Problem z nvaux32.dll

[sgsman]

Witam,
dziś moja Avira AntiVir podczas surfowania po necie (normalne akcje) wyskoczył mi z komunikatem o wirusie. Oto on oraz czynność, jaką podjąłem (czyli denny access).

Kod: Zaznacz wszystko

Virus or unwanted program 'TR/Downloader.Gen [trojan]'
detected in file 'C:\WINDOWS\system32\nvaux32.dll.
Action performed: Deny access

Teraz nie wiem, co z tym zrobić - usunąć? Nie usunąć?
Zrobiłem oczywiście skan ComboFixem, który zamieszczam poniżej. Jak widac, ComboFix albo nie zauważył tego pliku albo go zignorował, czy coś.

Kod: Zaznacz wszystko

ComboFix 08-12-03.04 - User 2008-12-04 17:33:41.9 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Home Edition  5.1.2600.3.1250.1.1045.18.459 [GMT 1:00]
Uruchomiony z: c:\documents and settings\User\Pulpit\ComboFix.exe
* Utworzono nowy punkt przywracania

[COLOR=RED][B]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Cfx32.lic
c:\windows\system32\cfx32.ocx
c:\windows\system32\WMV9VCM.dll

.
(((((((((((((((((((((((((   Pliki utworzone od 2008-11-04 do 2008-12-04  )))))))))))))))))))))))))))))))
.

2008-12-04 17:29 . 2008-12-04 17:29   147,456   --ah-----   c:\windows\system32\aston.mt
2008-11-13 09:12 . 2008-10-24 12:21   455,296   ---------   c:\windows\system32\dllcache\mrxsmb.sys
2008-11-13 09:11 . 2008-09-04 18:17   1,106,944   ---------   c:\windows\system32\dllcache\msxml3.dll
2008-11-09 15:47 . 2008-11-29 18:43   54,156   --ah-----   c:\windows\QTFont.qfn
2008-11-09 15:47 . 2008-11-09 15:47   1,409   --a------   c:\windows\QTFont.for
2008-11-08 08:15 . 2008-11-08 08:15   <DIR>   d--------   c:\documents and settings\User\.borland

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-04 16:31   580,096   ----a-w   c:\windows\system32\user32.DLL
2008-12-04 16:31   580,096   ----a-w   c:\windows\system32\dllcache\user32.dll
2008-10-26 17:59   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\Trymedia
2008-10-25 15:16   249,592   ----a-w   c:\windows\system32\cssdll32.dll
2008-10-25 15:15   ---------   d-----w   c:\program files\COMODO
2008-10-25 15:15   ---------   d-----w   c:\documents and settings\User\Dane aplikacji\Comodo
2008-10-25 15:15   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\comodo
2008-10-25 09:36   ---------   d-----w   c:\program files\Avira
2008-10-25 09:36   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\Avira
2008-10-24 11:21   455,296   ----a-w   c:\windows\system32\drivers\mrxsmb.sys
2008-10-22 15:31   223,128   ----a-w   c:\windows\system32\drivers\dtscsi.sys
2008-10-22 15:26   96,384   ----a-w   c:\windows\system32\drivers\sptd9597.sys
2008-10-20 21:04   0   ----a-w   c:\windows\system32\drivers\sptd.sys
2008-10-20 21:04   0   ----a-w   c:\windows\system32\drivers\EagleNT.sys
2008-10-16 13:13   202,776   ----a-w   c:\windows\system32\wuweb.dll
2008-10-16 13:13   202,776   ----a-w   c:\windows\system32\dllcache\wuweb.dll
2008-10-16 13:13   1,809,944   ----a-w   c:\windows\system32\wuaueng.dll
2008-10-16 13:13   1,809,944   ----a-w   c:\windows\system32\dllcache\wuaueng.dll
2008-10-16 13:12   561,688   ----a-w   c:\windows\system32\wuapi.dll
2008-10-16 13:12   561,688   ----a-w   c:\windows\system32\dllcache\wuapi.dll
2008-10-16 13:12   323,608   ----a-w   c:\windows\system32\wucltui.dll
2008-10-16 13:12   323,608   ----a-w   c:\windows\system32\dllcache\wucltui.dll
2008-10-16 13:09   92,696   ----a-w   c:\windows\system32\dllcache\cdm.dll
2008-10-16 13:09   92,696   ----a-w   c:\windows\system32\cdm.dll
2008-10-16 13:09   51,224   ----a-w   c:\windows\system32\wuauclt.exe
2008-10-16 13:09   51,224   ----a-w   c:\windows\system32\dllcache\wuauclt.exe
2008-10-16 13:09   43,544   ----a-w   c:\windows\system32\wups2.dll
2008-10-16 13:08   34,328   ----a-w   c:\windows\system32\wups.dll
2008-10-16 13:08   34,328   ----a-w   c:\windows\system32\dllcache\wups.dll
2008-10-15 17:36   337,408   ------w   c:\windows\system32\dllcache\netapi32.dll
2008-10-14 10:55   110,304   ----a-w   c:\windows\system32\drivers\ACEDRV09.sys
2008-10-03 18:26   6,066,176   ------w   c:\windows\system32\dllcache\ieframe.dll
2008-09-30 15:43   1,286,152   ----a-w   c:\windows\system32\msxml4.dll
2008-09-15 16:27   1,846,656   ----a-w   c:\windows\system32\win32k.sys
2008-09-15 16:27   1,846,656   ------w   c:\windows\system32\dllcache\win32k.sys
2008-09-10 01:15   1,307,648   ------w   c:\windows\system32\msxml6.dll
2008-09-10 01:15   1,307,648   ------w   c:\windows\system32\dllcache\msxml6.dll
2008-09-08 11:41   333,824   ------w   c:\windows\system32\dllcache\srv.sys
2008-09-04 17:17   1,106,944   ----a-w   c:\windows\system32\msxml3.dll
2005-03-31 21:17   40,960   ----a-w   c:\program files\Uninstall_CDS.exe
.
[color=red] c:\windows\system32\user32.dll ... jest zarażony !! [/color]
580,096 2008-12-04 16:31:20  c:\windows\system32\user32.DLL
580,096 2008-12-04 16:31:20  c:\windows\system32\dllcache\user32.dll
579,072 2007-03-08 16:38:48  c:\windows\$NtServicePackUninstall$\user32.dll
578,560 2004-08-04 07:44:14  c:\windows\$NtServicePackUninstall$\user32.dll.000
580,096 2008-04-14 18:20:56  c:\windows\ServicePackFiles\i386\user32.dll
578,560 2005-03-02 18:18:38  c:\windows\$hf_mig$\KB890859\SP2GDR\user32.dll
578,560 2005-03-02 18:21:08  c:\windows\$hf_mig$\KB890859\SP2QFE\user32.dll
579,584 2007-03-08 16:51:58  c:\windows\$hf_mig$\KB925902\SP2QFE\user32.dll
578,560 2004-08-04 07:44:14  c:\windows\$NtUninstallKB890859$\user32.dll
561,664 2002-09-23 11:00:00  c:\windows\$NtUninstallKB890859_0$\user32.dll
578,560 2005-03-02 18:18:38  c:\windows\$NtUninstallKB925902$\user32.dll


