Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Trojan Virtumonde.dll
02 Wrz 2008, 21:30
witam ostatnio zlapalem trojana o nazwie Virtumonde. nod32 nie moze go usunac, podobnie jak spybot itp. nod ciagle go wykrywa i ciagle nazwa trojana ma rozszeszenie dll. znajduje sie c:/windows/system32 i wystepuje pod kilkoma nazwami. ponizej daje logi z ComboFix. mam prosbe jestem zielony w te klocki - prosze o dokladne instrukcje co, gdzie i w jaki sposob usunac. pozdrawiam i z gory dziekuje za pomoc.
- Kod:
ComboFix 08-09-01.03 - xp 2008-09-02 21:02:06.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1542 [GMT 2:00]
Running from: C:\Documents and Settings\xp\Pulpit\ComboFix.exe
* Created a new restore point
* Resident AV is active
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\bmdtdgdi.ini
C:\WINDOWS\system32\byXOgday.dll
C:\WINDOWS\system32\byXPJaaW.dll
C:\WINDOWS\system32\cbXrPIxY.dll
C:\WINDOWS\system32\emfyxccw.ini
C:\WINDOWS\system32\gEwtttTL.dll
C:\WINDOWS\system32\hgGwVmJC.dll
C:\WINDOWS\system32\iifdeeBs.dll
C:\WINDOWS\system32\jkkJDwtr.dll
C:\WINDOWS\system32\jkkLBSmM.dll
C:\WINDOWS\system32\kjxyrjel.ini
C:\WINDOWS\system32\ljJARhHX.dll
C:\WINDOWS\system32\mlJcyAtQ.dll
C:\WINDOWS\system32\mlJYssQg.dll
C:\WINDOWS\system32\nnnkjHAT.dll
C:\WINDOWS\system32\opnmKEwv.dll
C:\WINDOWS\system32\opnmlMgg.dll
C:\WINDOWS\system32\pmnlkLFy.dll
C:\WINDOWS\system32\rqRIcDwx.dll
C:\WINDOWS\system32\rqRKBRkl.dll
C:\WINDOWS\system32\rqRLedaW.dll
C:\WINDOWS\system32\rqrQGxUO.dll
C:\WINDOWS\system32\RrAHNqss.ini
C:\WINDOWS\system32\RrAHNqss.ini2
C:\WINDOWS\system32\urqPjHwv.dll
C:\WINDOWS\system32\vtUmMGXR.dll
C:\WINDOWS\system32\wccxyfme.dll
C:\WINDOWS\system32\wHOrsBeg.ini
C:\WINDOWS\system32\wHOrsBeg.ini2
C:\WINDOWS\system32\wvULFxUO.dll
C:\WINDOWS\system32\wvUMFutU.dll
C:\WINDOWS\system32\xxywUmLd.dll
C:\WINDOWS\system32\xxyxXNEv.dll
C:\WINDOWS\system32\yaywvSIX.dll
.
((((((((((((((((((((((((( Files Created from 2008-08-02 to 2008-09-02 )))))))))))))))))))))))))))))))
.
