Bodziuuuu

Ok, dzięki za kolejne info, ale z tym to będę walczył jutro, bo teraz czas na sen. Jeszcze raz dziękuję za pomoc, w życiu sam bym sobie nie poradził.

System Windows konfiguruje ScanSoft, leci pasek, a potem wyskakuje błąd i każe mi wskazać źródło, ale już mniejsza o to. BARDZO Ci dziękuję za pomoc, jesteś wielka !

Od tego programu do skanowania zaczął wariować mi program od drukarki ScanSoft

Log

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Wersja bazy: 4052

 

Windows 5.1.2600 Dodatek Service Pack 3

Internet Explorer 8.0.6001.18702

 

2010-06-06 00:16:27

mbam-log-2010-06-06 (00-16-27).txt

 

Typ skanowania: Szybkie skanowanie

Przeskanowano obiektów: 118817

Upłynęło: 4 minut(y), 8 sekund(y)

 

Zainfekowanych procesów w pamięci: 0

Zainfekowanych modułów w pamięci: 0

Zainfekowanych kluczy rejestru: 6

Zainfekowanych wartości rejestru: 1

Zainfekowane informacje rejestru systemowego: 0

Zainfekowanych folderów: 0

Zainfekowanych plików: 0

 

Zainfekowanych procesów w pamięci:

(Nie znaleziono zagrożeń)

 

Zainfekowanych modułów w pamięci:

(Nie znaleziono zagrożeń)

 

Zainfekowanych kluczy rejestru:

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.

 

Zainfekowanych wartości rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

 

Zainfekowane informacje rejestru systemowego:

(Nie znaleziono zagrożeń)

 

Zainfekowanych folderów:

(Nie znaleziono zagrożeń)

 

Zainfekowanych plików:

(Nie znaleziono zagrożeń)

 

 

 

Usunąć to co znalazło ?

Ok, bardzo Ci dziękuję za pomoc i za poświęcony czas Jesteś super ! A mam takie jeszcze pytanie, te sterowniki, które odznaczyłem w Autoruns to mam je znowu zaznaczyć ?

Ad1. Log po OTL'u

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Root System Service deleted successfully.

Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\\userinit deleted successfully.

Registry value HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\userinit not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\sdra64.exe deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\DAEMON Tools-1033 deleted successfully.

Service JavaQuickStarterService stopped successfully!

Service JavaQuickStarterService deleted successfully!

 

OTL by OldTimer - Version 3.2.5.3 log created on 06052010_234233

 

Ad2. Combofix usunięty

Ad3 Najnowszy log OTL'a w załączniku

Wszedłem jeszcze raz w autorun i ten sterownik jest odznaczony.

 

Ad1 - poprawnie dodałem rejestr.

 

Ad2. I tutaj moja porażka, mam nadzieje, że nie urwiesz mi głowy. Odpaliłem Avengera i gdy dałem Execute to antyvirus doszukał się tam Trojana i przez przypadek, totalny przypadek nacisnąłem na ZMIEŃ NAZWĘ TROJANA. Po resecie nie wyświetlił się log. Tym razem wyłączyłem antywirusa na dobre i dałem skan Avengera i było juz ok, ale z tego co widze w logach, to chyba za tą pierwszą próbą usuną on ten syf. Oto ten log, nie znalazł tych plików, bo chyba zostały one usunięte wcześniej, a z tego właśnie 1 skana nie pojawił mi się log przez ten durny antywirus...eh W załącznikach OTL i RootRepeal. (nie wiem czemu ten nowy raport Roota jest taki krotki i nic tam nie ma, no chyba ze tak ma byc).

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

 

Platform: Windows XP

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

No rootkits found!

 

 

Error: folder "C:\WINDOWS\System32\lowsec" not found!

Deletion of folder "C:\WINDOWS\System32\lowsec" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: file "C:\WINDOWS\system32\sdra64.exe" not found!

Deletion of file "C:\WINDOWS\system32\sdra64.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: file "C:\WINDOWS\System32\rootsvc.exe" not found!

Deletion of file "C:\WINDOWS\System32\rootsvc.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: file "C:\Documents and Settings\Priv\Dane aplikacji\whpxbcw.exe" not found!

Deletion of file "C:\Documents and Settings\Priv\Dane aplikacji\whpxbcw.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: file "C:\Documents and Settings\Priv\Dane aplikacji\ayyektd.exe" not found!

Deletion of file "C:\Documents and Settings\Priv\Dane aplikacji\ayyektd.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: file "C:\Documents and Settings\Priv\Dane aplikacji\mhnkcop.exe" not found!

Deletion of file "C:\Documents and Settings\Priv\Dane aplikacji\mhnkcop.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: file "C:\Documents and Settings\Priv\Dane aplikacji\mvwjjmd.exe" not found!

Deletion of file "C:\Documents and Settings\Priv\Dane aplikacji\mvwjjmd.exe" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Completed script processing.

 

*******************

 

Finished! Terminate.

No więc tak, wyłączyłem to w autorun i oto cały ten log:

 

 

All processes killed

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Root System Service deleted successfully.

C:\WINDOWS\system32\rootsvc.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\sdra64.exe deleted successfully.

File move failed. C:\WINDOWS\system32\sdra64.exe scheduled to be moved on reboot.

Folder move failed. C:\WINDOWS\System32\lowsec scheduled to be moved on reboot.

C:\Documents and Settings\Priv\Dane aplikacji\kdqmvpb.exe moved successfully.