(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS SmartDoctor"="c:\program files\ASUS\SmartDoctor\\SmartDoctor.exe" [2004-12-16 987136]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-10-24 307200]
"PeerGuardian"="c:\program files\PeerGuardian2\pg2.exe" [2005-09-18 1421824]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"RemoteControl"="c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768]
"InCD"="c:\program files\Ahead\InCD\InCD.exe" [2005-06-10 1397760]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-08-08 282624]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]

c:\documents and settings\User\Menu Start\Programy\Autostart\
WordWeb.lnk - f:\wordweb\wweb32.exe [2007-01-28 20992]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\
GetRight - Tray Icon.lnk - c:\program files\GetRight\getright.exe [2006-02-14 2301952]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
Uruchamianie pakietu Office.lnk - c:\program files\Microsoft Office\Office\OSA.EXE [1997-10-06 51984]
Microsoft Find Fast.lnk - c:\program files\Microsoft Office\Office\FINDFAST.EXE [1997-10-06 111376]
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-06-06 113664]
Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2007-03-21 925696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll
"vidc.asv2"= asusasv2.dll
"msacm.dvacm"= dvacm.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\acup.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mks_Scan]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mks_Scan\Service]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Gadu-Gadu\\gg.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"f:\\FileZilla\\FileZilla.exe"=
"c:\\WINDOWS\\System32\\dpvsetup.exe"=
"c:\\Program Files\\Gadu-Gadu\\ggphone\\ggphone.exe"=
"d:\\AOE2CONQ\\empires2.exe"=
"c:\\Program Files\\Mozilla Firefox\\FIREFOX.EXE"=
"c:\\Program Files\\FlashGet\\FLASHGET.EXE"=
"d:\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"c:\\Program Files\\SopCast\\SopCast.exe"=
"c:\\Documents and Settings\\User\\Dane aplikacji\\SopCast\\adv\\SopAdver.exe"=
"c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\SopCast\\sopvod.exe"=
"c:\\Program Files\\TC PowerPack\\totalcmd.exe"=
"c:\\Program Files\\QuickTime\\QuickTimePlayer.exe"=
"d:\\Program Files\\Wolfenstein - Enemy Territory\\ET.exe"=

R2 ACEDRV09;ACEDRV09;\??\c:\windows\system32\drivers\ACEDRV09.sys [2008-10-14 110304]
R2 SVKP;SVKP;\??\c:\windows\system32\SVKP.sys [2008-08-17 2368]
R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\DRIVERS\WlanBZXP.sys [2007-03-21 402432]
R3 Video3D;ASUS Video3D Service;c:\windows\system32\Drivers\Video3D.sys [2004-07-06 44544]
S1 acup;VPower Control Service;c:\windows\system32\acup.sys []
S1 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS [2008-10-20 0]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;d:\program files\MAGIX\Common\Database\bin\fbserver.exe [2008-09-27 1527900]
S3 UPnPService;UPnPService;c:\program files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [2008-10-14 544768]
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.onet.pl/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &Ściągnij przy pomocy FlashGet'a - c:\program files\FlashGet\jc_link.htm
IE: &Ściągnij wszystko przy pomocy FlashGet'a - c:\program files\FlashGet\jc_all.htm
IE: Download with GetRight - c:\program files\GetRight\GRdownload.htm
IE: Open with GetRight Browser - c:\program files\GetRight\GRbrowse.htm

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

c:\windows\Downloaded Program Files\weblive.exe - O16 -: {070CA17A-4BD2-4612-83B4-32B1B9159B47}
hxxp://uc.sina.com.cn/download/live/weblive2.4.0.0.cab
c:\windows\Downloaded Program Files\setup.inf

c:\windows\system32\ArcaMicroScanUpdater.exe - c:\windows\system32\ArcaOnlineUninstall.exe
c:\windows\system32\ArcaOnline.dll
O16 -: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D}
hxxp://slimak.onet.pl/_m/wirusy/ArcaOnline.cab
c:\windows\Downloaded Program Files\ArcaOnline.inf

c:\windows\system32\SkanerOnlineUninstall.exe - c:\windows\system32\SkanerOnline.dll
O16 -: {68282C51-9459-467B-95BF-3C0E89627E55}
hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
c:\windows\Downloaded Program Files\SkanerOnline.inf

c:\windows\Downloaded Program Files\UKooPlayer.ocx - O16 -: {A903E5AB-C67E-40FB-94F1-E1305982F6E0}
hxxp://www.euchannels.net/UKooPlayer.ocx

c:\windows\system32\SkanerOnlineUninstall.exe - c:\windows\system32\SkanerOnline.dll
O16 -: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7}
hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
c:\windows\Downloaded Program Files\SkanerOnline.inf
FireFox -: Profile - c:\documents and settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\4hsbxv9g.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://onet.pl/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-04 17:35:33
Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPI

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
Czas ukończenia: 2008-12-04 17:36:11
ComboFix2.txt  2008-10-25 14:57:48
ComboFix-quarantined-files.txt  2008-12-04 16:36:10

Przed: 2 913 796 096 bajtów wolnych
Po: 3,065,921,536 bajtów wolnych

198   --- E O F ---   2008-11-13 12:22:58


Zauważcie

c:\windows\system32\user32.dll ... jest zarażony !!

Proszę o pomoc
PS. Wkleić hijackthisa?

EDIT:
user32.dll przeskanowałem na Virustotal i takie wyniki:

Kod: Zaznacz wszystko

Antywirus     Wersja     Ostatnia aktualizacja     Wynik
AhnLab-V3   2008.12.5.0   2008.12.04   Win-Trojan/User32Hk
AntiVir   7.9.0.36   2008.12.04   -
Authentium   5.1.0.4   2008.12.04   -
Avast   4.8.1281.0   2008.12.03   -
AVG   8.0.0.199   2008.12.04   -
BitDefender   7.2   2008.12.04   -
CAT-QuickHeal   10.00   2008.12.04   -
ClamAV   0.94.1   2008.12.04   -
DrWeb   4.44.0.09170   2008.12.04   -
eSafe   7.0.17.0   2008.12.04   -
eTrust-Vet   31.6.6243   2008.12.04   Win32/Pruserinf
Ewido   4.0   2008.12.04   -
F-Prot   4.4.4.56   2008.12.04   -
F-Secure   8.0.14332.0   2008.12.04   Trojan.Win32.Patched.bb
Fortinet   3.117.0.0   2008.12.04   -
GData   19   2008.12.04   -
Ikarus   T3.1.1.45.0   2008.12.04   -
K7AntiVirus   7.10.543   2008.12.04   -
Kaspersky   7.0.0.125   2008.12.04   Trojan.Win32.Patched.bb
McAfee   5453   2008.12.03   -
McAfee+Artemis   5453   2008.12.03   potentially unwanted program Patched User32
Microsoft   1.4205   2008.12.04   -
NOD32   3664   2008.12.04   -
Norman   5.80.02   2008.12.04   -
Panda   9.0.0.4   2008.12.04   W32/Patched.D
PCTools   4.4.2.0   2008.12.04   -
Prevx1   V2   2008.12.04   -
Rising   21.06.32.00   2008.12.04   Trojan.Win32.Patched.bi
SecureWeb-Gateway   6.7.6   2008.12.04   -
Sophos   4.36.0   2008.12.04   Troj/User32Hk-A
Sunbelt   3.1.1832.2   2008.12.01   -
Symantec   10   2008.12.04   -
TheHacker   6.3.1.2.174   2008.12.04   -
TrendMicro   8.700.0.1004   2008.12.04   Mal_Patch-1
VBA32   3.12.8.10   2008.12.03   -
ViRobot   2008.12.4.1500   2008.12.04   -
VirusBuster   4.5.11.0   2008.12.04   -

[wojtas]

Wykonaj to co jest podane w tym temacie

Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje

Potem wejdz do folderu C:\SDFix wrzuc zawartość pliku Report.txt + log z combofixa oraz daj loga z hijacka

[sgsman]

1. WWDC mam włączone od ostatniej infekcji, więc chyba ok.
2. Log z SDFixa:

Kod: Zaznacz wszystko

[b]SDFix: Version 1.240 [/b]
Run by Administrator on 2008-12-05 at 16:22

Microsoft Windows XP [Wersja 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


[b]Infected user32.dll Found![/b]

user32.dll File Locations:

"C:\WINDOWS\system32\user32.DLL" 580096 2008-12-04 17:31
"C:\WINDOWS\system32\dllcache\user32.dll" 580096 2008-12-04 17:31
"C:\WINDOWS\$NtServicePackUninstall$\user32.dll" 579072 2007-03-08 17:38
"C:\WINDOWS\ServicePackFiles\i386\user32.dll" 580096 2008-04-14 19:20
"C:\WINDOWS\$hf_mig$\KB890859\SP2GDR\user32.dll" 578560 2005-03-02 19:18
"C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll" 578560 2005-03-02 19:21
"C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll" 579584 2007-03-08 17:51
"C:\WINDOWS\$NtUninstallKB890859$\user32.dll" 578560 2004-08-04 08:44
"C:\WINDOWS\$NtUninstallKB890859_0$\user32.dll" 561664 2002-09-23 12:00
"C:\WINDOWS\$NtUninstallKB925902$\user32.dll" 578560 2005-03-02 19:18

[C:\WINDOWS\system32\user32.DLL] A2D899D893E5D599F47F15CE401EC6F9
[C:\WINDOWS\system32\dllcache\user32.dll] A2D899D893E5D599F47F15CE401EC6F9
[C:\WINDOWS\$NtServicePackUninstall$\user32.dll] A37A4637F84F8DD771274EAF8D17FA65
[C:\WINDOWS\ServicePackFiles\i386\user32.dll] A435C5C069AFD901751AC323AD238793
[C:\WINDOWS\$hf_mig$\KB890859\SP2GDR\user32.dll] B7EEB1A1AF740306049241DDF61F21FF
[C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll] 6A93565BE9B8422EB7538C66AC732D76
[C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll] 11ABDECC02EFC1D2B6A6A0FA46C26594
[C:\WINDOWS\$NtUninstallKB890859$\user32.dll] 0C81764F50F32D376E6E4B9E9F4B01A0
[C:\WINDOWS\$NtUninstallKB890859_0$\user32.dll] 3A4892A57CFE05D61E4BBC3EC3E24A63
[C:\WINDOWS\$NtUninstallKB925902$\user32.dll] B7EEB1A1AF740306049241DDF61F21FF


[C:\WINDOWS\System32\xkyy] A435C5C069AFD901751AC323AD238793


Note: SDFix does not repair this file!



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]:

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:



                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-05 16:27:38
Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Gadu-Gadu\\gg.exe"="C:\\Program Files\\Gadu-Gadu\\gg.exe:*:Enabled:Gadu-Gadu - program glowny"
"C:\\Program Files\\eMule\\emule.exe"="C:\\Program Files\\eMule\\emule.exe:*:Enabled:eMule"
"F:\\FileZilla\\FileZilla.exe"="F:\\FileZilla\\FileZilla.exe:*:Enabled:FileZilla"
"C:\\WINDOWS\\System32\\dpvsetup.exe"="C:\\WINDOWS\\System32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\Program Files\\Gadu-Gadu\\ggphone\\ggphone.exe"="C:\\Program Files\\Gadu-Gadu\\ggphone\\ggphone.exe:*:Enabled:Internetowe polaczenia telefoniczne"
"D:\\AOE2CONQ\\empires2.exe"="D:\\AOE2CONQ\\empires2.exe:*:Enabled:Age of Empires II"
"C:\\Program Files\\Mozilla Firefox\\FIREFOX.EXE"="C:\\Program Files\\Mozilla Firefox\\FIREFOX.EXE:*:Enabled:Firefox"
"C:\\Program Files\\FlashGet\\FLASHGET.EXE"="C:\\Program Files\\FlashGet\\FLASHGET.EXE:*:Enabled:Flashget"
"D:\\TrackMania Nations ESWC\\TmNationsESWC.exe"="D:\\TrackMania Nations ESWC\\TmNationsESWC.exe:*:Enabled:TmNationsESWC"
"C:\\Program Files\\SopCast\\SopCast.exe"="C:\\Program Files\\SopCast\\SopCast.exe:*:Enabled:SopCast Main Application"
"C:\\Documents and Settings\\User\\Dane aplikacji\\SopCast\\adv\\SopAdver.exe"="C:\\Documents and Settings\\User\\Dane aplikacji\\SopCast\\adv\\SopAdver.exe:*:Enabled:SopCast Adver"
"C:\\Program Files\\SopCast\\adv\\SopAdver.exe"="C:\\Program Files\\SopCast\\adv\\SopAdver.exe:*:Enabled:SopCast Adver"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\SopCast\\sopvod.exe"="C:\\Program Files\\SopCast\\sopvod.exe:*:Enabled:sopvod"
"C:\\Program Files\\TC PowerPack\\totalcmd.exe"="C:\\Program Files\\TC PowerPack\\totalcmd.exe:*:Enabled:Total Commander 32 bit international version, file manager replacement for Windows"
"C:\\Program Files\\QuickTime\\QuickTimePlayer.exe"="C:\\Program Files\\QuickTime\\QuickTimePlayer.exe:*:Enabled:QuickTime Player"
"D:\\Program Files\\Wolfenstein - Enemy Territory\\ET.exe"="D:\\Program Files\\Wolfenstein - Enemy Territory\\ET.exe:*:Enabled:ET"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Thu  4 Dec 2008       147,456 A..H. --- "C:\Program Files\Mozilla Firefox\a.exe"
Sun 12 Feb 2006         4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 14 Dec 2006        33,280 ...H. --- "C:\Documents and Settings\User\Moje dokumenty\~WRL0001.tmp"
Thu 14 Dec 2006        33,792 ...H. --- "C:\Documents and Settings\User\Moje dokumenty\~WRL0004.tmp"
Tue 13 Nov 2007             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"
Sun 21 May 2006         9,718 A..H. --- "C:\Program Files\Microsoft Office\Office\Pasek skr˘t˘w\Off2.tmp"

[b]Finished![/b]

3. Log z ComboFixa:

Kod: Zaznacz wszystko

ComboFix 08-12-03.04 - User 2008-12-05 16:30:52.10 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Home Edition  5.1.2600.3.1250.1.1045.18.515 [GMT 1:00]
Uruchomiony z: c:\documents and settings\User\Pulpit\ComboFix.exe

[COLOR=RED][B]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/B][/COLOR]
.

(((((((((((((((((((((((((   Pliki utworzone od 2008-11-05 do 2008-12-05  )))))))))))))))))))))))))))))))
.

2008-12-05 16:14 . 2008-11-06 02:03   <DIR>   d--------   C:\SDFix
2008-12-04 17:29 . 2008-12-04 17:29   147,456   --ah-----   c:\windows\system32\aston.mt
2008-11-13 09:12 . 2008-10-24 12:21   455,296   ---------   c:\windows\system32\dllcache\mrxsmb.sys
2008-11-13 09:11 . 2008-09-04 18:17   1,106,944   ---------   c:\windows\system32\dllcache\msxml3.dll
2008-11-09 15:47 . 2008-11-29 18:43   54,156   --ah-----   c:\windows\QTFont.qfn
2008-11-09 15:47 . 2008-11-09 15:47   1,409   --a------   c:\windows\QTFont.for
2008-11-08 08:15 . 2008-11-08 08:15   <DIR>   d--------   c:\documents and settings\User\.borland

