Log do sprawdzenia jakais wirus wyskakuje..

**Posty:** 82 · przez **nomik** 21 Paź 2008, 17:58

prosze o sprawdzenie loga z hijacka-jakiegos wirusa zlapalem i probuje mi skanowac system....

Kod: Zaznacz wszystko: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:52:44, on 2008-10-21 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\dllcache\wintcps.exe C:\WINDOWS\Explorer.EXE C:\Program Files\DialNet\WrOS.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\lg_fwupdate\fwupdate.exe C:\Program Files\DialNet\winpppoverethernet.exe C:\Program Files\Winamp\Winampa.exe C:\WINDOWS\System32\rs32net.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\lphc7l4j0et2t.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Gadu-Gadu\gg.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\QuickTime Alternative\unins000.exe C:\DOCUME~1\BENARC~1\USTAWI~1\Temp\_iu14D2N.tmp C:\WINDOWS\System32\regsvr32.exe C:\WINDOWS\System32\svchost.exe E:\szymon\antywirus\hijackthis.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program Files\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe" O4 - HKLM\..\Run: [a-winpoet-service] "C:\Program Files\DialNet\winpppoverethernet.exe" O4 - HKLM\..\Run: [] "C:\PROGRA~1\DialNet\FPLICE~1.EXE zhimakaimen//WINPOET_QUITTING_EVENT" O4 - HKLM\..\Run: [z-wrdialer] "C:\Program Files\DialNet\wrdialer.exe" O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe" O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe O4 - HKLM\..\Run: [NvSvc] C:\WINDOWS\System32\nvsvc32.exe O4 - HKLM\..\Run: [lphc7l4j0et2t] C:\WINDOWS\System32\lphc7l4j0et2t.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{7DB73349-EA71-4DC3-84BD-E70A8B57CEFB}: NameServer = 217.30.129.149 217.30.137.200 O17 - HKLM\System\CS2\Services\Tcpip\..\{7DB73349-EA71-4DC3-84BD-E70A8B57CEFB}: NameServer = 217.30.129.149 217.30.137.200 O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe O23 - Service: WinPPPoverEthernet - Fine Point Technologies, Inc. - C:\Program Files\DialNet\WrOS.EXE -- End of file - 3758 bytes

**Posty:** 7956 · przez **Magik** 21 Paź 2008, 18:15

Wrzuc logi w tagi 'code'

dwa, wklej log z combofixa

trzy , fix:

Kod: Zaznacz wszystko: C:\WINDOWS\System32\dllcache\wintcps.exe C:\WINDOWS\System32\rs32net.exe C:\WINDOWS\System32\lphc7l4j0et2t.exe C:\Program Files\QuickTime Alternative\unins000.exe C:\DOCUME~1\BENARC~1\USTAWI~1\Temp\_iu14D2N.tmp C:\WINDOWS\System32\regsvr32.exe O4 - HKLM\..\Run: [] "C:\PROGRA~1\DialNet\FPLICE~1.EXE zhimakaimen//WINPOET_QUITTING_EVENT" O4 - HKLM\..\Run: [z-wrdialer] "C:\Program Files\DialNet\wrdialer.exe" O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe O4 - HKLM\..\Run: [NvSvc] C:\WINDOWS\System32\nvsvc32.exe O4 - HKLM\..\Run: [lphc7l4j0et2t] C:\WINDOWS\System32\lphc7l4j0et2t.exe

**Posty:** 82 · przez **nomik** 21 Paź 2008, 20:05

oto link do loga z combo:

Kod: Zaznacz wszystko: http://wklej.org/id/12030/

**Posty:** 684 · przez **djarta** 21 Paź 2008, 20:16

Oj te kochane robaczki :mrgreen:

1)

Zamknij robaczywe porty przy pomocy --> http://www.firewallleaktester.com/tools/wwdc.exe
Ustaw znaczki na zielono, Netbios może być na żółto.
Po użyciu narzędzia wymagany jest restart.

2)

Wklej do Notatnika:

Kod: Zaznacz wszystko: File:: C:\WINDOWS\system32\8.tmp C:\WINDOWS\system32\E.tmp C:\WINDOWS\system32\uthn.exe C:\WINDOWS\system32\5.tmp C:\WINDOWS\system32\B.tmp C:\WINDOWS\system32\3.tmp C:\WINDOWS\system32\9.tmp C:\WINDOWS\system32\2.tmp C:\WINDOWS\system32\4.tmp Folder:: C:\VundoFix Backups

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.

