Jump to content

Archived

This topic is now archived and is closed to further replies.

Zib

Log z ComboFix

Recommended Posts

Mam probelm z wirusem autorun.inf. Sprawdźcie log z ComboFix:

ComboFix 09-10-20.03 - Administrator 2009-10-21 19:32.2.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.3326.2745 [GMT 2:00]
Uruchomiony z: f:\documents and settings\Administrator\Pulpit\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
.

((((((((((((((((((((((((( Pliki utworzone od 2009-09-21 do 2009-10-21 )))))))))))))))))))))))))))))))
.

2009-10-21 16:04 . 2001-08-17 18:13 19528 -c--a-w- f:\windows\system32\dllcache\w840nd.sys
2009-10-21 16:03 . 2008-04-13 21:53 13240 -c--a-w- f:\windows\system32\dllcache\slwdmsup.sys
2009-10-21 16:02 . 2001-10-26 15:29 44544 -c--a-w- f:\windows\system32\dllcache\ovui2.dll
2009-10-21 16:01 . 2001-08-17 19:28 797500 -c--a-w- f:\windows\system32\dllcache\ltsmt.sys
2009-10-21 16:00 . 2001-10-26 15:29 119296 -c--a-w- f:\windows\system32\dllcache\hpdigwia.dll
2009-10-21 15:59 . 2001-10-26 15:29 256512 -c--a-w- f:\windows\system32\dllcache\devcon32.dll
2009-10-21 15:58 . 2008-04-14 20:50 17279 -c--a-w- f:\windows\system32\dllcache\atv10nt5.dll
2009-10-21 15:57 . 2001-10-26 15:29 66048 -c--a-w- f:\windows\system32\dllcache\s3legacy.dll
2009-10-21 15:57 . 2008-04-14 20:00 2190336 -c--a-w- f:\windows\system32\dllcache\ntoskrnl.exe
2009-10-21 12:39 . 2009-10-21 17:35 46880 --sha-w- f:\windows\system32\drivers\fidbox2.dat
2009-10-21 12:36 . 2009-10-21 12:36 75932 ----a-w- f:\windows\system32\drivers\klick.dat
2009-10-21 12:36 . 2009-10-21 12:36 74396 ----a-w- f:\windows\system32\drivers\klin.dat
2009-10-21 12:36 . 2009-10-21 17:11 -------- d-----w- f:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab
2009-10-21 12:36 . 2009-10-21 12:36 -------- d-----w- f:\program files\Kaspersky Lab
2009-10-20 18:15 . 2009-10-20 18:15 -------- d-----w- f:\documents and settings\Administrator\Dane aplikacji\GHISLER
2009-10-20 18:15 . 2009-09-24 05:50 545 ----a-w- f:\windows\UC.PIF
2009-10-20 18:15 . 2009-09-24 05:50 545 ----a-w- f:\windows\RAR.PIF
2009-10-20 18:15 . 2009-09-24 05:50 545 ----a-w- f:\windows\PKZIP.PIF
2009-10-20 18:15 . 2009-09-24 05:50 545 ----a-w- f:\windows\PKUNZIP.PIF
2009-10-20 18:15 . 2009-09-24 05:50 545 ----a-w- f:\windows\NOCLOSE.PIF
2009-10-20 18:15 . 2009-09-24 05:50 545 ----a-w- f:\windows\LHA.PIF
2009-10-20 18:15 . 2009-09-24 05:50 545 ----a-w- f:\windows\ARJ.PIF
2009-10-20 16:53 . 2007-01-18 12:00 3968 ----a-w- f:\windows\system32\drivers\AvgArCln.sys
2009-10-18 07:00 . 2009-10-18 08:13 -------- d-----w- f:\documents and settings\All Users\Dane aplikacji\Systweak
2009-10-18 06:58 . 2009-10-18 08:13 -------- d-----w- f:\documents and settings\Administrator\Dane aplikacji\Systweak
2009-10-18 06:58 . 2009-10-18 06:58 -------- d-----w- f:\documents and settings\All Users\Dane aplikacji\MyDefrag
2009-10-17 20:07 . 2009-10-19 20:00 684536 ----a-w- f:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\FontCache3.0.0.0.dat
