fallout22 utworzono 14 czerwca 2008 utworzono 14 czerwca 2008 Witam! Mam wirusa autorun.inf ktory skopiowal sie na pendrive oraz partycje c dysku twardego: teraz o objawach: po podlaczeniu pendrive jestem atakowany komunikatam o jakims bledzie autorun.inf na naglowkach bledow sa napisy svchost, system i gg na partycji c znalazlem pliki exe gg i svchost na pendrive mam autorun.inf i system.exe oto log z ComboFix ComboFix 08-06-12.2 - NazwaUzytkownika 2008-06-14 19:09:24.4 - NTFSx86Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.1098 [GMT 2:00]Running from: C:\Documents and Settings\Pleskot\Pulpit\ComboFix.exe * Resident AV is active[b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b].((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))).C:\WINDOWS\svchost.exe.((((((((((((((((((((((((( Files Created from 2008-05-14 to 2008-06-14 ))))))))))))))))))))))))))))))).2008-06-14 19:06 . 2008-06-09 14:44 576,546 ---h----- C:\WINDOWS\svchost.exe2008-06-14 18:52 . 2008-06-09 14:44 576,546 ---h----- C:\gg.exe2008-06-14 18:51 . 2008-06-14 18:51 <DIR> d-------- C:\Program Files\Trend Micro2008-06-14 18:28 . 2008-06-14 18:57 <DIR> d-------- C:\!KillBox2008-06-14 13:00 . 1998-10-07 12:54 327,168 --a------ C:\WINDOWS\IsUn0415.exe2008-06-11 08:50 . 2008-06-11 08:51 <DIR> d-------- C:\Program Files\Audio Editor Gold2008-06-10 18:18 . 2008-06-10 18:18 <DIR> d-------- C:\Program Files\QuickTime2008-06-10 18:18 . 2008-06-10 18:18 <DIR> d-------- C:\Program Files\ImTOO2008-06-09 15:28 . 2008-06-11 08:56 <DIR> d-------- C:\Program Files\Cheat Engine2008-06-09 15:28 . 2007-12-26 17:30 1,970,176 --a------ C:\WINDOWS\system32\d3dx9.dll2008-06-09 15:28 . 2007-12-26 17:30 679,936 --a------ C:\WINDOWS\system32\D3DX81ab.dll2008-06-06 20:06 . 2008-06-06 20:06 <DIR> d-------- C:\Program Files\NAPI-PROJEKT2008-06-06 15:56 . 2008-06-06 15:56 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Apple Computer2008-06-05 19:36 . 2006-02-17 21:34 85,408 -ra------ C:\WINDOWS\system32\drivers\k510mgmt.sys2008-06-05 19:35 . 2006-02-17 21:34 94,064 -ra------ C:\WINDOWS\system32\drivers\k510mdm.sys2008-06-05 19:35 . 2006-02-17 21:34 83,344 -ra------ C:\WINDOWS\system32\drivers\k510obex.sys2008-06-05 19:35 . 2006-02-17 21:34 8,336 -ra------ C:\WINDOWS\system32\drivers\k510mdfl.sys2008-06-05 19:35 . 2006-02-17 21:34 6,176 -ra------ C:\WINDOWS\system32\drivers\k510cmnt.sys2008-06-05 19:35 . 2006-02-17 21:34 6,176 -ra------ C:\WINDOWS\system32\drivers\k510cm.sys2008-06-03 12:39 . 2005-02-25 05:36 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe2008-06-03 12:37 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll2008-06-03 12:37 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui2008-06-03 12:37 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui2008-06-03 12:37 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui2008-06-03 12:37 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui2008-06-03 02:56 . 2008-06-03 02:56 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll2008-06-01 11:18 . 2008-06-14 16:50 <DIR> d-------- C:\Program Files\SET FlashMenu2008-05-31 15:35 . 2008-02-01 11:14 <DIR> d-------- C:\Key [Kaspersky Antivirus+Internet Security 7.0]2008-05-31 15:13 . 2008-05-31 15:29 96,966 --a------ C:\WINDOWS\system32\drivers\klin.dat2008-05-31 15:13 . 2008-05-31 15:29 88,774 --a------ C:\WINDOWS\system32\drivers\klick.dat2008-05-31 15:12 . 2008-05-31 15:12 <DIR> d-------- C:\Program Files\Kaspersky Lab2008-05-31 15:12 . 