Adware Virtumonde w pliku C:WINDOWS\system32\xxyayYsP.dll

[kamil71830]

Zainfekowane pliki:
C:WINDOWS\system\xxyayYsP.dll
hipnokcox.dll

Nie mogę ich usunąć
z góry dziękuję za pomoc

oto LOG

Kod: Zaznacz wszystko

ComboFix 08-06-08.8 - BCA 2008-06-09 18:53:53.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.214 [GMT 2:00]
Running from: C:\Documents and Settings\BCA\Pulpit\ComboFix.exe
 * Created a new restore point
 * Resident AV is active


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\buldugqq.ini
C:\WINDOWS\system32\cvfweejp.dll
C:\WINDOWS\system32\hvlylhlw.dll
C:\WINDOWS\system32\iifcBrrO.dll
C:\WINDOWS\system32\iifcYQkl.dll
C:\WINDOWS\system32\itovnulx.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mlJYqNFx.dll
C:\WINDOWS\system32\MVuBLkkj.ini
C:\WINDOWS\system32\MVuBLkkj.ini2
C:\WINDOWS\system32\ocllbdcd.dll
C:\WINDOWS\system32\oknfxubs.ini
C:\WINDOWS\system32\qqgudlub.dll
C:\WINDOWS\system32\wlhlylvh.ini
C:\WINDOWS\system32\yuhcoikp.ini
C:\WINDOWS\system32\yuslgxnr.ini

.
(((((((((((((((((((((((((   Files Created from 2008-05-09 to 2008-06-09  )))))))))))))))))))))))))))))))
.

2008-06-07 13:55 . 2008-06-07 13:55   59,392   --a------   C:\WINDOWS\system32\xxyayYsP.Vdll
2008-06-07 13:36 . 2008-06-07 13:36   3,072   --ahs----   C:\WINDOWS\system32\Thumbs.db
2008-06-06 17:19 . 2008-06-06 17:19   <DIR>   d--------   C:\Program Files\Alwil Software
2008-06-06 17:19 . 2002-01-05 13:48   974,848   --a------   C:\WINDOWS\system32\MFC70.dll
2008-06-06 17:19 . 2002-01-05 12:40   487,424   --a------   C:\WINDOWS\system32\MSVCP70.dll
2008-06-06 17:19 . 2002-01-05 12:37   344,064   --a------   C:\WINDOWS\system32\MSVCR70.dll
2008-06-06 17:19 . 2002-01-05 12:38   54,784   --a------   C:\WINDOWS\system32\MSVCI70.dll
2008-06-06 14:52 . 2008-06-06 15:02   <DIR>   d--------   C:\Encyklopedie
2008-06-04 21:29 . 2008-06-04 21:29   <DIR>   d--h-----   C:\WINDOWS\PIF
2008-06-04 21:29 . 2008-06-05 17:41   16   --a------   C:\WINDOWS\system32\coh.cache
2008-06-04 21:20 . 2008-06-04 21:19   502,368   --a------   C:\WINDOWS\system32\drivers\amon.sys
2008-06-04 21:20 . 2008-06-04 21:19   274,432   --a------   C:\WINDOWS\system32\imon.dll
2008-06-04 21:18 . 2008-06-09 18:09   <DIR>   d--------   C:\Program Files\ESET
2008-06-04 17:58 . 2008-06-04 17:58   31,744   --a------   C:\WINDOWS\system32\winmkv32.dll
2008-06-04 17:34 . 2008-06-06 20:08   <DIR>   d--------   C:\Documents and Settings\All Users\Dane aplikacji\Symantec
2008-06-02 14:35 . 2008-06-07 14:36   48   --a------   C:\WINDOWS\BMbf10c43c.xml
2008-06-01 11:54 . 2008-06-08 23:22   <DIR>   d--------   C:\Do Pobrania
2008-06-01 11:34 . 2008-06-01 11:34   373,248   --a------   C:\WINDOWS\system32\wirus
2008-06-01 11:29 . 2008-06-01 11:29   59,392   ---------   C:\WINDOWS\system32\xxyayYsP.dll
2008-05-20 03:25 . 2008-05-20 03:25   136,192   --a------   C:\WINDOWS\system32\Rududu.dll
2008-05-20 03:25 . 2008-05-20 03:25   55,296   --a------   C:\WINDOWS\system32\Rududu.ax
2008-05-13 19:13 . 2008-05-13 19:13   <DIR>   d--------   C:\Documents and Settings\BCA\Dane aplikacji\PDM
2008-05-09 21:23 . 2008-05-09 21:30   <DIR>   d--------   C:\Translator

