Koza002 utworzono 25 lipca 2010 utworzono 25 lipca 2010 Siedzi mi na komputerze od 4 formatów, w tym dwóch globalnych, ręce mi opadają, po prostu nie mam sił. Proszę o pomoc, wklejam logi z ComboFixa. [log] ComboFix 10-07-24.01 - Alchem!st 2010-07-25 9:06.1.1 - x86 Microsoft Windows XP Professional 5.1.2600.0.1250.48.1045.18.1023.635 [GMT 2:00] Uruchomiony z: c:\documents and settings\Alchem!st\Moje dokumenty\Pobieranie\ComboFix.exe . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\autorun.inf c:\documents and settings.\hook.dl_ c:\documents and settings.\tazebama.dl_ c:\documents and settings.\tazebama.dll c:\program files\dfdsfs c:\program files\dfdsfs\aliases.ini c:\program files\dfdsfs\kiss.exe c:\program files\dfdsfs\mirc.ini c:\program files\dfdsfs\murd3r c:\program files\dfdsfs\remote.ini c:\program files\dfdsfs\S.exe c:\program files\dfdsfs\Win32.rar c:\windows\n.exe c:\windows\system32\BlueSoleiI.exe c:\windows\system32\dllcache\dev2si.zip c:\windows\system32\dllcache\dr67rf.zip c:\windows\system32\dllcache\ei7g.msp c:\windows\system32\dllcache\l3ik7.zip c:\windows\system32\dllcache\o1o2o3o4 c:\windows\system32\dllcache\si3sj9.dll c:\windows\system32\dllcache\vcr32.zip c:\windows\system32\dllcache\Winter.pif c:\windows\system32\dsfds.exe c:\windows\system32\g.exe c:\windows\system32\ODCB.INI c:\windows\system32\system c:\windows\vch21.exe C:\zPharaoh.exe D:\Autorun.inf D:\zPharaoh.exe c:\documents and settings.\hook.dl_ . . . . nie udało się usunąć c:\documents and settings.\tazebama.dl_ . . . . nie udało się usunąć c:\documents and settings.\tazebama.dll . . . . nie udało się usunąć c:\windows\system32\qmgr.dll . . . jest zainfekowany!! . ((((((((((((((((((((((((( Pliki utworzone od 2010-06-25 do 2010-07-25 ))))))))))))))))))))))))))))))) . 2010-07-25 07:02 . 2010-07-25 07:02 -------- d-----w- c:\documents and settings\Alchem!st\Dane aplikacji\Gadu-Gadu 2010-07-25 06:55 . 2010-07-25 06:55 -------- d-----w- c:\program files\DComSoft 2010-07-25 06:53 . 2010-07-25 06:53 56 ---ha-w- c:\windows\system32\ezsidmv.dat 2010-07-25 06:53 . 2010-07-25 06:53 -------- d-----w- c:\documents and settings\Alchem!st\Dane aplikacji\skypePM 2010-07-25 06:52 . 2010-07-25 07:02 -------- d-----w- c:\documents and settings\Alchem!st\Dane aplikacji\Skype 2010-07-25 06:52 . 2010-07-25 06:52 -------- d-----w- c:\documents and settings\Alchem!st\Gadu-Gadu 2010-07-25 06:51 . 2010-07-25 06:51 -------- d-----w- c:\program files\Gadu-Gadu 2010-07-25 06:51 . 2010-07-25 06:51 -------- d-----w- c:\program files\Common Files\Skype 2010-07-25 06:51 . 2010-07-25 06:51 -------- d-----r- c:\program files\Skype 2010-07-25 06:50 . 2010-07-25 06:51 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Skype 2010-07-25 06:50 . 2010-07-25 06:50 -------- d-----w- c:\program files\CCleaner 2010-07-25 06:47 . 2010-07-25 07:09 32768 ----a-w- c:\documents and settings\tazebama.dll 2010-07-25 06:46 . 2010-07-25 06:46 12328 ----a-w- c:\documents and settings\Alchem!st\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT 2010-07-25 06:45 . 2010-07-25 06:45 -------- d-----w- c:\documents and settings\Alchem!st\Ustawienia lokalne\Dane aplikacji\ATI 2010-07-25 06:45 . 2010-07-25 06:45 -------- d-----w- c:\documents and settings\Alchem!st\Dane aplikacji\ATI 2010-07-25 06:45 . 2010-07-25 07:09 -------- d-----w- c:\documents and settings\Alchem!st\Ustawienia lokalne\Dane aplikacji\ApplicationHistory 2010-07-25 06:45 . 2010-07-25 06:45 134 ----a-w- c:\documents and settings\Alchem!st\Ustawienia lokalne\Dane aplikacji\fusioncache.dat 2010-07-25 06:43 . 2010-07-25 06:43 -------- d-----w- c:\program files\Common Files\ATI Technologies 2010-07-25 01:15 . 