x-kom hosting

uprzejmie proszę o pomoc w usunięciu robaka-wirusa

baniaks
utworzono
utworzono

na wstępie zaznaczyć chcę, iż jestem zielona w te klocki więc proszę o wyrozumiałość :)

otóż za każdym razem kiedy wkładam pena pojawia się komunikat ze znaleziono wirusa autorun.inf, z tego co sie orientowałam trzeba mieć jakieś logi :/ ... bardzo prosiłabym o pomoc, od czego mam zacząć by pozbyć się tego dziada? z góry bardzo dziękuję za pomoc :)

baniaks
komentarz
komentarz

dzięki wielkie:), tylko mam jeszcze pytanie czy w czasie tworzenia się loga pendrivy powinny być włożone?

oto log (bez wlożonych pendrivów):

ComboFix 09-05-11.08 - kabanos 2009-05-12 11:54.1 - NTFSx86Microsoft Windows XP Home Edition  5.1.2600.3.1251.48.1045.18.894.555 [GMT 2:00]Running from: c:\documents and settings\kabanos\Pulpit\ComboFix.exeAV: avast! antivirus 4.8.1335 [VPS 090510-0] *On-access scanning enabled* (Updated) * Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!.(((((((((((((((((((((((((((((((((((((((   Other Deletions   ))))))))))))))))))))))))))))))))))))))))))))))))).c:\program files\myglobalsearchc:\program files\myglobalsearch\bar\1.bin\M9FFXTBR.JARc:\program files\myglobalsearch\bar\1.bin\M9FFXTBR.MANIFESTc:\program files\myglobalsearch\bar\1.bin\M9NTSTBR.JARc:\program files\myglobalsearch\bar\1.bin\M9NTSTBR.MANIFESTc:\program files\myglobalsearch\bar\1.bin\M9PLUGIN.DLLc:\program files\myglobalsearch\bar\1.bin\MGSBAR.DLLc:\program files\myglobalsearch\bar\1.bin\NPMYGLSH.DLLc:\program files\myglobalsearch\bar\Cache\[u]0[/u]000F3F5c:\program files\myglobalsearch\bar\Cache\[u]0[/u]0050528c:\program files\myglobalsearch\bar\Cache\[u]0[/u]0050EDC.binc:\program files\myglobalsearch\bar\Cache\[u]0[/u]0051295.binc:\program files\myglobalsearch\bar\Cache\[u]0[/u]005161F.binc:\program files\myglobalsearch\bar\Cache\files.inic:\program files\myglobalsearch\bar\History\searchc:\program files\myglobalsearch\bar\Settings\prevcfg.htmc:\system\S-1-5-21-1482476501-1644491937-682003330-1013c:\system\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.inic:\system\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exec:\windows\system32\.dllD:\Uninstall.exeD:\WinRAR.exe.(((((((((((((((((((((((((   Files Created from 2009-04-12 to 2009-05-12  ))))))))))))))))))))))))))))))).2009-04-19 21:06 . 2009-02-06 10:10	227840	-c----w	c:\windows\system32\dllcache\wmiprvse.exe2009-04-19 21:06 . 2009-03-06 14:22	285696	-c----w	c:\windows\system32\dllcache\pdh.dll2009-04-19 21:06 . 2009-02-09 11:25	111104	-c----w	c:\windows\system32\dllcache\services.exe2009-04-19 21:06 . 2009-02-09 10:53	401408	-c----w	c:\windows\system32\dllcache\rpcss.dll2009-04-19 21:06 . 2009-02-09 10:53	473600	-c----w	c:\windows\system32\dllcache\fastprox.dll2009-04-19 21:06 . 2009-02-09 10:53	686592	-c----w	c:\windows\system32\dllcache\advapi32.dll2009-04-19 21:06 . 2009-02-09 10:53	731136	-c----w	c:\windows\system32\dllcache\lsasrv.dll2009-04-19 21:06 . 2009-02-09 10:53	453120	-c----w	c:\windows\system32\dllcache\wmiprvsd.dll2009-04-19 21:06 . 2009-02-09 10:53	722944	-c----w	c:\windows\system32\dllcache\ntdll.dll2009-04-19 19:27 . 2008-04-21 21:16	218112	-c----w	c:\windows\system32\dllcache\wordpad.exe.((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-04-27 11:25 . 2007-11-05 22:13	--------	d-----w	c:\program files\Common Files\Ahead2009-04-22 18:36 . 2009-03-06 19:01	--------	d-----w	c:\program files\ALLPlayer2009-04-22 15:43 . 2007-11-05 22:51	20528	----a-w	c:\documents and settings\kabanos\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT2009-04-21 08:47 . 2006-03-02 12:00	87302	----a-w	c:\windows\system32\perfc015.dat2009-04-21 08:47 . 2006-03-02 12:00	494616	----a-w	c:\windows\system32\perfh015.dat2009-04-02 19:07 . 2009-04-02 19:07	--------	d-----w	c:\program files\DIFX2009-04-02 19:07 . 2009-04-02 19:07	--------	d-----w	c:\program files\PC Connectivity Solution2009-03-14 00:52 . 2009-03-11 21:45	--------	d-----w	c:\program files\FieryAds2009-03-13 17:18 . 2009-03-11 21:45	848	----a-w	c:\documents and settings\kabanos\Dane aplikacji\fieryads.dat2009-03-11 21:45 . 2009-03-11 21:45	30208	----a-w	c:\windows\system32\borlndmm.dll2009-03-06 14:22 . 2006-03-02 12:00	285696	----a-w	c:\windows\system32\pdh.dll2009-03-05 13:54 . 2009-03-05 13:54	17560	---ha-w	c:\windows\system32\mlfcache.dat2009-02-27 23:56 . 2009-02-27 23:56	76368	----a-w	c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\FontCache3.0.0.0.dat2009-02-20 08:12 . 2006-03-02 12:00	668672	----a-w	c:\windows\system32\wininet.dll2009-02-20 08:11 . 2006-03-02 12:00	81920	----a-w	c:\windows\system32\ieencode.dll2009-02-13 16:14 . 2009-02-13 16:14	56	---ha-w	c:\windows\system32\ezsidmv.dat.