]

S3 WLC811GPCI;802.11b WLAN PCI;C:\WINDOWS\System32\DRIVERS\WLC811G.sys []

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-10 18:28:17

Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-01-10 18:31:19 - machine was rebooted

ComboFix-quarantined-files.txt 2008-01-10 17:31:13

.

2007-09-01 16:59:01 --- E O F ---

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350

Wklej do Notatnika:

File::

C:\WINDOWS\system32\mdm.exe

C:\WINDOWS\system32\Offlce.exe

C:\lo.exe

C:\WINDOWS\system32\e1.exe


Registry::

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Microsoft Windows Driver"=-

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe)

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie "1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: \Qoobox.

Po tym nowy log z Combo

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano

ComboFix 08-01-10.2 - EWA 2008-01-12 13:35:10.4 - NTFSx86

Running from: C:\Downloads\ComboFix.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\WINDOWS\system32\a.exe

C:\WINDOWS\system32\msmsgs.exe

.

((((((((((((((((((((((((( Files Created from 2007-12-12 to 2008-01-12 )))))))))))))))))))))))))))))))

.

2008-01-11 17:54 . 2008-01-11 17:54

2008-01-10 23:32 . 2008-01-10 23:32 128,000 -r-hs---- C:\WINDOWS\system32\spoolcv.exe

2008-01-10 22:25 . 2008-01-11 18:56

2008-01-10 22:25 . 2008-01-10 22:25

2008-01-10 22:25 . 2008-01-12 13:33

2008-01-10 22:25 . 2007-10-18 00:16 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys

2008-01-10 22:25 . 2007-10-18 00:15 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys

2008-01-10 22:25 . 2007-10-18 00:14 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys

2008-01-10 22:25 . 2007-10-18 00:16 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys

2008-01-10 22:24 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll

2008-01-10 16:08 . 2008-01-10 22:52 52,736 ---hs---- C:\WINDOWS\system32\mdm.exe

2008-01-10 16:03 . 2008-01-10 22:52 53,248 ---hs---- C:\WINDOWS\system32\Offlce.exe

2008-01-10 16:01 . 2008-01-10 16:01 55,296 ---hs---- C:\lo.exe

2008-01-09 17:03 . 2008-01-11 19:51 6,042,656 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-01-09 17:03 . 2008-01-12 13:38 18,720 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat

2008-01-09 17:03 . 2008-01-11 19:51 14,924 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

2008-01-09 17:03 . 2008-01-11 19:51 2,612 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx

2008-01-09 16:33 . 2008-01-09 16:33

2008-01-08 22:17 . 2008-01-08 22:17 298,104 --a------ C:\WINDOWS\system32\imon.dll

2008-01-08 20:51 . 2008-01-08 20:51

2007-12-27 01:16 . 2007-12-27 01:16 30,583 --a------ C:\WINDOWS\system32\e1.exe

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-12 12:36 --------- d-----w C:\Program Files\Neostrada TP

2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd.bak

2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd

2008-01-09 15:27 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab

2008-01-08 20:04 --------- d-----w C:\Program Files\Common Files\Symantec Shared

2008-01-08 19:35 21,857 ----a-w C:\Program Files\Default.bk1

2008-01-08 18:48 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Hamachi

2008-01-06 16:57 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\OpenOffice.ux.pl2

2008-01-06 10:57 21,599 ----a-w C:\Program Files\Default.bk2

2008-01-05 20:11 21,582 ----a-w C:\Program Files\Default.bk3

2007-12-27 01:49 --------- d-----w C:\Program Files\Common Files\G DATA

2007-12-27 01:07 50,458 ----a-w C:\WINDOWS\system32\interceptor.sys

2007-12-27 01:03 45,056 ----a-w C:\WINDOWS\system32\WNASPI32.DLL

2007-12-27 01:03 16,512 ----a-w C:\WINDOWS\system32\drivers\ASPI32.SYS

2007-12-23 00:15 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Skype

2007-12-22 18:18 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys

2007-12-08 16:40 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\GanymedeNet

2007-12-07 17:23 --------- d-----w C:\Program Files\Ganymede

2007-12-02 17:39 --------- d-----w C:\Program Files\ConsoleClassix.com

2007-12-02 17:23 --------- d-----w C:\Program Files\Volleyball Manager 2007

2007-11-25 14:16 --------- d-----w C:\Program Files\gadunio

2007-11-01 12:02 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe

2007-05-23 03:00 1,006,944 ----a-w C:\Program Files\HamachiSetup-1.0.2.2-pl.exe

2007-01-25 22:40 21,696,576 ----a-w C:\Program Files\AdbeRdr602_pol_full.exe

2006-11-25 21:52 312,768 ----a-w C:\Program Files\InstallCZATeriaKam1_4.exe

2005-08-15 13:54 1,318,912 ----a-w C:\Program Files\flashget.exe

2007-08-30 19:39 23 --sha-w C:\WINDOWS\system32\defedbbb2_g.dll

.

