Samotworzące się pliki: c:\2.cmd c:\autorun.inf

[janko]

Witam.
Coś mnie dziś zaatakowało, zaczęły się samoistnie tworzyć m.in. pliki:
c:\2.cmd c:\Autorun.inf
Po ich ręcznym usunięciu za chwilę były z powrotem.

Puściłem ComboFix, poniżej podaję log, ale nie mam 100% pewności, czy już wszystko będzie działać.
Wie ktoś jak się można tym robactwem zarazić (przeglądarka, poczta)?
Bo rozprzestrzenia się nieźle - podłączyłem dysk do drugiego kompa (przed ComboFix), żeby usunąć jakimś zwykłym antywirem i od razu załatwił mi ten zdrowy!

Log z ComboFix:

Kod: Zaznacz wszystko

ComboFix 08-08-18.05 - ja 2008-08-20 11:25:51.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows 2000 Professional  5.0.2195.4.1250.1.1045.18.253 [GMT 2:00]
Running from: C:\1\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\2.cmd
C:\autorun.inf
C:\Documents and Settings\ja\UserData
C:\Documents and Settings\ja\UserData\index.dat
C:\WINNT\system32\btfunc.dll
C:\WINNT\system32\Cfx32.lic
C:\WINNT\system32\cfx32.ocx
C:\WINNT\system32\ckvo.exe
C:\WINNT\system32\ckvo0.dll
C:\WINNT\system32\ckvo1.dll
C:\WINNT\Web\default.htt
D:\2.cmd
D:\Autorun.inf
E:\2.cmd
E:\Autorun.inf

.
(((((((((((((((((((((((((   Files Created from 2008-07-20 to 2008-08-20  )))))))))))))))))))))))))))))))
.

2008-08-20 11:16 . 08-08-20 11:16    <DIR>   d--------   C:\1
2008-08-20 10:24 . 08-08-20 10:24    <DIR>   d--------   C:\fsaua.data
2008-08-20 10:14 . 08-08-20 10:14    84,992   --a------   C:\WINNT\system32\ckvo0-.dll
2008-08-20 10:12 . 08-08-20 10:12    <DIR>   d--------   C:\FOUND.000
2008-08-20 10:12 . 08-08-20 10:12    16,384   --a------   C:\WINNT\system32\Perflib_Perfdata_278.dat
2008-08-20 06:17 . 01-03-02 20:51    368,710   --a------   C:\WINNT\system32\msisam11.dll
2008-08-20 06:17 . 01-10-01 19:47    335,360   --a------   C:\WINNT\system32\wmstream.dll
2008-08-20 06:17 . 01-03-02 20:51    241,725   --a------   C:\WINNT\system32\msuni11.dll
2008-08-20 06:17 . 01-10-01 19:50    163,840   --a------   C:\WINNT\system32\mindex.dll
2008-08-20 06:17 . 01-10-01 19:47    118,784   --a------   C:\WINNT\system32\wmsdmoe.dll
2008-08-20 06:17 . 01-10-01 19:49    89,088   --a------   C:\WINNT\system32\wmidx.ocx
2008-08-20 06:13 . 07-07-30 19:19    38,232   --a------   C:\WINNT\system32\wucltui.dll.mui
2008-08-20 06:13 . 07-07-30 19:20    30,040   --a------   C:\WINNT\system32\wuaucpl.cpl.mui
2008-08-20 06:13 . 07-07-30 19:20    30,040   --a------   C:\WINNT\system32\wuapi.dll.mui
2008-08-20 06:13 . 07-07-30 19:18    21,336   --a------   C:\WINNT\system32\wuaueng.dll.mui
2008-08-20 05:59 . 08-08-20 05:59    16,384   --a------   C:\WINNT\system32\Perflib_Perfdata_274.dat