C:\Documents and Settings\Priv\Dane aplikacji\ynzvjbg.exe moved successfully.

C:\Documents and Settings\Priv\Dane aplikacji\styjwly.exe moved successfully.

C:\Documents and Settings\Priv\Dane aplikacji\rafclcf.exe moved successfully.

C:\Documents and Settings\Priv\Dane aplikacji\xfbnuvb.exe moved successfully.

========== COMMANDS ==========

 

[EMPTYFLASH]

 

User: All Users

 

User: Default User

 

User: LocalService

 

User: NetworkService

 

User: Priv

->Flash cache emptied: 1814 bytes

 

Total Flash Files Cleaned = 0,00 mb

 

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: Priv

->Temp folder emptied: 4100660 bytes

->Temporary Internet Files folder emptied: 653483 bytes

->Java cache emptied: 33773410 bytes

->FireFox cache emptied: 30795852 bytes

->Flash cache emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 1100105 bytes

%systemroot%\System32 .tmp files removed: 1610800 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 483 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 69,00 mb

 

 

OTL by OldTimer - Version 3.2.5.3 log created on 06052010_220837

 

Files\Folders moved on Reboot...

File move failed. C:\WINDOWS\system32\sdra64.exe scheduled to be moved on reboot.

Folder move failed. C:\WINDOWS\System32\lowsec scheduled to be moved on reboot.

 

Registry entries deleted on Reboot...

Po pierwsze - bardzo dziękuję za to, że nie zostawiliście mnie na lodzie

Nie wiem czy dobrze zrozumiałem, ale wrzucam log, który się pojawił po tym jak wrzuciłem ten skrypt i poleciał reset kompa ( ta nazwa 06052010_220837) oraz nowy log z OTL'a z run scan (nazwa OTL2) oraz log z RootRepeal

 

Bardzo przepraszam, ale ten log, po ktorym polecial reset, to nie moge go dodać jako załącznik ponieważ "Błąd Nie masz uprawnień by wgrywać ten rodzaj pliku", więc wrzucę kawałek treści, jeśli będzie tam coś bardziej ważnego, to daj znać, dokleje resztę. Od razu nie chce tego robić, bo się rozjedzie post.

All processes killed

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Root System Service deleted successfully.

C:\WINDOWS\system32\rootsvc.exe moved successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\sdra64.exe deleted successfully.

File move failed. C:\WINDOWS\system32\sdra64.exe scheduled to be moved on reboot.

Folder move failed. C:\WINDOWS\System32\lowsec scheduled to be moved on reboot.

C:\Documents and Settings\Priv\Dane aplikacji\kdqmvpb.exe moved successfully.

C:\Documents and Settings\Priv\Dane aplikacji\ynzvjbg.exe moved successfully.

C:\Documents and Settings\Priv\Dane aplikacji\styjwly.exe moved successfully.

C:\Documents and Settings\Priv\Dane aplikacji\rafclcf.exe moved successfully.

C:\Documents and Settings\Priv\Dane aplikacji\xfbnuvb.exe moved successfully.

Witam.

Kilka dni temu trochę "pogoglowałem" i w pewnym momencie Fire fox się przyciął. Odpaliłem menadżer zadań i tam zauważyłem taki proces "sdra64.exe". W necie przeczytałem, że to dosyć poważna infekcja, więc odpaliłem combofix'a. On usunął kilka plików, w tym ten tytułowy, tyle że nie pomyślałem, żeby zajrzeć jeszcze w procesy. Dzisiaj znowu nadziałem się na stronę, gdzie Fire fox się przyciął i wyskoczyła mi ramka Javy. Szybko zamknąłem proces javy i dodatkowo dwa iexplorer.exe no i patrze, a tu znowu/nadal jest te sdra64.exe. Znowu (wiem, fail) odpaliłem combofixa, który znowu usunął to co trzeba, ale ten tytułowy proces nadal działa i ten plik nadal znajduje się w system32. Gdy wyłączę ten proces to i tak nie mogę ręcznie usunąć tego pliku .exe z folderu system32. Dodam, że po ponownym uruchomieniu komputera proces sdra64.exe wraca. Combofix dawał komunikat, że znalazł pliki "rootkit". Od razu mówie - po przeczytaniu wielu informacji na waszym forum wiem jaką głupotę zrobiłem odpalając Combofixa...Log z combofixa również wrzucę.

Co do programu GMER - postępowałem zgodnie z Waszymi instrukcjami, ale...program totalnie zawiesza mi komputer. Po odpaleniu widze początkowy ekran programu, a potem ramka robi się biała, użycie procesora skacze na 100%. Pomyślałem, że może robi ten skan, o którym pisaliście, więc czekałem ze 30 minut, ale dalej to samo. Musiałem resetować kompa, bo nie mogłem nic zrobić, ani menadżer zadań nie działał ani nic. Potem znowu go odpaliłem, ale znowu było to samo. Mam nadzieję, że przez to nie usuniecie mojego tematu, jeśli macie jakiś pomysł na obejście tego, lub inny program - bez problemu wykonam skan.

Z góry dziękuję za zainteresowanie się tematem i pomoc. Jest to mój pierwszy post na forum, więc proszę o odrobinkę wyrozumiałości Dokładnie kilka razy czytałem regulamin zakładania tematu, oraz użyłem opcji szukaj, lecz nic nie znalazło.

Ajajaj - zapomniałem dodać. Usunałem Daeamon Tolls'a, MagisIso i postępowałem zgodnie z instrukcją, nie mam pojęcia czemu ten GMER się wiesza.