((((((((((((((((((((((((((((( snapshot@2008-01-10_18.30.50.98 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-01-10 17:18:48 630,784 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT

+ 2008-01-11 17:56:20 630,784 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT

- 2008-01-10 17:18:48 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat

+ 2008-01-11 17:56:20 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat

- 2008-01-10 17:18:49 626,688 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT

+ 2008-01-11 17:56:20 626,688 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT

- 2008-01-10 17:18:49 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat

+ 2008-01-11 17:56:20 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat

- 2008-01-10 17:18:49 3,956,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT

+ 2008-01-11 17:56:21 3,956,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT

- 2008-01-10 17:18:49 163,840 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat

+ 2008-01-11 17:56:21 163,840 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat

- 2008-01-10 15:08:59 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat

+ 2008-01-12 11:42:03 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat

- 2008-01-10 17:19:15 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat

+ 2008-01-12 12:35:04 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat

- 2008-01-10 15:08:59 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat

+ 2008-01-12 11:42:03 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat

+ 2008-01-10 21:52:12 52,736 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\4YUS11WJ\bin[1].exe

+ 2008-01-12 11:51:51 19,470 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\4YUS11WJ\f[1].exe

+ 2008-01-12 12:02:56 14,659 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\84T8UGNC\mixit[1].exe

+ 2008-01-12 09:04:20 54,272 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\84T8UGNC\mmdmm[1].exe

+ 2008-01-12 11:42:03 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat

+ 2008-01-10 21:52:08 53,248 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\TRM10EZP\md[1].exe

+ 2008-01-12 11:54:18 4,380 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\TRM10EZP\mmdmm[1].exe

+ 2008-01-11 17:48:45 31,232 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\V0H28BQ9\staff[1].exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Microsoft Oftice"="C:\WINDOWS\System32\msmsgs.exe" [ ]

"OfficeWord Monitors"="C:\WINDOWS\System32\Offlce.exe" [2008-01-10 22:52 53248]

"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [2008-01-10 22:52 52736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WooCnxMon"="C:\PROGRA~1\NEOSTR~1\CnxMon.exe" [2003-10-16 17:07 24576]

"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 10:38 866816]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43 83608]

"WOOTASKBARICON"="C:\Program Files\Neostrada TP\taskbaricon.exe" [2003-10-16 17:07 53248]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-04-01 15:16 5562368]

"kav"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 19:09 139367]

"Microsoft Oftice"="C:\WINDOWS\System32\msmsgs.exe" [ ]

"OfficeWord Monitors"="C:\WINDOWS\System32\Offlce.exe" [2008-01-10 22:52 53248]

"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [2008-01-10 22:52 52736]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-10-26 18:29 13312]

"Microsoft Oftice"="C:\WINDOWS\System32\msmsgs.exe" [ ]

"OfficeWord Monitors"="C:\WINDOWS\System32\Offlce.exe" [2008-01-10 22:52 53248]

"Windows Networking Monitoring"="C:\WINDOWS\System32\mdm.exe" [2008-01-10 22:52 52736]

S3 WLC811GPCI;802.11b WLAN PCI;C:\WINDOWS\System32\DRIVERS\WLC811G.sys []

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-12 13:38:39

Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-01-12 13:40:32

ComboFix-quarantined-files.txt 2008-01-12 12:40:23

ComboFix2.txt 2008-01-10 17:31:19

.

2007-09-01 16:59:01 --- E O F ---

nie wiem czy usunelo tamto komp chodzi tak jak wczesniej

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano

Przeczytaj uważnie co masz zrobić:

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable. Po użyciu tego narzędzia wymagany jest reset sysa.

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350

Wklej do Notatnika:

File::

C:\WINDOWS\system32\spoolcv.exe

C:\WINDOWS\system32\mdm.exe

C:\WINDOWS\system32\Offlce.exe

C:\lo.exe

C:\WINDOWS\system32\e1.exe


Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Microsoft Oftice"=-

"OfficeWord Monitors"=-

"Windows Networking Monitoring"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Microsoft Oftice"=-

"OfficeWord Monitors"=-

"Windows Networking Monitoring"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"Microsoft Oftice"=-

"OfficeWord Monitors"=-

"Windows Networking Monitoring"=-

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe)

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie "1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: \Qoobox.

