Win32:cutwail(trj) - jak sie pozbyc?

**Posty:** 8 · przez **lessster** 17 Cze 2009, 00:54

ja z problemem jak w tytule=( i niestety combofixem juz przeskanowalem komputer bo tak mi kumpel zasugerowal...tylko nie wiedzial co dalej, a na to forum trafilem juz po fakcie;/
nie wiem czy tak powinno byc czy nie, ale poki co, po tym przeskanowaniu, wszystko chodzi...tylko tapeta zniknela=)
to jest log jakiego dostalem:

Kod: Zaznacz wszystko: ComboFix 09-06-15.07 - Lester 2009-06-16 20:17.1 - FAT32x86 Microsoft Windows XP Home Edition 5.1.2600.2.1250.48.1045.18.502.302 [GMT 2:00] Uruchomiony z: c:\documents and settings\Lester\Pulpit\ComboFix.exe AV: avast! antivirus 4.7.1043 [VPS 090616-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D} UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\drivers\systemntmi.sys c:\documents and settings\Lester\Dane aplikacji\wiaserva.log c:\documents and settings\Lester\Lester.exe c:\documents and settings\Lester\Menu Start\Programy\Autostart\rncsys32.exe c:\documents and settings\Lester\oashdihasidhasuidhiasdhiashdiuasdhasd c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd c:\windows\system32\drivers\amd64si.sys c:\windows\Temp\log.txt . ((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_SYSTEMNTMI -------\Service_systemntmi -------\Legacy_amd64si -------\Service_amd64si ((((((((((((((((((((((((( Pliki utworzone od 2009-05-16 do 2009-06-16 ))))))))))))))))))))))))))))))) . 2009-06-16 17:43 . 2009-06-16 17:43 -------- d-sh--w- C:\FOUND.000 2009-06-05 09:04 . 2009-06-05 09:04 -------- d-----w- c:\program files\QuickTime 2009-06-05 09:04 . 2009-06-05 09:04 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Apple Computer 2009-06-05 09:04 . 2009-06-05 09:04 -------- d-----w- c:\documents and settings\Lester\Ustawienia lokalne\Dane aplikacji\Apple 2009-06-05 09:04 . 2009-06-05 09:04 -------- d-----w- c:\program files\Apple Software Update 2009-06-05 09:04 . 2009-06-05 09:04 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Apple 2009-06-05 09:04 . 2009-06-05 09:04 -------- d-----w- c:\documents and settings\Lester\Ustawienia lokalne\Dane aplikacji\Apple Computer 2009-05-28 07:56 . 2009-05-28 07:56 -------- d-s---w- c:\documents and settings\Lester\UserData . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-06-16 17:36 . 2009-03-23 18:24 1 ----a-w- c:\documents and settings\Lester\Dane aplikacji\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2009-05-12 21:46 . 2009-05-12 21:46 -------- d-----w- c:\program files\ffdshow 2009-05-07 15:44 . 1979-12-31 22:00 346112 ----a-w- c:\windows\system32\localspl.dll 2009-05-06 09:04 . 2009-05-06 09:04 -------- d-----w- c:\documents and settings\Lester\Dane aplikacji\U3 2009-04-29 04:53 . 1979-12-31 22:00 662016 ----a-w- c:\windows\system32\wininet.dll 2009-04-29 04:53 . 1979-12-31 22:00 81920 ----a-w- c:\windows\system32\ieencode.dll 2009-04-19 20:11 . 1979-12-31 22:00 1846912 ----a-w- c:\windows\system32\win32k.sys 2009-04-16 22:31 . 1979-12-31 22:00 50656 ----a-w- c:\windows\system32\perfc015.dat 2009-04-16 22:31 . 1979-12-31 22:00 357564 ----a-w- c:\windows\system32\perfh015.dat 2009-04-15 15:18 . 1979-12-31 22:00 584192 ----a-w- c:\windows\system32\rpcrt4.dll 2009-03-27 21:32 . 2009-03-23 18:05 1303 ----a-w- c:\windows\mozver.dat 2009-03-25 23:02 . 2009-03-25 23:02 737280 ----a-w- c:\windows\iun6002.exe 2009-03-25 18:38 . 2009-03-25 18:38 503808 ----a-w- c:\documents and settings\Lester\Dane aplikacji\Sun\Java\Deployment\cache\6.0\38\39ba6e6-63201938-n\msvcp71.dll 2009-03-25 18:38 . 2009-03-25 18:38 499712 ----a-w- c:\documents and settings\Lester\Dane aplikacji\Sun\Java\Deployment\cache\6.0\38\39ba6e6-63201938-n\jmc.dll 2009-03-25 18:38 . 2009-03-25 18:38 348160 ----a-w- c:\documents and settings\Lester\Dane aplikacji\Sun\Java\Deployment\cache\6.0\38\39ba6e6-63201938-n\msvcr71.dll 2009-03-25 18:37 . 2009-03-25 18:37 410984 ----a-w- c:\windows\system32\deploytk.dll 2009-03-25 18:37 . 2009-03-25 18:37 152576 ----a-w- c:\documents and settings\Lester\Dane aplikacji\Sun\Java\jre1.6.0_13\lzma.dll 2009-03-25 10:12 . 2004-10-04 16:29 76487 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat 2009-03-23 19:31 . 2009-03-23 19:29 59 ----a-w- c:\windows\wpd99.drv 2009-03-23 19:29 . 