CentrumXP Forum Tematyka portalu CentrumXP.pl Bezpieczeństwo Problem z usunięciem trojana

Problem z usunięciem trojana

Rano włączam kompa i Nod32 zaczął krzyczeć, ze trojan. Wszystkie pliki, które były zarażone oddał do kwarantanny. Tylko, ze to samo co parę minut robił z tymi samymi plikami. Dodatkowo Pojawiał się dymek z ostrzeżeniem, ze moj system jest zarażony i klikając pojawiał się antyvirus do ściągnięcia. Raczej to nie było ostrzeżenie od Windowsa, tylko od samego trojana, bo nie dość, ze było to po ENG to jeszcze strona otwierała się z IE (a korzystam z FF) No więc skorzystałem z Hijacka i pojawiły mi się takie rzeczy: O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\ocwvlyjw.dll (file missing) i napis obok: Must be fixed! Unnecessary (deactivated) entry that can be fixed. [random filename] - VirtuMonde/Vundo, http://www.symantec.com/security_respons e/writeup.jsp?docid=2004-112111-3912-99 adware component Usunąłem ten plik, już nie pojawiają się te dymki, ale nowy log z Hijacka znow pokazuje ten pliczek. Inne pliki z Hijacka jeszcze to pokazują: O4 - HKLM\..\Run: [d065f2cc] rundll32.exe "C:\WINDOWS\system32\omwewvjh.dll",b oraz O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing) [tego pliku nie moge znalezc:/, w tym folderze go nie ma] oraz O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing) [jw] I to tyle. Jeszcze po tym wyskoczył raz NOD32, oddał pare plikow do kwarantanny, ale tylko ten jeden raz.

Odpowiedzi: 6

Wychodzi na to, ze juz wszystko spoko:D log z hijacka czysciutki, z combofixa wydaje sie ze tez:D Nod sobie wreszcie siedzi cicho. Dzięki:mryellow:
gepiuu
Dodano
14.11.2007 14:36:00
Vundofix wczoraj usunął jeden pliczek .dll a dzisiaj juz nic nie znajduje. Wklejam logi: ComboFix 07-11-08.1 - Michal 2007-11-14 10:02:01.4 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.229 [GMT 1:00] Running from: C:\Documents and Settings\Michal\Pulpit\ComboFix.exe . ((((((((((((((((((((((((( Files Created from 2007-10-14 to 2007-11-14 ))))))))))))))))))))))))))))))) . 2007-11-14 09:15 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-13 12:59 88,128 --a------ C:\WINDOWS\system32\omwewvjh.dll 2007-11-13 11:37 d-------- C:\Program Files\Trend Micro 2007-11-13 10:38 d-------- C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy 2007-11-13 09:53 80,448 --a------ C:\WINDOWS\system32\lrqmkves.dll 2007-11-13 09:50 144,480 --a------ C:\WINDOWS\system32\nemncmbi.dll 2007-11-12 09:49 81,472 --a------ C:\WINDOWS\system32\vddulvvl.dll 2007-11-11 09:45 79,936 --a------ C:\WINDOWS\system32\jvjsqogt.dll 2007-11-11 09:42 100,563 ---hs---- C:\WINDOWS\system32\egjlm.bak2 2007-11-10 21:42 6,470 ---hs---- C:\WINDOWS\system32\egjlm.bak1 2007-11-10 21:40 319,072 --------- C:\WINDOWS\system32\mljge.dll 2007-11-10 21:35 36,352 --a------ C:\WINDOWS\system32\vturqpo.dll 2007-11-10 21:34 36,352 --a------ C:\WINDOWS\system32\efcawww.dll 2007-11-10 17:27 43,264 --------- C:\WINDOWS\system32\drivers\ser2pl.sys 2007-11-09 14:28 d-------- C:\Program Files\Nero 2007-11-09 14:28 d-------- C:\Program Files\Common Files\Nero 2007-11-09 14:28 d-------- C:\Documents and Settings\All Users\Dane aplikacji\Nero 2007-11-08 19:45 d-------- C:\Documents and Settings\Michal\Dane aplikacji\Bioshock 2007-11-08 19:34 d-------- C:\Program Files\2K Games 2007-11-07 21:22 d-------- C:\Program Files\Edgard 2007-11-05 20:18 d-------- C:\Documents and Settings\All Users\Dane aplikacji\InstallShield 2007-11-03 14:32 5,325 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd 2007-11-03 13:37 d-------- C:\Program Files\Electronic Arts 2007-11-02 15:12 