Po tym nowy log z Combo

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano

Ten program Windows Worms Doors Cleaner to nie wiem czy go dobze uzylem.. chyba zle :-| jak bys mogl to jakos jasniej wyjasnic to by bylo fajnie co do tych wpisow to zrobilem jak kazales ale nic to nie dalo pewno te wirusy sie uaktualnia przy stracie kompa czy cos takiego to daje loga nastepnego.. mam nadzieje ze ostatni

ComboFix 08-01-10.2 - EWA 2008-01-12 19:53:45.5 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.0.1250.1.1045.18.73 [GMT 1:00]

Running from: C:\Downloads\ComboFix.exe

Command switches used :: C:\Downloads\CFScript.txt

* Created a new restore point

FILE

C:\lo.exe

C:\WINDOWS\system32\e1.exe

C:\WINDOWS\system32\mdm.exe

C:\WINDOWS\system32\Offlce.exe

C:\WINDOWS\system32\spoolcv.exe

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\lo.exe

C:\WINDOWS\system32\a.exe

C:\WINDOWS\system32\e1.exe

C:\WINDOWS\system32\mdm.exe

C:\WINDOWS\system32\Offlce.exe

C:\WINDOWS\system32\spoolcv.exe

.

((((((((((((((((((((((((( Files Created from 2007-12-12 to 2008-01-12 )))))))))))))))))))))))))))))))

.

2008-01-11 17:54 . 2008-01-11 17:54

2008-01-10 22:25 . 2008-01-11 18:56

2008-01-10 22:25 . 2008-01-10 22:25

2008-01-10 22:25 . 2008-01-12 13:33

2008-01-10 22:25 . 2007-10-18 00:16 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys

2008-01-10 22:25 . 2007-10-18 00:15 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys

2008-01-10 22:25 . 2007-10-18 00:14 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys

2008-01-10 22:25 . 2007-10-18 00:16 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys

2008-01-10 22:24 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll

2008-01-09 17:03 . 2008-01-11 19:51 6,042,656 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-01-09 17:03 . 2008-01-12 14:18 20,000 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat

2008-01-09 17:03 . 2008-01-11 19:51 14,924 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

2008-01-09 17:03 . 2008-01-11 19:51 2,612 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx

2008-01-09 16:33 . 2008-01-09 16:33

2008-01-08 22:17 . 2008-01-08 22:17 298,104 --a------ C:\WINDOWS\system32\imon.dll

2008-01-08 20:51 . 2008-01-08 20:51

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-12 18:52 --------- d-----w C:\Program Files\Neostrada TP

2008-01-12 15:14 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy

2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd.bak

2008-01-10 17:17 22,066 ----a-w C:\Program Files\Default.jcd

2008-01-09 15:27 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab

2008-01-08 20:04 --------- d-----w C:\Program Files\Common Files\Symantec Shared

2008-01-08 19:35 21,857 ----a-w C:\Program Files\Default.bk1

2008-01-08 18:48 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Hamachi

2008-01-06 16:57 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\OpenOffice.ux.pl2

2008-01-06 10:57 21,599 ----a-w C:\Program Files\Default.bk2

2008-01-05 20:11 21,582 ----a-w C:\Program Files\Default.bk3

2007-12-27 01:49 --------- d-----w C:\Program Files\Common Files\G DATA

2007-12-27 01:07 50,458 ----a-w C:\WINDOWS\system32\interceptor.sys

2007-12-27 01:03 45,056 ----a-w C:\WINDOWS\system32\WNASPI32.DLL

2007-12-27 01:03 16,512 ----a-w C:\WINDOWS\system32\drivers\ASPI32.SYS

2007-12-23 00:15 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\Skype

2007-12-22 18:18 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys

2007-12-08 16:40 --------- d-----w C:\Documents and Settings\EWA\Dane aplikacji\GanymedeNet

2007-12-07 17:23 --------- d-----w C:\Program Files\Ganymede

2007-12-02 17:39 --------- d-----w C:\Program Files\ConsoleClassix.com

2007-12-02 17:23 --------- d-----w C:\Program Files\Volleyball Manager 2007

2007-11-25 14:16 --------- d-----w C:\Program Files\gadunio

2007-11-01 12:02 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe

2007-05-23 03:00 1,006,944 ----a-w C:\Program Files\HamachiSetup-1.0.2.2-pl.exe

2007-01-25 22:40 21,696,576 ----a-w C:\Program Files\AdbeRdr602_pol_full.exe

2006-11-25 21:52 312,768 ----a-w C:\Program Files\InstallCZATeriaKam1_4.exe

2005-08-15 13:54 1,318,912 ----a-w C:\Program Files\flashget.exe

2007-08-30 19:39 23 --sha-w C:\WINDOWS\system32\defedbbb2_g.dll

.

