trojan.win32 - prosím o kontrolu logu

[Baron Prášil]

takže použij v nouzovém režimu killbox
stáhni si killbox
rozbal,spust a do okýnka zkopíruj tučné
C:\WINDOWS\system32\svchost.exe:exe.exe
zaškrtni Delete on Reboot
a klikni na křížek.stroj pude do restartu

[Reklama]

[fredik]

Sorry za vlezení do topicu. Je tam ADS připojený k svchost

Použij toto:
Stáhni si ComboFix (by sUBs)
Ukonči všechna aktivní okna a spusť ho.
- Po spuštění se zobrazí podmínky užití, potvrď je stiskem klávesy 1
- Dále postupuj dle pokynů, během aplikování ComboFixu neklikej do zobrazujícího se okna
- Po dokončení skenování by měl program vytvořit log - C:\ComboFix.txt - zkopíruj sem prosím celý jeho obsah

PS: pokud sis stáhla Combofix před 23:48, tak si ho prosím tě stáhni znovu. Upraven odkaz na stažení.

[palma1]

zkusila jsem killbox - po odškrtnutí se začal jenom odpočet a pak se objevila hláška, že byl soubor odstraněn externím procesem, ale byl tam pořád.

pak jsem zkusila i ten combofix. tady je zpráva:

ComboFix 07-07-28.5 - "Home" 2007-07-29 0:06:09.1 [GMT 2:00] - NTFS
Syst‚m Microsoft Windows XP Professional 5.1.2600.2.1250.1.1029.18.True

ADS removed - svchost.exe: deleted 58880 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOCUME~1\Home\Plocha.\internet explorer.lnk
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_ICF
-------\ICF


((((((((((((((((((((((((( Files Created from 2007-06-28 to 2007-07-28 )))))))))))))))))))))))))))))))


2007-07-29 00:05 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-28 23:37 <DIR> d-------- C:\!KillBox
2007-07-28 21:45 <DIR> d-------- C:\DOCUME~1\Home\DATAAP~1\Comodo
2007-07-28 21:45 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATAAP~1\Comodo
2007-07-28 21:41 <DIR> d-------- C:\Program Files\Comodo
2007-07-28 18:23 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATAAP~1\Yahoo! Companion
2007-07-28 18:06 <DIR> d-------- C:\Program Files\Yahoo!
2007-07-28 18:06 <DIR> d-------- C:\Program Files\CCleaner
2007-07-26 22:19 138,368 --a------ C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2007-07-26 22:18 <DIR> d-------- C:\searchplugins
2007-07-26 22:17 <DIR> d-------- C:\Program Files\Spyware Terminator
2007-07-26 22:17 <DIR> d-------- C:\Program Files\Crawler
2007-07-26 22:17 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATAAP~1\Spyware Terminator
2007-07-26 22:05 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-07-26 22:05 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-07-26 22:05 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-07-26 22:05 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-07-26 22:05 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-07-26 22:05 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-07-26 22:04 147,968 --a------ C:\WINDOWS\R.COM
2007-07-26 22:04 137,216 --a------ C:\WINDOWS\system32\T.COM
2007-07-23 22:30 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-07-23 22:29 <DIR> d-------- C:\Program Files\Common Files\Kodak
2007-07-23 19:50 <DIR> d-------- C:\Program Files\XviD
2007-07-23 19:32 974,848 --a------ C:\WINDOWS\system32\mfc70.dll
2007-07-23 19:32 638,976 --a------ C:\WINDOWS\system32\divx.dll
2007-07-23 19:32 524,288 --a------ C:\WINDOWS\system32\xvidcore.dll
2007-07-23 19:32 261,632 --a------ C:\WINDOWS\system32\mcdvd_32.dll
2007-07-23 19:32 139,264 --a------ C:\WINDOWS\system32\xvidvfw.dll
2007-07-23 19:32 <DIR> d-------- C:\Program Files\Common Files\AVSMedia
2007-07-23 19:32 <DIR> d-------- C:\Program Files\AVSMedia
2007-07-23 18:54 1,700,352 --a------ C:\WINDOWS\system32\gdiplus.dll
2007-07-23 18:53 <DIR> d-------- C:\Program Files\Fx Video Converter
2007-07-22 11:41 4,672 --a------ C:\WINDOWS\system\wowpost.exe
2007-07-22 11:41 25,244 --a------ C:\WINDOWS\system32\drivers\aspi32.sys
2007-07-21 11:28 <DIR> d-------- C:\Program Files\Common Files\xing shared
2007-07-19 15:10 278,528 --a------ C:\WINDOWS\system32\livesnth.dll
2007-07-19 15:10 203,776 --a------ C:\WINDOWS\system32\clrviddc.dll
2007-06-30 22:00 <DIR> d-------- C:\DOCUME~1\Home\DATAAP~1\ICQ Toolbar
2007-06-30 21:44 <DIR> d-------- C:\Program Files\ICQToolbar
2007-06-30 21:43 <DIR> d-------- C:\Program Files\ICQ6
2007-06-30 21:01 <DIR> d-------- C:\DOCUME~1\Home\DATAAP~1\ICQ