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-16 09:33   ---------   d-----w   C:\Program Files\Gnokii
2008-07-11 09:46   ---------   d-----w   C:\Documents and Settings\ja\Dane aplikacji\AdobeUM
2008-07-10 10:10   ---------   d-----w   C:\Program Files\Common Files\Wise Installation Wizard
2008-07-09 08:14   ---------   d-----w   C:\Program Files\Sun
2008-06-10 09:10   256   ----a-w   C:\Documents and Settings\ja\pool.bin
2007-03-21 16:58   271   ---h--w   C:\Program Files\desktop.ini
2007-03-21 16:58   22,039   ---h--w   C:\Program Files\folder.htt
2000-03-20 22:00   32,528   ----a-w   C:\WINNT\inf\wbfirdma.sys
2007-05-22 17:14   8,784   ----a-w   C:\Program Files\mozilla firefox\plugins\ractrlkeyhook.dll
2007-05-22 17:17   245,408   ----a-w   C:\Program Files\mozilla firefox\plugins\unicows.dll
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"="C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [06-09-11 04:40  218032]
"internat.exe"="internat.exe" [00-03-21 00:00  20752 C:\WINNT\system32\internat.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINNT\System32\igfxtray.exe" [05-09-20 10:35  94208]
"igfxhkcmd"="C:\WINNT\System32\hkcmd.exe" [05-09-20 10:32  77824]
"igfxpers"="C:\WINNT\System32\igfxpers.exe" [05-09-20 10:36  114688]
"SoundMAXPnP"="C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe" [04-10-14 09:11  1388544]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [08-06-10 04:27  144784]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [08-07-19 16:38  78008]
"DAEMON Tools-1033"="C:\Program Files\D-Tools\daemon.exe" [04-08-22 17:05  81920]
"NeroFilterCheck"="C:\WINNT\system32\NeroCheck.exe" [01-07-09 10:50  155648]
"PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE" [06-06-15 12:36  229376]
"LogMeIn GUI"="C:\Program Files\LogMeIn\LogMeInSystray.exe" [06-10-06 19:55  303864]
"RemoteControl"="C:\WINNT\system32\rmctrl.exe" [05-01-25 06:03  32768]
"Client Access Service"="C:\Program Files\IBM\Client Access\cwbsvstr.exe" [05-10-19 05:40  20531]
"Client Access Check Version"="C:\Program Files\IBM\Client Access\cwbckver.exe" [05-10-19 05:40  53299]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [05-10-26 16:17  159744]
"Synchronization Manager"="mobsync.exe" [03-06-19 12:05  111888 C:\WINNT\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [00-03-21 00:00  20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 12:05  188688]

C:\Documents and Settings\ja\Menu Start\Programy\Autostart\
PopTray.lnk - C:\Program Files\PopTray\PopTray.exe [2006-09-16 15:01:16 1666048]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 07:05:26 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll

R1 aswSP;avast! Self Protection;C:\WINNT\system32\drivers\aswSP.sys [08-07-19 16:35 ]
R2 aswFsBlk;aswFsBlk;C:\WINNT\system32\DRIVERS\aswFsBlk.sys [08-07-19 16:37 ]
R2 aswMon;avast! Standard Shield Support;C:\WINNT\system32\drivers\aswMon.sys [08-01-17 17:34 ]
R2 LMIInfo;LogMeIn Kernel Information Provider;C:\Program Files\LogMeIn\RaInfo.sys [06-10-06 19:56 ]
R2 nedrv;nedrv;C:\WINNT\system32\drivers\nedrv.sys [03-10-23 12:57 ]
R2 npdrv;npdrv;C:\WINNT\system32\drivers\npdrv.sys [07-02-03 20:23 ]
R3 usbhub20;Obsługa głównego koncentratora USB 2.0;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 12:05 ]
S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINNT\system32\DRIVERS\k510bus.sys [08-03-19 13:55 ]
S3 k510mdfl;Sony Ericsson K510 USB WMC Modem Filter;C:\WINNT\system32\DRIVERS\k510mdfl.sys [08-03-19 13:55 ]
S3 k510mdm;Sony Ericsson K510 USB WMC Modem Driver;C:\WINNT\system32\DRIVERS\k510mdm.sys [08-03-19 13:55 ]
S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINNT\system32\DRIVERS\k510mgmt.sys [08-03-19 13:55 ]
S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;C:\WINNT\system32\DRIVERS\k510obex.sys [08-03-19 13:55 ]
S3 KS-959;Kingsun KS-959 USB Infrared Adapter;C:\WINNT\system32\DRIVERS\KS-959.sys [05-09-05 02:59 ]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-kamsoft - C:\WINNT\system32\ckvo.exe


.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\ja\Dane aplikacji\Mozilla\Firefox\Profiles\att87w4j.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-20 11:26:50
Windows 5.0.2195 Service Pack 4 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-08-20 11:27:10
ComboFix-quarantined-files.txt  2008-08-20 09:27:08

Pre-Run: 2,952,499,200 bajtów wolnych
Post-Run: 3,051,466,752 bajtów wolnych

127



Czy coś jeszcze trzeba zrobić?