2009-10-17 15:30 . 2009-10-17 15:30 -------- d-----w- f:\documents and settings\All Users\Dane aplikacji\FLEXnet
2009-10-17 12:22 . 2009-10-17 12:22 -------- d-----w- f:\program files\Common Files\Macrovision Shared
2009-10-17 12:19 . 2009-10-17 12:52 -------- d-----w- f:\program files\Common Files\Autodesk Shared
2009-10-17 12:19 . 2009-10-19 17:30 -------- d-----w- f:\documents and settings\All Users\Dane aplikacji\Autodesk
2009-10-17 12:19 . 2009-10-19 17:30 -------- d-----w- f:\documents and settings\Administrator\Dane aplikacji\Autodesk
2009-10-17 12:19 . 2009-10-17 12:52 -------- d-----w- f:\program files\AutoCAD 2010
2009-10-17 12:19 . 2009-10-17 12:19 -------- d-----w- f:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Autodesk
2009-10-17 12:15 . 2009-10-17 15:27 -------- d-----w- f:\windows\SxsCaPendDel
2009-10-11 18:09 . 2009-10-11 18:09 -------- d-----w- f:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Identities
2009-10-10 06:12 . 2009-10-10 06:12 -------- d-----w- f:\documents and settings\Administrator\Dane aplikacji\Corel
2009-10-10 06:11 . 2009-10-10 06:11 -------- d-----w- f:\documents and settings\All Users\Dane aplikacji\InstallShield
2009-10-02 09:50 . 2009-10-02 09:50 -------- d-----w- f:\documents and settings\Administrator\Dane aplikacji\InterVideo
2009-09-25 13:14 . 2009-09-25 13:14 -------- d-----w- f:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Ubisoft
2009-09-24 15:00 . 2001-10-26 16:28 1677824 -c--a-w- f:\windows\system32\dllcache\chsbrkr.dll
2009-09-24 15:00 . 2001-10-26 16:28 1677824 ----a-w- f:\windows\system32\chsbrkr.dll
2009-09-24 15:00 . 2001-10-26 16:28 838144 -c--a-w- f:\windows\system32\dllcache\chtbrkr.dll
2009-09-24 15:00 . 2001-10-26 16:28 838144 ----a-w- f:\windows\system32\chtbrkr.dll
2009-09-24 15:00 . 2001-10-26 16:28 70656 -c--a-w- f:\windows\system32\dllcache\korwbrkr.dll
2009-09-24 15:00 . 2001-10-26 16:28 70656 ----a-w- f:\windows\system32\korwbrkr.dll
2009-09-24 14:58 . 2001-10-26 16:27 6656 -c--a-w- f:\windows\system32\dllcache\c_is2022.dll
2009-09-24 14:57 . 2001-08-18 04:36 8704 -c--a-w- f:\windows\system32\dllcache\kbdjpn.dll
2009-09-24 14:57 . 2001-08-18 04:36 8704 ----a-w- f:\windows\system32\kbdjpn.dll
2009-09-24 14:57 . 2001-08-18 04:36 8192 -c--a-w- f:\windows\system32\dllcache\kbdkor.dll
2009-09-24 14:57 . 2001-08-18 04:36 8192 ----a-w- f:\windows\system32\kbdkor.dll
2009-09-24 14:57 . 2001-08-17 20:55 6144 -c--a-w- f:\windows\system32\dllcache\kbd101c.dll
2009-09-24 14:57 . 2001-08-17 20:55 6144 ----a-w- f:\windows\system32\kbd101c.dll
2009-09-24 14:57 . 2001-08-17 20:55 5632 -c--a-w- f:\windows\system32\dllcache\kbd103.dll
2009-09-24 14:57 . 2001-08-17 20:55 5632 ----a-w- f:\windows\system32\kbd103.dll
2009-09-24 14:56 . 2001-08-17 20:55 6144 -c--a-w- f:\windows\system32\dllcache\kbd101b.dll
2009-09-24 14:56 . 2001-08-17 20:55 6144 ----a-w- f:\windows\system32\kbd101b.dll
2009-09-24 14:56 . 2008-04-14 20:39 6144 -c--a-w- f:\windows\system32\dllcache\kbd106.dll
2009-09-24 14:56 . 2008-04-14 20:39 6144 ----a-w- f:\windows\system32\kbd106.dll

