Zib Napisano Październik 21, 2009 Zgłoś Share Napisano Październik 21, 2009 Mam probelm z wirusem autorun.inf. Sprawdźcie log z ComboFix: ComboFix 09-10-20.03 - Administrator 2009-10-21 19:32.2.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.3326.2745 [GMT 2:00] Uruchomiony z: f:\documents and settings\Administrator\Pulpit\ComboFix.exe AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0} FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B} . ((((((((((((((((((((((((( Pliki utworzone od 2009-09-21 do 2009-10-21 ))))))))))))))))))))))))))))))) . 2009-10-21 16:04 . 2001-08-17 18:13 19528 -c--a-w- f:\windows\system32\dllcache\w840nd.sys 2009-10-21 16:03 . 2008-04-13 21:53 13240 -c--a-w- f:\windows\system32\dllcache\slwdmsup.sys 2009-10-21 16:02 . 2001-10-26 15:29 44544 -c--a-w- f:\windows\system32\dllcache\ovui2.dll 2009-10-21 16:01 . 2001-08-17 19:28 797500 -c--a-w- f:\windows\system32\dllcache\ltsmt.sys 2009-10-21 16:00 . 2001-10-26 15:29 119296 -c--a-w- f:\windows\system32\dllcache\hpdigwia.dll 2009-10-21 15:59 . 2001-10-26 15:29 256512 -c--a-w- f:\windows\system32\dllcache\devcon32.dll 2009-10-21 15:58 . 2008-04-14 20:50 17279 -c--a-w- f:\windows\system32\dllcache\atv10nt5.dll 2009-10-21 15:57 . 2001-10-26 15:29 66048 -c--a-w- f:\windows\system32\dllcache\s3legacy.dll 2009-10-21 15:57 . 2008-04-14 20:00 2190336 -c--a-w- f:\windows\system32\dllcache\ntoskrnl.exe 2009-10-21 12:39 . 2009-10-21 17:35 46880 --sha-w- f:\windows\system32\drivers\fidbox2.dat 2009-10-21 12:36 . 2009-10-21 12:36 75932 ----a-w- f:\windows\system32\drivers\klick.dat 2009-10-21 12:36 . 2009-10-21 12:36 74396 ----a-w- f:\windows\system32\drivers\klin.dat 2009-10-21 12:36 . 2009-10-21 17:11 -------- d-----w- f:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab 2009-10-21 12:36 . 2009-10-21 12:36 -------- d-----w- f:\program files\Kaspersky Lab 2009-10-20 18:15 . 2009-10-20 18:15 -------- d-----w- f:\documents and settings\Administrator\Dane aplikacji\GHISLER 2009-10-20 18:15 . 2009-09-24 05:50 545 ----a-w- f:\windows\UC.PIF 2009-10-20 18:15 . 2009-09-24 05:50 545 ----a-w- f:\windows\RAR.PIF 2009-10-20 18:15 . 2009-09-24 05:50 545 ----a-w- f:\windows\PKZIP.PIF 2009-10-20 18:15 . 2009-09-24 05:50 545 ----a-w- f:\windows\PKUNZIP.PIF 2009-10-20 18:15 . 2009-09-24 05:50 545 ----a-w- f:\windows\NOCLOSE.PIF 2009-10-20 18:15 . 2009-09-24 05:50 545 ----a-w- f:\windows\LHA.PIF 2009-10-20 18:15 . 2009-09-24 05:50 545 ----a-w- f:\windows\ARJ.PIF 2009-10-20 16:53 . 2007-01-18 12:00 3968 ----a-w- f:\windows\system32\drivers\AvgArCln.sys 2009-10-18 07:00 . 2009-10-18 08:13 -------- d-----w- f:\documents and settings\All Users\Dane aplikacji\Systweak 2009-10-18 06:58 . 2009-10-18 08:13 -------- d-----w- f:\documents and settings\Administrator\Dane aplikacji\Systweak 2009-10-18 06:58 . 2009-10-18 06:58 -------- d-----w- f:\documents and settings\All Users\Dane aplikacji\MyDefrag 2009-10-17 20:07 . 2009-10-19 20:00 684536 ----a-w- f:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\FontCache3.0.0.0.dat 2009-10-17 15:30 . 2009-10-17 15:30 -------- d-----w- f:\documents and settings\All Users\Dane aplikacji\FLEXnet 2009-10-17 12:22 . 