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-08 21:27   ---------   d-----w   C:\Program Files\DC++
2008-06-06 18:16   ---------   d-----w   C:\Program Files\Common Files\Symantec Shared
2008-06-06 17:13   ---------   d-----w   C:\Program Files\VDMSound muzyka w dosie
2008-06-06 17:00   ---------   d--h--w   C:\Program Files\InstallShield Installation Information
2008-06-06 09:09   ---------   d-----w   C:\Program Files\BitComet
2008-04-27 16:06   ---------   d-----w   C:\Program Files\English Translator 3
2008-04-26 18:01   ---------   d-----w   C:\Documents and Settings\BCA\Dane aplikacji\Creative
2008-04-26 17:34   ---------   d--h--w   C:\Program Files\Creative Installation Information
2008-04-21 11:49   ---------   d-----w   C:\Program Files\Common Files\NSV
2008-04-17 08:42   ---------   d-----w   C:\Program Files\Java
2008-03-25 04:52   621,344   ----a-w   C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:52   178,976   ----a-w   C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:09   1,845,504   ----a-w   C:\WINDOWS\system32\win32k.sys
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{663656DF-6BAE-460C-A612-8133DF519346}]
2008-06-01 11:29   59392   ---------   C:\WINDOWS\system32\xxyayYsP.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EF38C46D-4F2A-477D-92BC-4C3649FDBCC6}]
         C:\WINDOWS\system32\jkkLBuVM.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:44 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [ ]
"BitComet"="C:\Program Files\BitComet\BitComet.exe" [2007-11-07 17:06 1881400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrackPointSrv"="tp4mon.exe" [2004-08-04 09:44 82432 C:\WINDOWS\system32\tp4mon.exe]
"ATIModeChange"="Ati2mdxx.exe" [2002-06-18 12:14 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [ ]
"SSBkgdUpdate"="C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 09:03 210472]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 21:12 30248]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 21:10 46632]
"PPort11reminder"="C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 13:46 255528]
"BrMfcWnd"="C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 14:51 663552]
"ControlCenter3"="C:\Program Files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 15:58 65536]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-06-04 21:19 921600]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2004-06-13 12:40 98352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:44 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 14:44:06 29696]
EPSON Status Monitor 3 Environment Check.lnk - C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE [1999-10-22 02:10:00 217600]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{663656DF-6BAE-460C-A612-8133DF519346}"= C:\WINDOWS\system32\xxyayYsP.dll [2008-06-01 11:29 59392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmkv32]
winmkv32.dll 2008-06-04 17:58 31744 C:\WINDOWS\system32\winmkv32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyayYsP]
xxyayYsP.dll 2008-06-01 11:29 59392 C:\WINDOWS\system32\xxyayYsP.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"msacm.ac3filter"= ac3filter.acm
"VIDC.RUD0"= rududu.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\DC++\\DCPlusPlus.exe"=
"C:\\Program Files\\BitComet\\BitComet.exe"=
"C:\\Gry\\Total War\\Medieval - Total War\\Medieval_TW.exe"=
"C:\\Documents and Settings\\All Users\\Dane aplikacji\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 7.0.1.325\\Polish\\setup.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"18401:TCP"= 18401:TCP:BitComet 18401 TCP
"18401:UDP"= 18401:UDP:BitComet 18401 UDP