2008-09-01 17:01 . 2008-09-01 17:01 99,456 --a------ C:\WINDOWS\system32\lejryxjk.dll
2008-09-01 16:46 . 2008-09-01 16:46 496,458 --a------ C:\WINDOWS\t_eJay4.inf
2008-08-31 14:33 . 2008-08-31 14:33 <DIR> d-------- C:\Program Files\Windows Media Components
2008-08-31 14:31 . 2000-05-01 23:02 97,280 --a------ C:\WINDOWS\system32\ccrpbds5.dll
2008-08-31 14:30 . 2008-08-31 14:30 <DIR> d-------- C:\WINDOWS\speech
2008-08-31 01:33 . 2008-08-31 09:47 325,120 --a------ C:\WINDOWS\system32\nnnoPIbY.dll
2008-08-30 21:33 . 2008-08-30 22:33 325,120 --a------ C:\WINDOWS\system32\hgGabBrO.dll
2008-08-30 16:56 . 2008-08-30 16:56 325,120 --a------ C:\WINDOWS\system32\awtsqPhH.dll
2008-08-30 15:56 . 2008-08-30 15:56 324,636 --a------ C:\WINDOWS\system32\urqPFXpQ.dll
2008-08-29 22:48 . 2008-08-29 22:48 <DIR> d-------- C:\Program Files\NAPI-PROJEKT
2008-08-28 20:59 . 2008-09-02 16:46 137,472 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-08-28 20:58 . 2008-08-30 14:47 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-08-28 20:58 . 2008-09-02 16:46 111,928 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2008-08-28 20:58 . 2008-08-28 20:58 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2008-08-28 12:12 . 2008-08-28 15:25 <DIR> d-------- C:\Program Files\Odkurzacz
2008-08-28 00:22 . 2008-08-28 00:22 86,978,298 --a------ C:\kopia zapasowa rejesru.reg
2008-08-27 17:24 . 2008-06-10 21:22 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-08-27 17:24 . 2008-06-02 15:19 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-08-27 17:24 . 2008-06-02 15:19 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-08-27 17:24 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-08-27 17:23 . 2008-08-27 17:23 <DIR> d-------- C:\Documents and Settings\xp\Dane aplikacji\PC Tools
2008-08-27 16:53 . 2008-09-02 21:10 <DIR> d-a------ C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-08-27 16:01 . 2008-08-27 16:02 277 --a------ C:\WINDOWS\wininit.ini
2008-08-27 15:35 . 2008-08-31 13:38 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2008-08-27 15:16 . 2008-08-27 15:16 34,176 --------- C:\WINDOWS\system32\ssqRkKaa.dll
2008-08-27 15:14 . 2008-08-27 15:15 62,464 --a------ C:\spoolsvr.exe
2008-08-26 15:52 . 2008-08-26 15:52 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Codemasters
2008-08-25 17:46 . 2008-08-25 17:46 <DIR> d-------- C:\Program Files\Common Files\Adobe AIR
2008-08-25 17:45 . 2008-08-25 17:45 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-08-24 16:33 . 2008-08-24 16:33 278,984 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2008-08-24 16:33 . 2008-08-24 16:33 25,416 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2008-08-23 22:51 . 2008-08-28 14:01 <DIR> d-------- C:\WINDOWS\Logs
2008-08-23 15:51 . 2008-08-23 15:51 <DIR> d-------- C:\Program Files\Common Files\PocketSoft
2008-08-23 09:28 . 2006-10-05 14:34 171,014 --ah----- C:\WINDOWS\system32\Dark Shine Icon 16.ico
2008-08-23 09:26 . 2006-10-05 14:35 171,014 --ah----- C:\WINDOWS\system32\Dark Shine Icon 25.ico
2008-08-23 09:24 . 2006-10-05 18:12 171,014 --ah----- C:\WINDOWS\system32\Dark Shine Icon 01.ico
2008-08-22 15:02 . 2006-10-05 18:11 171,014 --ah----- C:\WINDOWS\system32\Dark Shine Icon 07.ico
2008-08-22 15:02 . 2006-10-05 18:11 171,014 --ah----- C:\WINDOWS\system32\Dark Shine Icon 06.ico
2008-08-22 14:57 . 2006-10-05 14:35 171,014 --ah----- C:\WINDOWS\system32\Dark Shine Icon 11.ico
2008-08-22 14:56 . 2006-10-05 18:12 171,014 --ah----- C:\WINDOWS\system32\Dark Shine Icon 02.ico