2009-10-17 12:22 -------- d-----w- f:\program files\Common Files\Macrovision Shared 2009-10-17 12:19 . 2009-10-17 12:52 -------- d-----w- f:\program files\Common Files\Autodesk Shared 2009-10-17 12:19 . 2009-10-19 17:30 -------- d-----w- f:\documents and settings\All Users\Dane aplikacji\Autodesk 2009-10-17 12:19 . 2009-10-19 17:30 -------- d-----w- f:\documents and settings\Administrator\Dane aplikacji\Autodesk 2009-10-17 12:19 . 2009-10-17 12:52 -------- d-----w- f:\program files\AutoCAD 2010 2009-10-17 12:19 . 2009-10-17 12:19 -------- d-----w- f:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Autodesk 2009-10-17 12:15 . 2009-10-17 15:27 -------- d-----w- f:\windows\SxsCaPendDel 2009-10-11 18:09 . 2009-10-11 18:09 -------- d-----w- f:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Identities 2009-10-10 06:12 . 2009-10-10 06:12 -------- d-----w- f:\documents and settings\Administrator\Dane aplikacji\Corel 2009-10-10 06:11 . 2009-10-10 06:11 -------- d-----w- f:\documents and settings\All Users\Dane aplikacji\InstallShield 2009-10-02 09:50 . 2009-10-02 09:50 -------- d-----w- f:\documents and settings\Administrator\Dane aplikacji\InterVideo 2009-09-25 13:14 . 2009-09-25 13:14 -------- d-----w- f:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Ubisoft 2009-09-24 15:00 . 2001-10-26 16:28 1677824 -c--a-w- f:\windows\system32\dllcache\chsbrkr.dll 2009-09-24 15:00 . 2001-10-26 16:28 1677824 ----a-w- f:\windows\system32\chsbrkr.dll 2009-09-24 15:00 . 2001-10-26 16:28 838144 -c--a-w- f:\windows\system32\dllcache\chtbrkr.dll 2009-09-24 15:00 . 2001-10-26 16:28 838144 ----a-w- f:\windows\system32\chtbrkr.dll 2009-09-24 15:00 . 2001-10-26 16:28 70656 -c--a-w- f:\windows\system32\dllcache\korwbrkr.dll 2009-09-24 15:00 . 2001-10-26 16:28 70656 ----a-w- f:\windows\system32\korwbrkr.dll 2009-09-24 14:58 . 2001-10-26 16:27 6656 -c--a-w- f:\windows\system32\dllcache\c_is2022.dll 2009-09-24 14:57 . 2001-08-18 04:36 8704 -c--a-w- f:\windows\system32\dllcache\kbdjpn.dll 2009-09-24 14:57 . 2001-08-18 04:36 8704 ----a-w- f:\windows\system32\kbdjpn.dll 2009-09-24 14:57 . 2001-08-18 04:36 8192 -c--a-w- f:\windows\system32\dllcache\kbdkor.dll 2009-09-24 14:57 . 2001-08-18 04:36 8192 ----a-w- f:\windows\system32\kbdkor.dll 2009-09-24 14:57 . 2001-08-17 20:55 6144 -c--a-w- f:\windows\system32\dllcache\kbd101c.dll 2009-09-24 14:57 . 2001-08-17 20:55 6144 ----a-w- f:\windows\system32\kbd101c.dll 2009-09-24 14:57 . 2001-08-17 20:55 5632 -c--a-w- f:\windows\system32\dllcache\kbd103.dll 2009-09-24 14:57 . 2001-08-17 20:55 5632 ----a-w- f:\windows\system32\kbd103.dll 2009-09-24 14:56 . 2001-08-17 20:55 6144 -c--a-w- f:\windows\system32\dllcache\kbd101b.dll 2009-09-24 14:56 . 2001-08-17 20:55 6144 ----a-w- f:\windows\system32\kbd101b.dll 2009-09-24 14:56 . 2008-04-14 20:39 6144 -c--a-w- f:\windows\system32\dllcache\kbd106.dll 2009-09-24 14:56 . 2008-04-14 20:39 6144 ----a-w- f:\windows\system32\kbd106.dll . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-10-21 17:27 . 2009-08-15 13:48 -------- d-----w- f:\program files\Neostrada TP 2009-10-21 17:15 . 2001-10-26 15:15 83880 ----a-w- f:\windows\system32\perfc015.dat 2009-10-21 17:15 . 