2009-03-23 19:29 51716 ----a-w- c:\windows\system32\pdf995mon.dll 2009-03-23 19:29 . 2009-03-23 19:29 249856 ----a-w- c:\windows\system32\pdfmona.dll 2009-03-23 18:34 . 2009-03-23 18:34 38808 ----a-w- c:\documents and settings\Lester\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT 2009-03-23 17:53 . 2009-03-23 17:53 0 ----a-w- c:\windows\nsreg.dat 2009-03-23 17:49 . 2005-07-13 13:57 1024 ---h--r- c:\windows\system32\NTIBUN4.dll 2009-03-23 17:48 . 2005-07-13 13:56 1024 ---h--r- c:\windows\system32\NTIMPEG2.dll 2009-03-23 17:48 . 2005-07-13 13:56 1024 ---h--r- c:\windows\system32\NTIMP3.dll 2009-03-23 17:48 . 2005-07-13 13:56 1024 ---h--r- c:\windows\system32\NTIFCD3.dll 2009-03-23 17:48 . 2005-07-13 13:56 1024 ---h--r- c:\windows\system32\NTICDMK7.dll 2009-03-23 17:48 . 2005-07-13 13:56 6144 ----a-w- c:\windows\system32\drivers\NTIDrvr.sys 2009-03-25 22:27 . 2009-03-23 17:52 67688 ----a-w- c:\program files\mozilla firefox\components\jar50.dll 2009-03-25 22:27 . 2009-03-23 17:52 54368 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll 2009-03-25 22:27 . 2009-03-23 17:52 34944 ----a-w- c:\program files\mozilla firefox\components\myspell.dll 2009-03-25 22:27 . 2009-03-23 17:52 46712 ----a-w- c:\program files\mozilla firefox\components\spellchk.dll 2009-03-25 22:27 . 2009-03-23 17:52 172136 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "ALLUpdate"="c:\program files\ALLPlayer\ALLUpdate.exe" [2008-11-24 869888] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X] "preload"="c:\windows\RUNXMLPL.exe" [2005-05-19 32768] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-01-23 155648] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-01-23 126976] "SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-02-04 102490] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-02-04 708698] "EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-06-01 192512] "ePowerManagement"="c:\acer\ePM\ePM.exe" [2005-03-15 2893824] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952] "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168] "PCMService"="c:\program files\Arcade\PCMService.exe" [2005-03-09 49152] "LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-07-25 32768] "PowerKey"="c:\program files\Launch Manager\PowerKey.exe" [2002-08-30 94208] "LManager"="c:\program files\Launch Manager\HotkeyApp.exe" [2005-06-06 69632] "CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2003-09-16 20480] "LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2005-07-25 241664] "Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2005-07-25 81920] "eRecoveryService"="c:\program files\Acer\eRecovery\Monitor.exe" [2005-06-29 352256] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 79224] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-25 148888] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696] "SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-04-15 77824] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Gadu-Gadu\\gg.exe"= "c:\\Program Files\\uTorrent\\uTorrent.exe"= R3 POWERKEY;POWERKEY;c:\program files\Launch Manager\POWERKEY.SYS [2009-03-23 2343] S1 mailKmd;mailKmd; [x] . . ------- Skan uzupełniający ------- . uStart Page = hxxp://global.acer.com/ uInternet Connection Wizard,ShellNext = hxxp://www.freeware995.com/promo/aa.htm FF - ProfilePath - . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-06-16 20:23 Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > 'explorer.exe'(2280) c:\program files\CyberLink\Shared Files\CLRCEngine.dll c:\windows\system32\msi.dll . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\program files\Alwil Software\Avast4\aswUpdSv.exe c:\program files\Alwil Software\Avast4\ashServ.exe c:\acer\eManager\anbmServ.exe c:\program files\Java\jre6\bin\jqs.exe c:\program files\Alwil Software\Avast4\ashMaiSv.exe c:\program files\Alwil Software\Avast4\ashWebSv.exe c:\windows\system32\wbem\wmiapsrv.exe . ************************************************************************** . Czas ukończenia: 2009-06-16 20:25 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2009-06-16 18:25 Przed: 8 999 682 048 bajtów wolnych Po: 9 000 468 480 bajtów wolnych 152 --- E O F --- 2009-06-14 22:59