PS. Jeżeli coś zrobiłem nie tak jak zwyczaje tego forum - to sorki, jestem tu 1-szy raz....

[Okocza]

otwórz notatnik i wklej:

Kod: Zaznacz wszystko

File::
C:\WINNT\system32\ckvo0-.dll

Folder::
C:\1
C:\fsaua.data


Plik >>> zapisz jako CFScript.txt .Plik przeciągnij i upuść na ikonę ComboFixa (tak jak tu ) . odczekaj az wygeneruje sie nowy log i go daj na forum


Wykonaj to co jest podane w tym temacie

Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje

(jeśli pojawi się pytanie "1 or 2" - to wpisz 1 i naciśnij ENTER). Rozpocznie się proces usuwania
Potem nowy log z hijacka oraz combofixa

[janko]

Plik >>> zapisz jako CFScript.txt .Plik przeciągnij i upuść na ikonę ComboFixa (tak jak tu ) . odczekaj az wygeneruje sie nowy log i go daj na forum

Nie zadziałało....
Ale zrobiłem to częściowo ręcznie.

Wykonaj to co jest podane w tym temacie

Czy to jest konieczne? Zaraziłem się pośrednio, podłączając zawirusowany dysk do mojego kompa.

Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje

Zrobione

Potem nowy log z hijacka oraz combofixa

Nowe logi:

Kod: Zaznacz wszystko

ComboFix 08-08-18.05 - ja 2008-08-21  6:55:30.3 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows 2000 Professional  5.0.2195.4.1250.1.1045.18.315 [GMT 2:00]
Running from: C:\1\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((   Files Created from 2008-07-21 to 2008-08-21  )))))))))))))))))))))))))))))))
.

2008-08-21 06:48 . 08-08-21 06:48    <DIR>   d--------   C:\Program Files\Trend Micro
2008-08-21 06:36 . 08-08-21 06:36    16,384   --a----t-   C:\WINNT\system32\Perflib_Perfdata_324.dat
2008-08-21 06:05 . 08-08-21 06:05    16,384   --a----t-   C:\WINNT\system32\Perflib_Perfdata_274.dat
2008-08-20 13:45 . 08-08-20 13:45    <DIR>   d--------   C:\WINNT\ERUNT
2008-08-20 12:37 . 08-08-18 22:49    <DIR>   d--------   C:\SDFix
2008-08-20 11:29 . 08-08-20 11:29    <DIR>   d--------   C:\Program Files\Spybot - Search & Destroy
2008-08-20 11:29 . 08-08-20 11:29    <DIR>   d--------   C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2008-08-20 11:16 . 08-08-20 11:16    <DIR>   d--------   C:\1
2008-08-20 10:12 . 08-08-20 10:12    <DIR>   d--------   C:\FOUND.000
2008-08-20 10:12 . 08-08-20 10:12    16,384   --a------   C:\WINNT\system32\Perflib_Perfdata_278.dat
2008-08-20 06:17 . 01-03-02 20:51    368,710   --a------   C:\WINNT\system32\msisam11.dll
2008-08-20 06:17 . 01-10-01 19:47    335,360   --a------   C:\WINNT\system32\wmstream.dll
2008-08-20 06:17 . 01-03-02 20:51    241,725   --a------   C:\WINNT\system32\msuni11.dll
2008-08-20 06:17 . 01-10-01 19:50    163,840   --a------   C:\WINNT\system32\mindex.dll
2008-08-20 06:17 . 01-10-01 19:47    118,784   --a------   C:\WINNT\system32\wmsdmoe.dll
2008-08-20 06:17 . 01-10-01 19:49    89,088   --a------   C:\WINNT\system32\wmidx.ocx
2008-08-20 06:13 . 07-07-30 19:19    38,232   --a------   C:\WINNT\system32\wucltui.dll.mui
2008-08-20 06:13 . 07-07-30 19:20    30,040   --a------   C:\WINNT\system32\wuaucpl.cpl.mui
2008-08-20 06:13 . 07-07-30 19:20    30,040   --a------   C:\WINNT\system32\wuapi.dll.mui
2008-08-20 06:13 . 07-07-30 19:18    21,336   --a------   C:\WINNT\system32\wuaueng.dll.mui