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-04 16:31   580,096   ----a-w   c:\windows\system32\user32.DLL
2008-12-04 16:31   580,096   ----a-w   c:\windows\system32\dllcache\user32.dll
2008-10-26 17:59   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\Trymedia
2008-10-25 15:16   249,592   ----a-w   c:\windows\system32\cssdll32.dll
2008-10-25 15:15   ---------   d-----w   c:\program files\COMODO
2008-10-25 15:15   ---------   d-----w   c:\documents and settings\User\Dane aplikacji\Comodo
2008-10-25 15:15   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\comodo
2008-10-25 09:36   ---------   d-----w   c:\program files\Avira
2008-10-25 09:36   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\Avira
2008-10-24 11:21   455,296   ----a-w   c:\windows\system32\drivers\mrxsmb.sys
2008-10-22 15:31   223,128   ----a-w   c:\windows\system32\drivers\dtscsi.sys
2008-10-22 15:26   96,384   ----a-w   c:\windows\system32\drivers\sptd9597.sys
2008-10-20 21:04   0   ----a-w   c:\windows\system32\drivers\sptd.sys
2008-10-20 21:04   0   ----a-w   c:\windows\system32\drivers\EagleNT.sys
2008-10-16 13:13   202,776   ----a-w   c:\windows\system32\wuweb.dll
2008-10-16 13:13   202,776   ----a-w   c:\windows\system32\dllcache\wuweb.dll
2008-10-16 13:13   1,809,944   ----a-w   c:\windows\system32\wuaueng.dll
2008-10-16 13:13   1,809,944   ----a-w   c:\windows\system32\dllcache\wuaueng.dll
2008-10-16 13:12   561,688   ----a-w   c:\windows\system32\wuapi.dll
2008-10-16 13:12   561,688   ----a-w   c:\windows\system32\dllcache\wuapi.dll
2008-10-16 13:12   323,608   ----a-w   c:\windows\system32\wucltui.dll
2008-10-16 13:12   323,608   ----a-w   c:\windows\system32\dllcache\wucltui.dll
2008-10-16 13:09   92,696   ----a-w   c:\windows\system32\dllcache\cdm.dll
2008-10-16 13:09   92,696   ----a-w   c:\windows\system32\cdm.dll
2008-10-16 13:09   51,224   ----a-w   c:\windows\system32\wuauclt.exe
2008-10-16 13:09   51,224   ----a-w   c:\windows\system32\dllcache\wuauclt.exe
2008-10-16 13:09   43,544   ----a-w   c:\windows\system32\wups2.dll
2008-10-16 13:08   34,328   ----a-w   c:\windows\system32\wups.dll
2008-10-16 13:08   34,328   ----a-w   c:\windows\system32\dllcache\wups.dll
2008-10-15 17:36   337,408   ------w   c:\windows\system32\dllcache\netapi32.dll
2008-10-14 10:55   110,304   ----a-w   c:\windows\system32\drivers\ACEDRV09.sys
2008-10-03 18:26   6,066,176   ------w   c:\windows\system32\dllcache\ieframe.dll
2008-09-30 15:43   1,286,152   ----a-w   c:\windows\system32\msxml4.dll
2008-09-15 16:27   1,846,656   ----a-w   c:\windows\system32\win32k.sys
2008-09-15 16:27   1,846,656   ------w   c:\windows\system32\dllcache\win32k.sys
2008-09-10 01:15   1,307,648   ------w   c:\windows\system32\msxml6.dll
2008-09-10 01:15   1,307,648   ------w   c:\windows\system32\dllcache\msxml6.dll
2008-09-08 11:41   333,824   ------w   c:\windows\system32\dllcache\srv.sys
2005-03-31 21:17   40,960   ----a-w   c:\program files\Uninstall_CDS.exe
.
[color=red] c:\windows\system32\user32.dll ... jest zarażony !! [/color]
580,096 2008-12-04 16:31:20  c:\windows\system32\user32.DLL
580,096 2008-12-04 16:31:20  c:\windows\system32\dllcache\user32.dll
579,072 2007-03-08 16:38:48  c:\windows\$NtServicePackUninstall$\user32.dll
578,560 2004-08-04 07:44:14  c:\windows\$NtServicePackUninstall$\user32.dll.000
580,096 2008-04-14 18:20:56  c:\windows\ServicePackFiles\i386\user32.dll
578,560 2005-03-02 18:18:38  c:\windows\$hf_mig$\KB890859\SP2GDR\user32.dll
578,560 2005-03-02 18:21:08  c:\windows\$hf_mig$\KB890859\SP2QFE\user32.dll
579,584 2007-03-08 16:51:58  c:\windows\$hf_mig$\KB925902\SP2QFE\user32.dll
578,560 2004-08-04 07:44:14  c:\windows\$NtUninstallKB890859$\user32.dll
561,664 2002-09-23 11:00:00  c:\windows\$NtUninstallKB890859_0$\user32.dll
578,560 2005-03-02 18:18:38  c:\windows\$NtUninstallKB925902$\user32.dll


(((((((((((((((((((((((((((((   snapshot@2008-12-04_17.35.46,57   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-08-07 15:27:04   163,328   ----a-w   c:\windows\ERUNT\SDFIX\ERDNT.EXE
+ 2008-08-07 14:27:04   163,328   ----a-w   c:\windows\ERUNT\SDFIX\ERDNT.EXE
- 2008-10-21 13:31:34   528,384   ----a-w   c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat
+ 2008-12-05 15:20:12   528,384   ----a-w   c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat
- 2008-10-21 13:31:34   8,192   ----a-w   c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-12-05 15:20:14   8,192   ----a-w   c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
.
(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS SmartDoctor"="c:\program files\ASUS\SmartDoctor\\SmartDoctor.exe" [2004-12-16 987136]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-10-24 307200]
"PeerGuardian"="c:\program files\PeerGuardian2\pg2.exe" [2005-09-18 1421824]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"RemoteControl"="c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768]
"InCD"="c:\program files\Ahead\InCD\InCD.exe" [2005-06-10 1397760]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-08-08 282624]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]

c:\documents and settings\User\Menu Start\Programy\Autostart\
WordWeb.lnk - f:\wordweb\wweb32.exe [2007-01-28 20992]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\
GetRight - Tray Icon.lnk - c:\program files\GetRight\getright.exe [2006-02-14 2301952]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
Uruchamianie pakietu Office.lnk - c:\program files\Microsoft Office\Office\OSA.EXE [1997-10-06 51984]
Microsoft Find Fast.lnk - c:\program files\Microsoft Office\Office\FINDFAST.EXE [1997-10-06 111376]
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-06-06 113664]
Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2007-03-21 925696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll
"vidc.asv2"= asusasv2.dll
"msacm.dvacm"= dvacm.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\acup.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mks_Scan]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mks_Scan\Service]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Gadu-Gadu\\gg.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"f:\\FileZilla\\FileZilla.exe"=
"c:\\WINDOWS\\System32\\dpvsetup.exe"=
"c:\\Program Files\\Gadu-Gadu\\ggphone\\ggphone.exe"=
"d:\\AOE2CONQ\\empires2.exe"=
"c:\\Program Files\\Mozilla Firefox\\FIREFOX.EXE"=
"c:\\Program Files\\FlashGet\\FLASHGET.EXE"=
"d:\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"c:\\Program Files\\SopCast\\SopCast.exe"=
"c:\\Documents and Settings\\User\\Dane aplikacji\\SopCast\\adv\\SopAdver.exe"=
"c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\SopCast\\sopvod.exe"=
"c:\\Program Files\\TC PowerPack\\totalcmd.exe"=
"c:\\Program Files\\QuickTime\\QuickTimePlayer.exe"=
"d:\\Program Files\\Wolfenstein - Enemy Territory\\ET.exe"=

R2 ACEDRV09;ACEDRV09;\??\c:\windows\system32\drivers\ACEDRV09.sys [2008-10-14 110304]
R2 SVKP;SVKP;\??\c:\windows\system32\SVKP.sys [2008-08-17 2368]
R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\DRIVERS\WlanBZXP.sys [2007-03-21 402432]
R3 Video3D;ASUS Video3D Service;c:\windows\system32\Drivers\Video3D.sys [2004-07-06 44544]
S1 acup;VPower Control Service;c:\windows\system32\acup.sys []
S1 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS [2008-10-20 0]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;d:\program files\MAGIX\Common\Database\bin\fbserver.exe [2008-09-27 1527900]
S3 UPnPService;UPnPService;c:\program files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [2008-10-14 544768]

*Newly Created Service* - PGFILTER
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.onet.pl/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &Ściągnij przy pomocy FlashGet'a - c:\program files\FlashGet\jc_link.htm
IE: &Ściągnij wszystko przy pomocy FlashGet'a - c:\program files\FlashGet\jc_all.htm
IE: Download with GetRight - c:\program files\GetRight\GRdownload.htm
IE: Open with GetRight Browser - c:\program files\GetRight\GRbrowse.htm