wklej.org/id/107339/

i nie wiem co dalej=)
z gory dzieki za pomoc=)

**Posty:** 18165 · przez **wojtas** 17 Cze 2009, 08:16

Wykonaj to co jest podane w tym temacie

1.Uruchom OTL z opcji CleanUp
2. wykonaj optymalizację windowsa
3.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
4. Wykonaj skan Dr. Web CureIt
5. Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

i tym (skasuj co znajdzie)

Malwarebytes Anti-Malware

Jeśli masz Adobe Reader to zaaktualizuj go do najnowszej wersji

**Posty:** 8 · przez **lessster** 17 Cze 2009, 16:45

No to tak....zrobilem co mi kazano w poscie wyzej, i kaspersky znalazl jakies 4 trojany, ale żaden to Win32:cutwail, czyli może rzeczywiscie sobie z nim combofix, przy pierwszym odpaleniu poradzil. te które znalazł kaspersky nie zostały znalezione przez Malwarebytes, wiec je usunąłem recznie, były gdzieś w katalogu c:\system volume information. po tym jak je recznie skasowałem to kopersky juz ich nie znalazł, więc zakładam że komputer wyczyszczony...?=)
w ogole zastanawiam sie tez skad te trojany, bo akurat na ten komputer nic specjalnie nie jest sciagane ani nikt na podejrzane strony nie wchodzi...

dzieki za pomoc!
pozdrawiam!

**Posty:** 18165 · przez **wojtas** 17 Cze 2009, 20:02

czysto jest

pozdro

**Posty:** 8 · przez **lessster** 23 Cze 2009, 18:37

po ostatnich moich problemach z trojanem cutwail, myslalem ze wszystko juz zalatwione, a tutaj sie okazuje, że avast praktycznie każdego dnia mi mowi ze znalazl jakiegos pasozyta, czasami sie go da usunąć a czasami nie. robie wtedy restarta odpalam skanowanie Malwarebytes'em, on zazwyczaj cos znajduje, oczywiscie usuwam to, potem jeszcze skanuje raz avastem i on tez czasami jeszcze cos znajduje (ale Malwarebytes tego nie znajdywal!?) i tez kasuje. dzien, dwa pozniej historia sie powtarza, ciagle sa to inne zainfekowane pliki i inne pasozyty. mam ciagle wlaczonego windows worms doors cleaner'a. Kazdego dnia korzystam praktycznie tylko z 10 stron (wiadomosci, mail i fora - w tym to), bo mam sesje i nawet nie mam kiedy siedziec przed komputerem. Skad to sie tyle tego bierze? Jest cos co jakos blokuje te pasozyty skutecznie? one tak same atakuja? a moze po prostu trzeba sformatowac dysk i miec z glowy?

