Log z ComboFix

[Zib]

Mam probelm z wirusem autorun.inf. Sprawdźcie log z ComboFix:

ComboFix 09-10-20.03 - Administrator 2009-10-21 19:32.2.2 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1250.48.1045.18.3326.2745 [GMT 2:00]

Uruchomiony z: f:\documents and settings\Administrator\Pulpit\ComboFix.exe

AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}

FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

.


(((((((((((((((((((((((((   Pliki utworzone od 2009-09-21 do 2009-10-21  )))))))))))))))))))))))))))))))

.


2009-10-21 16:04 . 2001-08-17 18:13	19528	-c--a-w-	f:\windows\system32\dllcache\w840nd.sys

2009-10-21 16:03 . 2008-04-13 21:53	13240	-c--a-w-	f:\windows\system32\dllcache\slwdmsup.sys

2009-10-21 16:02 . 2001-10-26 15:29	44544	-c--a-w-	f:\windows\system32\dllcache\ovui2.dll

2009-10-21 16:01 . 2001-08-17 19:28	797500	-c--a-w-	f:\windows\system32\dllcache\ltsmt.sys

2009-10-21 16:00 . 2001-10-26 15:29	119296	-c--a-w-	f:\windows\system32\dllcache\hpdigwia.dll

2009-10-21 15:59 . 2001-10-26 15:29	256512	-c--a-w-	f:\windows\system32\dllcache\devcon32.dll

2009-10-21 15:58 . 2008-04-14 20:50	17279	-c--a-w-	f:\windows\system32\dllcache\atv10nt5.dll

2009-10-21 15:57 . 2001-10-26 15:29	66048	-c--a-w-	f:\windows\system32\dllcache\s3legacy.dll

2009-10-21 15:57 . 2008-04-14 20:00	2190336	-c--a-w-	f:\windows\system32\dllcache\ntoskrnl.exe

2009-10-21 12:39 . 2009-10-21 17:35	46880	--sha-w-	f:\windows\system32\drivers\fidbox2.dat

2009-10-21 12:36 . 2009-10-21 12:36	75932	----a-w-	f:\windows\system32\drivers\klick.dat

2009-10-21 12:36 . 2009-10-21 12:36	74396	----a-w-	f:\windows\system32\drivers\klin.dat

2009-10-21 12:36 . 2009-10-21 17:11	--------	d-----w-	f:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab

2009-10-21 12:36 . 2009-10-21 12:36	--------	d-----w-	f:\program files\Kaspersky Lab

2009-10-20 18:15 . 2009-10-20 18:15	--------	d-----w-	f:\documents and settings\Administrator\Dane aplikacji\GHISLER

2009-10-20 18:15 . 2009-09-24 05:50	545	----a-w-	f:\windows\UC.PIF

2009-10-20 18:15 . 2009-09-24 05:50	545	----a-w-	f:\windows\RAR.PIF

2009-10-20 18:15 . 2009-09-24 05:50	545	----a-w-	f:\windows\PKZIP.PIF

2009-10-20 18:15 . 2009-09-24 05:50	545	----a-w-	f:\windows\PKUNZIP.PIF

2009-10-20 18:15 . 2009-09-24 05:50	545	----a-w-	f:\windows\NOCLOSE.PIF

2009-10-20 18:15 . 2009-09-24 05:50	545	----a-w-	f:\windows\LHA.PIF

2009-10-20 18:15 . 2009-09-24 05:50	545	----a-w-	f:\windows\ARJ.PIF

2009-10-20 16:53 . 2007-01-18 12:00	3968	----a-w-	f:\windows\system32\drivers\AvgArCln.sys

2009-10-18 07:00 . 2009-10-18 08:13	--------	d-----w-	f:\documents and settings\All Users\Dane aplikacji\Systweak

2009-10-18 06:58 . 2009-10-18 08:13	--------	d-----w-	f:\documents and settings\Administrator\Dane aplikacji\Systweak

2009-10-18 06:58 . 2009-10-18 06:58	--------	d-----w-	f:\documents and settings\All Users\Dane aplikacji\MyDefrag

2009-10-17 20:07 . 2009-10-19 20:00	684536	----a-w-	f:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\FontCache3.0.0.0.dat

2009-10-17 15:30 . 2009-10-17 15:30	--------	d-----w-	f:\documents and settings\All Users\Dane aplikacji\FLEXnet