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

c:\windows\Downloaded Program Files\weblive.exe - O16 -: {070CA17A-4BD2-4612-83B4-32B1B9159B47}
hxxp://uc.sina.com.cn/download/live/weblive2.4.0.0.cab
c:\windows\Downloaded Program Files\setup.inf

c:\windows\system32\ArcaMicroScanUpdater.exe - c:\windows\system32\ArcaOnlineUninstall.exe
c:\windows\system32\ArcaOnline.dll
O16 -: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D}
hxxp://slimak.onet.pl/_m/wirusy/ArcaOnline.cab
c:\windows\Downloaded Program Files\ArcaOnline.inf

c:\windows\system32\SkanerOnlineUninstall.exe - c:\windows\system32\SkanerOnline.dll
O16 -: {68282C51-9459-467B-95BF-3C0E89627E55}
hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
c:\windows\Downloaded Program Files\SkanerOnline.inf

c:\windows\Downloaded Program Files\UKooPlayer.ocx - O16 -: {A903E5AB-C67E-40FB-94F1-E1305982F6E0}
hxxp://www.euchannels.net/UKooPlayer.ocx

c:\windows\system32\SkanerOnlineUninstall.exe - c:\windows\system32\SkanerOnline.dll
O16 -: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7}
hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
c:\windows\Downloaded Program Files\SkanerOnline.inf
FireFox -: Profile - c:\documents and settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\4hsbxv9g.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://onet.pl/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-05 16:32:32
Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPI

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
Czas ukończenia: 2008-12-05 16:33:18
ComboFix3.txt  2008-10-25 14:57:48
ComboFix-quarantined-files.txt  2008-12-05 15:33:16
ComboFix2.txt  2008-12-04 16:36:14

Przed: 3 030 843 392 bajtów wolnych
Po: 3,059,023,872 bajtów wolnych

202   --- E O F ---   2008-11-13 12:22:58


4. Log z HiJackthis:

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:41:21, on 2008-12-05
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Program Files\Ahead\InCD\InCD.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\PeerGuardian2\pg2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\GetRight\getright.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\GetRight\getright.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\WINDOWS\system32\spoolsv.exe
F:\WordWeb\wweb32.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\devldr32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\hijackthis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onet.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\\SmartDoctor.exe  /start
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7
O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: WordWeb.lnk = F:\WordWeb\wweb32.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Program Files\GetRight\getright.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Uruchamianie pakietu Office.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Find Fast.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: &Ściągnij przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: &Ściągnij wszystko przy pomocy FlashGet'a - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with GetRight - C:\Program Files\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Program Files\GetRight\GRbrowse.htm
O15 - Trusted Zone: http://mks.com.pl
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab
O16 - DPF: {070CA17A-4BD2-4612-83B4-32B1B9159B47} (ULiveCtrl Control) - http://uc.sina.com.cn/download/live/weblive2.4.0.0.cab
O16 - DPF: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D} (MainControl Class) - http://slimak.onet.pl/_m/wirusy/ArcaOnline.cab
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139765895750
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A903E5AB-C67E-40FB-94F1-E1305982F6E0} (KooPlayer Control) - http://www.euchannels.net/UKooPlayer.ocx
O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O20 - AppInit_DLLs:   
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - Unknown owner - C:\WINDOWS\system32\nvsvc32.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: UPnPService - Magix AG - C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe

--
End of file - 7128 bytes


5. Wnioski końcowe (moje):
Dalej nie naprawiony user32 co robić?

[wojtas]

przeskanuj te pliki :

C:\Program Files\Mozilla Firefox\a.exe
c:\windows\system32\aston.mt

włóż płytkę windowsa - zbootuj ją. wejdź do konsoli odzyskiwania i w niej wpisz


expand X:\i386\user32.dl_ C:\Windows\sytem32\user32.dll

X- literka Twojego cd romu

potem reset kompa i nowe logi z combofixa oraz .Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

[sgsman]

C:\Program Files\Mozilla Firefox\a.exe

Kod: Zaznacz wszystko

Antywirus    Wersja    Ostatnia aktualizacja    Wynik
AhnLab-V3    2008.12.6.0    2008.12.05    -
AntiVir    7.9.0.42    2008.12.05    -
Authentium    5.1.0.4    2008.12.05    -
Avast    4.8.1281.0    2008.12.04    -
AVG    8.0.0.199    2008.12.05    -
BitDefender    7.2    2008.12.05    -
CAT-QuickHeal    10.00    2008.12.05    (Suspicious) - DNAScan
ClamAV    0.94.1    2008.12.05    -
Comodo    682    2008.12.04    -
DrWeb    4.44.0.09170    2008.12.05    -
eSafe    7.0.17.0    2008.12.04    Suspicious File
eTrust-Vet    31.6.6243    2008.12.04    -
Ewido    4.0    2008.12.05    -
F-Prot    4.4.4.56    2008.12.04    -
F-Secure    8.0.14332.0    2008.12.05    Worm.Win32.Pinit.gen
Fortinet    3.117.0.0    2008.12.05    W32/Pinit!worm
GData    19    2008.12.05    -
Ikarus    T3.1.1.45.0    2008.12.05    Worm.Win32.Pinit
K7AntiVirus    7.10.545    2008.12.05    Worm.Win32.Pinit.gen
Kaspersky    7.0.0.125    2008.12.05    Worm.Win32.Pinit.gen
McAfee    5454    2008.12.04    -
McAfee+Artemis    5454    2008.12.04    -
Microsoft    1.4205    2008.12.05    Worm:Win32/Mariofev.A
NOD32    3667    2008.12.05    a variant of Win32/Kryptik.CM
Norman    5.80.02    2008.12.05    -
Panda    9.0.0.4    2008.12.05    -
PCTools    4.4.2.0    2008.12.05    -
Prevx1    V2    2008.12.05    -
Rising    21.06.43.00    2008.12.05    -
SecureWeb-Gateway    6.7.6    2008.12.05    Trojan.Crypt.LooksLike.XPACK
Sophos    4.36.0    2008.12.05    -
Sunbelt    3.1.1832.2    2008.12.01    VIPRE.Suspicious
Symantec    10    2008.12.05    W32.Spamuzle
TheHacker    6.3.1.2.176    2008.12.05    -
TrendMicro    8.700.0.1004    2008.12.05    WORM_MARIOFEV.AG
VBA32    3.12.8.10    2008.12.05    -
ViRobot    2008.12.5.1502    2008.12.05    Trojan.Win32.Amvo.Gen
VirusBuster    4.5.11.0    2008.12.05    -