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-21 17:27 . 2009-08-15 13:48 -------- d-----w- f:\program files\Neostrada TP
2009-10-21 17:15 . 2001-10-26 15:15 83880 ----a-w- f:\windows\system32\perfc015.dat
2009-10-21 17:15 . 2001-10-26 15:15 490628 ----a-w- f:\windows\system32\perfh015.dat
2009-10-21 17:10 . 2009-08-15 18:42 16608 ----a-w- f:\windows\gdrv.sys
2009-10-21 17:00 . 2009-10-21 12:39 5888 --sha-w- f:\windows\system32\drivers\fidbox2.idx
2009-10-21 17:00 . 2009-09-01 07:40 327056 --sha-w- f:\windows\system32\drivers\fidbox.idx
2009-10-21 17:00 . 2009-09-01 07:40 27551776 --sha-w- f:\windows\system32\drivers\fidbox.dat
2009-10-18 09:21 . 2009-08-16 07:58 56448 ----a-w- f:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-10-10 06:09 . 2009-08-15 18:43 -------- d-----w- f:\program files\Common Files\InstallShield
2009-10-03 15:28 . 2009-08-16 07:54 -------- d-----w- f:\documents and settings\Administrator\Dane aplikacji\Apple Computer
2009-10-02 09:43 . 2009-08-15 18:43 -------- d--h--w- f:\program files\InstallShield Installation Information
2009-09-25 13:14 . 2009-08-16 16:21 -------- d-----w- f:\documents and settings\All Users\Dane aplikacji\Ubisoft
2009-09-13 12:41 . 2009-08-15 18:22 -------- d-----w- f:\documents and settings\Administrator\Dane aplikacji\Winamp
2009-09-01 07:38 . 2009-09-01 07:36 4212 ---h--w- f:\windows\system32\zllictbl.dat
2009-09-01 07:36 . 2009-09-01 07:36 -------- d-----w- f:\documents and settings\All Users\Dane aplikacji\MailFrontier
2009-08-30 10:57 . 2009-08-30 10:57 0 ----a-w- f:\windows\nsreg.dat
2009-08-28 10:56 . 2009-08-28 10:56 22328 ----a-w- f:\windows\system32\drivers\PnkBstrK.sys
2009-08-28 10:56 . 2009-08-28 10:56 22328 ----a-w- f:\documents and settings\Administrator\Dane aplikacji\PnkBstrK.sys
2009-08-28 10:56 . 2009-08-28 10:55 103736 ----a-w- f:\windows\system32\PnkBstrB.exe
2009-08-28 10:55 . 2009-08-28 10:55 66872 ----a-w- f:\windows\system32\PnkBstrA.exe
2009-08-24 18:23 . 2009-08-24 18:23 -------- d-----w- f:\documents and settings\Administrator\Dane aplikacji\2K Sports
2009-08-20 16:38 . 2009-08-17 13:19 107888 ----a-w- f:\windows\system32\CmdLineExt.dll
2009-08-20 16:27 . 2009-08-20 16:27 721904 ----a-w- f:\windows\system32\drivers\sptd.sys
2009-08-15 18:47 . 2009-08-15 18:47 315392 ----a-w- f:\windows\HideWin.exe
2009-08-15 18:31 . 2009-08-15 18:31 21856 ----a-w- f:\windows\system32\emptyregdb.dat
2009-08-15 18:26 . 2009-08-15 18:26 0 ----a-w- f:\windows\ativpsrm.bin
2009-08-15 18:13 . 2009-08-15 18:13 664 ----a-w- f:\windows\system32\d3d9caps.dat
2009-08-15 18:13 . 2009-08-15 18:13 552 ----a-w- f:\windows\system32\d3d8caps.dat
2008-04-14 19:50 . 2008-04-14 19:50 161547 --sha-r- f:\windows\system32\hpluwcxp.dll
.

------- Sigcheck -------

[-] 2008-05-08 . ACCF5A9A1FFAA490F33DBA1C632B95E1 . 361344 . . [5.1.2600.5512] . . f:\windows\system32\drivers\tcpip.sys