2009-10-17 12:22 . 2009-10-17 12:22	--------	d-----w-	f:\program files\Common Files\Macrovision Shared

2009-10-17 12:19 . 2009-10-17 12:52	--------	d-----w-	f:\program files\Common Files\Autodesk Shared

2009-10-17 12:19 . 2009-10-19 17:30	--------	d-----w-	f:\documents and settings\All Users\Dane aplikacji\Autodesk

2009-10-17 12:19 . 2009-10-19 17:30	--------	d-----w-	f:\documents and settings\Administrator\Dane aplikacji\Autodesk

2009-10-17 12:19 . 2009-10-17 12:52	--------	d-----w-	f:\program files\AutoCAD 2010

2009-10-17 12:19 . 2009-10-17 12:19	--------	d-----w-	f:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Autodesk

2009-10-17 12:15 . 2009-10-17 15:27	--------	d-----w-	f:\windows\SxsCaPendDel

2009-10-11 18:09 . 2009-10-11 18:09	--------	d-----w-	f:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Identities

2009-10-10 06:12 . 2009-10-10 06:12	--------	d-----w-	f:\documents and settings\Administrator\Dane aplikacji\Corel

2009-10-10 06:11 . 2009-10-10 06:11	--------	d-----w-	f:\documents and settings\All Users\Dane aplikacji\InstallShield

2009-10-02 09:50 . 2009-10-02 09:50	--------	d-----w-	f:\documents and settings\Administrator\Dane aplikacji\InterVideo

2009-09-25 13:14 . 2009-09-25 13:14	--------	d-----w-	f:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Ubisoft

2009-09-24 15:00 . 2001-10-26 16:28	1677824	-c--a-w-	f:\windows\system32\dllcache\chsbrkr.dll

2009-09-24 15:00 . 2001-10-26 16:28	1677824	----a-w-	f:\windows\system32\chsbrkr.dll

2009-09-24 15:00 . 2001-10-26 16:28	838144	-c--a-w-	f:\windows\system32\dllcache\chtbrkr.dll

2009-09-24 15:00 . 2001-10-26 16:28	838144	----a-w-	f:\windows\system32\chtbrkr.dll

2009-09-24 15:00 . 2001-10-26 16:28	70656	-c--a-w-	f:\windows\system32\dllcache\korwbrkr.dll

2009-09-24 15:00 . 2001-10-26 16:28	70656	----a-w-	f:\windows\system32\korwbrkr.dll

2009-09-24 14:58 . 2001-10-26 16:27	6656	-c--a-w-	f:\windows\system32\dllcache\c_is2022.dll

2009-09-24 14:57 . 2001-08-18 04:36	8704	-c--a-w-	f:\windows\system32\dllcache\kbdjpn.dll

2009-09-24 14:57 . 2001-08-18 04:36	8704	----a-w-	f:\windows\system32\kbdjpn.dll

2009-09-24 14:57 . 2001-08-18 04:36	8192	-c--a-w-	f:\windows\system32\dllcache\kbdkor.dll

2009-09-24 14:57 . 2001-08-18 04:36	8192	----a-w-	f:\windows\system32\kbdkor.dll

2009-09-24 14:57 . 2001-08-17 20:55	6144	-c--a-w-	f:\windows\system32\dllcache\kbd101c.dll

2009-09-24 14:57 . 2001-08-17 20:55	6144	----a-w-	f:\windows\system32\kbd101c.dll

2009-09-24 14:57 . 2001-08-17 20:55	5632	-c--a-w-	f:\windows\system32\dllcache\kbd103.dll

2009-09-24 14:57 . 2001-08-17 20:55	5632	----a-w-	f:\windows\system32\kbd103.dll

2009-09-24 14:56 . 2001-08-17 20:55	6144	-c--a-w-	f:\windows\system32\dllcache\kbd101b.dll

2009-09-24 14:56 . 2001-08-17 20:55	6144	----a-w-	f:\windows\system32\kbd101b.dll

2009-09-24 14:56 . 2008-04-14 20:39	6144	-c--a-w-	f:\windows\system32\dllcache\kbd106.dll

2009-09-24 14:56 . 2008-04-14 20:39	6144	----a-w-	f:\windows\system32\kbd106.dll


.