2008-06-14 18:55 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab2008-05-31 15:12 . 2008-06-14 19:13 4,582,176 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat2008-05-31 15:12 . 2008-06-14 19:12 114,208 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat2008-05-31 15:12 . 2008-06-14 19:04 64,028 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx2008-05-31 15:12 . 2008-06-14 19:04 13,652 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx2008-05-31 11:28 . 2008-05-31 11:29 <DIR> d-------- C:\Documents and Settings\Pleskot\Dane aplikacji\Tibia2008-05-31 11:27 . 2008-06-10 15:41 <DIR> d-------- C:\Program Files\Tibia2008-05-31 10:39 . 2006-11-07 10:42 88,560 -ra------ C:\WINDOWS\system32\drivers\w200mgmt.sys2008-05-31 08:49 . 2008-05-31 08:49 <DIR> d-------- C:\Documents and Settings\Pleskot\Dane aplikacji\HP2008-05-30 19:01 . 2006-02-17 21:34 58,288 -ra------ C:\WINDOWS\system32\drivers\k510bus.sys2008-05-30 19:01 . 2006-02-17 21:34 5,808 -ra------ C:\WINDOWS\system32\drivers\k510whnt.sys2008-05-30 19:01 . 2006-02-17 21:34 5,808 -ra------ C:\WINDOWS\system32\drivers\k510wh.sys2008-05-30 17:20 . 2006-11-07 10:42 86,368 -ra------ C:\WINDOWS\system32\drivers\w200obex.sys2008-05-30 15:54 . 2008-05-30 15:54 <DIR> d-------- C:\Documents and Settings\LocalService\Dane aplikacji\HP2008-05-30 15:54 . 2008-05-30 15:54 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\WEBREG2008-05-30 15:52 . 2008-05-30 15:52 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\HP2008-05-30 15:51 . 2008-05-30 15:51 <DIR> d-------- C:\Program Files\Hewlett-Packard2008-05-30 15:51 . 2008-05-30 15:53 <DIR> d-------- C:\Program Files\Common Files\HP2008-05-30 15:51 . 2008-05-30 15:51 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\HPSSUPPLY2008-05-30 15:50 . 2008-05-30 15:50 <DIR> d-------- C:\Program Files\Common Files\Hewlett-Packard2008-05-30 15:49 . 2008-05-30 15:53 <DIR> d-------- C:\Program Files\HP2008-05-30 15:48 . 2008-05-30 15:48 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Hewlett-Packard2008-05-30 15:48 . 2008-05-30 15:54 141,251 --a------ C:\WINDOWS\hpoins12.dat2008-05-30 15:48 . 2006-12-06 08:02 49,920 -ra------ C:\WINDOWS\system32\drivers\HPZid412.sys2008-05-30 15:48 . 2006-12-06 08:02 16,496 -ra------ C:\WINDOWS\system32\drivers\HPZipr12.sys2008-05-30 15:48 . 2007-01-22 18:05 1,470 --------- C:\WINDOWS\hpomdl12.dat2008-05-30 14:28 . 2008-05-30 14:33 <DIR> d-------- C:\Program Files\PhotoFiltre2008-05-30 14:25 . 2008-05-30 14:27 986 --a------ C:\WINDOWS\unins000.dat2008-05-29 16:53 . 2006-10-26 19:56 32,592 --a------ C:\WINDOWS\system32\msonpmon.dll2008-05-29 16:51 . 2008-05-29 16:51 <DIR> d-------- C:\Program Files\MSBuild2008-05-29 16:51 . 2008-05-29 16:51 <DIR> d-------- C:\Program Files\Microsoft Works2008-05-29 16:50 . 2008-05-29 16:50 <DIR> d-------- C:\Program Files\Microsoft.NET2008-05-29 16:46 . 2008-05-29 16:46 <DIR> d-------- C:\Program Files\Microsoft Visual Studio 82008-05-29 16:45 . 2008-05-29 16:50 <DIR> d-------- C:\WINDOWS\SHELLNEW2008-05-29 16:45 . 2008-05-29 16:53 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Microsoft Help2008-05-29 16:44 . 2008-05-29 16:44 <DIR> dr-h----- C:\MSOCache2008-05-29 16:42 . 2008-05-29 16:42 <DIR> d-------- C:\Program Files\DAEMON Tools Lite2008-05-29 16:35 . 2008-05-29 16:35 <DIR> d-------- C:\Documents and Settings\Pleskot\Dane aplikacji\DAEMON Tools2008-05-29 16:35 . 2008-05-29 16:35 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys2008-05-29 16:13 . 