2008-08-19 15:05 . 2008-08-19 15:39 <DIR> d-------- C:\stalker
2008-08-18 21:17 . 2008-08-18 23:11 108 --a------ C:\WINDOWS\system32\[u]0[/u]9wutili.sys
2008-08-18 12:00 . 2008-09-02 21:09 <DIR> d-------- C:\Program Files\AutoConnect
2008-08-16 13:49 . 2007-07-19 18:14 3,727,720 --a------ C:\WINDOWS\system32\d3dx9_35.dll
2008-08-16 13:49 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2008-08-16 13:49 . 2007-07-19 18:14 1,358,192 --a------ C:\WINDOWS\system32\D3DCompiler_35.dll
2008-08-16 13:49 . 2007-05-16 16:45 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll
2008-08-16 13:49 . 2007-07-19 18:14 444,776 --a------ C:\WINDOWS\system32\d3dx10_35.dll
2008-08-16 13:49 . 2007-05-16 16:45 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2008-08-16 13:49 . 2007-04-04 18:53 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2008-08-13 20:55 . 2008-08-26 15:51 <DIR> d-------- C:\Program Files\OpenAL
2008-08-13 20:55 . 2008-08-26 15:51 444,952 --a------ C:\WINDOWS\system32\wrap_oal.dll
2008-08-13 20:55 . 2008-08-26 15:51 109,080 --a------ C:\WINDOWS\system32\OpenAL32.dll
2008-08-13 20:55 . 2008-08-23 22:21 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-08-12 19:38 . 2008-05-29 09:28 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-08-12 18:21 . 2007-03-13 17:30 649,432 -ra------ C:\WINDOWS\system32\drivers\cfosspeed.sys
2008-08-12 18:20 . 2007-03-13 17:30 281,816 --a------ C:\WINDOWS\system32\cfosspeed.dll
2008-08-12 14:31 . 2005-05-26 15:34 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2008-08-12 14:23 . 2008-08-12 14:23 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-08-12 14:18 . 2008-08-12 14:18 <DIR> d-------- C:\Program Files\TuneUp Utilities 2008
2008-08-12 14:18 . 2008-08-12 14:18 <DIR> d-------- C:\Documents and Settings\xp\Dane aplikacji\TuneUp Software
2008-08-12 14:18 . 2008-08-12 14:18 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software
2008-08-11 09:47 . 2008-08-31 15:00 <DIR> d-------- C:\Documents and Settings\xp\Dane aplikacji\uTorrent
2008-08-10 22:45 . 2008-08-10 22:45 <DIR> d-------- C:\Program Files\Java
2008-08-10 22:45 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-10 22:43 . 2008-08-10 22:43 <DIR> d-------- C:\Program Files\Common Files\Java
2008-08-10 22:25 . 2008-08-10 22:25 <DIR> d-------- C:\Program Files\Lavasoft
2008-08-09 20:57 . 2008-08-09 20:57 <DIR> d-------- C:\Documents and Settings\xp\Dane aplikacji\Media Player Classic
2008-08-09 20:56 . 2008-08-09 20:56 <DIR> d-------- C:\Program Files\Real Alternative
2008-08-09 20:53 . 2008-09-01 19:04 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-08-09 18:50 . 2008-08-27 15:39 <DIR> d-------- C:\Program Files\Spybot - Search & Destroy
2008-08-09 18:38 . 2008-08-09 18:38 <DIR> d-------- C:\Documents and Settings\xp\Dane aplikacji\Gadu-Gadu
2008-08-09 18:36 . 2008-08-09 18:36 <DIR> d-------- C:\Program Files\Gadu-Gadu
2008-08-09 18:36 . 2008-08-17 22:07 <DIR> d-------- C:\Documents and Settings\xp\Gadu-Gadu
2008-08-09 18:25 . 2008-08-09 18:25 0 --a------ C:\WINDOWS\nsreg.dat
2008-08-09 13:33 . 2008-08-09 13:33 2,560 --a------ C:\WINDOWS\_MSRSTRT.EXE
2008-08-09 13:30 . 2008-08-09 13:30 0 --------- C:\WINDOWS\WB.ini
2008-08-09 13:27 . 2008-04-26 16:14 42,672 --------- C:\WINDOWS\system32\wbsys.dll
2008-08-09 13:00 . 2008-08-09 13:00 <DIR> d-------- C:\Documents and Settings\xp\Dane aplikacji\Sports Interactive
2008-08-09 12:56 . 2008-08-09 12:56 <DIR> d--h----- C:\Program Files\Zero G Registry
2008-08-09 12:55 . 2008-08-09 12:55 <DIR> d--h----- C:\Documents and Settings\xp\InstallAnywhere