((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-21 17:27 . 2009-08-15 13:48	--------	d-----w-	f:\program files\Neostrada TP

2009-10-21 17:15 . 2001-10-26 15:15	83880	----a-w-	f:\windows\system32\perfc015.dat

2009-10-21 17:15 . 2001-10-26 15:15	490628	----a-w-	f:\windows\system32\perfh015.dat

2009-10-21 17:10 . 2009-08-15 18:42	16608	----a-w-	f:\windows\gdrv.sys

2009-10-21 17:00 . 2009-10-21 12:39	5888	--sha-w-	f:\windows\system32\drivers\fidbox2.idx

2009-10-21 17:00 . 2009-09-01 07:40	327056	--sha-w-	f:\windows\system32\drivers\fidbox.idx

2009-10-21 17:00 . 2009-09-01 07:40	27551776	--sha-w-	f:\windows\system32\drivers\fidbox.dat

2009-10-18 09:21 . 2009-08-16 07:58	56448	----a-w-	f:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-10-10 06:09 . 2009-08-15 18:43	--------	d-----w-	f:\program files\Common Files\InstallShield

2009-10-03 15:28 . 2009-08-16 07:54	--------	d-----w-	f:\documents and settings\Administrator\Dane aplikacji\Apple Computer

2009-10-02 09:43 . 2009-08-15 18:43	--------	d--h--w-	f:\program files\InstallShield Installation Information

2009-09-25 13:14 . 2009-08-16 16:21	--------	d-----w-	f:\documents and settings\All Users\Dane aplikacji\Ubisoft

2009-09-13 12:41 . 2009-08-15 18:22	--------	d-----w-	f:\documents and settings\Administrator\Dane aplikacji\Winamp

2009-09-01 07:38 . 2009-09-01 07:36	4212	---h--w-	f:\windows\system32\zllictbl.dat

2009-09-01 07:36 . 2009-09-01 07:36	--------	d-----w-	f:\documents and settings\All Users\Dane aplikacji\MailFrontier

2009-08-30 10:57 . 2009-08-30 10:57	0	----a-w-	f:\windows\nsreg.dat

2009-08-28 10:56 . 2009-08-28 10:56	22328	----a-w-	f:\windows\system32\drivers\PnkBstrK.sys

2009-08-28 10:56 . 2009-08-28 10:56	22328	----a-w-	f:\documents and settings\Administrator\Dane aplikacji\PnkBstrK.sys

2009-08-28 10:56 . 2009-08-28 10:55	103736	----a-w-	f:\windows\system32\PnkBstrB.exe

2009-08-28 10:55 . 2009-08-28 10:55	66872	----a-w-	f:\windows\system32\PnkBstrA.exe

2009-08-24 18:23 . 2009-08-24 18:23	--------	d-----w-	f:\documents and settings\Administrator\Dane aplikacji\2K Sports

2009-08-20 16:38 . 2009-08-17 13:19	107888	----a-w-	f:\windows\system32\CmdLineExt.dll

2009-08-20 16:27 . 2009-08-20 16:27	721904	----a-w-	f:\windows\system32\drivers\sptd.sys

2009-08-15 18:47 . 2009-08-15 18:47	315392	----a-w-	f:\windows\HideWin.exe

2009-08-15 18:31 . 2009-08-15 18:31	21856	----a-w-	f:\windows\system32\emptyregdb.dat

2009-08-15 18:26 . 2009-08-15 18:26	0	----a-w-	f:\windows\ativpsrm.bin

2009-08-15 18:13 . 2009-08-15 18:13	664	----a-w-	f:\windows\system32\d3d9caps.dat

2009-08-15 18:13 . 2009-08-15 18:13	552	----a-w-	f:\windows\system32\d3d8caps.dat

2008-04-14 19:50 . 2008-04-14 19:50	161547	--sha-r-	f:\windows\system32\hpluwcxp.dll

.


------- Sigcheck -------


[-] 2008-05-08 . ACCF5A9A1FFAA490F33DBA1C632B95E1 . 361344 . . [5.1.2600.5512] . . f:\windows\system32\drivers\tcpip.sys


[-] 2008-12-11 . 9F02C1CF7C3100E4AEA7DD8B6A86A01B . 1571840 . . [5.1.2600.5512] . . f:\windows\system32\sfcfiles.dll

.

(((((((((((((((((((((((((((((   SnapShot@2009-10-21_16.36.54   )))))))))))))))))))))))))))))))))))))))))

.

