Forum Komputerowe Info-PC :: [Problem] Wirus

asgoN · Dołączył: 21 Mar 2008 Posty: 1

Witam wszystkich od razu przejde do konkretu,
otóż od pewnego czasu zaczął się problem z komputerem prowdopodobnie trojan. Przeskanowałem ad-awarem, spybotem i nic. Na jednym forum gościu miał troche podobny problem i kazali mu napisac loga i przesunąc na combo fixa. Zrobiłem tak i nie pomogło. Co więcej nie mogłem przez windows media player odpalac muzy/filmu gdyż występował: "wewnętrzny błąd aplikacji". Dołączam dzisiejszego loga z combo fixa może jakiś expert mi pomoże .
Pozdrawiam Zdołowany :-x

Kod:

ComboFix 08-03-18.1 - Piotr 2008-03-21 13:30:59.6 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.663 [GMT 1:00]
Running from: C:\Documents and Settings\Piotr\Pulpit\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED

[/b][/color]
.

((((((((((((((((((((((((( Files Created from 2008-02-21 to 2008-03-21 )))))))))))))))))))))))))))))))
.

2008-03-20 23:52 . 2008-03-20 23:55 <DIR> d-------- C:\Program Files\Winamp
2008-03-20 22:46 . 2008-03-20 22:46 <DIR> d-------- C:\Program Files\Ashampoo
2008-03-20 22:35 . 2008-03-20 22:35 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-03-20 22:24 . 2008-03-20 22:24 <DIR> d-------- C:\Program Files\Sunbelt Software
2008-03-20 22:21 . 2008-03-20 22:21 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-03-20 12:24 . 2005-05-04 13:39 94,208 --a------ C:\WINDOWS\system32\China.dll
2008-03-19 22:33 . 2008-03-19 22:34 <DIR> d-------- C:\Program Files\SkanerOnline
2008-03-19 18:19 . 2004-01-29 11:58 2,350,134 --a--c--- C:\WINDOWS\wall_4.bmp
2008-03-19 18:18 . 2004-01-29 11:57 2,359,350 --a--c--- C:\WINDOWS\wall_1.bmp
2008-03-19 17:24 . 2008-03-19 17:24 <DIR> d-------- C:\Program Files\Asprate
2008-03-16 16:04 . 2008-03-16 16:18 <DIR> d-------- C:\Emergency
2008-03-15 15:59 . 2004-04-05 13:03 2,359,350 --a--c--- C:\WINDOWS\3.bmp
2008-03-15 15:42 . 2003-07-09 13:36 2,359,350 --a--c--- C:\WINDOWS\gm_4.bmp
2008-03-15 15:42 . 2002-09-22 12:51 104,448 --a------ C:\WINDOWS\setwall.exe
2008-03-14 21:05 . 2008-03-14 21:07 <DIR> d-------- C:\Program Files\PERT Chart EXPERT
2008-03-14 21:05 . 1999-07-17 01:02 40,960 --a------ C:\WINDOWS\system32\wh2robo.dll
2008-03-12 19:49 . 2008-03-12 21:44 <DIR> d-------- C:\Program Files\KalOnlineEng

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-14 16:34 --------- d-----w C:\Program Files\Analog Devices
2008-08-01 11:24 --------- d-----w C:\Program Files\QuickTime
2008-08-01 11:24 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\QuickTime
2008-08-01 11:24 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Apple Computer
2008-07-20 13:23 --------- d-----w C:\Documents and Settings\Piotr\Dane aplikacji\AdobeUM
2008-06-12 12:04 --------- d-----w C:\Program Files\Alwil Software
2008-06-12 12:03 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Symantec
2008-06-01 10:04 --------- d-----w C:\Program Files\Actual Drawing
2008-05-17 13:29 --------- d-----w C:\Program Files\Java
2008-05-17 13:24 --------- d-----w C:\Program Files\Common Files\Java
2008-04-30 19:26 --------- d-----w C:\Program Files\ALLPlayer
2008-04-06 12:38 23 ----a-w C:\WINDOWS\system32\drivers\adidsl.cfg
2008-04-06 12:38 --------- d-----w C:\Program Files\SAGEM
2008-03-21 12:20 --------- d-----w C:\Program Files\Neostrada TP
2008-03-20 21:49 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2008-03-20 21:21 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-03-20 09:19 --------- d-----w C:\Program Files\DAP
2008-03-19 20:41 --------- d---a-w C:\Documents and Settings\All Users\Dane aplikacji\TEMP
2008-03-02 12:54 --------- d-----w C:\Documents and Settings\Piotr\Dane aplikacji\U3
2008-02-12 19:07 --------- d-----w C:\Program Files\Dark-Stars
2008-01-24 13:48 --------- d-----w C:\Program Files\THQ
2008-01-23 14:08 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-23 14:08 --------- d-----w C:\Program Files\Piranha Bytes
1999-05-17 19:58 99,840 ----a-w C:\Program Files\Common Files\IRAABOUT.DLL
1998-12-09 08:53 70,144 ----a-w C:\Program Files\Common Files\IRAMDMTR.DLL
1998-12-09 08:53 48,640 ----a-w C:\Program Files\Common Files\IRALPTTR.DLL
1998-12-09 08:53 31,744 ----a-w C:\Program Files\Common Files\IRAWEBTR.DLL
1998-12-09 08:53 186,368 ----a-w C:\Program Files\Common Files\IRAREG.DLL
1998-12-09 08:53 17,920 ----a-w C:\Program Files\Common Files\IRASRIAL.DLL
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2004-02-26 09:53 65024 C:\WINDOWS\SOUNDMAN.EXE]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-25 12:52 339968]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2004-08-25 14:25 28672]
"WooCnxMon"="C:\PROGRA~1\NEOSTR~1\CnxMon.exe" [2003-10-16 18:07 24576]
"WOOWATCH"="C:\PROGRA~1\NEOSTR~1\Watch.exe" [2003-10-16 18:07 20480]
"WOOTASKBARICON"="C:\PROGRA~1\NEOSTR~1\TaskbarIcon.exe" [2003-10-16 18:07 53248]
"Tweak UI"="TWEAKUI.CPL" [2003-03-25 06:49 106544 C:\WINDOWS\system32\tweakui.cpl]
"Ashampoo FireWall"="C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe" [2007-04-05 14:57 3251800]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:44 15360]
"ATICCC"="C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" [2004-08-25 14:25 28672]
"ALUAlert"="C:\Program Files\Symantec\LiveUpdate\ALUNotify.exe" [ ]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2007-10-17 18:33:23 113664]
DSLMON.lnk - C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2008-04-06 13:38:47 962661]
Symantec Fax Starter Edition Port.lnk - C:\Program Files\Microsoft Office\Office\1045\OLFSNT40.EXE [1999-05-17 20:59:04 46080]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Gadu-Gadu\\gg.exe"=
"D:\\Program Files\\BearShare\\BearShare.exe"=
"D:\\bin\\H5_Game.exe"=
"C:\\Program Files\\HLSW\\hlsw.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\Program Files\\Metin2_PL\\metin2.bin"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\poziomex\\counter-strike\\hl.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\poziomex\\condition zero\\hl.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\poziomex\\day of defeat\\hl.exe"=
"C:\\Program Files\\Valve\\Steam\\SteamApps\\poziomex\\ricochet\\hl.exe"=
"C:\\Program Files\\Valve\\Steam\\Steam.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

