Prosze o sprawdzenie loga- Trojany

przez **optimus9292** » 02 Gru 2007, 18:41

ComboFix 07-11-19.4C - Administrator 2007-12-01 22:27:15.1 - NTFSx86

Running from: C:\Documents and Settings\Administrator\Pulpit\ComboFix.exe
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\Ewuu90.sys
C:\WINDOWS\system32\drivers\Kai30.sys
C:\WINDOWS\system32\drivers\Kkkd45.sys
C:\WINDOWS\system32\drivers\Lfcq44.sys
C:\WINDOWS\system32\drivers\secdrv.sys
C:\WINDOWS\system32\drivers\Sptb49.sys
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\drivers\UPTL57.sys
C:\WINDOWS\system32\xpdx.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_UPTL57

((((((((((((((((((((((((( Files Created from 2007-11-01 to 2007-12-01 )))))))))))))))))))))))))))))))
.

2007-12-01 19:07 <DIR> d-------- C:\Program Files\Spyware Doctor
2007-12-01 19:07 <DIR> d-a------ C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2007-12-01 19:07 <DIR> d-------- C:\Documents and Settings\Administrator\Dane aplikacji\PC Tools
2007-12-01 19:07 79,688 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-12-01 19:07 62,280 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-12-01 19:07 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-12-01 19:07 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-11-30 21:20 <DIR> d-------- C:\Documents and Settings\Administrator\Dane aplikacji\BearShare
2007-11-30 20:20 29 --a------ C:\WINDOWS\system32\gpuytrdh.tmp
2007-11-30 20:19 403,456 --a------ C:\WINDOWS\system32\fuck.exe
2007-11-30 18:57 <DIR> d-------- C:\Program Files\Netia
2007-11-26 18:15 <DIR> d-------- C:\Documents and Settings\Administrator\.javaws
2007-11-20 19:33 <DIR> d-------- C:\Program Files\WapSter
2007-11-20 19:33 <DIR> d-------- C:\Documents and Settings\Administrator\WapSter
2007-11-20 17:09 <DIR> d-------- C:\Program Files\Deutsch Translator 2
2007-11-20 17:08 545 --a------ C:\WINDOWS\LHA.PIF
2007-11-20 17:08 545 --a------ C:\WINDOWS\ARJ.PIF
2007-11-18 19:30 <DIR> d-------- C:\Documents and Settings\Administrator\Dane aplikacji\uTorrent
2007-11-17 21:32 <DIR> d-------- C:\Program Files\BearShare Applications
2007-11-17 21:32 483,328 --a------ C:\WINDOWS\system32\actskn45.ocx
2007-11-15 18:16 <DIR> d-------- C:\Documents and Settings\Administrator\Dane aplikacji\Gadu-Gadu
2007-11-10 17:53 <DIR> d-------- C:\Program Files\Plus!

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-01 19:24 20,480 ----a-w C:\rwtubehk.exe
2007-12-01 17:52 --------- d-----w C:\Program Files\Norton AntiVirus
2007-12-01 17:32 --------- d-----w C:\Program Files\Winamp
2007-12-01 17:28 --------- d-----w C:\Program Files\Java Web Start
2007-12-01 17:26 --------- d-----w C:\Program Files\Gadu-Gadu
2007-12-01 16:00 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\Skype
2007-11-30 18:15 --------- d-----w C:\Program Files\Neostrada TP
2007-11-10 16:53 --------- d--h--w C:\Program Files\InstallShield Installation Information
2007-10-19 22:37 --------- d-----w C:\Program Files\Winamp Toolbar
2007-10-19 22:37 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar
2007-10-19 22:37 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\OrbNetworks
2007-10-17 17:36 --------- d-----w C:\Program Files\Gimnazjum klasa 3 - Biologia
2007-10-15 13:34 --------- d-----w C:\Program Files\Common Files\Adobe
2007-10-15 08:42 86,528 ----a-w C:\WINDOWS\bnetunin.exe
2007-10-15 08:42 61,440 ----a-w C:\WINDOWS\diabswun.exe
2007-10-10 18:01 --------- d-----w C:\Program Files\Mustek 1200 UB Plus
2007-10-10 17:33 --------- d-----w C:\Program Files\GameShadow
2007-10-10 17:33 --------- d-----w C:\Documents and Settings\LocalService\Dane aplikacji\AVG7
2007-10-10 17:33 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Grisoft(2)
2007-10-10 17:33 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Grisoft
2007-10-10 17:33 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\avg7
2007-10-10 17:33 --------- d-----w C:\Documents and Settings\Administrator\Dane aplikacji\AVG7
2007-10-10 17:30 --------- d-----w C:\Program Files\Neostrada TP(2)(2)
2007-10-10 17:30 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Grisoft(3)
2007-10-10 17:26 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Grisoft(4)
2007-10-10 15:32 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Grisoft(5)
2007-10-10 15:17 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Grisoft(6)
2007-03-19 21:41 32 --sha-w C:\WINDOWS\{EF5BA6D0-0DDE-4A93-8E47-DD5A96D85B69}.dat
2007-08-22 17:04 88 --sh--r C:\WINDOWS\system32\DE3D2202B8.sys
2007-08-22 17:04 3,350 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2007-03-19 21:41 32 --sha-w C:\WINDOWS\system32\{C77C4BC2-33E1-4714-A333-18376CF0F6D6}.dat
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2007-10-04 21:06 1135968 --a------ C:\Program Files\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Program Files\Winamp Toolbar\winamptb.dll [2007-10-04 21:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Program Files\Winamp Toolbar\winamptb.dll [2007-10-04 21:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-10-26 18:29]
"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2007-07-09 08:39]
"AQQ"="C:\PROGRA~1\WapSter\AQQ\AQQ.exe" []
"Windows Service Agent"="service.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-02-28 21:00]
"Smapp"="C:\Program Files\Analog Devices\SoundMAX\SMTray.exe" [2002-10-11 18:26]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-11-08 23:00]
"SpeedTouch USB Diagnostics"="C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 11:38]
"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-06 22:46]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
"NETIANET"="C:\Program Files\Netia\Net\netianet.exe" [2007-12-01 18:08]
"SDTray"="C:\Program Files\Spyware Doctor\SDTrayApp.exe" [2007-11-02 17:24]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-10-26 18:29]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-04-27 22:52]
"Windows Service Agent"="service.exe" []