+ 2009-10-21 17:11 . 2009-10-21 17:11	16384              f:\windows\Temp\Perflib_Perfdata_d8.dat

+ 2001-08-17 20:30 . 2009-10-21 17:15	67448              f:\windows\system32\perfc009.dat

- 2001-08-17 20:30 . 2009-10-21 15:57	67448              f:\windows\system32\perfc009.dat

+ 2009-08-15 18:38 . 2009-10-21 17:10	32768              f:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat

- 2009-08-15 18:38 . 2009-10-21 15:53	32768              f:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat

+ 2009-10-21 16:41 . 2009-10-21 17:10	16384              f:\windows\system32\config\systemprofile\Cookies\index.dat

- 2009-08-15 18:38 . 2009-10-21 15:53	16384              f:\windows\system32\config\systemprofile\Cookies\index.dat

+ 2001-08-17 20:30 . 2009-10-21 17:15	432492              f:\windows\system32\perfh009.dat

- 2001-08-17 20:30 . 2009-10-21 15:57	432492              f:\windows\system32\perfh009.dat

.

(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DAEMON Tools Lite"="f:\programy\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"GEST"="=" [X]

"WOOWATCH"="f:\progra~1\NEOSTR~1\Watch.exe" [2004-08-23 20480]

"WOOTASKBARICON"="f:\progra~1\NEOSTR~1\GestMaj.exe" [2004-10-14 32768]

"SpeedTouch USB Diagnostics"="f:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]

"StartCCC"="f:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-07-02 98304]

"Adobe Reader Speed Launcher"="f:\programy\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"QuickTime Task"="f:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]

"Sony Ericsson PC Suite"="f:\programy\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 528384]

"ZoneAlarm Client"="f:\programy\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

"NeroFilterCheck"="f:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"iTunesHelper"="f:\programy\iTunes\iTunesHelper.exe" [2009-07-13 292128]

"IMJPMIG8.1"="f:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952]

"MSPY2002"="f:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392]

"PHIME2002ASync"="f:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]

"PHIME2002A"="f:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]

"ISUSPM Startup"="f:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]

"ISUSScheduler"="f:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]

"RTHDCPL"="RTHDCPL.EXE" - f:\windows\RTHDCPL.exe [2008-06-27 16875008]

"SoundMan"="SOUNDMAN.EXE" - f:\windows\SoundMan.exe [2008-06-18 77824]

"AlcWzrd"="ALCWZRD.EXE" - f:\windows\alcwzrd.exe [2008-06-19 2808832]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="f:\windows\system32\CTFMON.EXE" [2008-04-14 15360]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]


f:\documents and settings\All Users\Menu Start\Programy\Autostart\

InterVideo WinCinema Manager.lnk - f:\programy\InterVideo\Common\Bin\WinCinemaMgr.exe [2009-10-2 114688]

Microsoft Office.lnk - f:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute	REG_MULTI_SZ   	autocheck autochk *\0sasnative32


[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001


[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"f:\\Programy\\Gadu-Gadu\\gg.exe"=

"f:\\Programy\\Last.fm\\LastFM.exe"=

"f:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"f:\\Programy\\iTunes\\iTunes.exe"=

"c:\\Gry\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=

"c:\\Gry\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=

"c:\\Gry\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=

"f:\\WINDOWS\\system32\\PnkBstrA.exe"=

"f:\\WINDOWS\\system32\\PnkBstrB.exe"=


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"1482:TCP"= 1482:TCP:jqvleopr


R2 GEST Service;GEST Service for program management.;f:\program files\GIGABYTE\EnergySaver\GSvr.exe [2009-08-15 80392]

S2 ynzons;Network Manager;f:\windows\system32\svchost.exe -k netsvcs [2008-04-14 14336]

S3 cpuz132;cpuz132;f:\windows\system32\drivers\cpuz132_x32.sys [2009-08-19 12672]

S3 s816bus;Sony Ericsson Device 816 driver (WDM);f:\windows\system32\drivers\s816bus.sys [2009-08-20 81832]

S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;f:\windows\system32\drivers\s816mdfl.sys [2009-08-20 13864]

S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;f:\windows\system32\drivers\s816mdm.sys [2009-08-20 107304]

S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);f:\windows\system32\drivers\s816mgmt.sys [2009-08-21 99112]

S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);f:\windows\system32\drivers\s816nd5.sys [2009-08-22 21928]

S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;f:\windows\system32\drivers\s816obex.sys [2009-08-21 97320]

S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);f:\windows\system32\drivers\s816unic.sys [2009-08-22 97704]


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

ynzons

.