(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Note* empty entries & legit default entries are not shown REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2007-11-14 2131392]"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-27 68856]"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]"ALLUpdate"="c:\program files\ALLPlayer\ALLUpdate.exe" [2008-11-24 869888]"Google Update"="c:\documents and settings\kabanos\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" [2009-03-10 133104][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-10-12 815104]"HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2007-04-04 798720]"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 56928]"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 54832]"FineReader7NewsReaderPro"="c:\program files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe" [2003-12-09 278528]"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2005-12-10 133016]"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe" [2009-03-06 198160]"VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2006-09-21 53248]"S3Trayp"="S3trayp.exe" - c:\windows\system32\S3Trayp.exe [2006-10-09 176128]"CHotkey"="mHotkey.exe" - c:\windows\mHotkey.exe [2005-12-15 547840]"showwnd"="showwnd.exe" - c:\windows\ShowWnd.exe [2003-09-18 36864][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]c:\documents and settings\All Users\Menu Start\Programy\Autostart\FlexType 2K.lnk - c:\program files\Datecs\FlexType 2K\FType2K.exe [2008-2-10 95232]HotKeyDriver.lnk - c:\program files\HotKey_Driver\HotKeyDriver.exe [2007-11-6 3461120][HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusOverride"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="c:\\Program Files\\Gadu-Gadu\\gg.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"="c:\\Program Files\\Skype\\Phone\\Skype.exe"=R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-05-06 114768]R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-05-06 20560]R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187.sys [2007-11-06 180480]R3 S3GIGP;S3GIGP;c:\windows\system32\drivers\S3gIGPm.sys [2007-11-05 634880]S3 Mnmssrvn;Mnmssrvn; [x]S3 w200bus;Sony Ericsson W200 driver (WDM);c:\windows\system32\drivers\w200bus.sys [2008-02-05 61504]S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;c:\windows\system32\drivers\w200mdfl.sys [2008-02-05 9328]S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;c:\windows\system32\drivers\w200mdm.sys [2008-02-05 97056]S3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\w200mgmt.sys [2008-02-05 88560][HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{36ab6894-319d-11dd-be39-0090f565ca69}]\Shell\AutoRun\command - H:\LaunchU3.exe -a[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{36ab6895-319d-11dd-be39-0090f565ca69}]\Shell\AutoRun\command - I:\\Shell\open\Command - rundll32.exe .\desktop.dll,InstallM[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5ec21158-7071-11dd-bee1-0090f565ca69}]\Shell\AutoRun\command - H:\LaunchU3.exe -a[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5ec21159-7071-11dd-bee1-0090f565ca69}]\Shell\AutoRun\command - SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exe\Shell\open\command - SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exe[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b1a351e6-8987-11dd-bf28-0015af40729f}]\Shell\AutoRun\command - H:\LaunchU3.exe -a[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28ABC5C0-4FCB-11CF-AAX5-21CX1C643131}]c:\system\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exe.Contents of the 'Scheduled Tasks' folder2009-05-11 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1177238915-1220945662-725345543-1004.job- c:\documents and settings\kabanos\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2009-03-10 00:03].- - - - ORPHANS REMOVED - - - -HKCU-Run-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exeHKLM-Run-WinampAgent - e:\my downloads\Winamp\winampa.exeHKLM-Run-BearShare - e:\program files\BearShare\BearShare.exe.------- Supplementary Scan -------.uStart Page = hxxp://www.onet.pl/uSearch Page = hxxp://www.google.comuDefault_Search_URL = hxxp://www.google.com/ieuSearch Bar = hxxp://www.google.com/ieuSearchURL,(Default) = hxxp://www.google.com/search?q=%sIE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - c:\program files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dllFF - ProfilePath - c:\documents and settings\kabanos\Dane aplikacji\Mozilla\Firefox\Profiles\ow0nqsg2.default\FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/FF - component: d:\slawistyka\browserrecord\components\nprpbrowserrecordplugin.dllFF - plugin: c:\documents and settings\kabanos\Ustawienia lokalne\Dane aplikacji\Google\Update\1.2.145.5\npGoogleOneClick8.dllFF - plugin: d:\slawistyka\Netscape6\nppl3260.dllFF - plugin: d:\slawistyka\Netscape6\nprjplug.dllFF - plugin: d:\slawistyka\Netscape6\nprpjplug.dll.**************************************************************************catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-05-12 11:59Windows 5.1.2600 Dodatek Service Pack 3 NTFSscanning hidden processes ...  scanning hidden autostart entries ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run  HDAudDeck = c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1???????????????????????????????????????????????? scanning hidden files ...  scan completed successfullyhidden files: 0**************************************************************************.Completion time: 2009-05-12 12:01ComboFix-quarantined-files.txt  2009-05-12 10:01Pre-Run: 338 034 688 bajtow wolnychPost-Run: 1 074 982 912 bajtow wolnych170	--- E O F ---	2009-04-20 22:55
Gość
komentarz
komentarz