S3 cdiskdun;cdiskdun;C:\DOCUME~1\Mateusz\USTAWI~1\Temp\cdiskdun.sys []
S3 MTK;Media Technology Kernel Driver;C:\WINDOWS\system32\Drivers\mtk.sys [2003-11-20 09:27]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\autorun.exe

*Newly Created Service* - ASFWHIDE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-21 13:33:07
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ASFWHide]
"ImagePath"="\??\C:\DOCUME~1\Piotr\USTAWI~1\Temp\ASFWHide"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\Ati2evxx.dll

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Program Files\Ashampoo\Ashampoo FireWall\spi.dll
.
Completion time: 2008-03-21 13:33:40
ComboFix2.txt 2008-03-21 10:02:50
ComboFix3.txt 2008-03-20 21:40:47

/BQ/ Postaraj się bardziej dobierać dział. Tym razem bez warna.

surex · Wysłany: 2008-03-21, 14:07

Więc tak:
1.SP1 czy SP2?
2.Skopiuj sobie plik z rozszerzeniem *.exe z płytki (zanim skopiujesz sprawdź dokładny rozmiar pliku) i odpalaj go co jakiś czas i sprawdzaj czy jego rozmiar sie nie zmienia.
3.Zainstaluj sobie jakiś firewall który dokładnie wyświetli ci połączenia i parametry i zwracaj szczególnie uwagę na połączenia na porcie 25 i na serwery smtp.
4.Spytaj sie z otoczenia czy ktoś nie dostawał jakiś ostrzeżeń o atakach z twojego IP.

Chuichi · Dołączył: 25 Mar 2008 Posty: 33 Skąd: z Rumunii

Hijackthis - potem logi sprawdź na

Kod:

www.hijackthis.de

Jakiś antyrookit.
Dziękuje.

Edit Sabo: koduj linki bo będzie warn!

GoAwayyyy · Dołączył: 27 Maj 2008 Posty: 13

A jesli jest tam Trojan czy inny robak to napewno laczy sie z internetem wiec mozesz sprawdzic czy nie masz jakis dodatkowych polaczen Narzedziem netstat

Infospec · Wysłany: 2008-05-28, 20:18

maciej1387 · Wysłany: 2008-06-12, 23:14

ja dla mnie dziwne jest
2008-03-15 15:42 . 2002-09-22 12:51 104,448 --a------ C:\WINDOWS\setwall.exe
2008-03-14 21:05 . 1999-07-17 01:02 40,960 --a------ C:\WINDOWS\system32\wh2robo.dll
oraz praca w folderze
2008-03-12 19:49 . 2008-03-12 21:44 <DIR> d-------- C:\Program Files\KalOnlineEng
to równierz podpadająco wygląda, nawet ja na sterownik sagema od neo
2008-04-06 12:38 23 ----a-w C:\WINDOWS\system32\drivers\adidsl.cfg
proponuje użyć internetowego skanera kasperskiego potem poszukać jakiegoś antyvira uruchamianego z płyty
a i jeszcze morze sie przydać RootkitRevealer

Kod:

http://www.dobrepliki.pl/Download-Plik-637-RootkitRevealer_1_71.html

podejżane procesy zamkniesz bez problemu programem process explorer

Kod:

http://dobreprogramy.pl/index.php?dz=2&id=896&Process+Explorer+11.11