2010-07-25 01:15 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\McAfee Security Scan 2010-07-25 01:15 . 2010-07-25 01:15 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\McAfee 2010-07-25 01:15 . 2010-07-25 01:15 -------- d-----w- c:\program files\McAfee Security Scan 2010-07-24 21:00 . 2010-07-24 21:05 727458 ----a-w- c:\windows\system32\gh.com 2010-07-24 20:18 . 2010-07-24 20:18 894262 ----a-w- c:\windows\system32\bin.exe 2010-07-24 20:17 . 2010-07-24 20:47 503808 ----a-w- c:\windows\system32\gfdsfs.com 2010-07-24 20:16 . 2010-07-24 20:16 889767 ----a-w- c:\windows\system32\inanaged.exe 2010-07-24 20:14 . 2010-07-25 06:48 1046806 ----a-w- C:\vicer.exe 2010-07-24 20:14 . 2010-07-24 20:14 890383 ----a-w- c:\windows\system32\Whlep31.exe 2010-07-24 20:10 . 2010-07-24 20:10 -------- d-----w- c:\windows\system32\java 2010-07-24 20:10 . 2010-07-25 06:48 1027102 ----a-w- C:\vm.exe . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-07-25 07:10 . 2010-07-24 18:38 -------- d-----w- c:\program files\DialNet 2010-07-25 07:09 . 2010-07-25 07:09 155633 --sh--r- C:\zPharaoh.exe 2010-07-25 06:47 . 2001-10-26 17:29 224111 ----a-w- c:\windows\system32\notepad.exe 2010-07-25 06:42 . 2010-07-24 18:18 -------- d-----w- c:\program files\ATI Technologies 2010-07-25 06:41 . 2010-07-24 18:17 -------- d-----w- c:\program files\Common Files\InstallShield 2010-07-24 19:50 . 2010-07-24 19:50 158720 --sh--r- c:\windows\system32\bshfitf.exe 2010-07-24 19:50 . 2010-07-24 19:49 158720 ----a-r- c:\windows\system32\Tracker.exe 2010-07-24 19:21 . 2010-07-24 19:21 0 ----a-w- c:\windows\nsreg.dat 2010-07-24 19:20 . 2001-10-26 16:15 67298 ----a-w- c:\windows\system32\perfc015.dat 2010-07-24 19:20 . 2001-10-26 16:15 436322 ----a-w- c:\windows\system32\perfh015.dat 2010-07-24 18:38 . 2010-07-24 18:33 -------- d-----w- c:\program files\OSCAR Editor 2010-07-24 18:38 . 2010-07-24 18:18 -------- d--h--w- c:\program files\InstallShield Installation Information 2010-07-24 18:38 . 2010-07-24 18:38 -------- d-----w- c:\documents and settings\Alchem!st\Dane aplikacji\InstallShield 2010-07-24 17:54 . 2010-07-24 17:54 -------- d-----w- c:\program files\microsoft frontpage 2010-07-24 17:53 . 2010-07-24 17:53 80007 ----a-w- c:\windows\PCHEALTH\HELPCTR\OfflineCache\index.dat 2010-07-24 17:51 . 2010-07-24 17:51 21856 ----a-w- c:\windows\system32\emptyregdb.dat 2010-07-24 17:51 . 2010-07-24 17:51 -------- d-----w- c:\program files\Usługi online . ------- Sigcheck ------- [-] 2004-07-09 02:27 . 0E51BD586D186F61A9E4453DB8AEC774 . 1703936 . . [5.3.0000001.0904 built by: private/Lab06_dev(DXBLD00)] . . c:\windows\system32\d3d9.dll c:\windows\System32\wscntfy.exe ... - brak elementu !! c:\windows\System32\xmlprov.dll ... - brak elementu !! . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "OscarEditor"="c:\program files\OSCAR Editor\OscarEditor.exe" [2008-07-30 2865152] "Windows Microsoft Services"="bshfitf.exe" [2010-07-24 158720] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "a-winpoet-service"="c:\program files\DialNet\winpppoverethernet.exe" [2007-07-06 405504] "z-WrDialer"="c:\program files\DialNet\wrdialer.exe" [2010-07-25 718191] "Windows Microsoft Services"="bshfitf.exe" [2010-07-24 158720] "ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-10-26 13312] "Windows Microsoft Services"="bshfitf.exe" [2010-07-24 158720] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536] [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^BlueSoleiI.lnk] path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\BlueSoleiI.lnk backup=c:\windows\pss\BlueSoleiI.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadu-Gadu] 2010-07-25 07:09 2284335 ----a-w- c:\program files\Gadu-Gadu\gg.