c:\windows\system32\aston.mt

Kod: Zaznacz wszystko

Antywirus    Wersja    Ostatnia aktualizacja    Wynik
AhnLab-V3    2008.12.6.0    2008.12.05    -
AntiVir    7.9.0.42    2008.12.05    -
Authentium    5.1.0.4    2008.12.05    -
Avast    4.8.1281.0    2008.12.04    -
AVG    8.0.0.199    2008.12.05    -
BitDefender    7.2    2008.12.05    -
CAT-QuickHeal    10.00    2008.12.05    (Suspicious) - DNAScan
ClamAV    0.94.1    2008.12.05    -
Comodo    682    2008.12.04    -
DrWeb    4.44.0.09170    2008.12.05    -
eSafe    7.0.17.0    2008.12.04    Suspicious File
eTrust-Vet    31.6.6243    2008.12.04    -
Ewido    4.0    2008.12.05    -
F-Prot    4.4.4.56    2008.12.04    -
F-Secure    8.0.14332.0    2008.12.05    Worm.Win32.Pinit.gen
Fortinet    3.117.0.0    2008.12.05    W32/Pinit!worm
GData    19    2008.12.05    -
Ikarus    T3.1.1.45.0    2008.12.05    Worm.Win32.Pinit
K7AntiVirus    7.10.545    2008.12.05    Worm.Win32.Pinit.gen
Kaspersky    7.0.0.125    2008.12.05    Worm.Win32.Pinit.gen
McAfee    5454    2008.12.04    -
McAfee+Artemis    5454    2008.12.04    -
Microsoft    1.4205    2008.12.05    Worm:Win32/Mariofev.A
NOD32    3667    2008.12.05    a variant of Win32/Kryptik.CM
Norman    5.80.02    2008.12.05    -
Panda    9.0.0.4    2008.12.05    -
PCTools    4.4.2.0    2008.12.05    -
Prevx1    V2    2008.12.05    -
Rising    21.06.43.00    2008.12.05    -
SecureWeb-Gateway    6.7.6    2008.12.05    Trojan.Crypt.LooksLike.XPACK
Sophos    4.36.0    2008.12.05    -
Sunbelt    3.1.1832.2    2008.12.01    VIPRE.Suspicious
Symantec    10    2008.12.05    W32.Spamuzle
TheHacker    6.3.1.2.176    2008.12.05    -
TrendMicro    8.700.0.1004    2008.12.05    WORM_MARIOFEV.AG
VBA32    3.12.8.10    2008.12.05    -
ViRobot    2008.12.5.1502    2008.12.05    Trojan.Win32.Amvo.Gen
VirusBuster    4.5.11.0    2008.12.05    -

Wniosek: oba pliki na Virustotalu dały identyczne kropka w kropkę logi. (nawet link do skanu ten sam).

Zanim zrobię porządek w konsoli odzyskiwania (czy to może trochę poczekać?) co zrobić z tymi dwoma śmieciami?

[wojtas]

usun je

[sgsman]

Usunąłem pliki ręcznie, powinno być ok.
Czy ta infekcja user32 może trochę poczekać? Na razie wolę poczekać kilka dni na specjalistę do zmiany tego badziewia, ale chyba nic do tego czasu nie powinno się stać, bo plik ów chyba nie rozsiewa żadnego łajna?

[wojtas]

nio ja proponuje zrobic to jak najszybciej i jak to zrobisz wroc z logami ;P

[kisuX]

usuń:
del C:\MarioForever.exe (końcowy plik z kodem występuje na wszystkich dyskach (partycjach) w katalogu gł. czyli w D: też bedzie)
del C:\windows\system32\nvaux32.dll (tu musisz usunąć jego wpis w rejestrze - lub wywalić ręcznie proces patrz 1 linia z rejestrów)
del c:\windows\system32\cls.exe (plik rozsyłający)
del C:\windows\system32\drivers\atmapi.sys (p.p. reinstalka)
del C:\windows\system32\aston.mt (reinstalka)

z rejestrów usuwasz:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\"[TWO RANDOM LETTERS]pInit_Dlls" = "nvauxl32"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\"st" = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\"mid" = "[RANDOM LETTERS]"
HKEY_LOCAL_MACHINE\SOFTWARE\3\"31C2E1E4D78E6A11B88DFA803456A1FFA5" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\3\"31AC70412E939D72A9234CDEBB1AF5867B" = "[RANDOM LETTERS]"
HKEY_LOCAL_MACHINE\SOFTWARE\3\"31897356954C2CD3D41B221E3F24F99BBA" = "019b9906"
HKEY_LOCAL_MACHINE\SOFTWARE\2\"31C2E1E4D78E6A11B88DFA803456A1FFA5" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\2\"31AC70412E939D72A9234CDEBB1AF5867B" = "[RANDOM LETTERS]"
HKEY_LOCAL_MACHINE\SOFTWARE\2\"31897356954C2CD3D41B221E3F24F99BBA" = "0383e30b"
HKEY_LOCAL_MACHINE\SOFTWARE\1\"31C2E1E4D78E6A11B88DFA803456A1FFA5" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\1\"31AC70412E939D72A9234CDEBB1AF5867B" = "[RANDOM LETTERS]"
HKEY_LOCAL_MACHINE\SOFTWARE\1\"31897356954C2CD3D41B221E3F24F99BBA" = "021365da"

może być to samo dla 4,5,6,8,9


W rejestrze znajdziesz OKAMAI (odpowiedzialny za rozsyłkę np. haseł do kont admin.) zmień tam wpis cls.exe na np. cls.001
ten wpis występuje 2 lub 3 razy

[sgsman]

Dzięki za odp. Postaram się dzis odpalic konsolę odzyskiwania.

del C:\windows\system32\drivers\atmapi.sys (p.p. reinstalka)
del C:\windows\system32\aston.mt (reinstalka)

Co mam rozumiec poprzez reinstalka? Usunąc po prostu te pliki, czy są to elementy systemowe, które muszę doda na nowo z konsoli odzyskiwania?
A te wpisy pousuwac z rejestru jak? W hijacku?

A, własnie, moj komp został chyba użyty do rozsyłania spamu, bo tostałem na skrzynę mailową informację zwrotną o niedostarczeniu wiadomości, których nigdzie nikomu nie wysyłałem. Help!

[kisuX]

Co mam rozumiec poprzez reinstalka? Usunąc po prostu te pliki, czy są to elementy systemowe, które muszę doda na nowo z konsoli odzyskiwania?

pliki do usunięcia

są to reinstalki dla pliku nvaux.dll

znalazłeś pozostałe pliki takie jak np. aston.mp ?? jeśli tak to masz Spamuzle w najnowszej wersji D -
no i czy w rejestrach znalazłeś tego: cls.exe i nvaux.dll ??

P.S. ja wpisy ręcznie ciełem z rejestrów

P.S. 2 trochę to inaczej wygląda w WIN2000 inaczej w XP a inaczej w Viście - ja podaje to dla XP

[sgsman]

del C:\MarioForever.exe (końcowy plik z kodem występuje na wszystkich dyskach (partycjach) w katalogu gł. czyli w D: też bedzie)
del C:\windows\system32\nvaux32.dll (tu musisz usunąć jego wpis w rejestrze - lub wywalić ręcznie proces patrz 1 linia z rejestrów)
del c:\windows\system32\cls.exe (plik rozsyłający)
del C:\windows\system32\drivers\atmapi.sys (p.p. reinstalka)
del C:\windows\system32\aston.mt (reinstalka)

Ani jednego z tych plików nie zauważyłem w kompie z włączoną opcja "pokaż ukryte pliki i foldery". Dziwne.

Co do cięcia wpisów w rejestrze - wybacz pytanie, ale jestem w tej kwestii zielonkawy - jak używać i wejść w ogóle do edytora rejestru?

PS. XPka mam jakby co

[kisuX]

Co do cięcia wpisów w rejestrze - wybacz pytanie, ale jestem w tej kwestii zielonkawy - jak używać i wejść w ogóle do edytora rejestru?

Start > Uruchom > regedit {enter}

jak nie znasz sie na wpisach to poza wycinaniem tego co ci podałem nie usuwaj niczego bo ci system może nie wstać

p.s. przy przywracaniu systemu -może ci się ponownie zainfekować komp - aby to wykluczyć możesz usunąć plik z katalogu C:\windows\prefetch\cls.exe* - tu gdzie gwaiazdka masz różne cyfry (w różnych kompach jest różnie) - wystarczy jak w cmd dasz: del C:\windows\prefetch\cls.exe*
i po sprawie

[sgsman]

Co do plików

del C:\MarioForever.exe (końcowy plik z kodem występuje na wszystkich dyskach (partycjach) w katalogu gł. czyli w D: też bedzie)
del C:\windows\system32\nvaux32.dll (tu musisz usunąć jego wpis w rejestrze - lub wywalić ręcznie proces patrz 1 linia z rejestrów)
del c:\windows\system32\cls.exe (plik rozsyłający)
del C:\windows\system32\drivers\atmapi.sys (p.p. reinstalka)
del C:\windows\system32\aston.mt (reinstalka)

Nie znalazłem ich na kompie, cls.exe też nie znalazłem. Na wszelki wypadek (podejrzewając, że są złosliwie niewidoczne dla mnie) wrzuciłem skrypt do ich usunięcia dla Avengera. Nic nie usunał, bo nic nie znalazł - oto log:

Kod: Zaznacz wszystko

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "C:\MarioForever.exe" not found!
Deletion of file "C:\MarioForever.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\windows\system32\nvaux32.dll" not found!
Deletion of file "C:\windows\system32\nvaux32.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\cls.exe" not found!
Deletion of file "c:\windows\system32\cls.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\windows\system32\drivers\atmapi.sys" not found!
Deletion of file "C:\windows\system32\drivers\atmapi.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\windows\system32\aston.mt" not found!
Deletion of file "C:\windows\system32\aston.mt" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.