**Posty:** 18165 · przez **wojtas** 23 Cze 2009, 18:38

ale jakie robaki? w jakich plikach ?

**Posty:** 8 · przez **lessster** 23 Cze 2009, 18:58

no to tak=)

to log z wczoraj:

Kod: Zaznacz wszystko: Malwarebytes' Anti-Malware 1.37 Wersja bazy definicji: 2182 Windows 5.1.2600 Dodatek Service Pack 2 2009-06-22 19:29:11 mbam-log-2009-06-22 (19-29-11).txt Typ skanowania: Pełne skanowanie (C:\|) Przeskanowane obiekty: 113170 Upłynęło: 17 minute(s), 31 second(s) Zainfekowane procesy w pamięci: 0 Zainfekowane moduły pamięci: 0 Zainfekowane klucze rejestru: 1 Zainfekowane wartości rejestru: 0 Zainfekowane pliki rejestru: 0 Zainfekowane foldery: 0 Zainfekowane pliki: 1 Zainfekowane procesy w pamięci: (Nie wykryto groźnych plików) Zainfekowane moduły pamięci: (Nie wykryto groźnych plików) Zainfekowane klucze rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\glaide32 (Rootkit.Rustok) -> Quarantined and deleted successfully. Zainfekowane wartości rejestru: (Nie wykryto groźnych plików) Zainfekowane pliki rejestru: (Nie wykryto groźnych plików) Zainfekowane foldery: (Nie wykryto groźnych plików) Zainfekowane pliki: c:\WINDOWS\Temp\wpv521243627542.exe (Trojan.Agent) -> Quarantined and deleted successfully.

to jest log z dzisiaj:

Kod: Zaznacz wszystko: Malwarebytes' Anti-Malware 1.37 Wersja bazy definicji: 2182 Windows 5.1.2600 Dodatek Service Pack 2 2009-06-23 18:07:35 mbam-log-2009-06-23 (18-07-35).txt Typ skanowania: Szybkie skanowanie Przeskanowane obiekty: 72554 Upłynęło: 4 minute(s), 48 second(s) Zainfekowane procesy w pamięci: 0 Zainfekowane moduły pamięci: 0 Zainfekowane klucze rejestru: 1 Zainfekowane wartości rejestru: 0 Zainfekowane pliki rejestru: 0 Zainfekowane foldery: 0 Zainfekowane pliki: 1 Zainfekowane procesy w pamięci: (Nie wykryto groźnych plików) Zainfekowane moduły pamięci: (Nie wykryto groźnych plików) Zainfekowane klucze rejestru: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\glaide32 (Rootkit.Rustok) -> Quarantined and deleted successfully. Zainfekowane wartości rejestru: (Nie wykryto groźnych plików) Zainfekowane pliki rejestru: (Nie wykryto groźnych plików) Zainfekowane foldery: (Nie wykryto groźnych plików) Zainfekowane pliki: c:\WINDOWS\Temp\wpv731245771011.exe (Trojan.Agent) -> Quarantined and deleted successfully.

a tu jest raport z avasta: zaraz na poczatku jest o tych wirusach i pozniej pod koniec

* Raport avast!
* Ten plik jest generowany automatycznie
*
* Użyto zadania 'Osłona rezydentna'
* Uruchomiono 21 czerwiec 2009 19:06:31
* VPS: 090617-0, 2009-06-17
*

*
* Zadanie zatrzymane: 22 czerwiec 2009 01:01:53
* Czas działania: 5 godzin, 55 minut, 22 sekund
*

*
* Raport avast!
* Ten plik jest generowany automatycznie
*
* Użyto zadania 'Osłona rezydentna'
* Uruchomiono 22 czerwiec 2009 10:19:15
* VPS: 090621-0, 2009-06-21
*

C:\WINDOWS\system32\drivers\beep.sys [L] Win32:RustNT [Rtk] (0)
Plik został usunięty z powodzeniem...
C:\windows\system32\drivers\beep.sys [L] Win32:RustNT [Rtk] (0)
Podczas przenoszenia do kwarantanny pojawił się błąd: Nie można odnaleźć określonego pliku
C:\WINDOWS\system32\drivers\null.sys [L] Win32:RustNT [Rtk] (0)
C:\windows\system32\drivers\null.sys [L] Win32:RustNT [Rtk] (0)
C:\WINDOWS\System32\Drivers\Null.SYS [L] Win32:RustNT [Rtk] (0)
C:\WINDOWS\system32\drivers\glaide32.sys [L] Win32:RustNT [Rtk] (0)
Plik został przeniesiony do kwarantanny z powodzeniem...