R3 LucentSoftModem;Lucent Technologies Soft Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys [2001-08-17 22:28]
S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\DRIVERS\BrScnUsb.sys [2004-10-15 12:50]

.
Contents of the 'Scheduled Tasks' folder
"2008-06-09 16:50:44 C:\WINDOWS\Tasks\User_Feed_Synchronization-{E4378A5C-D322-47F8-94A9-9B189B829E79}.job"
- C:\WINDOWS\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-09 19:09:05
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

C:\WINDOWS\explorer.exe [1496] 0x82B1C3C8

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\winmkv32.dll
-> C:\WINDOWS\system32\xxyayYsP.dll

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Eset\pr_imon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ibmpmsvc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\ESET\nod32krn.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Brother\ControlCenter3\BrccMCtl.exe
C:\Program Files\Brother\Brmfcmon\BrMfcMon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
.
**************************************************************************
.
Completion time: 2008-06-09 19:22:30 - machine was rebooted
ComboFix-quarantined-files.txt  2008-06-09 17:22:05

Pre-Run: 3,379,736,576 bajtów wolnych
Post-Run: 3,522,686,976 bajt˘w wolnych

173   --- E O F ---   2008-05-28 22:25:06

[huber2t]

Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:

Kod: Zaznacz wszystko

File::
C:\WINDOWS\system32\xxyayYsP.Vdll
C:\WINDOWS\system32\winmkv32.dll
C:\WINDOWS\BMbf10c43c.xml
C:\WINDOWS\system32\wirus
C:\WINDOWS\system32\xxyayYsP.dll
C:\WINDOWS\system32\Rududu.dll
C:\WINDOWS\system32\jkkLBuVM.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{663656DF-6BAE-460C-A612-8133DF519346}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EF38C46D-4F2A-477D-92BC-4C3649FDBCC6}]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{663656DF-6BAE-460C-A612-8133DF519346}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmkv32]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyayYsP]



Plik zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
[obrazek nie jest już dostępny]
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.

[kamil71830]

nowy log, co mam dalej robić?

Kod: Zaznacz wszystko

ComboFix 08-06-08.8 - BCA 2008-06-10 11:09:16.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.288 [GMT 2:00]
Running from: C:\Documents and Settings\BCA\Pulpit\ComboFix.exe
Command switches used :: C:\Documents and Settings\BCA\Pulpit\CFScript.txt.txt
 * Created a new restore point
 * Resident AV is active


[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]

FILE ::
C:\WINDOWS\BMbf10c43c.xml
C:\WINDOWS\system32\jkkLBuVM.dll
C:\WINDOWS\system32\Rududu.dll
C:\WINDOWS\system32\winmkv32.dll
C:\WINDOWS\system32\wirus
C:\WINDOWS\system32\xxyayYsP.dll
C:\WINDOWS\system32\xxyayYsP.Vdll
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BMbf10c43c.xml
C:\WINDOWS\system32\Rududu.dll
C:\WINDOWS\system32\winmkv32.dll
C:\WINDOWS\system32\wirus
C:\WINDOWS\system32\xxyayYsP.dll
C:\WINDOWS\system32\xxyayYsP.Vdll

.
(((((((((((((((((((((((((   Files Created from 2008-05-10 to 2008-06-10  )))))))))))))))))))))))))))))))
.