2001-10-26 15:15 490628 ----a-w- f:\windows\system32\perfh015.dat 2009-10-21 17:10 . 2009-08-15 18:42 16608 ----a-w- f:\windows\gdrv.sys 2009-10-21 17:00 . 2009-10-21 12:39 5888 --sha-w- f:\windows\system32\drivers\fidbox2.idx 2009-10-21 17:00 . 2009-09-01 07:40 327056 --sha-w- f:\windows\system32\drivers\fidbox.idx 2009-10-21 17:00 . 2009-09-01 07:40 27551776 --sha-w- f:\windows\system32\drivers\fidbox.dat 2009-10-18 09:21 . 2009-08-16 07:58 56448 ----a-w- f:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT 2009-10-10 06:09 . 2009-08-15 18:43 -------- d-----w- f:\program files\Common Files\InstallShield 2009-10-03 15:28 . 2009-08-16 07:54 -------- d-----w- f:\documents and settings\Administrator\Dane aplikacji\Apple Computer 2009-10-02 09:43 . 2009-08-15 18:43 -------- d--h--w- f:\program files\InstallShield Installation Information 2009-09-25 13:14 . 2009-08-16 16:21 -------- d-----w- f:\documents and settings\All Users\Dane aplikacji\Ubisoft 2009-09-13 12:41 . 2009-08-15 18:22 -------- d-----w- f:\documents and settings\Administrator\Dane aplikacji\Winamp 2009-09-01 07:38 . 2009-09-01 07:36 4212 ---h--w- f:\windows\system32\zllictbl.dat 2009-09-01 07:36 . 2009-09-01 07:36 -------- d-----w- f:\documents and settings\All Users\Dane aplikacji\MailFrontier 2009-08-30 10:57 . 2009-08-30 10:57 0 ----a-w- f:\windows\nsreg.dat 2009-08-28 10:56 . 2009-08-28 10:56 22328 ----a-w- f:\windows\system32\drivers\PnkBstrK.sys 2009-08-28 10:56 . 2009-08-28 10:56 22328 ----a-w- f:\documents and settings\Administrator\Dane aplikacji\PnkBstrK.sys 2009-08-28 10:56 . 2009-08-28 10:55 103736 ----a-w- f:\windows\system32\PnkBstrB.exe 2009-08-28 10:55 . 2009-08-28 10:55 66872 ----a-w- f:\windows\system32\PnkBstrA.exe 2009-08-24 18:23 . 2009-08-24 18:23 -------- d-----w- f:\documents and settings\Administrator\Dane aplikacji\2K Sports 2009-08-20 16:38 . 2009-08-17 13:19 107888 ----a-w- f:\windows\system32\CmdLineExt.dll 2009-08-20 16:27 . 2009-08-20 16:27 721904 ----a-w- f:\windows\system32\drivers\sptd.sys 2009-08-15 18:47 . 2009-08-15 18:47 315392 ----a-w- f:\windows\HideWin.exe 2009-08-15 18:31 . 2009-08-15 18:31 21856 ----a-w- f:\windows\system32\emptyregdb.dat 2009-08-15 18:26 . 2009-08-15 18:26 0 ----a-w- f:\windows\ativpsrm.bin 2009-08-15 18:13 . 2009-08-15 18:13 664 ----a-w- f:\windows\system32\d3d9caps.dat 2009-08-15 18:13 . 2009-08-15 18:13 552 ----a-w- f:\windows\system32\d3d8caps.dat 2008-04-14 19:50 . 2008-04-14 19:50 161547 --sha-r- f:\windows\system32\hpluwcxp.dll . ------- Sigcheck ------- [-] 2008-05-08 . ACCF5A9A1FFAA490F33DBA1C632B95E1 . 361344 . . [5.1.2600.5512] . . f:\windows\system32\drivers\tcpip.sys [-] 2008-12-11 . 9F02C1CF7C3100E4AEA7DD8B6A86A01B . 1571840 . . [5.1.2600.5512] . . f:\windows\system32\sfcfiles.dll . ((((((((((((((((((((((((((((( SnapShot@2009-10-21_16.36.54 ))))))))))))))))))))))))))))))))))))))))) . + 2009-10-21 17:11 . 2009-10-21 17:11 16384 f:\windows\Temp\Perflib_Perfdata_d8.dat + 2001-08-17 20:30 . 2009-10-21 17:15 67448 f:\windows\system32\perfc009.dat - 2001-08-17 20:30 . 2009-10-21 15:57 67448 f:\windows\system32\perfc009.dat + 2009-08-15 18:38 . 