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-16 09:33   ---------   d-----w   C:\Program Files\Gnokii
2008-07-11 09:46   ---------   d-----w   C:\Documents and Settings\ja\Dane aplikacji\AdobeUM
2008-07-10 10:10   ---------   d-----w   C:\Program Files\Common Files\Wise Installation Wizard
2008-07-09 08:14   ---------   d-----w   C:\Program Files\Sun
2008-06-10 09:10   256   ----a-w   C:\Documents and Settings\ja\pool.bin
2007-03-21 16:58   271   ---h--w   C:\Program Files\desktop.ini
2007-03-21 16:58   22,039   ---h--w   C:\Program Files\folder.htt
2000-03-20 22:00   32,528   ----a-w   C:\WINNT\inf\wbfirdma.sys
2007-05-22 17:14   8,784   ----a-w   C:\Program Files\mozilla firefox\plugins\ractrlkeyhook.dll
2007-05-22 17:17   245,408   ----a-w   C:\Program Files\mozilla firefox\plugins\unicows.dll
.

(((((((((((((((((((((((((((((   snapshot@Śr 2008-08-20_11.26.58.04   )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-07 14:27:04   163,328   ----a-w   C:\WINNT\ERUNT\SDFIX\ERDNT.EXE
+ 2008-08-20 11:45:46   1,773,568   ----a-w   C:\WINNT\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat
+ 2008-08-20 11:45:46   159,744   ----a-w   C:\WINNT\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-08-07 14:27:04   163,328   ----a-w   C:\WINNT\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-08-20 11:45:36   1,773,568   ----a-w   C:\WINNT\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000001\ntuser.dat
+ 2008-08-20 11:45:36   159,744   ----a-w   C:\WINNT\ERUNT\SDFIX_First_Run\Users\[u]0[/u]0000002\UsrClass.dat
- 2008-08-20 04:02:02   40,623   ----a-w   C:\WINNT\nsreg.dat
+ 2008-08-20 10:22:54   40,623   ----a-w   C:\WINNT\nsreg.dat
+ 2008-08-20 11:40:42   18,036   ----a-w   C:\WINNT\SoftwareDistribution\EventCache\{8FA7DBDE-B69B-4F76-B0F4-96B107713670}.bin
+ 2008-08-20 11:40:42   2,328   ----a-w   C:\WINNT\SoftwareDistribution\EventCache\{C89D1416-D0B1-4C91-B271-8530D0DD2FF4}.bin
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM"="C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [06-09-11 04:40  218032]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [08-01-28 11:43  2097488]
"internat.exe"="internat.exe" [00-03-21 00:00  20752 C:\WINNT\system32\internat.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINNT\System32\igfxtray.exe" [05-09-20 10:35  94208]
"igfxhkcmd"="C:\WINNT\System32\hkcmd.exe" [05-09-20 10:32  77824]
"igfxpers"="C:\WINNT\System32\igfxpers.exe" [05-09-20 10:36  114688]
"SoundMAXPnP"="C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe" [04-10-14 09:11  1388544]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [08-06-10 04:27  144784]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [08-07-19 16:38  78008]
"DAEMON Tools-1033"="C:\Program Files\D-Tools\daemon.exe" [04-08-22 17:05  81920]
"NeroFilterCheck"="C:\WINNT\system32\NeroCheck.exe" [01-07-09 10:50  155648]
"PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE" [06-06-15 12:36  229376]
"LogMeIn GUI"="C:\Program Files\LogMeIn\LogMeInSystray.exe" [06-10-06 19:55  303864]
"RemoteControl"="C:\WINNT\system32\rmctrl.exe" [05-01-25 06:03  32768]
"Client Access Service"="C:\Program Files\IBM\Client Access\cwbsvstr.exe" [05-10-19 05:40  20531]
"Client Access Check Version"="C:\Program Files\IBM\Client Access\cwbckver.exe" [05-10-19 05:40  53299]
"Sony Ericsson PC Suite"="C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [05-10-26 16:17  159744]
"Synchronization Manager"="mobsync.exe" [03-06-19 12:05  111888 C:\WINNT\system32\mobsync.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [00-03-21 00:00  20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 12:05  188688]