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.neostrada.pl

IE: E&ksport do programu Microsoft Excel - f:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

IE: { - f:\program files\Messenger\msmsgs.exe

TCP: {A4A8F564-2F57-4237-9458-B39233C33872} = 194.204.159.1 217.98.63.164

FF - ProfilePath - f:\documents and settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\gccqoj3a.default\

FF - plugin: f:\programy\Adobe\Reader 9.0\Reader\browser\nppdf32.dll

FF - plugin: f:\programy\iTunes\Mozilla Plugins\npitunes.dll

.


**************************************************************************


catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-21 19:35

Windows 5.1.2600 Dodatek Service Pack 3 NTFS


skanowanie ukrytych procesów ...  


skanowanie ukrytych wpisów autostartu ... 


skanowanie ukrytych plików ...  


skanowanie pomyślnie ukończone

ukryte pliki: 0


**************************************************************************


[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ynzons]

"ServiceDll"="f:\windows\system32\hpluwcxp.dll"

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------


[HKEY_USERS\S-1-5-21-823518204-842925246-1801674531-500\Software\SecuROM\License information*]

"datasecu"=hex:37,af,d6,6a,c3,8a,5f,51,31,88,bd,db,2f,42,2a,47,01,d3,b9,e6,26,

   f2,69,96,ec,60,5a,c2,d2,3e,18,d8,32,5d,14,9b,d4,da,95,71,c8,d3,6e,72,85,a7,\

"rkeysecu"=hex:8d,90,7f,bc,1b,26,3d,45,78,69,a6,ab,9b,43,92,be

.

--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------


- - - - - - - > 'winlogon.exe'(844)

f:\windows\system32\Ati2evxx.dll

f:\windows\system32\klogon.dll


- - - - - - - > 'explorer.exe'(3612)

f:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scrchpg.dll

f:\program files\Common Files\Autodesk Shared\AcSignCore16.dll

f:\windows\system32\ieframe.dll

f:\windows\system32\wpdshserviceobj.dll

f:\windows\system32\portabledevicetypes.dll

f:\windows\system32\portabledeviceapi.dll

.

Czas ukończenia: 2009-10-21 19:36

ComboFix-quarantined-files.txt  2009-10-21 17:36

ComboFix2.txt  2009-10-21 16:37


Przed: 58 902 192 128 bajtów wolnych

Po: 58 873 274 368 bajtów wolnych


- - End Of File - - 1816560A55C6876BB28C3802D85C4FD1

AVG Anti-Rootkit Free wkrywa mi rootkita w lokalizacji Windows\System32\Drivers\tutaj nazwa rootkita - za każdym razem inna.

Tak na dobrą sprawę to nie jestem pewien czy ComboFix sobie z nim poradził. Wątpliwści mam przez to, że za każdym razem jak podłączam do portu usb mojego pendrive'a to program Ninja Pendisk wykrywa mi pliki autorun.inf, które od razu kasuje. Sprawdzam antywirusem (Kaspersky) czy jest czysty i pen jest czysty. Ale wystarczy, że go odłączę i ponownie przyłączę i dzieje się to samo czyli Ninja Pendisk znajduje na nim autorun.inf.

Sprawdźcie powyższy log, dajcie opinię i porady jak z tym walczyć. I tak czeka mnie lada moment format jednak warto oczyścić wszystkie partycje i pendrive'a przed ponownym formatem żeby to się nie powtarzało.

PS. Nie wiem czy to za sprawą wirusa, ale od jakiegoś czasu nie jestem w stanie wejść na żadną stronę domową programów antywirusowych. Ani strona avasta, ani avg mi nie działa. Może to przez coś innego, ale to jako pierwsze przykuło moją uwagę.

[Gofer]

ComboFix to nie program do robienia skanów, a potężny kombajn, który wyszukuje i naprawia błędy. Tak jest teoretycznie, ale w praktyce jest nieco gorzej. Zastosowany nieodpowiednio potrafi rozwalić cały system - testowałem. Na zainfekowanym wirusem systemie umyślnie użyłem CF, co zaowocowało utratą kilku plików systemowych i sterowników. Logi można robić RSIT-em, OTL-em albo HiJackThisem, nigdy ComboFixem.

[Sevard]

Nie mam czasu, żeby sprawdzać teraz log, zrobię to jak wrócę (no chyba, że wcześniej się chętny znajdzie). Wygląda mi to na infekcję Conficker-em. Sprawdź jeszcze stronę Microsoftu, jeśli to ten wirus, to też nie będzie działać.