2009-10-21 17:10 32768 f:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat - 2009-08-15 18:38 . 2009-10-21 15:53 32768 f:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat + 2009-10-21 16:41 . 2009-10-21 17:10 16384 f:\windows\system32\config\systemprofile\Cookies\index.dat - 2009-08-15 18:38 . 2009-10-21 15:53 16384 f:\windows\system32\config\systemprofile\Cookies\index.dat + 2001-08-17 20:30 . 2009-10-21 17:15 432492 f:\windows\system32\perfh009.dat - 2001-08-17 20:30 . 2009-10-21 15:57 432492 f:\windows\system32\perfh009.dat . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Lite"="f:\programy\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "GEST"="=" [X] "WOOWATCH"="f:\progra~1\NEOSTR~1\Watch.exe" [2004-08-23 20480] "WOOTASKBARICON"="f:\progra~1\NEOSTR~1\GestMaj.exe" [2004-10-14 32768] "SpeedTouch USB Diagnostics"="f:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816] "StartCCC"="f:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-07-02 98304] "Adobe Reader Speed Launcher"="f:\programy\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696] "QuickTime Task"="f:\program files\QuickTime\QTTask.exe" [2009-05-26 413696] "Sony Ericsson PC Suite"="f:\programy\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 528384] "ZoneAlarm Client"="f:\programy\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016] "NeroFilterCheck"="f:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "iTunesHelper"="f:\programy\iTunes\iTunesHelper.exe" [2009-07-13 292128] "IMJPMIG8.1"="f:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952] "MSPY2002"="f:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392] "PHIME2002ASync"="f:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168] "PHIME2002A"="f:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168] "ISUSPM Startup"="f:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184] "ISUSScheduler"="f:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 81920] "RTHDCPL"="RTHDCPL.EXE" - f:\windows\RTHDCPL.exe [2008-06-27 16875008] "SoundMan"="SOUNDMAN.EXE" - f:\windows\SoundMan.exe [2008-06-18 77824] "AlcWzrd"="ALCWZRD.EXE" - f:\windows\alcwzrd.exe [2008-06-19 2808832] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="f:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] f:\documents and settings\All Users\Menu Start\Programy\Autostart\ InterVideo WinCinema Manager.lnk - f:\programy\InterVideo\Common\Bin\WinCinemaMgr.exe [2009-10-2 114688] Microsoft Office.lnk - f:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0sasnative32 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "f:\\Programy\\Gadu-Gadu\\gg.exe"= "f:\\Programy\\Last.fm\\LastFM.exe"= "f:\\Program Files\\Bonjour\\mDNSResponder.exe"= "f:\\Programy\\iTunes\\iTunes.exe"= "c:\\Gry\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"= "c:\\Gry\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"= "c:\\Gry\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"= "f:\\WINDOWS\\system32\\PnkBstrA.exe"= "f:\\WINDOWS\\system32\\PnkBstrB.