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype] 2010-07-25 07:10 26349207 ----a-w- c:\program files\Skype\Phone\Skype.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinXPService] 2004-11-16 00:06 574464 ----a-w- c:\windows\Installer\$PatchCache$\Managed\00002109F10090400000000000F01FEC\12.0.4518\iexplorer.com R2 TopWinPoETDriver;WinPoET PPPoE Optimized Driver;c:\windows\system32\drivers\WrKPoET2000.sys [2010-07-24 52214] R3 FPD;Fine Point Packet Service;c:\windows\system32\drivers\fpd.sys [2010-07-24 30336] R3 ip100Avista;ASUS NX1001 Network Adapter NT Driver;c:\windows\system32\drivers\ipfnd51.sys [2010-07-24 29696] R3 WrKPoET2000;WrKPoET2000;c:\program files\DialNet\WrKPoET2000.sys [2010-07-24 52214] R3 WRSWanDD;WinPoET PPPoE Adapter;c:\windows\system32\drivers\WrKPoETNic2000.sys [2010-07-24 65604] S2 silvirlight.microsoft.com;XP HOT Rebild;"c:\windows\System32\Win15763.exe" -netsvcs --> c:\windows\System32\Win15763.exe [?] S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232] --- Inne Usługi/Sterowniki w Pamięci --- *NewlyCreated* - ALG *NewlyCreated* - IPNAT . . ------- Skan uzupełniający ------- . IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm FF - ProfilePath - c:\documents and settings\Alchem!st\Dane aplikacji\Mozilla\Firefox\Profiles\8l6p3jz6.default\ FF - component: c:\program files\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}\components\SkypeFfComponent.dll ---- FIREFOX - SPOSÓB POSTĘPOWANIA ---- c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.count", 24); c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096); c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45); c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false); c:\program files\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", ""); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false); c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties"); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true); c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false); . - - - - USUNIĘTO PUSTE WPISY - - - - HKLM-Run-kiss - c:\program files\dfdsfs\S.exe HKLM-Run-XP HOT Rebild - Win15763.exe HKU-Default-Run-XP HOT Rebild - Win15763.exe HKU-Default-RunOnce-XP HOT Rebild - Win15763.exe MSConfigStartUp-FixBluetooth - c:\windows\system32\BlueSoleiI.exe AddRemove-m1RC - c:\windows\system32\System -uninstall AddRemove-mIRC - c:\program files\dfdsfs\kiss.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [url="http://www.gmer.net"]http://www.gmer.net[/url] Rootkit scan 2010-07-25 09:10 Windows 5.1.2600 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > 'winlogon.exe'(652) c:\windows\system32\ODBC32.dll c:\windows\system32\Ati2evxx.dll - - - - - - - > 'lsass.exe'(708) c:\windows\system32\mswsock.dll c:\windows\System32\wshtcpip.dll c:\windows\System32\dssenh.dll . ------------------------ Pozostałe uruchomione procesy ------------------------ . c:\windows\System32\Ati2evxx.exe c:\windows\system32\Ati2evxx.exe c:\windows\System32\bshfitf.exe c:\documents and settings\tazebama.dl_ c:\program files\DialNet\WrOS.EXE c:\windows\System32\wbem\wmiapsrv.exe . ************************************************************************** . Czas ukończenia: 2010-07-25 09:12:28 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2010-07-25 07:12 Przed: 6 487 937 024 bajtów wolnych Po: 6 442 135 552 bajtów wolnych WinXP_PL_PRO_BF.EXE [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect - - End Of File - - CEBDB97A92CE0DA4A9A11DD0DEB5F9CA[/log]
Tomek01 komentarz 25 lipca 2010 komentarz 25 lipca 2010 Wygląda to na infekcję plików wykonywalnych. Kilka wskazówek: http://www.forumpc.pl/index.php?showtopic=167074 I daj znać jak poszło.
