Ckvo.exe

[Wojtek99]

Wojtek prosi o pomoc!-CKVO.EXE

Kod: Zaznacz wszystko

[i][size=85]Dodano Dzisiaj, 21:36:[/size][/i]
[quote]Przesyłam swój log wygenerowany przez CombofixComboFix 08-10-18.03 - Wojciech Zaremba 2008-10-19  9:33:42.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1250.1.1045.18.599 [GMT 2:00]
Uruchomiony z: C:\Documents and Settings\Wojciech Zaremba\Pulpit\ComboFix.exe
* Utworzono nowy punkt przywracania
.

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
C:\WINDOWS\system32\ckvo.exe
C:\WINDOWS\system32\ckvo0.dll
C:\WINDOWS\system32\ckvo1.dll
D:\Autorun.inf
E:\Autorun.inf
F:\Autorun.inf

.
(((((((((((((((((((((((((   Pliki utworzone od 2008-09-19 do 2008-10-19  )))))))))))))))))))))))))))))))
.

2008-10-19 07:45 . 2008-10-19 07:48   <DIR>   d--------   C:\WINDOWS\system32\CatRoot_bak
2008-10-18 21:44 . 2008-10-19 09:00   105,115   -r-hs----   C:\2fiji.com
2008-10-14 06:44 . 2008-10-15 18:02   <DIR>   d--------   C:\WINDOWS\system32\pl-pl
2008-10-14 06:44 . 2008-10-15 18:02   <DIR>   d--------   C:\WINDOWS\system32\pl
2008-10-14 06:44 . 2008-10-15 18:02   <DIR>   d--------   C:\WINDOWS\system32\bits
2008-10-14 06:44 . 2008-10-15 18:02   <DIR>   d--------   C:\WINDOWS\l2schemas
2008-10-14 06:37 . 2008-10-14 06:37   <DIR>   d--------   C:\WINDOWS\EHome
2008-10-08 18:05 . 2008-10-08 18:05   <DIR>   d--------   C:\Program Files\Windows Media Connect 2
2008-10-08 18:04 . 2008-10-08 18:04   <DIR>   d--------   C:\WINDOWS\system32\LogFiles
2008-10-08 18:04 . 2008-10-08 18:05   <DIR>   d--------   C:\WINDOWS\system32\drivers\UMDF

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-17 21:16   ---------   d-----w   C:\Documents and Settings\Wojciech Zaremba\Dane aplikacji\Skype
2008-10-17 17:16   ---------   d-----w   C:\Documents and Settings\Wojciech Zaremba\Dane aplikacji\skypePM
2008-10-16 17:05   ---------   d-----w   C:\Program Files\Winamp
2008-10-11 21:05   ---------   d-----w   C:\Program Files\Opera
2008-10-09 10:56   ---------   d-----w   C:\Program Files\Skype
2008-10-07 17:45   ---------   d-----w   C:\Program Files\Mozilla Thunderbird
2008-08-30 13:20   ---------   d-----w   C:\Program Files\eMule
2008-08-29 20:59   ---------   d-----w   C:\Documents and Settings\Wojciech Zaremba\Dane aplikacji\Sony Corporation
.

(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}"= "C:\Program Files\Winamp Toolbar\winamptb.dll" [2008-07-16 1266992]

[HKEY_CLASSES_ROOT\clsid\{57bca5fa-5dbb-45a2-b558-1755c3f6253b}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLTBSearch]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2007-10-23 443968]
"CreativeTaskScheduler"="C:\Program Files\Creative\Shared Files\CTSched.exe" [2006-11-17 53341]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 1694208]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe" [2007-09-20 202024]
"CTRegRun"="C:\WINDOWS\CTRegRun.EXE" [2006-10-06 53248]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 81920]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]
"NeroFilterCheck"="C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]
"CTSysVol"="C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-10-31 57344]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 90112]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"Samsung PanelMgr"="C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe" [2008-02-05 536576]
"AppleSyncNotifier"="C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]
"nwiz"="nwiz.exe" [2007-12-05 C:\WINDOWS\system32\nwiz.exe]
"P17Helper"="P17.dll" [2005-05-03 C:\WINDOWS\system32\P17.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Service Manager.lnk - C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2005-05-03 81920]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 MSSQL$AUTODESKVAULT;MSSQL$AUTODESKVAULT;C:\Program Files\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe [2005-05-04 9150464]
S2 SSPORT;SSPORT;C:\WINDOWS\system32\Drivers\SSPORT.sys [ ]
S3 SQLAgent$AUTODESKVAULT;SQLAgent$AUTODESKVAULT;C:\Program Files\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlagent.EXE [2005-05-03 323584]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a864fa9f-15f5-11dd-9a2c-001d7dc0c57c}]
\Shell\AutoRun\command - I:\2fiji.com
\Shell\explore\Command - I:\2fiji.com
\Shell\open\Command - I:\2fiji.com
.
Zawartość folderu 'Zaplanowane zadania'

2008-10-13 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Program Files\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
- - - - USUNIĘTO PUSTE WPISY - - - -

HKCU-Run-kamsoft - C:\WINDOWS\system32\ckvo.exe
HKLM-Run-DriverCD - G:\Run.exe
HKLM-Run-RTHDCPL - RTHDCPL.EXE
Notify-dimsntfy - (no file)


.
------- Skan uzupełniający -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.yahoo.com/
R0 -: HKCU-Main,Default_Search_URL = hxxp://www.google.com/ie
R0 -: HKLM-Main,Start Page = hxxp://www.yahoo.com
R1 -: HKCU-Internet Settings,ProxyOverride = *.local
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
O8 -: &Winamp Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 -: E&ksportuj do programu Microsoft Excel - C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-19 09:36:13
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Autodesk\Data Management Server 5\Server\Webserver\Connectivity.EDMWS.Server.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Czas ukończenia: 2008-10-19  9:38:31 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt  2008-10-19 07:38:28

Przed: 8 024 834 048 bajtów wolnych
Po: 8,316,358,656 bajtów wolnych

WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect /usepmtimer

157   --- E O F ---   2008-10-09 23:58:47


[Magik]

zlituj sie i wstawiaj logi zgodnie z reg w tagi 'code'

wklej do notatnika

Kod: Zaznacz wszystko

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a864fa9f-15f5-11dd-9a2c-001d7dc0c57c}]

zapisz jako fix.reg i odpal

wywal to recznie

Kod: Zaznacz wszystko

C:\2fiji.com

pozbadz sie przy okazji avasta

przeskanuj tym kompa
program-szukajacy-trojanow-i-malware-vt97108.html

Autor postu otrzymał pochwałę

[Wojtek99]

Dzięki za pomoc, Przepraszam za błędy-poprawię się
Wojtek

[djarta]

C:\2fiji.com

Ten plik jest na każdej partycji.



======
K.