C:\WINDOWS\system32\nvsvc32.exe

Może powiedzie, że jestem głupi ale nie autor sprawdzi go na --> http://virusscan.jotti.org/
albo na http://www.virustotal.com/en/indexf.html.

A dokładnie o to chodzi:

2008-10-21 19:26 . 2008-10-21 19:26 62,464 --a------ C:\WINDOWS\system32\nvsvc32.exe
2008-10-21 19:25 . 2008-10-21 19:25 128 --a------ C:\WINDOWS\system32\8.tmp
2008-10-21 19:25 . 2008-10-21 19:25 18 --a------ C:\WINDOWS\system32\E.tmp
2008-10-21 19:07 . 2008-10-21 19:07 385,024 ---hs---- C:\WINDOWS\system32\uthn.exe
2008-10-21 18:51 . 2008-10-21 18:51 128 --a------ C:\WINDOWS\system32\5.tmp
2008-10-21 18:51 . 2008-10-21 18:51 18 --a------ C:\WINDOWS\system32\B.tmp

Zobaczcie na daty i czas zmodyfikowania, albo coś się podczepiło pod główny plik NVIDII albo nie wiadomo jak powstał ten plik w takim samym czasie co robaczki.

==================
K.

Autor postu otrzymał pochwałę

**Posty:** 82 · przez **nomik** 23 Paź 2008, 11:29

podaje log z combo:

Kod: Zaznacz wszystko: ComboFix 08-10-19.04 - 2008-10-23 10:35:53.6 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.0.1250.1.1045.18.30 [GMT 2:00] Uruchomiony z: C:\Documents and Settings\Pulpit\ComboFix.exe Użyto następujących komend :: C:\Documents and Settings\Pulpit\CFScript.txt * Utworzono nowy punkt przywracania FILE :: C:\WINDOWS\system32\2.tmp C:\WINDOWS\system32\3.tmp C:\WINDOWS\system32\4.tmp C:\WINDOWS\system32\5.tmp C:\WINDOWS\system32\8.tmp C:\WINDOWS\system32\9.tmp C:\WINDOWS\system32\B.tmp C:\WINDOWS\system32\E.tmp C:\WINDOWS\system32\uthn.exe . ((((((((((((((((((((((((( Pliki utworzone od 2008-09-23 do 2008-10-23 ))))))))))))))))))))))))))))))) . 2008-10-21 21:05 . 2008-01-01 00:00 60,273 --a------ C:\WINDOWS\system32\pthreadGC2.dll 2008-10-21 21:02 . 2008-10-21 21:02 <DIR> d-------- C:\Program Files\K-Lite Codec Pack 2008-10-21 19:26 . 2008-10-21 19:26 62,464 --a------ C:\WINDOWS\system32\nvsvc32.exe 2008-10-21 18:27 . 2008-10-23 10:40 <DIR> d--h----- C:\Documents and Settings\Administrator\Ustawienia lokalne 2008-10-21 18:27 . 2008-10-19 11:38 <DIR> d-------- C:\Documents and Settings\Administrator\Ulubione 2008-10-21 18:27 . 2008-10-19 10:47 <DIR> d--h----- C:\Documents and Settings\Administrator\Szablony 2008-10-21 18:27 . 2008-10-19 11:38 <DIR> d-------- C:\Documents and Settings\Administrator\Pulpit 2008-10-21 18:27 . 2008-10-19 11:38 <DIR> d-------- C:\Documents and Settings\Administrator\Moje dokumenty 2008-10-21 18:27 . 2008-10-19 11:38 <DIR> dr------- C:\Documents and Settings\Administrator\Menu Start 2008-10-21 18:27 . 2008-10-19 11:38 <DIR> dr-h----- C:\Documents and Settings\Administrator\Dane aplikacji 2008-10-21 18:27 . 2008-10-21 18:27 <DIR> d-------- C:\Documents and Settings\Administrator 2008-10-21 16:37 . 2008-10-21 16:43 745,472 --a------ C:\WINDOWS\iun6002.exe 2008-10-21 16:35 . 2008-10-21 16:35 <DIR> d-------- C:\Program Files\QuickTime Alternative 2008-10-21 16:35 . 2008-10-21 16:35 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Apple Computer 2008-10-21 16:35 . 2008-09-06 15:09 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx 2008-10-21 16:35 . 2008-09-06 15:09 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts 2008-10-21 15:33 . 2008-10-21 15:33 <DIR> d-------- C:\Documents and Settings\Dane aplikacji\Gadu-Gadu 2008-10-21 15:31 . 2008-10-21 16:28 <DIR> d-------- C:\Program Files\Gadu-Gadu 2008-10-21 15:31 . 2008-10-22 17:56 <DIR> d-------- C:\Documents and Settings\Gadu-Gadu 2008-10-19 15:48 . 2008-10-19 15:48 <DIR> d-------- C:\Program Files\IrfanView 2008-10-19 15:47 . 2008-10-19 15:47 <DIR> d-------- C:\Program Files\WinZip Self-Extractor 2008-10-19 15:47 . 2008-10-21 21:55 132 --a------ C:\WINDOWS\winamp.ini 2008-10-19 15:46 . 2008-10-19 15:47 <DIR> d-------- C:\Program Files\Winamp 2008-10-19 15:42 . 2008-10-19 15:42 <DIR> d-------- C:\Program Files\MarBit 2008-10-19 15:37 . 2002-08-28 22:41 2,086,400 --a------ C:\WINDOWS\system32\msi.dll 2008-10-19 15:31 . 2008-10-19 15:31 <DIR> d-------- C:\fixwareout 2008-10-19 15:12 . 2008-10-19 15:18 948 --a------ C:\WINDOWS\system32\tmp.reg 2008-10-19 15:10 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-10-19 15:10 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-10-19 15:10 . 2007-12-20 23:11 119,808 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-10-19 15:10 . 2003-06-05 20:13 90,112 --a------ C:\WINDOWS\system32\Process.exe 2008-10-19 15:10 . 2004-07-31 17:50 86,528 --a------ C:\WINDOWS\system32\dumphive.exe 2008-10-19 15:10 . 