Koza002 komentarz 25 lipca 2010 Autor komentarz 25 lipca 2010 (edytowane) Przeskanowałem tym do podałeś w temacie, jak narazie w procesach jest spokój, aczkolwiek w Documents and Setting dalej spoczywają dwa pliki, tazemba.dll i hook. @UP. Wirus siedzi nadal, nie mam już sił;/
Sohei komentarz 25 lipca 2010 komentarz 25 lipca 2010 zacznijmy od tego czy dr web pokazal infekcje win32.sectorB(bądź tym podobnym) ? sality ? virut? Jeśli któraś z tych infeckji widniała w logu jest to infekcja wykonywalnych.Wykonujesz [b]Do ponownego postawienia systemu może być potrzebna płytka z systemem.[/b] Pobierz i nagraj na płytkę na [b]niezainfekowanym[/b] komputerze [url=http://www.freedrweb.pl/livecd.php][b]DR Web LiveCD[/b][/url]. Włóż płytkę do zainfekowanego komputera, zakładając, że wcześniej ustawiłeś w BIOS-ie na startowanie kompa z CD/DVD, więc po restarcie powinien się uruchomić się skaner. Wykonujesz pełny skan, leczysz co się da, reszta do usunięcia. Skanujesz tyle razy, aż skaner nic nie znajdzie. Jeśli po usuwaniu system się nie uruchomi, wkładasz do komputera płytkę z systemem i wykonujesz [url=http://www.searchengines.pl/index.php?showtopic=24500&view=findpost&p=109540]instalację nakładkową Windows[/url]. Po ewentualnej instalacji nakładkowej [b]wyłącz i włącz Przywracanie systemu[/b] na wszystkich dyskach. Instrukcja [url=http://support.microsoft.com/kb/310405/pl][b]XP[/b][/url] lub [url=http://windowshelp.microsoft.com/Windows/pl-PL/Help/517d3b8e-3379-46c1-b479-05b30d6fb3f01045.mspx][b]Vista[/b][/url]. Wykonaj pełny skan [url=http://dobreprogramy.pl/index.php?dz=2&id=1998][b]DR WEB CureIt[/b][/url]. Jeśli skaner nic nie znajdzie, dla pewności podaj log z [url=http://forum.dobreprogramy.pl/post1170959.html#p1170959][b]Combofix[/b][/url] i wyłącz ponownie przywracanie systemu włączone przez Combofixa.
Koza002 komentarz 25 lipca 2010 Autor komentarz 25 lipca 2010 Mam pytanie, już od dawna planuje kupno dysku, więc też planuje to zrobić. Tylko obawiam się jednego, co jeśli ten wirus siedzi w biosie?
Sohei komentarz 25 lipca 2010 komentarz 25 lipca 2010 nie siedzi: ) Jest to po prostu infekcja plikow wykonywalnych i wystarczy ze chociażby 1 plik pozostanie zarażony i będzie ciągle infekował komputer. Są 2 opcje albo robisz wskazówki z mojego posta albo formatujesz wszystkie partycje bez pozostawiania plików! Jedynie zdjecia, pliki tekstowe , muzyka i filmy mogą zostać
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.