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Reserved]
@="Driver Group"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^LUMIX Simple Viewer.lnk]
path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\LUMIX Simple Viewer.lnk
backup=C:\WINDOWS\pss\LUMIX Simple Viewer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG7_CC]
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu]
C:\Program Files\Gadu-Gadu\gg.exe /tray

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
2003-12-22 08:38 241664 --a------ C:\Program Files\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2004-02-18 18:55 49152 --a------ C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
2004-03-04 16:46 172032 --a------ C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
2007-10-10 06:28 36352 --a------ C:\Program Files\Winamp\winampa.exe

*Newly Created Service* - HHAD35
*Newly Created Service* - RUNTIME
.
Contents of the 'Scheduled Tasks' folder
"2007-03-23 20:45:11 C:\WINDOWS\Tasks\Norton AntiVirus - Skanuj komputer.job"
- C:\PROGRA~1\NORTON~1\NAVW32.exeG/task:C:\DOCUME~1\ALLUSE~1\DANEAP~1\Symantec\NORTON~1\Tasks\mycomp.sca
"2007-12-01 21:31:44 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-01 22:32:01
Windows 5.1.2600 NTFS

scanning hidden processes ...

C:\Program Files\Internet Explorer\IEXPLORE.EXE [10192] 0x818DD7B0

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\system32\drivers\ctl_w32.sys 34816 bytes executable

scan completed successfully
hidden files: 1

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\ctl_w32]
"ImagePath"="\SystemRoot\system32\drivers\ctl_w32.sys"
--

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\Ewuu90]

--

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\Hhad35]

--

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\runtime]
"ImagePath"="\??\C:\WINDOWS\System32\drivers\runtime.sys"
--

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\symavc32]
"ImagePath"="\??\C:\WINDOWS\system32\drivers\symavc32.sys"
--

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\xpdx]
"ImagePath"="\??\C:\WINDOWS\System32\xpdx.sys"
.
Completion time: 2007-12-01 22:33:57 - machine was rebooted
.
--- E O F ---
Mam jakieś dwa wirusy i za żadne skarby nie idzie ich usunąć programami antywirusowymi: Rootkit.Agent.EY i Trojan.Downloader.NUS. Wirusy znajdują się gdzieś na dysku C. Proszę o dokładniejsze dane i jasne porady bo jestem zielony jeżeli chodzi o te sprawy.

przez **pp3088** » 02 Gru 2007, 23:23

Wklej do notatnika

C:\WINDOWS\system32\gpuytrdh.tmp
C:\WINDOWS\system32\fuck.exe
C:\WINDOWS\system32\{C77C4BC2-33E1-4714-A333-18376CF0F6D6}.dat
C:\WINDOWS\system32\DE3D2202B8.sys
C:\WINDOWS\{EF5BA6D0-0DDE-4A93-8E47-DD5A96D85B69}.dat
C:\WINDOWS\system32\drivers\ctl_w32.sys
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\drivers\Ewuu90.sys
C:\WINDOWS\system32\drivers\Kai30.sys
C:\WINDOWS\system32\drivers\Kkkd45.sys
C:\WINDOWS\system32\drivers\Lfcq44.sys
C:\WINDOWS\system32\drivers\secdrv.sys
C:\WINDOWS\system32\drivers\Sptb49.sys
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\drivers\UPTL57.sys
C:\WINDOWS\system32\xpdx.sys
C:\WINDOWS\System32\drivers\runtime.sys