*
* Zadanie zatrzymane: 22 czerwiec 2009 19:29:56
* Czas działania: 9 godzin, 10 minut, 41 sekund
*

*
* Raport avast!
* Ten plik jest generowany automatycznie
*
* Użyto zadania 'Osłona rezydentna'
* Uruchomiono 22 czerwiec 2009 19:30:48
* VPS: 090621-0, 2009-06-21
*

*
* Zadanie zatrzymane: 23 czerwiec 2009 01:10:01
* Czas działania: 5 godzin, 39 minut, 13 sekund
*

*
* Raport avast!
* Ten plik jest generowany automatycznie
*
* Użyto zadania 'Osłona rezydentna'
* Uruchomiono 23 czerwiec 2009 01:10:58
* VPS: 090622-0, 2009-06-22
*

*
* Zadanie zatrzymane: 23 czerwiec 2009 01:14:41
* Czas działania: 3 minut, 43 sekund
*

*
* Raport avast!
* Ten plik jest generowany automatycznie
*
* Użyto zadania 'Osłona rezydentna'
* Uruchomiono 23 czerwiec 2009 08:22:33
* VPS: 090622-0, 2009-06-22
*

*
* Zadanie zatrzymane: 23 czerwiec 2009 08:34:18
* Czas działania: 11 minut, 45 sekund
*

*
* Raport avast!
* Ten plik jest generowany automatycznie
*
* Użyto zadania 'Osłona rezydentna'
* Uruchomiono 23 czerwiec 2009 08:34:58
* VPS: 090622-0, 2009-06-22
*

*
* Zadanie zatrzymane: 23 czerwiec 2009 08:36:55
* Czas działania: 1 minut, 57 sekund
*

*
* Raport avast!
* Ten plik jest generowany automatycznie
*
* Użyto zadania 'Osłona rezydentna'
* Uruchomiono 23 czerwiec 2009 08:37:38
* VPS: 090622-0, 2009-06-22
*

*
* Zadanie zatrzymane: 23 czerwiec 2009 08:41:42
* Czas działania: 4 minut, 4 sekund
*

*
* Raport avast!
* Ten plik jest generowany automatycznie
*
* Użyto zadania 'Osłona rezydentna'
* Uruchomiono 23 czerwiec 2009 08:42:24
* VPS: 090622-0, 2009-06-22
*

*
* Zadanie zatrzymane: 23 czerwiec 2009 08:56:33
* Czas działania: 14 minut, 9 sekund
*

*
* Raport avast!
* Ten plik jest generowany automatycznie
*
* Użyto zadania 'Osłona rezydentna'
* Uruchomiono 23 czerwiec 2009 11:35:38
* VPS: 090622-0, 2009-06-22
*

*
* Raport avast!
* Ten plik jest generowany automatycznie
*
* Użyto zadania 'Osłona rezydentna'
* Uruchomiono 23 czerwiec 2009 17:48:44
* VPS: 090622-0, 2009-06-22
*