((((((((((((((((((((((((((((( snapshot@2008-01-10_18.30.50.98 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-01-10 17:18:48 630,784 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT

+ 2008-01-12 18:53:38 630,784 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT

- 2008-01-10 17:18:48 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat

+ 2008-01-12 18:53:38 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat

- 2008-01-10 17:18:49 626,688 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT

+ 2008-01-12 18:53:38 626,688 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT

- 2008-01-10 17:18:49 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat

+ 2008-01-12 18:53:38 389,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat

- 2008-01-10 17:18:49 3,956,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT

+ 2008-01-12 18:53:38 3,956,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT

- 2008-01-10 17:18:49 163,840 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat

+ 2008-01-12 18:53:39 163,840 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat

- 2008-01-10 15:08:59 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat

+ 2008-01-12 18:41:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat

- 2008-01-10 17:19:15 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat

+ 2008-01-12 12:35:04 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\NtUser.dat

- 2008-01-10 15:08:59 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat

+ 2008-01-12 18:41:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat

+ 2008-01-12 18:27:33 3,867 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\C5Q74TQF\md[1].exe

+ 2008-01-12 18:41:37 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat

+ 2008-01-12 18:29:14 3,936 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\MV0H2F2J\f[1].exe

+ 2008-01-12 18:51:00 11,704 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\MV0H2F2J\f[2].exe

+ 2008-01-12 17:46:00 7,682 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\MV0H2F2J\md[1].exe

+ 2008-01-12 17:48:21 14,127 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\SDE3STEV\f[1].exe

+ 2008-01-12 15:26:32 54,272 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\UZILG3IB\mixit[1].exe

+ 2008-01-12 16:11:15 4,096 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\UZILG3IB\staff[1].exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WooCnxMon"="C:\PROGRA~1\NEOSTR~1\CnxMon.exe" [2003-10-16 17:07 24576]

"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 10:38 866816]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43 83608]

"WOOTASKBARICON"="C:\Program Files\Neostrada TP\taskbaricon.exe" [2003-10-16 17:07 53248]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2005-04-01 15:16 5562368]

"kav"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2006-03-24 19:09 139367]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-10-26 18:29 13312]

S3 WLC811GPCI;802.11b WLAN PCI;C:\WINDOWS\System32\DRIVERS\WLC811G.sys []

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-12 19:57:10

Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-01-12 19:58:59

ComboFix-quarantined-files.txt 2008-01-12 18:58:50

ComboFix2.txt 2008-01-12 12:40:33

ComboFix3.txt 2008-01-10 17:31:19

.

2007-09-01 16:59:01 --- E O F ---

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
r   e   k   l   a   m   a

Napisano

PROSIŁEM o coś - Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=213350

Wklej do Notatnika:


File::

C:\Program Files\Default.jcd.bak

C:\Program Files\Default.jcd

C:\Program Files\Default.bk1

C:\Program Files\Default.bk2

C:\Program Files\Default.bk3

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe)

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie "1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: \Qoobox.

Pobierz program SDFix


  • [*:2zrb7673]Dwuklik na SDFix.exe następnie program wypakuje się na dysk systemowy (standardowo C:\SDFix)
    [*:2zrb7673]Zrestartuj komputer i wejdź do trybu awaryjnego (klawisz F8 przed bootem Windowsa)
    [*:2zrb7673]Wejdź do folderu z SDFix kliknij dwa razy na plik RunThis.bat
    [*:2zrb7673]Wciśnij Y nastąpi proces usuwania.
    [*:2zrb7673]Kiedy usuwanie się ukończy wciśnij dowolny klawisz (Any Key). Nastąpi restart komputera.
    [*:2zrb7673]Po restarcie SDFix uruchomi się ponownie, żeby dokończyć proces usuwania kiedy pojawi się w oknie programu Finished, wciśnij dowolny klawisz do zakończenia scryptu i załadowania ikon na pulpicie.
    [*:2zrb7673]Pokaż Report.txt znajdujący się w folderze SDFix.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano

No to zrobilem tak jak kazales uzylem jeszcze tego.. Windows costam ze byly zielone i zolte trojkaciki i uzylem tego SDFix chyba wszystko jest juz ok.. chociaz moj spybot search and destroy.. wykryl przy wlaczaniu jakies zmiany rejestru to zablokowalem dobra daje loga

http://wklej.org/id/f1189d1bfa

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Napisano

SDFix zrobił też swoje, już powinno być Ok

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zaloguj się, aby skomentować

Będziesz mógł dodać komentarz po zalogowaniu się



Zaloguj się
Zaloguj się, aby obserwować  
Obserwujący 0