2007-10-03 23:36 64,512 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-10-19 14:54 . 2008-10-19 14:54 <DIR> d-------- C:\Program Files\ZoneAlarmSB 2008-10-19 14:37 . 2008-10-19 14:37 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\MailFrontier 2008-10-19 14:37 . 2004-04-27 04:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll 2008-10-19 14:37 . 2008-10-19 14:54 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat 2008-10-19 14:33 . 2008-10-19 15:32 <DIR> d-------- C:\WINDOWS\Internet Logs 2008-10-19 14:12 . 2008-10-19 13:40 2,044,928 --a------ C:\WINDOWS\system32\msi.dll.bad 2008-10-19 14:08 . 2008-10-19 13:40 2,044,928 --a------ C:\WINDOWS\msi.dll.bad 2008-10-19 13:50 . 2008-10-19 13:50 0 --a------ C:\WINDOWS\nsreg.dat 2008-10-19 13:29 . 2003-04-04 15:07 30,336 --a------ C:\WINDOWS\system32\drivers\fpd.sys 2008-10-19 13:28 . 2008-10-23 10:34 <DIR> d-------- C:\Program Files\DialNet 2008-10-19 13:28 . 2008-10-19 13:28 <DIR> d-------- C:\Documents and Settings\Dane aplikacji\InstallShield 2008-10-19 13:28 . 1999-09-08 14:06 1,056,768 --a------ C:\WINDOWS\system32\ROBOEX32.DLL 2008-10-19 13:28 . 2002-10-28 17:42 65,604 --a------ C:\WINDOWS\system32\drivers\WrKPoETNic2000.sys 2008-10-19 13:28 . 2004-09-16 17:56 52,214 --a------ C:\WINDOWS\system32\drivers\WrKPoET2000.sys 2008-10-19 13:25 . 2008-10-23 10:34 <DIR> d-------- C:\Program Files\lg_fwupdate 2008-10-19 13:25 . 1998-06-24 00:00 115,016 --------- C:\WINDOWS\system32\MSINET.OCX 2008-10-19 13:25 . 1998-07-22 00:00 102,912 --------- C:\WINDOWS\system32\Vb6stkit.dll 2008-10-19 13:25 . 1998-07-22 00:00 102,160 --------- C:\WINDOWS\system32\VB6KO.DLL 2008-10-19 13:25 . 2005-03-09 16:16 24,576 --a------ C:\WINDOWS\system32\lgfwunis.exe 2008-10-19 13:25 . 2008-10-23 10:34 259 --a------ C:\WINDOWS\lgfwup.ini 2008-10-19 13:22 . 2008-10-19 13:22 <DIR> d-------- C:\Documents and Settings\nero 2008-10-19 13:17 . 2008-10-19 13:17 <DIR> d-------- C:\WINDOWS\system32\Adobe 2008-10-19 13:17 . 2008-10-19 13:17 <DIR> d-------- C:\WINDOWS\Profiles 2008-10-19 13:17 . 2008-10-19 13:17 <DIR> d-------- C:\Program Files\Common Files\Adobe 2008-10-19 13:17 . 2008-10-19 13:17 <DIR> d-------- C:\Documents and Settings\Dane aplikacji\InterTrust 2008-10-19 13:17 . 2004-07-26 17:16 1,568,768 --------- C:\WINDOWS\system32\ImagX7.dll 2008-10-19 13:17 . 2004-07-26 17:16 476,320 --------- C:\WINDOWS\system32\ImagXpr7.dll 2008-10-19 13:17 . 2004-07-26 17:16 471,040 --------- C:\WINDOWS\system32\ImagXRA7.dll 2008-10-19 13:17 . 1998-10-29 15:45 313,344 --a------ C:\WINDOWS\IsUninst.exe 2008-10-19 13:17 . 2004-07-26 17:16 262,144 --------- C:\WINDOWS\system32\ImagXR7.dll 2008-10-19 13:17 . 2001-07-09 11:50 163,840 --a------ C:\WINDOWS\system32\NeroCheck.exe 2008-10-19 13:17 . 2000-06-26 11:45 106,496 --a------ C:\WINDOWS\system32\TwnLib20.dll 2008-10-19 13:16 . 2008-10-19 13:16 <DIR> d-------- C:\Program Files\CyberLink DVD Solution 2008-10-19 13:16 . 2008-10-19 13:16 <DIR> d-------- C:\Program Files\Common Files\Ahead 2008-10-19 13:16 . 2008-10-19 13:21 <DIR> d-------- C:\Program Files\Ahead 2008-10-19 13:16 . 2004-10-01 15:00 49,152 --a------ C:\Program Files\Uninstall_CDS.exe 2008-10-19 13:13 . 2008-10-19 13:28 <DIR> d--h----- C:\Program Files\InstallShield Installation Information 2008-10-19 13:13 . 2008-10-19 13:13 <DIR> d-------- C:\Program Files\AvRack 2008-10-19 13:13 . 2008-10-19 13:13 <DIR> d-------- C:\Program Files\Avance Sound Manager 2008-10-19 13:12 . 