2008-06-07 13:36 . 2008-06-07 13:36   3,072   --ahs----   C:\WINDOWS\system32\Thumbs.db
2008-06-06 17:19 . 2008-06-06 17:19   <DIR>   d--------   C:\Program Files\Alwil Software
2008-06-06 17:19 . 2002-01-05 13:48   974,848   --a------   C:\WINDOWS\system32\MFC70.dll
2008-06-06 17:19 . 2002-01-05 12:40   487,424   --a------   C:\WINDOWS\system32\MSVCP70.dll
2008-06-06 17:19 . 2002-01-05 12:37   344,064   --a------   C:\WINDOWS\system32\MSVCR70.dll
2008-06-06 17:19 . 2002-01-05 12:38   54,784   --a------   C:\WINDOWS\system32\MSVCI70.dll
2008-06-06 14:52 . 2008-06-06 15:02   <DIR>   d--------   C:\Encyklopedie
2008-06-04 21:29 . 2008-06-04 21:29   <DIR>   d--h-----   C:\WINDOWS\PIF
2008-06-04 21:29 . 2008-06-05 17:41   16   --a------   C:\WINDOWS\system32\coh.cache
2008-06-04 21:20 . 2008-06-04 21:19   502,368   --a------   C:\WINDOWS\system32\drivers\amon.sys
2008-06-04 21:20 . 2008-06-04 21:19   274,432   --a------   C:\WINDOWS\system32\imon.dll
2008-06-04 21:18 . 2008-06-09 18:09   <DIR>   d--------   C:\Program Files\ESET
2008-06-04 17:34 . 2008-06-06 20:08   <DIR>   d--------   C:\Documents and Settings\All Users\Dane aplikacji\Symantec
2008-06-01 11:54 . 2008-06-08 23:22   <DIR>   d--------   C:\Do Pobrania
2008-05-20 03:25 . 2008-05-20 03:25   55,296   --a------   C:\WINDOWS\system32\Rududu.ax
2008-05-13 19:13 . 2008-05-13 19:13   <DIR>   d--------   C:\Documents and Settings\BCA\Dane aplikacji\PDM

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-08 21:27   ---------   d-----w   C:\Program Files\DC++
2008-06-06 18:16   ---------   d-----w   C:\Program Files\Common Files\Symantec Shared
2008-06-06 17:13   ---------   d-----w   C:\Program Files\VDMSound muzyka w dosie
2008-06-06 17:00   ---------   d--h--w   C:\Program Files\InstallShield Installation Information
2008-06-06 09:09   ---------   d-----w   C:\Program Files\BitComet
2008-04-27 16:06   ---------   d-----w   C:\Program Files\English Translator 3
2008-04-26 18:01   ---------   d-----w   C:\Documents and Settings\BCA\Dane aplikacji\Creative
2008-04-26 17:34   ---------   d--h--w   C:\Program Files\Creative Installation Information
2008-04-21 11:49   ---------   d-----w   C:\Program Files\Common Files\NSV
2008-04-17 08:42   ---------   d-----w   C:\Program Files\Java
.

(((((((((((((((((((((((((((((   snapshot@2008-06-09_19.19.54.97   )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-09 17:05:21   2,048   --s-a-w   C:\WINDOWS\bootstat.dat
+ 2008-06-10 09:18:14   2,048   --s-a-w   C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:44 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [ ]
"BitComet"="C:\Program Files\BitComet\BitComet.exe" [2007-11-07 17:06 1881400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TrackPointSrv"="tp4mon.exe" [2004-08-04 09:44 82432 C:\WINDOWS\system32\tp4mon.exe]
"ATIModeChange"="Ati2mdxx.exe" [2002-06-18 12:14 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [ ]
"SSBkgdUpdate"="C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 09:03 210472]
"PaperPort PTD"="C:\Program Files\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 21:12 30248]
"IndexSearch"="C:\Program Files\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 21:10 46632]
"PPort11reminder"="C:\Program Files\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 13:46 255528]
"BrMfcWnd"="C:\Program Files\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 14:51 663552]
"ControlCenter3"="C:\Program Files\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 15:58 65536]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-06-04 21:19 921600]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2004-06-13 12:40 98352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:44 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 14:44:06 29696]
EPSON Status Monitor 3 Environment Check.lnk - C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE [1999-10-22 02:10:00 217600]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
"msacm.ac3filter"= ac3filter.acm
"VIDC.RUD0"= rududu.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\DC++\\DCPlusPlus.exe"=
"C:\\Program Files\\BitComet\\BitComet.exe"=
"C:\\Gry\\Total War\\Medieval - Total War\\Medieval_TW.exe"=
"C:\\Documents and Settings\\All Users\\Dane aplikacji\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 7.0.1.325\\Polish\\setup.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"18401:TCP"= 18401:TCP:BitComet 18401 TCP
"18401:UDP"= 18401:UDP:BitComet 18401 UDP