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-29 00:10 24 --a------ C:\WINDOWS\system32\DVCStateBkp-{00000001-00000000-00000007-00001102-00000002-80651102}.dat
2007-07-29 00:10 24 --a------ C:\WINDOWS\system32\DVCState-{00000001-00000000-00000007-00001102-00000002-80651102}.dat
2007-07-27 19:46 --------- d--h----- C:\Program Files\InstallShield Installation Information
2007-07-26 20:20 --------- d-------- C:\DOCUME~1\Home\DATAAP~1\Skype
2007-07-26 19:24 66872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2007-07-26 19:24 22328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-07-26 19:24 103736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2007-07-25 23:49 10 --a------ C:\WINDOWS\popcinfo.dat
2007-07-25 19:15 14336 --a------ C:\WINDOWS\system32\svchost.exe
2007-07-23 22:30 --------- d-------- C:\Program Files\Kodak
2007-07-21 23:18 1080 --a------ C:\WINDOWS\AUTOLNCH.REG
2007-07-21 11:29 --------- d-------- C:\Program Files\Real
2007-07-21 11:28 --------- d-------- C:\Program Files\Common Files\Real
2007-06-28 10:46 46016 --a------ C:\WINDOWS\system32\perfc005.dat
2007-06-28 10:46 309716 --a------ C:\WINDOWS\system32\perfh005.dat
2007-06-28 10:41 --------- d-------- C:\Program Files\MSXML 4.0
2007-06-06 09:38 344064 --a------ C:\WINDOWS\system32\KPDPM.dll
2007-06-06 09:38 237568 --a------ C:\WINDOWS\system32\KPDPMUI.dll
2007-06-06 09:18 196608 --a------ C:\WINDOWS\system32\KPDRES.DLL
2007-04-30 17:46 745600 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-04-30 17:35 95872 --a------ C:\WINDOWS\system32\AVASTSS.scr
2006-01-13 21:37 20664 --a------ C:\DOCUME~1\Home\DATAAP~1\GDIPFONTCACHEV1.DAT
2002-06-07 12:04 31637760 --a------ C:\Program Files\psp704ev.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"="" []
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]
"nwiz"="nwiz.exe" [2005-12-10 04:06 C:\WINDOWS\system32\nwiz.exe]
"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 20:42]
"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 11:56 C:\WINDOWS\system32\CTHELPER.EXE]
"Jet Detection"="C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 02:00]
"CTStartup"="C:\Program Files\Creative\Splash Screen\CTEaxSpl.exe" [2001-12-20 02:00]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2007-07-21 11:28]
"SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" [2007-07-26 22:18]
"COMODO Firewall Pro"="C:\Program Files\Comodo\Firewall\CPF.exe" [2007-07-28 21:41]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-10 04:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-17 15:49]
"Centrum.cz Notifikátor"="C:\Program Files\NetCentrum\Notifikator\Notifikator.exe" [2006-02-03 16:47]