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Service Agent"=-

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe)
– podobnie jak na tym obrazku -->

(jeśli pojawi się pytanie "1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: \Qoobox.
Po tym nowy log z Combo iHiJackThis

przez **Leon$** » 03 Gru 2007, 15:59

pp3088 pomyliłeś się ten plik nic nie zrobi brakuje nagłówków

powinno być

Kod: Zaznacz wszystko: File:: C:\WINDOWS\system32\gpuytrdh.tmp C:\WINDOWS\system32\fuck.exe C:\WINDOWS\system32\{C77C4BC2-33E1-4714-A333-18376CF0F6D6}.dat C:\WINDOWS\system32\DE3D2202B8.sys C:\WINDOWS\{EF5BA6D0-0DDE-4A93-8E47-DD5A96D85B69}.dat C:\WINDOWS\system32\drivers\ctl_w32.sys C:\WINDOWS\System32\drivers\runtime.sys Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Service Agent"=-

Natomiast pliki te które podałeś

Kod: Zaznacz wszystko: C:\WINDOWS\system32\drivers\Ewuu90.sys C:\WINDOWS\system32\drivers\Kai30.sys C:\WINDOWS\system32\drivers\Kkkd45.sys C:\WINDOWS\system32\drivers\Lfcq44.sys C:\WINDOWS\system32\drivers\secdrv.sys C:\WINDOWS\system32\drivers\Sptb49.sys C:\WINDOWS\system32\drivers\symavc32.sys C:\WINDOWS\system32\drivers\UPTL57.sys C:\WINDOWS\system32\xpdx.sys

zostały już usunięte przez Combofixa więc nie potrzebnie je podajesz jeszcze raz do usunięcia przecież ich już nie ma .

przez **pp3088** » 04 Gru 2007, 00:10

1. Racja, przepraszam ;d

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\xpdx]
"ImagePath"="\??\C:\WINDOWS\System32\xpdx.sys"

Chyba nie zostały usunięte, dla pewności lepiej dodać.

przez **Leon$** » 04 Gru 2007, 12:10

pp3088 napisał(a):1. Racja, przepraszam ;d

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\xpdx]
"ImagePath"="\??\C:\WINDOWS\System32\xpdx.sys"

Chyba nie zostały usunięte, dla pewności lepiej dodać.

Ta sekcja Combofixa mówi jakie pliki usunął

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\Ewuu90.sys
C:\WINDOWS\system32\drivers\Kai30.sys
C:\WINDOWS\system32\drivers\Kkkd45.sys
C:\WINDOWS\system32\drivers\Lfcq44.sys
C:\WINDOWS\system32\drivers\secdrv.sys
C:\WINDOWS\system32\drivers\Sptb49.sys
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\drivers\UPTL57.sys
C:\WINDOWS\system32\xpdx.sys

Natomiast przykład który podałeś jest to wpis rejestru który odwołuje się do nieistniejącego pliku i należy go usunąć np przez Combo lub plikiem.reg

Kod: Zaznacz wszystko: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\system\ControlSet003\Services\xpdx]

pozdro

przez **pp3088** » 04 Gru 2007, 18:51

Leon$ napisał(a):
pp3088 napisał(a):1. Racja, przepraszam ;d

[HKEY_LOCAL_MACHINE\system\ControlSet003\Services\xpdx]
"ImagePath"="\??\C:\WINDOWS\System32\xpdx.sys"

Chyba nie zostały usunięte, dla pewności lepiej dodać.

Ta sekcja Combofixa mówi jakie pliki usunął

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\Ewuu90.sys
C:\WINDOWS\system32\drivers\Kai30.sys
C:\WINDOWS\system32\drivers\Kkkd45.sys
C:\WINDOWS\system32\drivers\Lfcq44.sys
C:\WINDOWS\system32\drivers\secdrv.sys
C:\WINDOWS\system32\drivers\Sptb49.sys
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\drivers\UPTL57.sys
C:\WINDOWS\system32\xpdx.sys

Natomiast przykład który podałeś jest to wpis rejestru który odwołuje się do nieistniejącego pliku i należy go usunąć np przez Combo lub plikiem.reg

Kod: Zaznacz wszystko
Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\system\ControlSet003\Services\xpdx]

pozdro

Vundo np. Combofix nie usunie, a często pisze, że usuwa. To samo z L2Mfix. ja bym dla pewności powiększył, nic się nie stanie

Najwyżej napisze, że nie można znaleźć pliku i tyle.

przez **optimus9292** » 04 Gru 2007, 20:58

Dzięki nie wiem co bym bez was zrobiła.Jak będzie się działo coś jeszcze t wkleje nowego loga, a narazie jest oki :grin:

Prosze o sprawdzenie loga- Trojany

Prosze o sprawdzenie loga- Trojany

Kto jest na forum