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "1482:TCP"= 1482:TCP:jqvleopr R2 GEST Service;GEST Service for program management.;f:\program files\GIGABYTE\EnergySaver\GSvr.exe [2009-08-15 80392] S2 ynzons;Network Manager;f:\windows\system32\svchost.exe -k netsvcs [2008-04-14 14336] S3 cpuz132;cpuz132;f:\windows\system32\drivers\cpuz132_x32.sys [2009-08-19 12672] S3 s816bus;Sony Ericsson Device 816 driver (WDM);f:\windows\system32\drivers\s816bus.sys [2009-08-20 81832] S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;f:\windows\system32\drivers\s816mdfl.sys [2009-08-20 13864] S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;f:\windows\system32\drivers\s816mdm.sys [2009-08-20 107304] S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);f:\windows\system32\drivers\s816mgmt.sys [2009-08-21 99112] S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);f:\windows\system32\drivers\s816nd5.sys [2009-08-22 21928] S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;f:\windows\system32\drivers\s816obex.sys [2009-08-21 97320] S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);f:\windows\system32\drivers\s816unic.sys [2009-08-22 97704] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs ynzons . . ------- Skan uzupełniający ------- . uStart Page = hxxp://www.neostrada.pl IE: E&ksport do programu Microsoft Excel - f:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 IE: { - f:\program files\Messenger\msmsgs.exe TCP: {A4A8F564-2F57-4237-9458-B39233C33872} = 194.204.159.1 217.98.63.164 FF - ProfilePath - f:\documents and settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\gccqoj3a.default\ FF - plugin: f:\programy\Adobe\Reader 9.0\Reader\browser\nppdf32.dll FF - plugin: f:\programy\iTunes\Mozilla Plugins\npitunes.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-10-21 19:35 Windows 5.1.2600 Dodatek Service Pack 3 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ynzons] "ServiceDll"="f:\windows\system32\hpluwcxp.dll" . --------------------- ZABLOKOWANE KLUCZE REJESTRU --------------------- [HKEY_USERS\S-1-5-21-823518204-842925246-1801674531-500\Software\SecuROM\License information*] "datasecu"=hex:37,af,d6,6a,c3,8a,5f,51,31,88,bd,db,2f,42,2a,47,01,d3,b9,e6,26, f2,69,96,ec,60,5a,c2,d2,3e,18,d8,32,5d,14,9b,d4,da,95,71,c8,d3,6e,72,85,a7,\ "rkeysecu"=hex:8d,90,7f,bc,1b,26,3d,45,78,69,a6,ab,9b,43,92,be . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > 'winlogon.exe'(844) f:\windows\system32\Ati2evxx.dll f:\windows\system32\klogon.dll - - - - - - - > 'explorer.exe'(3612) f:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scrchpg.dll f:\program files\Common Files\Autodesk Shared\AcSignCore16.dll f:\windows\system32\ieframe.dll f:\windows\system32\wpdshserviceobj.dll f:\windows\system32\portabledevicetypes.dll f:\windows\system32\portabledeviceapi.dll . Czas ukończenia: 2009-10-21 19:36 ComboFix-quarantined-files.txt 2009-10-21 17:36 ComboFix2.txt 2009-10-21 16:37 Przed: 58 902 192 128 bajtów wolnych Po: 58 873 274 368 bajtów wolnych - - End Of File - - 1816560A55C6876BB28C3802D85C4FD1 AVG Anti-Rootkit Free wkrywa mi rootkita w lokalizacji Windows\System32\Drivers\tutaj nazwa rootkita - za każdym razem inna. Tak na dobrą sprawę to nie jestem pewien czy ComboFix sobie z nim poradził. Wątpliwści mam przez