2008-10-19 13:12 <DIR> d-------- C:\Program Files\Common Files\InstallShield 2008-10-19 11:38 . 2008-10-19 11:38 <DIR> dr-h----- C:\Documents and Settings\Default User\Ustawienia lokalne 2008-10-19 11:38 . 2008-10-19 11:38 <DIR> d-------- C:\Documents and Settings\Default User\Ulubione 2008-10-19 11:38 . 2008-10-19 10:47 <DIR> d--h----- C:\Documents and Settings\Default User\Szablony 2008-10-19 11:38 . 2008-10-19 11:38 <DIR> d-------- C:\Documents and Settings\Default User\Pulpit 2008-10-19 11:38 . 2008-10-19 11:38 <DIR> d-------- C:\Documents and Settings\Default User\Moje dokumenty 2008-10-19 11:38 . 2008-10-19 11:38 <DIR> dr------- C:\Documents and Settings\Default User\Menu Start 2008-10-19 11:38 . 2008-10-19 11:38 <DIR> dr-h----- C:\Documents and Settings\Default User\Dane aplikacji 2008-10-19 11:38 . 2008-10-21 19:45 <DIR> d--h----- C:\Documents and Settings\Default User 2008-10-19 11:38 . 2008-10-19 11:38 <DIR> d-------- C:\Documents and Settings\All Users\Ulubione 2008-10-19 11:38 . 2008-10-19 11:38 <DIR> d--h----- C:\Documents and Settings\All Users\Szablony 2008-10-19 11:38 . 2008-10-19 13:50 <DIR> d-------- C:\Documents and Settings\All Users\Pulpit 2008-10-19 11:38 . 2008-10-19 10:55 <DIR> dr------- C:\Documents and Settings\All Users\Menu Start 2008-10-19 11:38 . 2008-10-19 10:49 <DIR> dr------- C:\Documents and Settings\All Users\Dokumenty 2008-10-19 11:38 . 2008-10-21 21:02 <DIR> dr-h----- C:\Documents and Settings\All Users\Dane aplikacji 2008-10-19 11:38 . 2008-10-19 10:50 <DIR> d-------- C:\Documents and Settings\All Users . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-10-19 09:23 501 ----a-w C:\WINDOWS\system32\drivers\fwdrv.err 2008-10-19 08:52 --------- d-----w C:\Program Files\microsoft frontpage 2008-10-19 08:50 --------- d-----w C:\Program Files\Usługi online 2008-10-17 17:10 7,680 ----a-w C:\WINDOWS\system32\ff_vfw.dll 2008-09-16 00:14 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll 2008-09-16 00:12 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll 2008-09-16 00:11 683,520 ----a-w C:\WINDOWS\system32\divx.dll 2001-10-26 17:29 131,072 --sh--r C:\WINDOWS\system32\atsqhdpocf.exe . ------- Sigcheck ------- 2001-10-26 19:30 19456 a60971fcc4a5af3a9599cad559e7ae72 C:\WINDOWS\system32\svchost.exe 2001-10-26 19:30 19456 73ee4fd42a1778ae0f9058c321f6590c C:\WINDOWS\system32\dllcache\svchost.exe 2001-10-26 19:29 1009152 f087e73a650f5cf453128c29efed4d4f C:\WINDOWS\explorer.exe 2001-10-26 19:29 1009152 0567aa9e4d1dd952de334236f198d0bb C:\WINDOWS\system32\dllcache\explorer.exe 2001-10-26 19:29 19968 84c456c7ae17927d1418bee54aac7b5a C:\WINDOWS\system32\ctfmon.exe 2001-10-26 19:29 19968 2152c22f2a2c88dbb49146b8159055c7 C:\WINDOWS\system32\dllcache\ctfmon.exe 2001-10-26 19:30 57856 31c4c00b14fef590d0dd842e2cfc2c8d C:\WINDOWS\system32\spoolsv.exe 2001-10-26 19:30 57856 f3eda57f353f5e6ed07a148c7a287d0a C:\WINDOWS\system32\dllcache\spoolsv.exe 2001-10-26 19:30 120320 a273becda5e87e39968c4b8fd492c92f C:\WINDOWS\system32\wuauclt.exe 2001-10-26 19:30 120320 e34b39bb0114b5fb881ac418c846542f C:\WINDOWS\system32\dllcache\wuauclt.exe 2001-10-26 19:30 28672 d7dfc91e87e86d37a8a7953dcad32d5a C:\WINDOWS\system32\userinit.exe 2001-10-26 19:30 28672 ba09e029c99214a68041efeeb47e35e6 C:\WINDOWS\system32\dllcache\userinit.exe . ((((((((((((((((((((((((((((( snapshot_2008-10-21_19.44.46.82 ))))))))))))))))))))))))))))))))))))))))) . - 2008-10-21 17:24:02 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat + 2008-10-23 08:34:24 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat - 2008-10-21 17:24:02 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat + 2008-10-23 08:34:24 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat - 2008-10-21 17:24:02 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat + 2008-10-23 08:35:44 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat + 2003-03-19 03:14:52 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll + 2004-01-11 22:00:00 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll - 2008-10-19 11:43:52 40,128 ----a-w C:\WINDOWS\system32\perfc009.dat + 2008-10-21 17:48:12 40,128 ----a-w C:\WINDOWS\system32\perfc009.dat - 2008-10-19 11:43:52 49,712 ----a-w C:\WINDOWS\system32\perfc015.dat + 2008-10-21 17:48:12 49,712 ----a-w C:\WINDOWS\system32\perfc015.dat - 2008-10-19 11:43:52 311,740 ----a-w C:\WINDOWS\system32\perfh009.dat + 2008-10-21 17:48:12 311,740 ----a-w C:\WINDOWS\system32\perfh009.dat - 2008-10-19 11:43:52 355,830 ----a-w C:\WINDOWS\system32\perfh015.dat + 2008-10-21 17:48:12 355,830 ----a-w C:\WINDOWS\system32\perfh015.dat + 2001-06-22 23:31:20 278,528 ----a-w C:\WINDOWS\system32\pncrt.dll + 1998-03-26 02:57:34 6,656 ----a-w C:\WINDOWS\system32\pndx5016.dll + 1998-05-12 18:36:42 5,632 ----a-w C:\WINDOWS\system32\pndx5032.dll + 2008-09-10 19:56:28 185,920 ----a-w C:\WINDOWS\system32\rmoc3260.dll + 2007-09-04 16:56:10 164,352 ----a-w C:\WINDOWS\system32\unrar.dll + 2008-01-10 12:15:30 755,027 ----a-w C:\WINDOWS\system32\xvidcore.dll + 2008-01-10 12:16:20 159,839 ----a-w C:\WINDOWS\system32\xvidvfw.dll + 2004-01-25 16:18:44 217,088 ----a-w C:\WINDOWS\system32\yv12vfw.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-10-26 19968] "Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2008-03-20 2127296] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 163840] "LGODDFU"="C:\Program Files\lg_fwupdate\fwupdate.exe" [2005-04-12 237568] "a-winpoet-service"="C:\Program Files\DialNet\winpppoverethernet.exe" [2007-01-18 413696] "WinampAgent"="C:\Program Files\Winamp\Winampa.exe" [2008-10-19 32768] "NvSvc"="C:\WINDOWS\System32\nvsvc32.exe" [2008-10-21 62464] "SoundMan"="SOUNDMAN.EXE" [2002-06-14 C:\WINDOWS\SOUNDMAN.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-10-26 19968] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "C:\\WINDOWS\\System32\\nvsvc32.exe"= "|"= |:Program Access Service R2 TopWinPoETDriver;WinPoET PPPoE Optimized Driver;C:\WINDOWS\System32\DRIVERS\WrKPoET2000.sys [2004-09-16 52214] R3 FPD;Fine Point Packet Service;C:\WINDOWS\System32\drivers\fpd.sys [2003-04-04 30336] R3 WrKPoET2000;WrKPoET2000;C:\Program Files\DialNet\WrKPoET2000.sys [2004-09-16 52214] R3 WRSWanDD;WinPoET PPPoE Adapter;C:\WINDOWS\System32\DRIVERS\WrKPoETNic2000.sys [2002-10-28 65604] . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-10-23 10:40:44 Windows 5.1.2600 NTFS detected NTDLL code modification: ZwOpenFile skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... C:\WINDOWS\system32\drivers\hhlefy.sys 30976 bytes executable skanowanie pomyślnie ukończone ukryte pliki: 1 ************************************************************************** [HKEY_LOCAL_MACHINE\system\ControlSet002\Services\gabjpomjg] "ImagePath"="\??\C:\WINDOWS\System32\drivers\hhlefy.sys" . Czas ukończenia: 2008-10-23 10:41:51 ComboFix-quarantined-files.txt 2008-10-23 08:41:45 ComboFix2.txt 2008-10-23 07:58:07 ComboFix3.txt 2008-10-21 17:45:22 ComboFix4.txt 2008-10-19 09:09:56 Przed: 9 563 676 672 bajtów wolnych Po: 9,544,327,168 bajtów wolnych 207