Zrób skan programami Malwarebytes' Anti-Malware oraz Dr.Web CureIt! i zamieść log z pierwszego i to co znajdzie drugi.

Resztę już napisał Gofer.

[Zib]

Niestety nie jestem w stanie ściągnąć i zainstalować żadnego z tych dwóćh programów. I tak muszę zrobić format więc najwayżej po formacie, jak już zapewne wszystko będzie chodzić to dla pewności zrobię te skany. Mam nadzieję, że nic nie pokażą i sam format po wcześniejszm potraktowaniu ComboFixem wystarczy. Pdo wieczór powinienem dołączyć do tego postu logi z obu programów.

[Sevard]

A nie możesz u kogoś tego ściągnąć, a u siebie tylko użyć? Zaraz sprawdzę log z Combofixa.

[edit]

Na 100% conficker. Sprawdzać dalej i powiedzieć jak to usunąć (operacja do wykonania w 5 minut), czy już zrobiłeś formata?

[Zib]

Na 100% conficker. Sprawdzać dalej i powiedzieć jak to usunąć (operacja do wykonania w 5 minut), czy już zrobiłeś formata?

Już po formacie. Radzisz na wszelki wypadek sprawdzić jednm z programów, o których pisałes w poprzednich postach? Może gdzieś jeszcze siedzi na innych partycjach? I najważniejsze co zrobić z pendrive'em, który za każdym podłączeniem do komputera miał autorun.inf? Uruchomić Ninja Pendisk i potem jeszcze Flash Disinfector? Jak najlepiej to rozwiązać żeby zaraz po formacie nie było tego samego po formacie?

[Sevard]

To nie jest robak, który rezyduje w MBR, więc o ile nie masz czegoś innego, to nie ma takiej potrzeby. Do zrobienia masz dwie rzeczy (kolejność jest istotna):

1. Zaktualizować system (któraś aktualizacja uniemożliwiała temu robakowi atak, nie pamiętam która).

2. Zdezynfekuj za pomocą programu Flash Disinfector wszystkie pamięci przenośne, które podłączałeś do tego kompa.

I na przyszłość aktualizuj na bieżąco system, a nie będziesz narażony na część zagrożeń. Ciekawą rzeczą dotyczącą tego robaka było to, że powstał on już po tym jak MS opublikował łatkę, która uniemożliwiała mu atak, a mimo to Conficker rozprzestrzeniał się bardzo szybko.

[Zib]

Aktualizacje zainstalowane. AVG Anti-Rootkit nie wykrywa żadnych rootkitów. Jednak nadal pozostaje problem pendrive'a. Po podłączeniu do komputera Ninja Pendisk od razu bierze się za kasowanie plików autorun.inf. Po tym Włączam jeszcze Flash Disinfector i skanuję pendrive'a avastem. Czysto. Jednak, tak jak poprzednio, wystarczy go odłączyć i ponownie podłączyć i znów to samo czyli reakcja Ninja Pendisk. Nawet jeżeli już mojego komputera po zainstalowaniu łatek nie zainfekuje to warto byłoby oczyścić pena na okoliczność podłączania go do innych, mniej chronionych komputerów. Jakiś pomysł?

[Sevard]

Dobra, wiem chyba gdzie jet problem. Spróbuj użyć tylko Ninja Pendisk i pomiń etap z Flash Disinfector. Flash Disinfector tworzy trudny do zmodyfikowania i usunięcia katalog autorun.inf, który Ninja Pendisk może podejrzewać o bycie wirusem.

[Zib]

Cóż, efekt ciągle ten sam. Nawet nie używając Flash Disinfector za każdym podłączeniem Ninja Pendisk kasuje od nowa te same pliki (autorun.inf). ComboFix stworzył na partycjach jeszcze przed formatem folder autorun.inf, ale to ma bronić przed tym wiruesem więc to raczej tutaj nie ma znaczenia. Wygląda to w ten sposób, że w magiczny sposób pliki autorun.inf ciągle tam się reprodukują po odłączeniu od komputera.

[Sevard]

To nie Combofix go stworzył, tylko Flash Disinfector. To coś co usuwa Ninja to jest plik, czy katalog?

Najlepiej byłoby zobaczyć z poziomu jakiegoś GNU/Linuksa jak to wygląda i ewentualnie za jego pomocą pousuwać pliki. Jeśli po tym zabiegu problem będzie się powtarzał, to zamieść lgo z RSIT-a na forum.