to, że za każdym razem jak podłączam do portu usb mojego pendrive'a to program Ninja Pendisk wykrywa mi pliki autorun.inf, które od razu kasuje. Sprawdzam antywirusem (Kaspersky) czy jest czysty i pen jest czysty. Ale wystarczy, że go odłączę i ponownie przyłączę i dzieje się to samo czyli Ninja Pendisk znajduje na nim autorun.inf. Sprawdźcie powyższy log, dajcie opinię i porady jak z tym walczyć. I tak czeka mnie lada moment format jednak warto oczyścić wszystkie partycje i pendrive'a przed ponownym formatem żeby to się nie powtarzało. PS. Nie wiem czy to za sprawą wirusa, ale od jakiegoś czasu nie jestem w stanie wejść na żadną stronę domową programów antywirusowych. Ani strona avasta, ani avg mi nie działa. Może to przez coś innego, ale to jako pierwsze przykuło moją uwagę. Link do komentarza Udostępnij na innych stronach More sharing options...
Gofer Napisano Październik 21, 2009 Zgłoś Share Napisano Październik 21, 2009 ComboFix to nie program do robienia skanów, a potężny kombajn, który wyszukuje i naprawia błędy. Tak jest teoretycznie, ale w praktyce jest nieco gorzej. Zastosowany nieodpowiednio potrafi rozwalić cały system - testowałem. Na zainfekowanym wirusem systemie umyślnie użyłem CF, co zaowocowało utratą kilku plików systemowych i sterowników. Logi można robić RSIT-em, OTL-em albo HiJackThisem, nigdy ComboFixem. Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Październik 22, 2009 Zgłoś Share Napisano Październik 22, 2009 Nie mam czasu, żeby sprawdzać teraz log, zrobię to jak wrócę (no chyba, że wcześniej się chętny znajdzie). Wygląda mi to na infekcję Conficker-em. Sprawdź jeszcze stronę Microsoftu, jeśli to ten wirus, to też nie będzie działać. Zrób skan programami Malwarebytes' Anti-Malware oraz Dr.Web CureIt! i zamieść log z pierwszego i to co znajdzie drugi. Resztę już napisał Gofer. Link do komentarza Udostępnij na innych stronach More sharing options...
Zib Napisano Październik 22, 2009 Autor Zgłoś Share Napisano Październik 22, 2009 Niestety nie jestem w stanie ściągnąć i zainstalować żadnego z tych dwóćh programów. I tak muszę zrobić format więc najwayżej po formacie, jak już zapewne wszystko będzie chodzić to dla pewności zrobię te skany. Mam nadzieję, że nic nie pokażą i sam format po wcześniejszm potraktowaniu ComboFixem wystarczy. Pdo wieczór powinienem dołączyć do tego postu logi z obu programów. Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Październik 22, 2009 Zgłoś Share Napisano Październik 22, 2009 A nie możesz u kogoś tego ściągnąć, a u siebie tylko użyć? Zaraz sprawdzę log z Combofixa. [edit] Na 100% conficker. Sprawdzać dalej i powiedzieć jak to usunąć (operacja do wykonania w 5 minut), czy już zrobiłeś formata? Link do komentarza Udostępnij na innych stronach More sharing options...