R3 LucentSoftModem;Lucent Technologies Soft Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys [2001-08-17 22:28]
S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\DRIVERS\BrScnUsb.sys [2004-10-15 12:50]

.
Contents of the 'Scheduled Tasks' folder
"2008-06-10 08:55:29 C:\WINDOWS\Tasks\User_Feed_Synchronization-{E4378A5C-D322-47F8-94A9-9B189B829E79}.job"
- C:\WINDOWS\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-10 11:19:30
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Eset\pr_imon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ibmpmsvc.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Program Files\ESET\nod32krn.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Program Files\Brother\ControlCenter3\BrccMCtl.exe
C:\Program Files\Brother\Brmfcmon\BrMfcMon.exe
.
**************************************************************************
.
Completion time: 2008-06-10 11:31:57 - machine was rebooted [BCA]
ComboFix-quarantined-files.txt  2008-06-10 09:31:39
ComboFix2.txt  2008-06-09 17:22:31

Pre-Run: 4,551,303,168 bajtów wolnych
Post-Run: 4,537,114,624 bajt˘w wolnych

150   --- E O F ---   2008-05-28 22:25:06

[pp3088]

http://instalki.pl/forum/viewtopic.php?p=36892#36892

Vundo Combofixem raczej nie usuniesz.

[huber2t]

log ok

Ściągnij VundoFix i uruchom w trybie awaryjnym.

Kliknij na Scan for Vundo. Rozpocznie się wyszukiwanie trojana. Kiedy skończy się skanowanie i zostaną wykryte zainfekowane pliki, kliknij na Remove Vundo. Ujrzysz zapytanie czy usunąć wybrane pliki. Zatwierdzasz. Po chwili system uruchomi się ponownie. Na dysku C zostanie zapisany log z usuwania.

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

Włącz przywracanie systemu.

[kamil71830]

VundoFix uruchomiłem zgodnie z instrukcją oto LOG:


VundoFix V7.0.5

Scan started at 16:50:31 2008-06-10

Listing files found while scanning....

No infected files were found.


Beginning removal...

Beginning removal...




a oto log z Kaspersky Onlinescanner :

13 czerwiec 2008 22:54:04
System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)
Kaspersky Online Scanner wersja: 5.0.98.0
Ostatnia aktualizacja Kaspersky Anti-Virus13/06/2008
Liczba wpisów w bazie danych Kaspersky Anti-Virus860378
Ustawienia skanowania
Skanowanie przy użyciu następujących baz danych rozszerzone
Skanuj archiwa tak
Skanuj pocztowe bazy danych tak
Obszar skanowania Mój komputer
C:\
D:\
E:\
Statystyki skanowania
Liczba skanowanych obiektów 111595
Liczba wykrytych wirusów 4
Liczba zainfekowanych obiektów 9
Liczba podejrzanych obiektów 0
Czas trwania skanowania 02:00:28