C:\Documents and Settings\All Users\Nabˇdka Start\Programy\Po spuçtŘnˇ\
Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2004-05-13 09:41:17]
Kodak EasyShare software.lnk - C:\Program Files\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2007-06-21 22:56:14]
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 11:01:04]
Povolit program Bezdr tov  kl vesnice a myç Labtec.lnk - C:\Program Files\Bezdr tov  kl vesnice a myç Labtec\MagicKey.exe [2006-04-16 20:07:37]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
@=

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

R0 BsStor;InCD Storage Helper Driver;C:\WINDOWS\system32\DRIVERS\bsstor.sys
R0 Inspect;Comodo Network Engine;C:\WINDOWS\system32\DRIVERS\inspect.sys
R0 prohlp02;StarForce Protection Helper Driver v2;C:\WINDOWS\system32\drivers\prohlp02.sys
R0 prosync1;StarForce Protection Synchronization Driver v1;C:\WINDOWS\system32\drivers\prosync1.sys
R0 sfhlp01;StarForce Protection Helper Driver;C:\WINDOWS\system32\drivers\sfhlp01.sys
R1 CmdMon;Comodo Application Engine;C:\WINDOWS\system32\DRIVERS\cmdmon.sys
R1 kbfilter;Keyboard Filter Driver;C:\WINDOWS\system32\drivers\kbfilter.sys
R1 MemAlloc;MemAlloc;C:\WINDOWS\system32\DRIVERS\memalloc.sys
R1 moufiltr;Mouse Filter Driver;C:\WINDOWS\system32\drivers\moufiltr.sys
R1 prodrv03;Star Force copy protection driver v3;C:\WINDOWS\system32\drivers\prodrv03.sys
R1 prodrv06;StarForce Protection Environment Driver v6;C:\WINDOWS\system32\drivers\prodrv06.sys
R1 sp_rsdrv2;Spyware Terminator Driver 2;\??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
R1 SpyEmrg;Spy Emergency Driver;C:\WINDOWS\system32\Drivers\spyemrg.sys
R2 BsUDF;InCD UDF Driver;C:\WINDOWS\system32\drivers\BsUDF.sys
R2 ElbyCDIO;ElbyCDIO Driver;C:\WINDOWS\system32\Drivers\ElbyCDIO.sys
R2 MASPINT;MASPINT;C:\WINDOWS\system32\drivers\MASPINT.sys
R3 ElbyCDFL;ElbyCDFL;C:\WINDOWS\system32\Drivers\ElbyCDFL.sys
R3 ElbyDelay;ElbyDelay;C:\WINDOWS\system32\Drivers\ElbyDelay.sys
R3 PSched;Pl novaź paket… technologie QoS;C:\WINDOWS\system32\DRIVERS\psched.sys
R3 usbohci;Ovladaź Miniport otevýen‚ho hostitelsk‚ho ýadiźe Microsoft USB;C:\WINDOWS\system32\DRIVERS\usbohci.sys
R3 WmBEnum;Logitech Virtual Bus Enumerator Driver;C:\WINDOWS\system32\drivers\WmBEnum.sys
R3 WmFilter;Logitech WingMan HID Filter Driver;C:\WINDOWS\system32\drivers\WmFilter.sys
R3 WmXlCore;Logitech WingMan Translation Layer Driver;C:\WINDOWS\system32\drivers\WmXlCore.sys
S0 VClone;VClone;C:\WINDOWS\system32\DRIVERS\VClone.sys
S1 LStone;Pinnacle Systems Studio AV/DV Overlay;C:\WINDOWS\system32\DRIVERS\lstone2k.sys
S3 61883;61883 Unit Device;C:\WINDOWS\system32\DRIVERS\61883.sys
S3 adusbmdm6501;AnyDATA CDMA USB Modem Driver (PID 6501);C:\WINDOWS\system32\DRIVERS\adusbmdm65.sys
S3 adusbser6501;AnyDATA CDMA USB Serial Port (PID 6501);C:\WINDOWS\system32\DRIVERS\adusbser65.sys
S3 Avc;AVC Device;C:\WINDOWS\system32\DRIVERS\avc.sys
S3 ctljystk;Game port pro zaýˇzenˇ Creative SB Live!;C:\WINDOWS\system32\DRIVERS\ctljystk.sys
S3 GMSIPCI;GMSIPCI;\??\E:\INSTALL\GMSIPCI.SYS
S3 hidgame;Microsoft Hid to Joystick Port Enabler;C:\WINDOWS\system32\DRIVERS\hidgame.sys
S3 iAimTV0;iAimTV0;C:\WINDOWS\system32\DRIVERS\wATV01nt.sys
S3 MSDV;Microsoft DV Camera and VCR;C:\WINDOWS\system32\DRIVERS\msdv.sys
S3 NTACCESS;NTACCESS;\??\D:\NTACCESS.sys
S3 nvax;Service for NVIDIA(R) nForce(TM) Audio Enumerator;C:\WINDOWS\system32\drivers\nvax.sys
S3 NVENET;NVIDIA nForce MCP Networking Adapter Driver;C:\WINDOWS\system32\DRIVERS\NVENET.sys
S3 nvnforce;Service for NVIDIA(R) nForce(TM) Audio;C:\WINDOWS\system32\drivers\nvapu.sys
S3 Pcouffin;Low level access layer for CD devices;C:\WINDOWS\system32\Drivers\Pcouffin.sys
S3 SetupNTGLM7X;SetupNTGLM7X;\??\D:\NTGLM7X.sys
S3 sonypvs1;Sony Digital Imaging Video2;C:\WINDOWS\system32\DRIVERS\sonypvs1.sys
S3 USB_RNDIS;USB Remote NDIS Network Device Driver;C:\WINDOWS\system32\DRIVERS\usb8023k.sys
S3 usbccgp;Obecně nadýazeně ovladaź Microsoft USB;C:\WINDOWS\system32\DRIVERS\usbccgp.sys
S3 USBSTOR;Ovladaź velkokapacitnˇho pamŘśov‚ho zaýˇzenˇ USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
S3 vaxscsi;vaxscsi;C:\WINDOWS\system32\Drivers\vaxscsi.sys
S3 WmVirHid;Logitech Virtual Hid Device Driver;C:\WINDOWS\system32\drivers\WmVirHid.sys