2008-08-09 12:38 . 2008-08-09 12:39 <DIR> d-------- C:\Documents and Settings\xp\Dane aplikacji\BESTplayer
2008-08-09 12:37 . 2008-08-12 14:18 <DIR> d-------- C:\Program Files\Common Files\Wise Installation Wizard
2008-08-09 12:37 . 2008-08-10 22:31 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft
2008-08-09 12:36 . 2008-08-09 12:36 <DIR> d-------- C:\Program Files\Ad Muncher
2008-08-09 11:20 . 2008-08-09 11:20 <DIR> d-------- C:\Program Files\SAGEM
2008-08-08 21:33 . 2008-08-08 21:33 <DIR> d-------- C:\Program Files\CCleaner
2008-08-08 17:34 . 2008-08-08 17:34 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Trymedia
2008-08-08 15:53 . 2008-08-08 15:53 <DIR> d-------- C:\WINDOWS\Cache
2008-08-08 15:47 . 2008-08-08 15:47 <DIR> d-------- C:\Program Files\DAEMON Tools Toolbar
2008-08-08 15:47 . 2008-08-09 12:58 <DIR> d-------- C:\Program Files\DAEMON Tools Lite
2008-08-08 15:44 . 2008-08-08 15:44 <DIR> d-------- C:\Documents and Settings\xp\Dane aplikacji\DAEMON Tools
2008-08-08 15:44 . 2008-08-08 15:44 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-08-08 15:39 . 2008-08-09 18:16 990 --a------ C:\WINDOWS\adiras.ini
2008-08-08 15:38 . 2008-08-08 15:38 <DIR> d-------- C:\Program Files\7-Zip
2008-08-08 15:27 . 2008-08-08 15:26 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-08-08 15:27 . 2008-08-08 15:26 298,104 --a------ C:\WINDOWS\system32\imon.dll
2008-08-08 15:27 . 2008-08-08 15:26 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
2008-08-08 15:26 . 2008-08-28 14:07 <DIR> d-------- C:\Program Files\ESET
2008-08-08 15:24 . 2008-08-08 15:24 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Avg8
2008-08-08 15:21 . 2008-08-08 15:21 <DIR> d-------- C:\Program Files\DFX
2008-08-08 14:52 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-08-08 14:50 . 2008-08-08 14:50 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-08-08 14:50 . 2008-08-09 11:19 <DIR> d-------- C:\Program Files\Neostrada TP
2008-08-07 08:48 . 2008-08-07 08:48 <DIR> d-------- C:\Program Files\AVG
2008-08-07 08:48 . 2008-08-07 08:48 <DIR> d-------- C:\Documents and Settings\xp\Dane aplikacji\AVGTOOLBAR
2008-08-07 08:39 . 2008-08-09 12:02 <DIR> d-------- C:\Documents and Settings\xp\Dane aplikacji\Ahead
2008-08-07 08:39 . 2008-08-07 08:39 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Ahead
2008-08-07 08:38 . 2008-08-07 08:38 <DIR> d-------- C:\Program Files\Nero
2008-08-07 08:38 . 2008-08-07 08:39 <DIR> d-------- C:\Program Files\Common Files\Ahead
2008-08-07 08:38 . 2008-08-07 08:38 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Nero
2008-08-07 08:32 . 2008-08-08 15:21 <DIR> d-------- C:\Program Files\Winamp
2008-08-07 08:32 . 2008-08-07 08:32 <DIR> d-------- C:\Program Files\MarBit
2008-08-07 08:32 . 2008-08-08 15:27 <DIR> d-------- C:\Documents and Settings\xp\Dane aplikacji\Winamp
2008-08-07 08:31 . 2008-08-07 08:31 <DIR> d-------- C:\Program Files\K-Lite Codec Pack
2008-08-07 08:31 . 2008-03-21 22:30 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-08-07 08:22 . 2008-08-07 08:22 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-08-07 08:22 . 2008-08-07 08:22 <DIR> d-------- C:\Program Files\Microsoft.NET
2008-08-07 08:22 . 2008-08-07 08:22 <DIR> d-------- C:\Program Files\Microsoft Works
2008-08-07 08:22 . 2004-03-22 15:17 24,816 --a------ C:\WINDOWS\system32\mdimon.dll
2008-08-07 08:22 . 2008-08-07 08:22 421 --a------ C:\WINDOWS\ODBC.INI
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-24 14:18 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-08-09 16:16 32 ----a-w C:\WINDOWS\system32\drivers\adidsl.cfg