oraz wyniki skanowania z w/w wskazanych stron/skanerów
1) http://virusscan.jotti.org/:

Kod: Zaznacz wszystko: Scan taken on 23 Oct 2008 09:11:12 (GMT) A-Squared Found Win32.Virtob.6!IK AntiVir Found W32/Virut.Z ArcaVir Found W32.Virut.R Avast Found Win32:Wopla-V AVG Antivirus Found Win32/Virut BitDefender Found Win32.Virtob.6.Gen ClamAV Found W32.Virut-2 CPsecure Found W32.Virut.R Dr.Web Found Win32.Virut.23 F-Prot Antivirus Found W32/Virut.AH F-Secure Anti-Virus Found Virus.Win32.Virut.bd G DATA Found Win32:Wopla-V Ikarus Found Win32.Virtob.6 Kaspersky Anti-Virus Found Virus.Win32.Virut.bd NOD32 Found Win32/Virut.S Norman Virus Control Found W32/Virut.T Panda Antivirus Found W32/Virutas.V Sophos Antivirus Found W32/Virut-T VirusBuster Found Win32.Virut.Gen.4 VBA32 Found Virus.Win32.Virut.r

2)http://www.virustotal.com/en/indexf.html

Kod: Zaznacz wszystko: Plik nvsvc32.exe otrzymany 2008.10.23 11:13:43 (CET) Antywirus Wersja Ostatnia aktualizacja Wynik AhnLab-V3 2008.10.22.0 2008.10.23 Win32/Virut.Gen AntiVir 7.9.0.5 2008.10.23 W32/Virut.Z Authentium 5.1.0.4 2008.10.23 W32/Virut.AH Avast 4.8.1248.0 2008.10.22 Win32:Virtob AVG 8.0.0.161 2008.10.23 Win32/Virut BitDefender 7.2 2008.10.23 Win32.Virtob.7.Gen CAT-QuickHeal 9.50 2008.10.23 W32.Virut.J ClamAV 0.93.1 2008.10.23 W32.Virut-2 DrWeb 4.44.0.09170 2008.10.23 Win32.Virut.23 eSafe 7.0.17.0 2008.10.22 - eTrust-Vet 31.6.6164 2008.10.22 Win32/Virut.6556 Ewido 4.0 2008.10.22 - F-Prot 4.4.4.56 2008.10.22 W32/Virut.AH F-Secure 8.0.14332.0 2008.10.23 Virus.Win32.Virut.bd Fortinet 3.113.0.0 2008.10.22 W32/Virut.R GData 19 2008.10.23 Win32.Virtob.7.Gen Ikarus T3.1.1.44.0 2008.10.23 Win32.Virtob.6 K7AntiVirus 7.10.503 2008.10.22 Virus.Win32.Virut.bd Kaspersky 7.0.0.125 2008.10.23 Virus.Win32.Virut.bd McAfee 5412 2008.10.23 W32/Virut.d Microsoft 1.4005 2008.10.23 Virus:Win32/Virut.M NOD32 3547 2008.10.22 Win32/Virut.S Norman 5.80.02 2008.10.22 W32/Virut.T Panda 9.0.0.4 2008.10.22 W32/Virutas.V PCTools 4.4.2.0 2008.10.22 Win32.Virut.Gen.4 Prevx1 V2 2008.10.23 - Rising 21.00.31.00 2008.10.23 Win32.Virut.af SecureWeb-Gateway 6.7.6 2008.10.22 Win32.Virut.Z Sophos 4.34.0 2008.10.23 W32/Virut-T Sunbelt 3.1.1747.1 2008.10.23 - Symantec 10 2008.10.23 Infostealer TheHacker 6.3.1.0.124 2008.10.23 W32/Virut.gen TrendMicro 8.700.0.1004 2008.10.23 PE_VIRUT.GEN-3 VBA32 3.12.8.8 2008.10.22 Virus.Win32.Virut.r ViRobot 2008.10.23.1433 2008.10.23 - VirusBuster 4.5.11.0 2008.10.22 Win32.Virut.Gen.4 Dodatkowe informacje File size: 62464 bytes MD5...: 6b978ea5c48ef2e268837a8dceeb15cc SHA1..: d701f2c82638b106e325f75f249d818a7815f318 SHA256: d3fc9874ad406d057a9c4c9a559577adb1c9fd476af200422bbe218119804fd0 SHA512: aa0dc8579ad8b55132bb2032e88ade517da5f340d2deffb1c3717ca28c1d4d37 4ff5754dd4b1324a454d5661320be7dc35a110da9246a1fd07063fc219f02aea PEiD..: - TrID..: File type identification Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x1014a00 timedatestamp.....: 0x48fc6e2a (Mon Oct 20 11:40:26 2008) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x788c 0x7a00 6.51 985438befb6f4b71c01a427016e18fae .data 0x9000 0x5098 0x200 0.14 1c4488337b86e9c551044ffca2c0b882 .rsrc 0xf000 0xba00 0x7400 5.36 e9be94639816f247e7b17f59d4d6770c ( 6 imports ) > ADVAPI32.dll: AdjustTokenPrivileges, LookupPrivilegeValueA, OpenProcessToken, RegCloseKey, RegDeleteKeyA, RegQueryValueExA, RegOpenKeyA, RegEnumKeyA, RegSetValueExA, RegCreateKeyA, FreeSid, CheckTokenMembership, AllocateAndInitializeSid, RegFlushKey, RegCreateKeyExA, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, RegOpenKeyExA, RegDeleteValueA > KERNEL32.dll: GetVersion, CloseHandle, GetCurrentProcess, WriteFile, DeleteFileA, CreateFileA, ReadFile, GetFileSize, CreateProcessA, ExpandEnvironmentStringsA, GetSystemDirectoryA, Sleep, CreateThread, GetSystemTime, lstrcmpiA, GetTickCount, GetModuleFileNameA, UnmapViewOfFile, MapViewOfFile, CreateFileMappingA, GetLastError, CreateMutexA, TerminateThread, GetDateFormatA, GetTimeFormatA, SetFilePointer, ExitThread, GetCurrentThreadId, GetVolumeInformationA, GetModuleHandleA, LoadLibraryA, GetProcAddress, DeviceIoControl, GetSystemTimeAsFileTime, HeapReAlloc, HeapFree, GetProcessHeap, HeapAlloc, GetLocalTime, TerminateProcess, SetUnhandledExceptionFilter, FlushFileBuffers, GetStdHandle, WriteConsoleA, WaitForSingleObject, OutputDebugStringA, ReleaseMutex, VirtualQuery > ntdll.dll: memset, strlen, _vsnprintf, _chkstk, strcpy, isalpha, _fltused, strstr, atoi, memcpy, _snprintf, isgraph, strcat > WININET.dll: FtpPutFileA, InternetOpenA, InternetOpenUrlA, InternetCloseHandle, InternetReadFile, InternetConnectA > WS2_32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, - > imagehlp.dll: SymCleanup, SymGetModuleBase, SymFunctionTableAccess, StackWalk, SymGetSymFromAddr, SymInitialize ( 0 exports )