d-------- C:\Documents and Settings\Michal\Dane aplikacji\InstallShield Installation Information 2007-11-02 15:07 d-------- C:\Program Files\DIFX 2007-11-02 13:34 d-------- C:\Documents and Settings\Michal\Dane aplikacji\Nero 2007-10-29 19:16 d-------- C:\Program Files\Game Cam v1.4 2007-10-29 18:32 d-------- C:\Program Files\Game Cam 2007-10-29 18:32 420,240 --a------ C:\WINDOWS\system32\mpg4c32.dll 2007-10-29 18:32 309,616 --a------ C:\WINDOWS\system32\wmv8dmod.dll 2007-10-28 14:43 59,731 --a------ C:\WINDOWS\BricoPackUninst.cmd 2007-10-28 14:41 d-------- C:\WINDOWS\BricoPacks 2007-10-24 20:31 d-------- C:\Fraps 2007-10-20 12:13 d-------- C:\Documents and Settings\Michal\Dane aplikacji\Thinstall 2007-10-19 15:19 d-------- C:\Program Files\RADVideo 2007-10-19 10:09 d--h----- C:\Program Files\Zero G Registry 2007-10-19 10:08 d--h----- C:\Documents and Settings\Michal\InstallAnywhere 2007-10-18 09:25 d-------- C:\Program Files\Neoretix 2007-10-18 09:12 d-------- C:\Program Files\Windows Media Connect 2 2007-10-18 09:08 d-------- C:\WINDOWS\system32\drivers\UMDF 2007-10-18 08:06 d-------- C:\Program Files\Audacity 2007-10-14 14:04 516,096 --------- C:\WINDOWS\system32\ati2sgag.exe 2007-10-14 14:03 d-------- C:\Program Files\DNA-drivers 2007-10-14 13:34 3,727,720 --a------ C:\WINDOWS\system32\d3dx9_35.dll 2007-10-14 13:34 1,358,192 --a------ C:\WINDOWS\system32\D3DCompiler_35.dll 2007-10-14 13:34 444,776 --a------ C:\WINDOWS\system32\d3dx10_35.dll 2007-10-14 13:34 267,112 --a------ C:\WINDOWS\system32\xactengine2_9.dll 2007-10-14 13:33 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll 2007-10-14 13:33 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll 2007-10-14 13:33 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll 2007-10-14 13:33 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll 2007-10-14 13:32 d-------- C:\dirkectx . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-14 08:57 --------- d-----w C:\Program Files\cFosSpeed 2007-11-14 08:57 --------- d-----w C:\Program Files\AutoConnect 2007-11-14 08:56 --------- d-----w C:\Program Files\neostrada tp 2007-11-14 08:51 --------- d-----w C:\Documents and Settings\Michal\Dane aplikacji\uTorrent 2007-11-13 18:17 --------- d-----w C:\Program Files\sXe Injected 2007-11-13 17:25 --------- d-----w C:\Documents and Settings\Michal\Dane aplikacji\Skype 2007-11-13 10:53 --------- d---a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP 2007-11-12 12:41 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard 2007-11-10 16:27 --------- d--h--w C:\Program Files\InstallShield Installation Information 2007-11-05 19:08 --------- d-----w C:\Program Files\Common Files\InstallShield 2007-11-03 11:51 --------- d-----w C:\Program Files\Onimedia 2007-11-02 14:05 --------- d-----w C:\Program Files\AGEIA Technologies 2007-10-28 13:43 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll 2007-10-24 07:43 --------- d-----w C:\Program Files\MySecretFolder XP 2007-10-24 07:43 --------- d-----w C:\Program Files\FlashGet 2007-10-19 09:16 --------- d-----w C:\Documents and Settings\Michal\Dane aplikacji\Sports Interactive 2007-10-14 13:11 --------- d-----w C:\Documents and Settings\Michal\Dane aplikacji\ATI 2007-10-14 12:58 --------- d-----w C:\Program Files\Driver Cleaner 2007-10-14 12:55 --------- d-----w C:\Program Files\ATI Technologies 2007-10-12 17:51 --------- d-----w C:\Program Files\Stardock 2007-10-07 13:04 --------- d-----w C:\Program Files\EA GAMES 2007-10-02 17:32 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe 2007-10-02 17:32 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys 2007-10-02 17:32 22,328 ----a-w C:\Documents and Settings\Michal\Dane aplikacji\PnkBstrK.sys 2007-10-02 17:32 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe 2007-10-01 17:34 --------- d-----w C:\Program Files\Fotosizer 2007-09-30 14:01 278,728 ----a-w C:\WINDOWS\system32\drivers\atksgt.sys 2007-09-30 14:01 25,416 ----a-w C:\WINDOWS\system32\drivers\lirsgt.sys 2007-09-23 09:09 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Microsoft Help 2007-09-21 07:26 --------- d-----w C:\Documents and Settings\Michal\Dane aplikacji\Nokia 2007-09-15 19:14 --------- d-----w C:\Program Files\Teleport Pro 2007-09-15 10:58 298,104 ----a-w C:\WINDOWS\system32\imon.dll 2007-09-15 10:57 512,096 ----a-w C:\WINDOWS\system32\drivers\amon.sys 2007-09-15 10:57 15,424 ----a-w C:\WINDOWS\system32\drivers\nod32drv.sys 2007-09-13 08:45 70,944 ----a-w C:\WINDOWS\system32\PhysXLoader.dll 2007-09-11 06:55 81,920 ----a-w C:\WINDOWS\system32\frapsvid.dll 2007-08-21 06:18 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{01CD0B31-9154-45F2-9414-F5D64B74EAF6}] 2007-11-10 21:34 36352 --a------ C:\WINDOWS\system32\efcawww.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{252CD1A6-7128-45B4-AEEE-099091C32029}] 2007-11-10 21:40 319072 --------- C:\WINDOWS\system32\mljge.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2004-06-18 09:31 C:\WINDOWS\SOUNDMAN.EXE] "LClock"="C:\Program Files\LClock\LClock.exe" [] "WheelMouse"="C:\Program Files\A4Tech\Mouse\Amoumain.exe" [2006-02-17 10:14] "MSF_Monitor"="C:\PROGRA~1\MYSECR~1\MSFMON.exe" [2007-01-24 23:00] "GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 23:47] "ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2005-08-06 00:07] "SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 10:38] "WOOWATCH"="C:\PROGRA~1\NEOSTR~1\Watch.exe" [2004-08-23 13:49] "WOOTASKBARICON"="C:\PROGRA~1\NEOSTR~1\GestMaj.exe" [2004-10-14 15:55] "PCSuiteTrayApplication"="C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2005-06-29 14:29] "nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-09-15 11:57] "cFosSpeed"="C:\Program Files\cFosSpeed\cFosSpeed.exe" [2007-08-10 15:26] "ISUSPM Startup"="C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-04-17 12:41] "ISUSScheduler"="C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" [2004-04-13 06:07] "NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [] "NeroFilterCheck"="C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools"="E:\Programy\DAEMON Tools\daemon.exe" [2007-04-03 23:29] "SpeedX"="C:\PROGRA~1\MyPortal\Speed-X\SpeedX.exe" [2006-06-27 13:11] "AutoConnect"="C:\Program Files\AutoConnect\AutoConnect.exe" [2004-08-28 19:27] "PcSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2005-08-26 14:49] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe" [2007-08-03 12:51] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:44] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{01CD0B31-9154-45F2-9414-F5D64B74EAF6}"= C:\WINDOWS\system32\efcawww.dll [2007-11-10 21:34 36352] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcawww] efcawww.dll 2007-11-10 21:34 36352 C:\WINDOWS\system32\efcawww.dll [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"= msv1_0 C:\WINDOWS\system32\mljge.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Styler] C:\Program Files\Styler\Styler.exe R2 MSF32;MSF32;\??\C:\Program Files\MySecretFolder XP\MSF32.SYS R3 Amps2prt;A4Tech PS/2 Port Mouse Driver;C:\WINDOWS\system32\DRIVERS\Amps2prt.sys R3 MouseCap;MouseCapture Driver;C:\WINDOWS\system32\Drivers\MouseCap.sys R3 V0260VID;Live! Cam Vista IM;C:\WINDOWS\system32\DRIVERS\V0260Vid.sys S3 SetupNTGLM7X;SetupNTGLM7X;\??