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
Schedule


Contents of the 'Scheduled Tasks' folder
2007-07-23 20:24:33 C:\WINDOWS\Tasks\EasyShare Registration Task.job - C:\WINDOWS\system32\rundll32.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-29 00:11:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\\f\1i]
"Order"=hex:08,00,00,00,02,00,00,00,0c,00,00,00,01,00,00,00,00,00,00,00

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-29 0:15:34 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-29 00:15

--- E O F ---


PS.: nevím, co se stalo, ale zmizel mi explorer... ikona je pryč a rychlou klávesou z klávesnice to taky nešlo.

[palma1]

explorer už jsme zprovoznili

[palma1]

v průběhu "combofix" se mě ptal "spyreware terminator" na povolování určitých souborů, všechny co obsahovaly "trojan" jsem dala zakázat a pak odstranit. teď jsme dali (jen pro info) znovu spustit mwav a výsledek je trochu jiný, než byl:

Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "smitfraud Browser Hijacker" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "lop.com Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "spypal Spyware/Adware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.
Objekt "mybugfreepc Corrupted Adware/Spyware" nalezen v souborovém systému! Provedené akce: Nic nebylo provedeno.

nevím, jestli tyhle věci něco znamenají - není už tam uvedena žádná adresa, kde by se konkrétně měl nacházet... co myslíte?

[sakiri]

Log z MWAV je již OK.

[palma1]

tak to je prima - hrozně moc díky všem, co mi poradili