Zib Napisano Październik 22, 2009 Autor Zgłoś Share Napisano Październik 22, 2009 Na 100% conficker. Sprawdzać dalej i powiedzieć jak to usunąć (operacja do wykonania w 5 minut), czy już zrobiłeś formata? Już po formacie. Radzisz na wszelki wypadek sprawdzić jednm z programów, o których pisałes w poprzednich postach? Może gdzieś jeszcze siedzi na innych partycjach? I najważniejsze co zrobić z pendrive'em, który za każdym podłączeniem do komputera miał autorun.inf? Uruchomić Ninja Pendisk i potem jeszcze Flash Disinfector? Jak najlepiej to rozwiązać żeby zaraz po formacie nie było tego samego po formacie? Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Październik 22, 2009 Zgłoś Share Napisano Październik 22, 2009 To nie jest robak, który rezyduje w MBR, więc o ile nie masz czegoś innego, to nie ma takiej potrzeby. Do zrobienia masz dwie rzeczy (kolejność jest istotna): 1. Zaktualizować system (któraś aktualizacja uniemożliwiała temu robakowi atak, nie pamiętam która). 2. Zdezynfekuj za pomocą programu Flash Disinfector wszystkie pamięci przenośne, które podłączałeś do tego kompa. I na przyszłość aktualizuj na bieżąco system, a nie będziesz narażony na część zagrożeń. Ciekawą rzeczą dotyczącą tego robaka było to, że powstał on już po tym jak MS opublikował łatkę, która uniemożliwiała mu atak, a mimo to Conficker rozprzestrzeniał się bardzo szybko. Link do komentarza Udostępnij na innych stronach More sharing options...
Zib Napisano Październik 23, 2009 Autor Zgłoś Share Napisano Październik 23, 2009 Aktualizacje zainstalowane. AVG Anti-Rootkit nie wykrywa żadnych rootkitów. Jednak nadal pozostaje problem pendrive'a. Po podłączeniu do komputera Ninja Pendisk od razu bierze się za kasowanie plików autorun.inf. Po tym Włączam jeszcze Flash Disinfector i skanuję pendrive'a avastem. Czysto. Jednak, tak jak poprzednio, wystarczy go odłączyć i ponownie podłączyć i znów to samo czyli reakcja Ninja Pendisk. Nawet jeżeli już mojego komputera po zainstalowaniu łatek nie zainfekuje to warto byłoby oczyścić pena na okoliczność podłączania go do innych, mniej chronionych komputerów. Jakiś pomysł? Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Październik 23, 2009 Zgłoś Share Napisano Październik 23, 2009 Dobra, wiem chyba gdzie jet problem. Spróbuj użyć tylko Ninja Pendisk i pomiń etap z Flash Disinfector. Flash Disinfector tworzy trudny do zmodyfikowania i usunięcia katalog autorun.inf, który Ninja Pendisk może podejrzewać o bycie wirusem. Link do komentarza Udostępnij na innych stronach More sharing options...
Zib Napisano Październik 23, 2009 Autor Zgłoś Share Napisano Październik 23, 2009 Cóż, efekt ciągle ten sam. Nawet nie używając Flash Disinfector za każdym podłączeniem Ninja Pendisk kasuje od nowa te same pliki (autorun.inf). ComboFix stworzył na partycjach jeszcze przed formatem folder autorun.inf, ale to ma bronić przed tym wiruesem więc to raczej tutaj nie ma znaczenia. Wygląda to w ten sposób, że w magiczny sposób pliki autorun.inf ciągle tam się reprodukują po odłączeniu od komputera. Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Październik 23, 2009 Zgłoś Share Napisano Październik 23, 2009 To nie Combofix go stworzył, tylko Flash Disinfector. To coś co usuwa Ninja to jest plik, czy katalog? Najlepiej byłoby zobaczyć z poziomu jakiegoś GNU/Linuksa jak to wygląda i ewentualnie za jego pomocą pousuwać pliki. Jeśli po tym zabiegu problem będzie się powtarzał, to zamieść lgo z RSIT-a na forum. Link do komentarza Udostępnij na innych stronach More sharing options...