\D:\NTGLM7X.sys S3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fea4dfb3-1f4a-11dc-9bec-806d6172696f}] \Shell\AutoRun\command - D:\Setup.exe . Contents of the 'Scheduled Tasks' folder "2007-11-13 21:19:00 C:\WINDOWS\Tasks\HP Usg Daily.job" . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-14 10:04:00 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-11-14 10:04:41 . --- E O F --- [b]------Hijack-------[/b] Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:11:08, on 2007-11-14 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\cFosSpeed\spd.exe C:\WINDOWS\System32\FTRTSVC.exe C:\Program Files\Eset\nod32krn.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\PnkBstrB.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\A4Tech\Mouse\Amoumain.exe C:\PROGRA~1\MYSECR~1\MSFMON.exe C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe C:\Program Files\ATI Technologies\ATI.ACE\cli.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Program Files\Eset\nod32kui.exe C:\Program Files\cFosSpeed\cFosSpeed.exe C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe E:\Programy\DAEMON Tools\daemon.exe C:\PROGRA~1\MyPortal\Speed-X\SpeedX.exe C:\PROGRA~1\NEOSTR~1\TaskBarIcon.exe C:\Program Files\AutoConnect\AutoConnect.exe C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe C:\WINDOWS\explorer.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\HPZipm12.exe E:\Programy\uTorrent\utorrent.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neostrada.pl R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL O2 - BHO: (no name) - {01CD0B31-9154-45F2-9414-F5D64B74EAF6} - C:\WINDOWS\system32\efcawww.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programy\adobereader\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {252CD1A6-7128-45B4-AEEE-099091C32029} - C:\WINDOWS\system32\mljge.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Program Files\FlashGet\getflash.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [LClock] C:\Program Files\LClock\LClock.exe O4 - HKLM\..\Run: [WheelMouse] C:\Program Files\A4Tech\Mouse\Amoumain.exe O4 - HKLM\..\Run: [MSF_Monitor] C:\PROGRA~1\MYSECR~1\MSFMON.exe /Start O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\NEOSTR~1\Watch.exe O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [cFosSpeed] C:\Program Files\cFosSpeed\cFosSpeed.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe O4 - HKCU\..\Run: [DAEMON Tools] "E:\Programy\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [SpeedX] C:\PROGRA~1\MyPortal\Speed-X\SpeedX.exe O4 - HKCU\..\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Stáhnout &vše FlashGetem - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: &Stáhnout FlashGetem - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{45470C45-E7EF-448C-98BF-2C350C1E5AB9}: NameServer = 194.204.159.1 217.98.63.164 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: efcawww - C:\WINDOWS\SYSTEM32\efcawww.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Unknown owner - C:\Program Files\Bonjour\mDNSResponder.exe (file missing) O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Program Files\cFosSpeed\spd.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe -- End of file - 8438 bytes
gepiuu
Dodano
14.11.2007 13:12:25
  • Żółty 14.11.2007 13:58:40