C:\Documents and Settings\ja\Menu Start\Programy\Autostart\
PopTray.lnk - C:\Program Files\PopTray\PopTray.exe [2006-09-16 15:01:16 1666048]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-24 07:05:26 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll

R1 aswSP;avast! Self Protection;C:\WINNT\system32\drivers\aswSP.sys [08-07-19 16:35 ]
R2 aswFsBlk;aswFsBlk;C:\WINNT\system32\DRIVERS\aswFsBlk.sys [08-07-19 16:37 ]
R2 aswMon;avast! Standard Shield Support;C:\WINNT\system32\drivers\aswMon.sys [08-01-17 17:34 ]
R2 LMIInfo;LogMeIn Kernel Information Provider;C:\Program Files\LogMeIn\RaInfo.sys [06-10-06 19:56 ]
R2 nedrv;nedrv;C:\WINNT\system32\drivers\nedrv.sys [03-10-23 12:57 ]
R2 npdrv;npdrv;C:\WINNT\system32\drivers\npdrv.sys [07-02-03 20:23 ]
R3 usbhub20;Obsługa głównego koncentratora USB 2.0;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 12:05 ]
S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINNT\system32\DRIVERS\k510bus.sys [08-03-19 13:55 ]
S3 k510mdfl;Sony Ericsson K510 USB WMC Modem Filter;C:\WINNT\system32\DRIVERS\k510mdfl.sys [08-03-19 13:55 ]
S3 k510mdm;Sony Ericsson K510 USB WMC Modem Driver;C:\WINNT\system32\DRIVERS\k510mdm.sys [08-03-19 13:55 ]
S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINNT\system32\DRIVERS\k510mgmt.sys [08-03-19 13:55 ]
S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;C:\WINNT\system32\DRIVERS\k510obex.sys [08-03-19 13:55 ]
S3 KS-959;Kingsun KS-959 USB Infrared Adapter;C:\WINNT\system32\DRIVERS\KS-959.sys [05-09-05 02:59 ]
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\ja\Dane aplikacji\Mozilla\Firefox\Profiles\att87w4j.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-21 06:57:07
Windows 5.0.2195 Service Pack 4 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-08-21  6:57:54
ComboFix-quarantined-files.txt  2008-08-21 04:57:50
ComboFix3.txt  2008-08-20 09:27:12
ComboFix2.txt  2008-08-21 04:38:30

Pre-Run: 3,010,699,264 bajtów wolnych
Post-Run: 3,002,146,816 bajtów wolnych

125


Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:00:26, on 2008-08-21
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINNT\System32\hkcmd.exe
C:\WINNT\System32\igfxpers.exe
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\LogMeIn\LogMeInSystray.exe
C:\WINNT\system32\rmctrl.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Program Files\PopTray\PopTray.exe
C:\totalcmd\TOTALCMD.EXE
C:\WINNT\explorer.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=w3cache:8080;http=w3cache:8080;https=w3cache:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 193.193.100.*;192.168.127.*
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [igfxtray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINNT\System32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\LogMeInSystray.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\system32\rmctrl.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Program Files\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: PopTray.lnk = C:\Program Files\PopTray\PopTray.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219205555140
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Usługa administracyjna Menedżera dysków logicznych (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Unknown owner - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\Common Files\PCSuite\Services\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 7097 bytes


PS.
1. Wszystko wygląda ok - tzn. nie zauważam aktywnego vira.
2. Przez vira utraciłem:
- wszystkie moje zakładki z FireFoxa (można to jakoś odzyskać??? bardzo by mi zależało)
- ustawienia z poptray'a - plik PopTray.ini został ustawiony na "nowo". Na szczęście miałem gdzieś kopię, wprawdzie nie najnowszą ale zawsze coś...

[huber2t]

Spróbuj podczas pobierania zapisać nie pod nazwą ComboFix.exe tylko z kreską pomiędzy:

Combo-Fix.exe

Wyłącz programy ochronne

I spróbuj ponownie z combofixem

[Okocza]

- wszystkie moje zakładki z FireFoxa (można to jakoś odzyskać??? bardzo by mi zależało)

nie bardzo - chyba że masz gdzieś plik bookmarks.html

okocza napisał(a):Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje

Zrobione

a gdzie log wstaw go.