Tyle w kwestii plików.
Co do wpisów rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\1

Nie mam ani jednego takiego folderu w rejestrze jak np "1", "2"... nie znalazłem więc tych wpisów.
Tylko "[TWO RANDOM LETTERS]pInit_Dlls" znalazłem jedynie w tym folderze "AppInit_DLLs" - co z nim zrobić? wypierdzielić?

Tyle! Czy nic nie mam na kompjutrze, czy może się tak sprytnie pochowały te pliki i wpisy ?
Podmiany user32.dll dokonam przez konsole potem.

[kisuX]

to dobrze, że nic nie znalazły
wcześniejsze wersje Spamuzle korzystały z users32 - poszukaj na stronie symantec-a - tam masz opis do wersji wcześniejszych - ciężko dokładnie stwierdzić która to mutacja - ale zobacz users32 to wersja C wirusa tu masz link:
http://www.symantec.com/security_response/writeup.jsp?docid=2007-101614-2049-99&tabid=2


"AppInit_DLLs" - to prawidłowy wpis

[sgsman]

Serdeczne dzięki. Za pomoc. bo jestem trochę zielony
Takie jeszcze pytanie: czy skorzystanie w konsoli odzyskiwania z komendy

expand X:\i386\user32.dl_ C:\Windows\sytem32\user32.dll

1. Spowoduje podmianę, czyli wyleczenie pliku;
2. Jeżeli tak, to czy tylko ta jedna podmiana z konsoli spowoduje automatycznie podmianę także pliku we wszystkich innych ścieżkach, które widać w logu z SDFixa kilka postów wyżej (generalnie ta biblioteka siedzi w katalogach ServicePacka)?
3. Aha, zapomniałbym:

no i czy w rejestrach znalazłeś tego: cls.exe i nvaux.dll ??

To ja się pytam (wiem, znów głupie pytanie) - gdzie powinienem szukać? Tak samo, gdzie konkretnie mógłby się znajdować ten katalog "OKAMAI"?

Wybacz, że tak zawracam głowę

[wojtas]

spowoduje podmiane , ale tylko w system32

[kisuX]

To ja się pytam (wiem, znów głupie pytanie) - gdzie powinienem szukać? Tak samo, gdzie konkretnie mógłby się znajdować ten katalog "OKAMAI"?

jak uruchomisz regedit w menu masz edycja a tam Znajdź wpisz ciąg cls.exe i {enter} - jak znajdzie wpis i go zmienisz to dajesz F3 i szuka następnego (jesli masz Spamuzle.D - to pliki cls.exe będą właśnie w OKAMAI)

potem to samo dla nvaux32

p.s. z tego co wiem to starsza wersja robaka np.Spamuzle.C po zainfekowaniu stara się połączyć ze swoim serwerem i pobrać nową wersję wirusa - a w sieci komp "matka" zbiera dane do kont administracyjnych i stara się je wysłać na nr IP które są podane na tej stronie SYMANTEC-a

Autor postu otrzymał pochwałę

[sgsman]

Witam!
W końcu zrobiłem, co trzeba było.
Podmieniłem plik user32.dll, ale był najwyraźniej niezgodny (wina ServicePacka?), więc skopiowałem z innego komputra - i działa. Przeskanowałem dla pewności plik na VirusTotalu - jest czysty.
Oto log z combofixa (na Kaspra nie miałem na razie czasu):

Kod: Zaznacz wszystko

ComboFix 08-12-03.04 - User 2008-12-09 18:23:05.11 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Home Edition  5.1.2600.3.1250.1.1045.18.499 [GMT 1:00]
Uruchomiony z: c:\documents and settings\User\Pulpit\ComboFix.exe

[COLOR=RED][B]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/B][/COLOR]
.

(((((((((((((((((((((((((   Pliki utworzone od 2008-11-09 do 2008-12-09  )))))))))))))))))))))))))))))))
.

2008-12-09 18:11 . 2008-04-14 18:20   580,096   --a------   c:\windows\system32\user32.NEW
2008-12-09 18:11 . 2008-04-14 18:20   580,096   --a------   c:\windows\system32\user32.dll
2008-12-05 16:40 . 2008-12-05 16:40   <DIR>   d--------   C:\hijackthis
2008-12-05 16:14 . 2008-11-06 02:03   <DIR>   d--------   C:\SDFix
2008-11-13 09:12 . 2008-10-24 12:21   455,296   ---------   c:\windows\system32\dllcache\mrxsmb.sys
2008-11-13 09:11 . 2008-09-04 18:17   1,106,944   ---------   c:\windows\system32\dllcache\msxml3.dll
2008-11-09 15:47 . 2008-11-29 18:43   54,156   --ah-----   c:\windows\QTFont.qfn
2008-11-09 15:47 . 2008-11-09 15:47   1,409   --a------   c:\windows\QTFont.for

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-04 16:31   580,096   ----a-w   c:\windows\system32\dllcache\user32.dll
2008-10-26 17:59   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\Trymedia
2008-10-25 15:16   249,592   ----a-w   c:\windows\system32\cssdll32.dll
2008-10-25 15:15   ---------   d-----w   c:\program files\COMODO
2008-10-25 15:15   ---------   d-----w   c:\documents and settings\User\Dane aplikacji\Comodo
2008-10-25 15:15   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\comodo
2008-10-25 09:36   ---------   d-----w   c:\program files\Avira
2008-10-25 09:36   ---------   d-----w   c:\documents and settings\All Users\Dane aplikacji\Avira
2008-10-24 11:21   455,296   ----a-w   c:\windows\system32\drivers\mrxsmb.sys
2008-10-22 15:31   223,128   ----a-w   c:\windows\system32\drivers\dtscsi.sys
2008-10-22 15:26   96,384   ----a-w   c:\windows\system32\drivers\sptd9597.sys
2008-10-20 21:04   0   ----a-w   c:\windows\system32\drivers\sptd.sys
2008-10-20 21:04   0   ----a-w   c:\windows\system32\drivers\EagleNT.sys
2008-10-16 13:13   202,776   ----a-w   c:\windows\system32\wuweb.dll
2008-10-16 13:13   202,776   ----a-w   c:\windows\system32\dllcache\wuweb.dll
2008-10-16 13:13   1,809,944   ----a-w   c:\windows\system32\wuaueng.dll
2008-10-16 13:13   1,809,944   ----a-w   c:\windows\system32\dllcache\wuaueng.dll
2008-10-16 13:12   561,688   ----a-w   c:\windows\system32\wuapi.dll
2008-10-16 13:12   561,688   ----a-w   c:\windows\system32\dllcache\wuapi.dll
2008-10-16 13:12   323,608   ----a-w   c:\windows\system32\wucltui.dll
2008-10-16 13:12   323,608   ----a-w   c:\windows\system32\dllcache\wucltui.dll
2008-10-16 13:09   92,696   ----a-w   c:\windows\system32\dllcache\cdm.dll
2008-10-16 13:09   92,696   ----a-w   c:\windows\system32\cdm.dll
2008-10-16 13:09   51,224   ----a-w   c:\windows\system32\wuauclt.exe
2008-10-16 13:09   51,224   ----a-w   c:\windows\system32\dllcache\wuauclt.exe
2008-10-16 13:09   43,544   ----a-w   c:\windows\system32\wups2.dll
2008-10-16 13:08   34,328   ----a-w   c:\windows\system32\wups.dll
2008-10-16 13:08   34,328   ----a-w   c:\windows\system32\dllcache\wups.dll
2008-10-15 17:36   337,408   ------w   c:\windows\system32\dllcache\netapi32.dll
2008-10-14 10:55   110,304   ----a-w   c:\windows\system32\drivers\ACEDRV09.sys
2008-10-03 18:26   6,066,176   ------w   c:\windows\system32\dllcache\ieframe.dll
2008-09-30 15:43   1,286,152   ----a-w   c:\windows\system32\msxml4.dll
2008-09-15 16:27   1,846,656   ----a-w   c:\windows\system32\win32k.sys
2008-09-15 16:27   1,846,656   ------w   c:\windows\system32\dllcache\win32k.sys
2008-09-10 01:15   1,307,648   ------w   c:\windows\system32\msxml6.dll
2008-09-10 01:15   1,307,648   ------w   c:\windows\system32\dllcache\msxml6.dll
2005-03-31 21:17   40,960   ----a-w   c:\program files\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((((   snapshot@2008-12-04_17.35.46,57   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-08-07 15:27:04   163,328   ----a-w   c:\windows\ERUNT\SDFIX\ERDNT.EXE
+ 2008-08-07 14:27:04   163,328   ----a-w   c:\windows\ERUNT\SDFIX\ERDNT.EXE
- 2008-10-21 13:31:34   528,384   ----a-w   c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat
+ 2008-12-05 15:20:12   528,384   ----a-w   c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat
- 2008-10-21 13:31:34   8,192   ----a-w   c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-12-05 15:20:14   8,192   ----a-w   c:\windows\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
.
(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS SmartDoctor"="c:\program files\ASUS\SmartDoctor\\SmartDoctor.exe" [2004-12-16 987136]
"updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-10-24 307200]
"PeerGuardian"="c:\program files\PeerGuardian2\pg2.exe" [2005-09-18 1421824]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"RemoteControl"="c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768]
"InCD"="c:\program files\Ahead\InCD\InCD.exe" [2005-06-10 1397760]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"ISUSScheduler"="c:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-08-08 282624]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]