**Posty:** 7956 · przez **Magik** 23 Paź 2008, 11:35

nomik napisał(a):oraz wyniki skanowania z w/w wskazanych stron/skanerów

vir

wklej do notatnika

Kod: Zaznacz wszystko: FILE:: C:\WINDOWS\system32\nvsvc32.exe

pozycze sobie od dj'a: >>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

1. Ściągnij OTMoveIt i go włacz i odpal go z opcji CleanUp

2.sciagnij ATF_Cleaner
zaznacz
Windows Temp
All users Temp
Temporary internet files
Recycle Bin
i wcisnij EMPTY SELECTED
4.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem

**Posty:** 684 · przez **djarta** 23 Paź 2008, 15:58

No to masz "biedę" - VIRUT to jeden z najgorszych na świecie wirusów, który infekuję wszystkie końcówki *.exe!

1) Uzyj rmvirut > http://www.avg.com/virus-removal.ndi-67762
2) Przeskanuj tym programem: Kaspersky Virus Removal Tool, usuwaj wszystko co znajdzie. Potem daj nam raport.

================
K.

**Posty:** 82 · przez **nomik** 01 Lis 2008, 17:36

uff w końcu udało się ponownie wejśc do sieci...po wykonaniu zaleconych czynności i 2-krotnym skanowaniu Kasperskym( za pierwszym razem wykrył i usunal ok.800 plików) pozostał taki wpis,który nie che sie usunac:

Kod: Zaznacz wszystko: File: C:\WINDOWS\system32\sfc_os.dll

**Posty:** 684 · przez **djarta** 01 Lis 2008, 18:11

Wklej do Notatnika:

Kod: Zaznacz wszystko: File:: C:\WINDOWS\system32\sfc_os.dll

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-->

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox.

===============
K.