[-] 2008-12-11 . 9F02C1CF7C3100E4AEA7DD8B6A86A01B . 1571840 . . [5.1.2600.5512] . . f:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((( SnapShot@2009-10-21_16.36.54 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-10-21 17:11 . 2009-10-21 17:11 16384 f:\windows\Temp\Perflib_Perfdata_d8.dat
+ 2001-08-17 20:30 . 2009-10-21 17:15 67448 f:\windows\system32\perfc009.dat
- 2001-08-17 20:30 . 2009-10-21 15:57 67448 f:\windows\system32\perfc009.dat
+ 2009-08-15 18:38 . 2009-10-21 17:10 32768 f:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
- 2009-08-15 18:38 . 2009-10-21 15:53 32768 f:\windows\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
+ 2009-10-21 16:41 . 2009-10-21 17:10 16384 f:\windows\system32\config\systemprofile\Cookies\index.dat
- 2009-08-15 18:38 . 2009-10-21 15:53 16384 f:\windows\system32\config\systemprofile\Cookies\index.dat
+ 2001-08-17 20:30 . 2009-10-21 17:15 432492 f:\windows\system32\perfh009.dat
- 2001-08-17 20:30 . 2009-10-21 15:57 432492 f:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="f:\programy\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GEST"="=" [X]
"WOOWATCH"="f:\progra~1\NEOSTR~1\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="f:\progra~1\NEOSTR~1\GestMaj.exe" [2004-10-14 32768]
"SpeedTouch USB Diagnostics"="f:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]
"StartCCC"="f:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-07-02 98304]
"Adobe Reader Speed Launcher"="f:\programy\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"QuickTime Task"="f:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]
"Sony Ericsson PC Suite"="f:\programy\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 528384]
"ZoneAlarm Client"="f:\programy\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"NeroFilterCheck"="f:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"iTunesHelper"="f:\programy\iTunes\iTunesHelper.exe" [2009-07-13 292128]
"IMJPMIG8.1"="f:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952]
"MSPY2002"="f:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392]
"PHIME2002ASync"="f:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"PHIME2002A"="f:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-13 455168]
"ISUSPM Startup"="f:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 221184]
"ISUSScheduler"="f:\program files\Common Files\InstallShield\UpdateService\issch.exe" [2004-06-16 81920]
"RTHDCPL"="RTHDCPL.EXE" - f:\windows\RTHDCPL.exe [2008-06-27 16875008]
"SoundMan"="SOUNDMAN.EXE" - f:\windows\SoundMan.exe [2008-06-18 77824]
"AlcWzrd"="ALCWZRD.EXE" - f:\windows\alcwzrd.exe [2008-06-19 2808832]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="f:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

f:\documents and settings\All Users\Menu Start\Programy\Autostart\
InterVideo WinCinema Manager.lnk - f:\programy\InterVideo\Common\Bin\WinCinemaMgr.exe [2009-10-2 114688]
Microsoft Office.lnk - f:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sasnative32

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"f:\\Programy\\Gadu-Gadu\\gg.exe"=
"f:\\Programy\\Last.fm\\LastFM.exe"=
"f:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"f:\\Programy\\iTunes\\iTunes.exe"=
"c:\\Gry\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"c:\\Gry\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"c:\\Gry\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"f:\\WINDOWS\\system32\\PnkBstrA.exe"=
"f:\\WINDOWS\\system32\\PnkBstrB.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1482:TCP"= 1482:TCP:jqvleopr

R2 GEST Service;GEST Service for program management.;f:\program files\GIGABYTE\EnergySaver\GSvr.exe [2009-08-15 80392]
S2 ynzons;Network Manager;f:\windows\system32\svchost.exe -k netsvcs [2008-04-14 14336]
S3 cpuz132;cpuz132;f:\windows\system32\drivers\cpuz132_x32.sys [2009-08-19 12672]
S3 s816bus;Sony Ericsson Device 816 driver (WDM);f:\windows\system32\drivers\s816bus.sys [2009-08-20 81832]
S3 s816mdfl;Sony Ericsson Device 816 USB WMC Modem Filter;f:\windows\system32\drivers\s816mdfl.sys [2009-08-20 13864]
S3 s816mdm;Sony Ericsson Device 816 USB WMC Modem Driver;f:\windows\system32\drivers\s816mdm.sys [2009-08-20 107304]
S3 s816mgmt;Sony Ericsson Device 816 USB WMC Device Management Drivers (WDM);f:\windows\system32\drivers\s816mgmt.sys [2009-08-21 99112]
S3 s816nd5;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (NDIS);f:\windows\system32\drivers\s816nd5.sys [2009-08-22 21928]
S3 s816obex;Sony Ericsson Device 816 USB WMC OBEX Interface;f:\windows\system32\drivers\s816obex.sys [2009-08-21 97320]
S3 s816unic;Sony Ericsson Device 816 USB Ethernet Emulation SEMCMR7 (WDM);f:\windows\system32\drivers\s816unic.sys [2009-08-22 97704]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ynzons
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.neostrada.pl
IE: E&ksport do programu Microsoft Excel - f:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: { - f:\program files\Messenger\msmsgs.exe
TCP: {A4A8F564-2F57-4237-9458-B39233C33872} = 194.204.159.1 217.98.63.164
FF - ProfilePath - f:\documents and settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\gccqoj3a.default\
FF - plugin: f:\programy\Adobe\Reader 9.0\Reader\browser\nppdf32.dll
FF - plugin: f:\programy\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-21 19:35
Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ynzons]
"ServiceDll"="f:\windows\system32\hpluwcxp.dll"
.
--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