    Do kasacji pliki: [quote] C:\WINDOWS\system32\lrqmkves.dll C:\WINDOWS\system32\nemncmbi.dll C:\WINDOWS\system32\vddulvvl.dll C:\WINDOWS\system32\jvjsqogt.dll C:\WINDOWS\system32\egjlm.bak2 C:\WINDOWS\system32\egjlm.bak1 C:\WINDOWS\system32\mljge.dll C:\WINDOWS\system32\vturqpo.dll C:\WINDOWS\system32\efcawww.dll[/quote] Do usunięcia klucze HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{01CD0B31-9154-45F2-9414-F5D64B74EAF6} HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{252CD1A6-7128-45B4-AEEE-099091C32029} HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcawww Z klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks usuń wpis "{01CD0B31-9154-45F2-9414-F5D64B74EAF6}" Z wpisu "Authentication Packages" w kluczu HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa usuń C:\WINDOWS\system32\mljge.dll ma zostać msv1_0 Co to za folder ?? Znasz go ?? C:\dirkectx Pliki [b]musisz usunąć hurtem[/b] np KillBoxem (opcja delete on reboot koniecznie) wklejając mu ścieżki. Jak nie będą usunięte za jednym razem to syf sie odbuduje. Mozna za pomoca combofixa i cfscript.txt Zapisz do pliku CFScript.txt to co poniżej i przeciągnij ikonkę zapisanego pliku na ikonkę combofixa. [quote] File:: C:\WINDOWS\system32\lrqmkves.dll C:\WINDOWS\system32\nemncmbi.dll C:\WINDOWS\system32\vddulvvl.dll C:\WINDOWS\system32\jvjsqogt.dll C:\WINDOWS\system32\egjlm.bak2 C:\WINDOWS\system32\egjlm.bak1 C:\WINDOWS\system32\mljge.dll C:\WINDOWS\system32\vturqpo.dll C:\WINDOWS\system32\efcawww.dll Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{01CD0B31-9154-45F2-9414-F5D64B74EAF6}] [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{252CD1A6-7128-45B4-AEEE-099091C32029}] [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcawww] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{01CD0B31-9154-45F2-9414-F5D64B74EAF6}"=- [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] "Authentication Packages"=msv1_0 [/quote] Po robocie logi - HijackThis i ComboFix.

Link do loga nie działa. Przed zrobieniem loga Combofixa pociągnij VundoFix. Pokaz tez loga Hijacka.
Żółty
Dodano
14.11.2007 12:40:27
Dzisiaj włączam kompa i znów to samo:/ Screen z NODem: [URL=http://img206.imageshack.us/my.php?image=beztytuuvb7.jpg][IMG]http://img206.imageshack.us/img206/2366/beztytuuvb7.th.jpg[/IMG][/URL] Oddanie do kwarantanny i usunięcie go nic nie daje. Z powrotem włącza sie ten alert. Próbowałem się tego pozbyć korzystając z tej [URL=http://forum.idg.pl/index.php?setskin=1&skinid=3&showtopic=112511/]stronki[/URL] , ale nic to nie dalo (albo cos zwalilem [ moze to jakis inny CFScript trzeba wkleić] Tutaj jest moj log z [URL=http://www.wklej.org/id/fb9746a97a/]Combofixa[/URL] Bede baardzo wdzięczny za pomoc, bo chcę kupić coś z komputronika, a do banku traz nie mam zamiaru sie logować:/
gepiuu
Dodano
14.11.2007 12:30:25
Dzieki wielkie! za pierwszym razem usunął. Widze, ze nie byle co złapałem:neutral: EDIT Dzisiaj włączam kompa i znów to samo:/ Screen z NODem: [URL=http://img206.imageshack.us/my.php?image=beztytuuvb7.jpg][IMG]http://img206.imageshack.us/img206/2366/beztytuuvb7.th.jpg[/IMG][/URL] Oddanie do kwarantanny i usunięcie go nic nie daje. Z powrotem włącza sie ten alert. Próbowałem się tego pozbyć korzystając z tej [URL=http://forum.idg.pl/index.php?setskin=1&skinid=3&showtopic=112511/]stronki[/URL] , ale nic to nie dalo (albo cos zwalilem [ moze to jakis inny CFScript trzeba wkleić] Tutaj jest moj log z [URL=http://www.wklej.org/id/fb9746a97a/]Combofixa[/URL] Bede baardzo wdzięczny za pomoc, bo chcę kupić coś z komputronika, a do banku traz nie mam zamiaru sie logować:/
gepiuu
Dodano
13.11.2007 17:33:15
Uzyj VundoFix. Uzywaj tyle razy az program poda, że nic nie znalazł. Po robocie logi - Hijacka, SilentRunners i ComboFix w celu wyczyszczenia resztek.
Żółty
Dodano
13.11.2007 16:40:09
gepiuu
Dodano:
13.11.2007 15:00:28
Komentarzy:
6
Strona 1 / 1