2008-08-08 13:52 --------- d-----w C:\Program Files\Common Files\InstallShield
2008-08-06 12:31 --------- d-----w C:\Program Files\Realtek
2008-08-06 12:30 16,608 ----a-w C:\WINDOWS\gdrv.sys
2008-08-06 12:30 --------- d-----w C:\Documents and Settings\xp\Dane aplikacji\InstallShield
2008-08-06 12:28 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-08-06 12:26 --------- d-----w C:\Program Files\Intel
2008-08-06 12:20 --------- d-----w C:\Program Files\MSXML 6.0
2008-08-06 12:20 --------- d-----w C:\Program Files\MSXML 4.0
2008-08-06 12:20 --------- d-----w C:\Program Files\microsoft frontpage
2008-08-06 12:19 --------- d-----w C:\Program Files\Usługi online
2008-08-06 12:16 --------- d-----w C:\Program Files\Windows Media Connect 2
2008-07-31 08:41 68,616 ----a-w C:\WINDOWS\system32\XAPOFX1_1.dll
2008-07-31 08:41 238,088 ----a-w C:\WINDOWS\system32\xactengine3_2.dll
2008-07-31 08:40 509,448 ----a-w C:\WINDOWS\system32\XAudio2_2.dll
2008-07-12 06:18 467,984 ----a-w C:\WINDOWS\system32\d3dx10_39.dll
2008-07-12 06:18 3,851,784 ----a-w C:\WINDOWS\system32\D3DX9_39.dll
2008-07-12 06:18 1,493,528 ----a-w C:\WINDOWS\system32\D3DCompiler_39.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FEEAD861-8455-42F3-8A7E-B7756084BB36}]
2008-08-27 15:16 34176 --------- C:\WINDOWS\system32\ssqRkKaa.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]
"AutoConnect"="C:\Program Files\AutoConnect\AutoConnect.exe" [2006-12-03 310784]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 1832272]
"Odkurzacz-MCD"="C:\Program Files\Odkurzacz\odk_mcd.exe" [2008-08-16 264704]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-05-11 8429568]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-05-11 81920]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2008-08-08 949376]
"Ad Muncher"="C:\Program Files\Ad Muncher\AdMunch.exe" [2007-11-03 779776]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"cFosSpeed"="E:\Program Files\cfospeed\cFosSpeed.exe" [2007-03-13 834776]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"ISTray"="e:\Program Files\Spyware Doctor\pctsTray.exe" [2008-07-16 1166216]
"RTHDCPL"="RTHDCPL.EXE" [2008-02-13 C:\WINDOWS\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2007-05-11 C:\WINDOWS\system32\nwiz.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2008-01-24 C:\WINDOWS\system32\advpack.dll]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-08-09 1205840]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{FEEAD861-8455-42F3-8A7E-B7756084BB36}"= "C:\WINDOWS\system32\ssqRkKaa.dll" [2008-08-27 34176]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqRkKaa]
2008-08-27 15:16 34176 C:\WINDOWS\system32\ssqRkKaa.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"E:\\Program Files\\Sports Interactive\\Football Manager 2008\\fm.exe"=
"E:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\Java\\jre1.6.0_07\\bin\\javaw.exe"=
"C:\\Program Files\\Java\\jre1.6.0_07\\bin\\java.exe"=
"E:\\Program Files\\Kolekcja Klasyki\\Sacred\\GameServer.exe"=
"E:\\Program Files\\Race driver GRID\\Grid\\GRID.exe"=
"E:\\Program Files\\Wolfenstein - Enemy Territory\\ET.exe"=
R2 UxTuneUp;TuneUp Theme Extension;C:\WINDOWS\System32\svchost.exe [2004-08-04 14336]
S2 ELOADER;General Purpose USB Driver (adildr.sys);C:\WINDOWS\system32\Drivers\adildr.sys [2007-02-07 56088]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-08-12 355584]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contents of the 'Scheduled Tasks' folder
.