[HKEY_USERS\S-1-5-21-823518204-842925246-1801674531-500\Software\SecuROM\License information*]
"datasecu"=hex:37,af,d6,6a,c3,8a,5f,51,31,88,bd,db,2f,42,2a,47,01,d3,b9,e6,26,
f2,69,96,ec,60,5a,c2,d2,3e,18,d8,32,5d,14,9b,d4,da,95,71,c8,d3,6e,72,85,a7,\
"rkeysecu"=hex:8d,90,7f,bc,1b,26,3d,45,78,69,a6,ab,9b,43,92,be
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'winlogon.exe'(844)
f:\windows\system32\Ati2evxx.dll
f:\windows\system32\klogon.dll

- - - - - - - > 'explorer.exe'(3612)
f:\program files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scrchpg.dll
f:\program files\Common Files\Autodesk Shared\AcSignCore16.dll
f:\windows\system32\ieframe.dll
f:\windows\system32\wpdshserviceobj.dll
f:\windows\system32\portabledevicetypes.dll
f:\windows\system32\portabledeviceapi.dll
.
Czas ukończenia: 2009-10-21 19:36
ComboFix-quarantined-files.txt 2009-10-21 17:36
ComboFix2.txt 2009-10-21 16:37

Przed: 58 902 192 128 bajtów wolnych
Po: 58 873 274 368 bajtów wolnych

- - End Of File - - 1816560A55C6876BB28C3802D85C4FD1

AVG Anti-Rootkit Free wkrywa mi rootkita w lokalizacji Windows\System32\Drivers\tutaj nazwa rootkita - za każdym razem inna.

Tak na dobrą sprawę to nie jestem pewien czy ComboFix sobie z nim poradził. Wątpliwści mam przez to, że za każdym razem jak podłączam do portu usb mojego pendrive'a to program Ninja Pendisk wykrywa mi pliki autorun.inf, które od razu kasuje. Sprawdzam antywirusem (Kaspersky) czy jest czysty i pen jest czysty. Ale wystarczy, że go odłączę i ponownie przyłączę i dzieje się to samo czyli Ninja Pendisk znajduje na nim autorun.inf.

Sprawdźcie powyższy log, dajcie opinię i porady jak z tym walczyć. I tak czeka mnie lada moment format jednak warto oczyścić wszystkie partycje i pendrive'a przed ponownym formatem żeby to się nie powtarzało.

PS. Nie wiem czy to za sprawą wirusa, ale od jakiegoś czasu nie jestem w stanie wejść na żadną stronę domową programów antywirusowych. Ani strona avasta, ani avg mi nie działa. Może to przez coś innego, ale to jako pierwsze przykuło moją uwagę.

Link to comment
Share on other sites

ComboFix to nie program do robienia skanów, a potężny kombajn, który wyszukuje i naprawia błędy. Tak jest teoretycznie, ale w praktyce jest nieco gorzej. Zastosowany nieodpowiednio potrafi rozwalić cały system - testowałem. Na zainfekowanym wirusem systemie umyślnie użyłem CF, co zaowocowało utratą kilku plików systemowych i sterowników. Logi można robić RSIT-em, OTL-em albo HiJackThisem, nigdy ComboFixem.

Link to comment
Share on other sites

Nie mam czasu, żeby sprawdzać teraz log, zrobię to jak wrócę (no chyba, że wcześniej się chętny znajdzie). Wygląda mi to na infekcję Conficker-em. Sprawdź jeszcze stronę Microsoftu, jeśli to ten wirus, to też nie będzie działać.

Zrób skan programami Malwarebytes' Anti-Malware oraz Dr.Web CureIt! i zamieść log z pierwszego i to co znajdzie drugi.

Resztę już napisał Gofer.