c:\documents and settings\User\Menu Start\Programy\Autostart\
WordWeb.lnk - f:\wordweb\wweb32.exe [2007-01-28 20992]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\
GetRight - Tray Icon.lnk - c:\program files\GetRight\getright.exe [2006-02-14 2301952]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
Uruchamianie pakietu Office.lnk - c:\program files\Microsoft Office\Office\OSA.EXE [1997-10-06 51984]
Microsoft Find Fast.lnk - c:\program files\Microsoft Office\Office\FINDFAST.EXE [1997-10-06 111376]
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-06-06 113664]
Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk - c:\program files\SAGEM WiFi manager\WLANUTL.exe [2007-03-21 925696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll
"vidc.asv2"= asusasv2.dll
"msacm.dvacm"= dvacm.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\acup.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mks_Scan]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mks_Scan\Service]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Gadu-Gadu\\gg.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"f:\\FileZilla\\FileZilla.exe"=
"c:\\WINDOWS\\System32\\dpvsetup.exe"=
"c:\\Program Files\\Gadu-Gadu\\ggphone\\ggphone.exe"=
"d:\\AOE2CONQ\\empires2.exe"=
"c:\\Program Files\\Mozilla Firefox\\FIREFOX.EXE"=
"c:\\Program Files\\FlashGet\\FLASHGET.EXE"=
"d:\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"c:\\Program Files\\SopCast\\SopCast.exe"=
"c:\\Documents and Settings\\User\\Dane aplikacji\\SopCast\\adv\\SopAdver.exe"=
"c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\SopCast\\sopvod.exe"=
"c:\\Program Files\\TC PowerPack\\totalcmd.exe"=
"c:\\Program Files\\QuickTime\\QuickTimePlayer.exe"=
"d:\\Program Files\\Wolfenstein - Enemy Territory\\ET.exe"=

R2 ACEDRV09;ACEDRV09;\??\c:\windows\system32\drivers\ACEDRV09.sys [2008-10-14 110304]
R2 SVKP;SVKP;\??\c:\windows\system32\SVKP.sys [2008-08-17 2368]
R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;c:\windows\system32\DRIVERS\WlanBZXP.sys [2007-03-21 402432]
R3 Video3D;ASUS Video3D Service;c:\windows\system32\Drivers\Video3D.sys [2004-07-06 44544]
S1 acup;VPower Control Service;c:\windows\system32\acup.sys []
S1 ZDCndis5;ZDCndis5 Protocol Driver;\??\c:\windows\system32\ZDCndis5.SYS [2008-10-20 0]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;d:\program files\MAGIX\Common\Database\bin\fbserver.exe [2008-09-27 1527900]
S3 UPnPService;UPnPService;c:\program files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [2008-10-14 544768]

*Newly Created Service* - PGFILTER
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.onet.pl/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &Ściągnij przy pomocy FlashGet'a - c:\program files\FlashGet\jc_link.htm
IE: &Ściągnij wszystko przy pomocy FlashGet'a - c:\program files\FlashGet\jc_all.htm
IE: Download with GetRight - c:\program files\GetRight\GRdownload.htm
IE: Open with GetRight Browser - c:\program files\GetRight\GRbrowse.htm

O16 -: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

c:\windows\Downloaded Program Files\weblive.exe - O16 -: {070CA17A-4BD2-4612-83B4-32B1B9159B47}
hxxp://uc.sina.com.cn/download/live/weblive2.4.0.0.cab
c:\windows\Downloaded Program Files\setup.inf

c:\windows\system32\ArcaMicroScanUpdater.exe - c:\windows\system32\ArcaOnlineUninstall.exe
c:\windows\system32\ArcaOnline.dll
O16 -: {3D8700FB-86A4-4CB4-B738-6F0FC016AC7D}
hxxp://slimak.onet.pl/_m/wirusy/ArcaOnline.cab
c:\windows\Downloaded Program Files\ArcaOnline.inf

c:\windows\system32\SkanerOnlineUninstall.exe - c:\windows\system32\SkanerOnline.dll
O16 -: {68282C51-9459-467B-95BF-3C0E89627E55}
hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
c:\windows\Downloaded Program Files\SkanerOnline.inf

c:\windows\Downloaded Program Files\UKooPlayer.ocx - O16 -: {A903E5AB-C67E-40FB-94F1-E1305982F6E0}
hxxp://www.euchannels.net/UKooPlayer.ocx

c:\windows\system32\SkanerOnlineUninstall.exe - c:\windows\system32\SkanerOnline.dll
O16 -: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7}
hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
c:\windows\Downloaded Program Files\SkanerOnline.inf
FireFox -: Profile - c:\documents and settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\4hsbxv9g.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://onet.pl/
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-09 18:25:10
Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPI

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
Czas ukończenia: 2008-12-09 18:25:54
ComboFix4.txt  2008-10-25 14:57:48
ComboFix-quarantined-files.txt  2008-12-09 17:25:52
ComboFix3.txt  2008-12-04 16:36:14
ComboFix2.txt  2008-12-05 15:33:20

Przed: 2 779 250 688 bajtów wolnych
Po: 2,807,676,928 bajtów wolnych

190   --- E O F ---   2008-11-13 12:22:58


Czy gra gitara?

co do cls.exe, OKAMAI i nvaux32 - nie znalazłem takich fraz w mym rejestrze wszystko w proządalu więc?

[wojtas]

sciagnij killbox’a

Odpalasz Killboxa zaznacz opcję Delete on Reboot następnie w polu Full Path of File to Delete wklej ścieżkę

c:\windows\system32\cssdll32.dll

i nacisnij x
Program będzie pytał o restart (oczywiście zgadzasz się)