- - - - ORPHANS REMOVED - - - -
BHO-{30F4875C-3D35-47C7-9833-00771A6FE495} - (no file)
BHO-{3B1E5C92-CF29-42BF-9549-577581A71EB0} - C:\WINDOWS\system32\geBsrOHw.dll
BHO-{7F6619AF-9430-42F3-B1C9-CD7BFB1A4AD6} - (no file)
BHO-{9D901063-DBDD-4D75-8D2A-B67614A6AA7E} - (no file)
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\xp\Dane aplikacji\Mozilla\Firefox\Profiles\7cs968g7.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - gazeta.pl
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-02 21:09:35
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\ssqRkKaa.dll
PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Eset\pr_imon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\savedump.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
E:\Program Files\cfospeed\spd.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\ESET\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
E:\Program Files\Spyware Doctor\pctsAuxs.exe
E:\Program Files\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Completion time: 2008-09-02 21:11:34 - machine was rebooted [xp]
ComboFix-quarantined-files.txt 2008-09-02 19:11:30
Pre-Run: 40,410,345,472 bajtów wolnych
Post-Run: 40,377,798,656 bajt˘w wolnych
299
Re: Trojan Virtumonde.dll
02 Wrz 2008, 21:43
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
Plik
zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
[obrazek nie jest już dostępny]
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na wklej.eu a w poście dajesz tylko link
Wklej do notatnika:
- Kod:
File::
C:\WINDOWS\system32\lejryxjk.dll
C:\WINDOWS\system32\ccrpbds5.dll
C:\WINDOWS\system32\nnnoPIbY.dll
C:\WINDOWS\system32\hgGabBrO.dll
C:\WINDOWS\system32\awtsqPhH.dll
C:\WINDOWS\system32\urqPFXpQ.dll
C:\spoolsvr.exe
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FEEAD861-8455-42F3-8A7E-B7756084BB36}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"=-
"NeroFilterCheck"=-
"SunJavaUpdateSched"=-
"Adobe Reader Speed Launcher"=-
"RTHDCPL"=-
"nwiz"=-
Plik
zapisz jako CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu
[obrazek nie jest już dostępny]
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
Logi dajesz na wklej.eu a w poście dajesz tylko link
Re: Trojan Virtumonde.dll
02 Wrz 2008, 22:42
oto nowy log - http://www.wklej.eu/index.php?id=ae87df86ef
wielkie dzieki za pomoc
prosze jeszcze tylko o sprawdzenie czy juz jest ok. pozdro
wielkie dzieki za pomoc
prosze jeszcze tylko o sprawdzenie czy juz jest ok. pozdro
Re: Trojan Virtumonde.dll
03 Wrz 2008, 06:06
Log wyglada na czysty
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Strona nie jest już dostępna
Przeskanuj obszar mojego komputera
lub
Dr.WEB CureIt!
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Strona nie jest już dostępna
Przeskanuj obszar mojego komputera
- Kod:
http://www.kaspersky.pl/virusscanner.html
lub
Dr.WEB CureIt!