C:\WINDOWS\system32\drivers\beep.sys [L] Win32:RustNT [Rtk] (0)
Plik został usunięty z powodzeniem...
C:\windows\system32\drivers\beep.sys [L] Win32:RustNT [Rtk] (0)
W czasie usuwania pliku pojawił się błąd: Nie można odnaleźć określonego pliku
Podczas przenoszenia do kwarantanny pojawił się błąd: Nie można odnaleźć określonego pliku
Podczas przenoszenia do kwarantanny pojawił się błąd: Nie można odnaleźć określonego pliku
Podczas przenoszenia do kwarantanny pojawił się błąd: Nie można odnaleźć określonego pliku
W czasie usuwania pliku pojawił się błąd: Nie można odnaleźć określonego pliku
Podczas przenoszenia do kwarantanny pojawił się błąd: Nie można odnaleźć określonego pliku
C:\WINDOWS\system32\drivers\null.sys [L] Win32:RustNT [Rtk] (0)
Plik został usunięty z powodzeniem...
C:\windows\system32\drivers\null.sys [L] Win32:RustNT [Rtk] (0)
W czasie usuwania pliku pojawił się błąd: Nie można odnaleźć określonego pliku
C:\WINDOWS\system32\drivers\glaide32.sys [L] Win32:RustNT [Rtk] (0)
Plik został usunięty z powodzeniem...
C:\WINDOWS\system32\drivers\glaide32.sys [L] Win32:RustNT [Rtk] (0)
W czasie usuwania pliku pojawił się błąd: Nie można odnaleźć określonego pliku
W czasie usuwania pliku pojawił się błąd: Nie można odnaleźć określonego pliku
W czasie usuwania pliku pojawił się błąd: Nie można odnaleźć określonego pliku

*
* Zadanie zatrzymane: 23 czerwiec 2009 17:59:54
* Czas działania: 11 minut, 10 sekund
*

*
* Raport avast!
* Ten plik jest generowany automatycznie
*
* Użyto zadania 'Osłona rezydentna'
* Uruchomiono 23 czerwiec 2009 18:00:46
* VPS: 090623-0, 2009-06-23
*

sorki nie wiem czego to tak jakos glupio mi sie wkleilo=/

**Posty:** 18165 · przez **wojtas** 23 Cze 2009, 19:01

chyba jest infekcja plikow systemowych.. Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje

Potem wejdz do folderu C:\SDFix wrzuc zawartość pliku Report.txt

**Posty:** 8 · przez **lessster** 23 Cze 2009, 19:19

takie cos mi dal=):

Kod: Zaznacz wszystko: [b]SDFix: Version 1.240 [/b] Run by Lester on 2009-06-23 at 19:12 Microsoft Windows XP [Wersja 5.1.2600] Running From: C:\SDFix [b]Checking Services [/b]: Restoring Default Security Values Restoring Default Hosts File Rebooting [b]Checking Files [/b]: No Trojan Files Found Removing Temp Files [b]ADS Check [/b]: [b]Final Check [/b]: catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-06-23 19:17:19 Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI scanning hidden processes ... scanning hidden services ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 [b]Remaining Services [/b]: Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "C:\\Program Files\\Gadu-Gadu\\gg.exe"="C:\\Program Files\\Gadu-Gadu\\gg.exe:*:Enabled:Gadu-Gadu - program glowny" "C:\\Program Files\\uTorrent\\uTorrent.exe"="C:\\Program Files\\uTorrent\\uTorrent.exe:*:Enabled:uTorrent" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [b]Remaining Files [/b]: [b]Files with Hidden Attributes [/b]: Mon 23 Mar 2009 1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK7.dll" Mon 23 Mar 2009 1,024 ...HR --- "C:\WINDOWS\system32\NTIMPEG2.dll" Mon 23 Mar 2009 1,024 ...HR --- "C:\WINDOWS\system32\NTIMP3.dll" Mon 23 Mar 2009 1,024 ...HR --- "C:\WINDOWS\system32\NTIFCD3.dll" Mon 23 Mar 2009 1,024 ...HR --- "C:\WINDOWS\system32\NTIBUN4.dll" [b]Finished![/b]

**Posty:** 18165 · przez **wojtas** 23 Cze 2009, 19:22

daj nowego loga z combofixa

zainstaluj moze jakiegos firewalla np kerio

**Posty:** 8 · przez **lessster** 23 Cze 2009, 19:37

dal mi takie cos:

Kod: Zaznacz wszystko: ComboFix 09-06-22.0E - Lester 2009-06-23 19:27.2 - FAT32x86 Microsoft Windows XP Home Edition 5.1.2600.2.1250.48.1045.18.502.295 [GMT 2:00] Uruchomiony z: c:\documents and settings\Lester\Pulpit\ComboFix.exe AV: avast! antivirus 4.7.1043 [VPS 090623-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D} . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\Lester\Dane aplikacji\wiaserva.log c:\documents and settings\Lester\Menu Start\Programy\Autostart\rncsys32.exe . ((((((((((((((((((((((((( Pliki utworzone od 2009-05-23 do 2009-06-23 ))))))))))))))))))))))))))))))) . 2009-06-23 17:10 . 2009-06-23 17:10 -------- d-----w- c:\windows\ERUNT 2009-06-23 17:05 . 2008-11-06 00:03 -------- d-----w- C:\SDFix 2009-06-23 15:52 . 2004-08-04 14:00 2944 ----a-w- c:\windows\system32\drivers\null.sys 2009-06-23 15:52 . 2004-08-04 14:00 2944 ----a-w- c:\windows\system32\dllcache\null.sys 2009-06-23 15:51 . 2004-08-04 14:00 4224 ----a-w- c:\windows\system32\drivers\beep.sys 2009-06-23 15:51 . 2004-08-04 14:00 4224 ----a-w- c:\windows\system32\dllcache\beep.sys 2009-06-17 10:30 . 2009-06-17 10:30 -------- d-----w- c:\documents and settings\Lester\DoctorWeb 2009-06-17 10:13 . 2009-06-17 10:13 -------- d-----w- c:\program files\Odkurzacz 2009-06-17 07:21 . 2004-08-04 14:00 25600 ----a-w- c:\documents and settings\LocalService\Dane aplikacji\Microsoft\UPnP Device Host\upnphost\udhisapi.dll 2009-06-16 19:54 . 2009-06-16 19:54 -------- d-----w- c:\documents and settings\Lester\Dane aplikacji\Malwarebytes 2009-06-16 19:54 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2009-06-16 19:54 . 2009-06-16 19:54 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2009-06-16 19:54 . 2009-06-16 19:54 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Malwarebytes 2009-06-16 19:54 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-06-05 09:04 . 2009-06-05 09:04 -------- d-----w- c:\program files\QuickTime 2009-06-05 09:04 . 2009-06-05 09:04 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Apple Computer 2009-06-05 09:04 . 2009-06-05 09:04 -------- d-----w- c:\documents and settings\Lester\Ustawienia lokalne\Dane aplikacji\Apple 2009-06-05 09:04 . 2009-06-05 09:04 -------- d-----w- c:\program files\Apple Software Update 2009-06-05 09:04 . 2009-06-05 09:04 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Apple 2009-06-05 09:04 . 2009-06-05 09:04 -------- d-----w- c:\documents and settings\Lester\Ustawienia lokalne\Dane aplikacji\Apple Computer 2009-05-28 07:56 . 2009-05-28 07:56 -------- d-s---w- c:\documents and settings\Lester\UserData . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-06-23 13:29 . 2009-03-23 18:24 1 ----a-w- c:\documents and settings\Lester\Dane aplikacji\OpenOffice.org\3\user\uno_packages\cache\stamp.sys 2009-05-12 21:46 . 2009-05-12 21:46 -------- d-----w- c:\program files\ffdshow 2009-05-07 15:44 . 1979-12-31 22:00 346112 ----a-w- c:\windows\system32\localspl.dll 2009-05-06 09:04 . 2009-05-06 09:04 -------- d-----w- c:\documents and settings\Lester\Dane aplikacji\U3 2009-04-29 04:53 . 1979-12-31 22:00 662016 ----a-w- c:\windows\system32\wininet.dll 2009-04-29 04:53 . 1979-12-31 22:00 81920 ----a-w- c:\windows\system32\ieencode.dll 2009-04-19 20:11 . 1979-12-31 22:00 1846912 ----a-w- c:\windows\system32\win32k.sys 2009-04-16 22:31 . 1979-12-31 22:00 50656 ----a-w- c:\windows\system32\perfc015.dat 2009-04-16 22:31 . 1979-12-31 22:00 357564 ----a-w- c:\windows\system32\perfh015.dat 2009-04-15 15:18 . 1979-12-31 22:00 584192 ----a-w- c:\windows\system32\rpcrt4.dll 2009-03-27 21:32 . 2009-03-23 18:05 1303 ----a-w- c:\windows\mozver.dat 2009-03-25 23:02 . 2009-03-25 23:02 737280 ----a-w- c:\windows\iun6002.exe 2009-03-25 18:38 . 2009-03-25 18:38 503808 ----a-w- c:\documents and settings\Lester\Dane aplikacji\Sun\Java\Deployment\cache\6.0\38\39ba6e6-63201938-n\msvcp71.dll 2009-03-25 18:38 . 