Link to comment
Share on other sites

Niestety nie jestem w stanie ściągnąć i zainstalować żadnego z tych dwóćh programów. I tak muszę zrobić format więc najwayżej po formacie, jak już zapewne wszystko będzie chodzić to dla pewności zrobię te skany. Mam nadzieję, że nic nie pokażą i sam format po wcześniejszm potraktowaniu ComboFixem wystarczy. Pdo wieczór powinienem dołączyć do tego postu logi z obu programów.

Link to comment
Share on other sites

A nie możesz u kogoś tego ściągnąć, a u siebie tylko użyć? Zaraz sprawdzę log z Combofixa.

[edit]

Na 100% conficker. Sprawdzać dalej i powiedzieć jak to usunąć (operacja do wykonania w 5 minut), czy już zrobiłeś formata?

Link to comment
Share on other sites

Na 100% conficker. Sprawdzać dalej i powiedzieć jak to usunąć (operacja do wykonania w 5 minut), czy już zrobiłeś formata?

Już po formacie. Radzisz na wszelki wypadek sprawdzić jednm z programów, o których pisałes w poprzednich postach? Może gdzieś jeszcze siedzi na innych partycjach? I najważniejsze co zrobić z pendrive'em, który za każdym podłączeniem do komputera miał autorun.inf? Uruchomić Ninja Pendisk i potem jeszcze Flash Disinfector? Jak najlepiej to rozwiązać żeby zaraz po formacie nie było tego samego po formacie?

Link to comment
Share on other sites

To nie jest robak, który rezyduje w MBR, więc o ile nie masz czegoś innego, to nie ma takiej potrzeby. Do zrobienia masz dwie rzeczy (kolejność jest istotna):

1. Zaktualizować system (któraś aktualizacja uniemożliwiała temu robakowi atak, nie pamiętam która).

2. Zdezynfekuj za pomocą programu Flash Disinfector wszystkie pamięci przenośne, które podłączałeś do tego kompa.

I na przyszłość aktualizuj na bieżąco system, a nie będziesz narażony na część zagrożeń. Ciekawą rzeczą dotyczącą tego robaka było to, że powstał on już po tym jak MS opublikował łatkę, która uniemożliwiała mu atak, a mimo to Conficker rozprzestrzeniał się bardzo szybko.

Link to comment
Share on other sites

Aktualizacje zainstalowane. AVG Anti-Rootkit nie wykrywa żadnych rootkitów. Jednak nadal pozostaje problem pendrive'a. Po podłączeniu do komputera Ninja Pendisk od razu bierze się za kasowanie plików autorun.inf. Po tym Włączam jeszcze Flash Disinfector i skanuję pendrive'a avastem. Czysto. Jednak, tak jak poprzednio, wystarczy go odłączyć i ponownie podłączyć i znów to samo czyli reakcja Ninja Pendisk. Nawet jeżeli już mojego komputera po zainstalowaniu łatek nie zainfekuje to warto byłoby oczyścić pena na okoliczność podłączania go do innych, mniej chronionych komputerów. Jakiś pomysł?

Link to comment
Share on other sites

Dobra, wiem chyba gdzie jet problem. Spróbuj użyć tylko Ninja Pendisk i pomiń etap z Flash Disinfector. Flash Disinfector tworzy trudny do zmodyfikowania i usunięcia katalog autorun.inf, który Ninja Pendisk może podejrzewać o bycie wirusem.

Link to comment
Share on other sites

Cóż, efekt ciągle ten sam. Nawet nie używając Flash Disinfector za każdym podłączeniem Ninja Pendisk kasuje od nowa te same pliki (autorun.inf). ComboFix stworzył na partycjach jeszcze przed formatem folder autorun.inf, ale to ma bronić przed tym wiruesem więc to raczej tutaj nie ma znaczenia. Wygląda to w ten sposób, że w magiczny sposób pliki autorun.inf ciągle tam się reprodukują po odłączeniu od komputera.

Link to comment
Share on other sites

To nie Combofix go stworzył, tylko Flash Disinfector. To coś co usuwa Ninja to jest plik, czy katalog?

Najlepiej byłoby zobaczyć z poziomu jakiegoś GNU/Linuksa jak to wygląda i ewentualnie za jego pomocą pousuwać pliki. Jeśli po tym zabiegu problem będzie się powtarzał, to zamieść lgo z RSIT-a na forum.

Link to comment
Share on other sites



  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...