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie
C:\Documents and Settings\All Users\Dane aplikacji\Brother\BrLog\BraCTLCN.log Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Brother\BrLog\BraSTMLM.log Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Brother\BrLog\BraSTMON.log Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Brother\BrLog\BraWDLMW.log Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr0.dat Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr1.dat Object is locked pominięty
C:\Documents and Settings\BCA\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\BCA\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\BCA\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\BCA\Pulpit\różne\Symantec_Norton_Antivirus_2007_.rar/keygen.exe Zainfekowanych: Trojan.Win32.Monder.gen pominięty
C:\Documents and Settings\BCA\Pulpit\różne\Symantec_Norton_Antivirus_2007_.rar/crack.exe Zainfekowanych: Trojan-Downloader.Win32.Injecter.uf pominięty
C:\Documents and Settings\BCA\Pulpit\różne\Symantec_Norton_Antivirus_2007_.rar RAR: zainfekowany - 2 pominięty
C:\Documents and Settings\BCA\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\BCA\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\BCA\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\BCA\Ustawienia lokalne\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked pominięty
C:\Documents and Settings\BCA\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Program Files\ESET\cache\CACHE.NDB Object is locked pominięty
C:\Program Files\ESET\infected\25AWCHDA.NQF Zainfekowanych: Trojan-Downloader.Win32.Agent.quj pominięty
C:\Program Files\ESET\infected\R00RXAAA.NQF Zainfekowanych: Trojan.Win32.Dialer.yz pominięty
C:\Program Files\ESET\infected\Y5YDICAA.NQF Zainfekowanych: Trojan.Win32.Monder.gen pominięty
C:\Program Files\ESET\logs\virlog.dat Object is locked pominięty
C:\Program Files\ESET\logs\warnlog.dat Object is locked pominięty
C:\QooBox\Quarantine\C\WINDOWS\system32\cvfweejp.dll.vir Object is locked pominięty
C:\QooBox\Quarantine\C\WINDOWS\system32\hvlylhlw.dll.vir Zainfekowanych: Trojan.Win32.Monder.gen pominięty
C:\QooBox\Quarantine\C\WINDOWS\system32\iifcBrrO.dll.vir Object is locked pominięty
C:\QooBox\Quarantine\C\WINDOWS\system32\iifcYQkl.dll.vir Object is locked pominięty
C:\QooBox\Quarantine\C\WINDOWS\system32\mlJYqNFx.dll.vir Object is locked pominięty
C:\QooBox\Quarantine\C\WINDOWS\system32\ocllbdcd.dll.vir Zainfekowanych: Trojan.Win32.Monder.gen pominięty
C:\QooBox\Quarantine\C\WINDOWS\system32\qqgudlub.dll.vir Object is locked pominięty
C:\QooBox\Quarantine\C\WINDOWS\system32\winmkv32.dll.vir Zainfekowanych: Trojan-Downloader.Win32.Injecter.uf pominięty
C:\QooBox\Quarantine\C\WINDOWS\system32\xxyayYsP.dll.vir Object is locked pominięty
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty
C:\WINDOWS\SchedLgU.Txt Object is locked pominięty
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty
C:\WINDOWS\Sti_Trace.log Object is locked pominięty
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked pominięty
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\default Object is locked pominięty
C:\WINDOWS\system32\config\default.LOG Object is locked pominięty
C:\WINDOWS\system32\config\Internet.evt Object is locked pominięty
C:\WINDOWS\system32\config\SAM Object is locked pominięty
C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty
C:\WINDOWS\system32\config\software Object is locked pominięty
C:\WINDOWS\system32\config\software.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\system Object is locked pominięty
C:\WINDOWS\system32\config\system.LOG Object is locked pominięty
C:\WINDOWS\system32\drivers\atapi.sys Object is locked pominięty
C:\WINDOWS\system32\drivers\dtscsi.sys Object is locked pominięty
C:\WINDOWS\system32\drivers\sptd.sys Object is locked pominięty
C:\WINDOWS\system32\drivers\sptd4749.sys Object is locked pominięty
C:\WINDOWS\system32\h323log.txt Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty
C:\WINDOWS\wiadebug.log Object is locked pominięty
C:\WINDOWS\wiaservc.log Object is locked pominięty
C:\WINDOWS\WindowsUpdate.log Object is locked pominięty
Proces skanowania został zakończony.