2009-03-25 18:38 499712 ----a-w- c:\documents and settings\Lester\Dane aplikacji\Sun\Java\Deployment\cache\6.0\38\39ba6e6-63201938-n\jmc.dll 2009-03-25 18:38 . 2009-03-25 18:38 348160 ----a-w- c:\documents and settings\Lester\Dane aplikacji\Sun\Java\Deployment\cache\6.0\38\39ba6e6-63201938-n\msvcr71.dll 2009-03-25 18:37 . 2009-03-25 18:37 410984 ----a-w- c:\windows\system32\deploytk.dll 2009-03-25 18:37 . 2009-03-25 18:37 152576 ----a-w- c:\documents and settings\Lester\Dane aplikacji\Sun\Java\jre1.6.0_13\lzma.dll 2009-03-25 22:27 . 2009-03-23 17:52 67688 ----a-w- c:\program files\mozilla firefox\components\jar50.dll 2009-03-25 22:27 . 2009-03-23 17:52 54368 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll 2009-03-25 22:27 . 2009-03-23 17:52 34944 ----a-w- c:\program files\mozilla firefox\components\myspell.dll 2009-03-25 22:27 . 2009-03-23 17:52 46712 ----a-w- c:\program files\mozilla firefox\components\spellchk.dll 2009-03-25 22:27 . 2009-03-23 17:52 172136 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X] "preload"="c:\windows\RUNXMLPL.exe" [2005-05-19 32768] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-01-23 155648] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-01-23 126976] "SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2005-02-04 102490] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-02-04 708698] "EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-06-01 192512] "ePowerManagement"="c:\acer\ePM\ePM.exe" [2005-03-15 2893824] "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952] "MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 59392] "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168] "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-04 455168] "PCMService"="c:\program files\Arcade\PCMService.exe" [2005-03-09 49152] "LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-07-25 32768] "PowerKey"="c:\program files\Launch Manager\PowerKey.exe" [2002-08-30 94208] "LManager"="c:\program files\Launch Manager\HotkeyApp.exe" [2005-06-06 69632] "CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2003-09-16 20480] "LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2005-07-25 241664] "Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2005-07-25 81920] "eRecoveryService"="c:\program files\Acer\eRecovery\Monitor.exe" [2005-06-29 352256] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2007-09-06 79224] "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-25 148888] "SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-04-15 77824] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Gadu-Gadu\\gg.exe"= "c:\\Program Files\\uTorrent\\uTorrent.exe"= R3 POWERKEY;POWERKEY;c:\program files\Launch Manager\POWERKEY.SYS [2009-03-23 2343] S1 mailKmd;mailKmd; [x] . . ------- Skan uzupełniający ------- . uStart Page = hxxp://global.acer.com/ uInternet Connection Wizard,ShellNext = hxxp://www.freeware995.com/promo/aa.htm FF - ProfilePath - . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-06-23 19:29 Windows 5.1.2600 Dodatek Service Pack 2 FAT NTAPI skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . Czas ukończenia: 2009-06-23 19:30 ComboFix-quarantined-files.txt 2009-06-23 17:30 Przed: 9 299 279 872 bajtów wolnych Po: 9 274 638 336 bajtów wolnych WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect 128 --- E O F --- 2009-06-14 22:59

o ile tamte raporty i logi to cos mi mowia, to ten ani troche=)

**Posty:** 18165 · przez **wojtas** 24 Cze 2009, 00:09

wirus był combo go skasował.. przelec avastem kompa jesli Ci wykaze gdzies wirusy to przeskanuj te pliki zawirusowane tu i daj raporty:

http://virusscan.jotti.org/
http://www.virustotal.com/

**Posty:** 8 · przez **lessster** 24 Cze 2009, 02:21

avast nic nie znalazl...zobaczymy co bedzie dalej

w ogole wielkie DZIEKI za pomoc=)

Kto jest na forum