1. Zajmij się penami: http://www.forumpc.pl/index.php?showtopic=99378&hl=

2. Do Notatnika wklej:

Windows Registry Editor Version 5.00[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na: "Wszystkie pliki" >>> Zapisz jako FIX.REG>>>

plik uruchom (dwuklik i OK- zgódź się na dodanie do Rejestru).

Zrestartuj komputer.

3. Start>>>Uruchom>>>cmd>>>Wklep tą komendę:

SC DELETE Mnmssrvn

Po wklejeniu wciskasz ENTER.

'Cmd' zamykasz wpisująć "exit" .

4. Posprzątaj po ComboFixie i różnych narzędziach >>> OTCleanIt.

5. Z folderu "System Volume Information" usuniesz poprzez chwilowe wyłączenie "Przywracania Systemu":

>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy "Wyłącz przywracanie na wszystkich dyskach">Zastosuj>OK.

Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).

6. Wykonaj optymalizację systemu

7.Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

.

baniaks
komentarz
komentarz

raport ze skanowania:

--------------------------------------------------------------------------------RAPORT KASPERSKY ONLINE SCANNER 7.0 wtorek, 12 maj 2009 System operacyjny: Microsoft Windows XP Home Edition Dodatek Service Pack 3 (build 2600) Wersja Kaspersky Online Scanner: 7.0.26.12 Data ostatniej aktualizacji bazy danych: Tuesday, May 12, 2009 19:45:17 Liczba wpisów: 2168804--------------------------------------------------------------------------------Ustawienia skanowania:	Typ bazy danych użytej do skanowania: rozszerzona	Skanuj archiwa: tak	Skanuj pocztowe bazy danych: takObszar skanowania - Mój komputer:	C:\	D:\	E:\	F:\	G:\	H:\	I:\Statystyki skanowania:	Przeskanowanych plików: 52503	Nazwa zagrożenia: 2	Zainfekowanych obiektów: 3	Podejrzanych obiektów: 0	Czas skanowania: 02:07:37Nazwa pliku / Nazwa zagrożenia / Liczba zagrożeńC:\Program Files\FieryAds\CommLayer.dll	Zainfekowany: not-a-virus:AdWare.Win32.FearAds.ae	1H:\RECYCLER\k-1-3542-4232123213-7676767-8888886\hn.exe	Zainfekowany: Trojan.Win32.Agent2.ezc	1I:\RECYCLER\k-1-3542-4232123213-7676767-8888886\hn.exe	Zainfekowany: Trojan.Win32.Agent2.ezc	1Wybrany obszar został przeskanowany.
Gość
komentarz
komentarz

Przed wykonywaniem muszą być podpięte peny.! Jeśli będą inne 'literki' zmień na inną.

Pobierz ---> The Avenger

Wklej do niego ten tekst:

Folders to delete:H:\RECYCLERI:\RECYCLER

Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

.

baniaks
komentarz
komentarz
Logfile of The Avenger Version 2.0, ? by Swandog46http://swandog46.geekstogo.comPlatform:  Windows XP*******************Script file opened successfully.Script file read successfully.Backups directory opened successfully at C:\Avenger*******************Beginning to process script file:Rootkit scan active.No rootkits found!Error:  could not open folder "H:\RECYCLER"Deletion of folder "H:\RECYCLER" failed!Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)  --> bad path / the parent directory does not existError:  could not open folder "I:\RECYCLER"Deletion of folder "I:\RECYCLER" failed!Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)  --> bad path / the parent directory does not existCompleted script processing.*******************Finished!  Terminate.
Gość
komentarz
komentarz

Powinno być OK. :)

.

baniaks
komentarz
komentarz

dzięki wielkie za pomoc :):D:szacunek:

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.