[huber2t]

Vundo już nie masz

Usuń ten plik:
C:\Documents and Settings\BCA\Pulpit\różne\Symantec_Norton_Antivirus_2007_.rar


Usuń pliki z tego folderu:
C:\Program Files\ESET\infected


Usuń ten folder::
C:\QooBox

Przeskanuj po tym ponownie

[kamil71830]

LOG z drugiego skanowania przez Kaspersky Online Scanner:

KASPERSKY ONLINE SCANNER REPORT
14 czerwiec 2008 13:19:53
System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)
Kaspersky Online Scanner wersja: 5.0.98.0
Ostatnia aktualizacja Kaspersky Anti-Virus14/06/2008
Liczba wpisów w bazie danych Kaspersky Anti-Virus863215
Ustawienia skanowania
Skanowanie przy użyciu następujących baz danych rozszerzone
Skanuj archiwa tak
Skanuj pocztowe bazy danych tak
Obszar skanowania Mój komputer
C:\
D:\
E:\
Statystyki skanowania
Liczba skanowanych obiektów 111579
Liczba wykrytych wirusów 0
Liczba zainfekowanych obiektów 0
Liczba podejrzanych obiektów 0
Czas trwania skanowania 02:16:58

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie
C:\Documents and Settings\All Users\Dane aplikacji\Brother\BrLog\BraCTLCN.log Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Brother\BrLog\BraSTMLM.log Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Brother\BrLog\BraSTMON.log Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Brother\BrLog\BraWDLMW.log Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr0.dat Object is locked pominięty
C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Downloader\qmgr1.dat Object is locked pominięty
C:\Documents and Settings\BCA\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\BCA\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\BCA\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\BCA\Ustawienia lokalne\Dane aplikacji\Microsoft\Feeds Cache\index.dat Object is locked pominięty
C:\Documents and Settings\BCA\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\BCA\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\BCA\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\BCA\Ustawienia lokalne\Historia\History.IE5\MSHist012008061420080615\index.dat Object is locked pominięty
C:\Documents and Settings\BCA\Ustawienia lokalne\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked pominięty
C:\Documents and Settings\BCA\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Program Files\ESET\cache\CACHE.NDB Object is locked pominięty
C:\Program Files\ESET\logs\virlog.dat Object is locked pominięty
C:\Program Files\ESET\logs\warnlog.dat Object is locked pominięty
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty
C:\WINDOWS\SchedLgU.Txt Object is locked pominięty
C:\WINDOWS\SoftwareDistribution\EventCache\{84B85CDF-3C2F-4064-BE64-6AC9703BA4AE}.bin Object is locked pominięty
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty
C:\WINDOWS\Sti_Trace.log Object is locked pominięty
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked pominięty
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\default Object is locked pominięty
C:\WINDOWS\system32\config\default.LOG Object is locked pominięty
C:\WINDOWS\system32\config\Internet.evt Object is locked pominięty
C:\WINDOWS\system32\config\SAM Object is locked pominięty
C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty
C:\WINDOWS\system32\config\software Object is locked pominięty
C:\WINDOWS\system32\config\software.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\system Object is locked pominięty
C:\WINDOWS\system32\config\system.LOG Object is locked pominięty
C:\WINDOWS\system32\drivers\atapi.sys Object is locked pominięty
C:\WINDOWS\system32\drivers\dtscsi.sys Object is locked pominięty
C:\WINDOWS\system32\drivers\sptd.sys Object is locked pominięty
C:\WINDOWS\system32\drivers\sptd4749.sys Object is locked pominięty
C:\WINDOWS\system32\h323log.txt Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty
C:\WINDOWS\wiadebug.log Object is locked pominięty
C:\WINDOWS\wiaservc.log Object is locked pominięty
C:\WINDOWS\WindowsUpdate.log Object is locked pominięty
Proces skanowania został zakończony.

[huber2t]

W raporcie czysto

Powinno być ok

[kamil71830]

Wielkie dzięki