2008-05-29 16:13 <DIR> d-------- C:\USBFlashDriver2008-05-29 16:13 . 2006-03-01 10:25 8,704 --a------ C:\WINDOWS\system32\drivers\ggsemc.sys2008-05-28 18:12 . 2008-05-28 18:12 <DIR> d-------- C:\Program Files\Wirtualna Polska2008-05-28 18:12 . 2008-05-28 18:12 4 --a------ C:\WINDOWS\system32\AMD Athlon XP 1700+_V1_V1.bin2008-05-28 08:52 . 2006-11-07 10:42 97,056 -ra------ C:\WINDOWS\system32\drivers\w200mdm.sys2008-05-28 08:52 . 2006-11-07 10:42 9,328 -ra------ C:\WINDOWS\system32\drivers\w200mdfl.sys2008-05-28 08:52 . 2006-11-07 10:42 6,208 -ra------ C:\WINDOWS\system32\drivers\w200cmnt.sys2008-05-28 08:52 . 2006-11-07 10:42 6,208 -ra------ C:\WINDOWS\system32\drivers\w200cm.sys2008-05-27 14:47 . 2006-11-07 10:42 61,504 -ra------ C:\WINDOWS\system32\drivers\w200bus.sys2008-05-27 14:47 . 2008-04-14 00:15 32,128 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys2008-05-27 14:47 . 2008-04-14 00:15 32,128 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys2008-05-27 14:47 . 2008-04-14 00:15 26,368 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys2008-05-27 14:47 . 2006-11-07 10:42 5,840 -ra------ C:\WINDOWS\system32\drivers\w200whnt.sys2008-05-27 14:47 . 2006-11-07 10:42 5,840 -ra------ C:\WINDOWS\system32\drivers\w200wh.sys2008-05-27 14:34 . 2008-05-27 14:34 <DIR> d-------- C:\Program Files\K-Lite Codec Pack2008-05-27 14:34 . 2008-05-27 14:34 <DIR> d-------- C:\Documents and Settings\Pleskot\Dane aplikacji\Media Player Classic2008-05-27 12:55 . 2008-05-27 12:55 <DIR> d-------- C:\Documents and Settings\Pleskot\Dane aplikacji\Nero2008-05-27 12:46 . 2008-05-27 12:46 <DIR> d-------- C:\Program Files\Nero2008-05-27 12:46 . 2008-05-27 12:50 <DIR> d-------- C:\Program Files\Common Files\Nero2008-05-27 12:46 . 2008-05-27 12:46 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Nero2008-05-27 12:03 . 2008-05-27 13:09 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\POPWWPROFILES2008-05-27 09:54 . 2008-05-27 09:54 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Adobe Systems2008-05-27 09:53 . 2008-05-27 09:53 <DIR> d-------- C:\Program Files\Common Files\Adobe Systems Shared2008-05-27 09:43 . 2008-05-27 09:55 <DIR> d-------- C:\Program Files\Common Files\Adobe2008-05-27 09:04 . 2008-05-27 09:04 <DIR> d-------- C:\WINDOWS\system32\LogFiles2008-05-27 09:04 . 2008-06-14 16:41 107,832 --a------ C:\WINDOWS\system32\PnkBstrB.exe2008-05-27 09:04 . 2008-06-01 10:34 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe2008-05-27 09:04 . 2008-06-14 16:41 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys2008-05-27 09:03 . 2008-05-27 09:03 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll2008-05-27 08:39 . 2008-06-14 16:09 <DIR> d-------- C:\Documents and Settings\Pleskot\Dane aplikacji\Azureus2008-05-27 08:39 . 2008-05-27 08:39 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\Azureus2008-05-27 08:38 . 2008-05-27 08:38 <DIR> d-------- C:\Program Files\Java2008-05-27 08:38 . 2008-05-27 08:38 410,976 --a------ C:\WINDOWS\system32\deploytk.dll2008-05-27 08:38 . 2008-05-27 08:38 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl.(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-06-14 16:06 --------- d-----w C:\Documents and Settings\Pleskot\Dane aplikacji\Xfire2008-05-31 13:29 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys2008-05-31 13:11 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files2008-05-27 10:03 --------- d--h--w C:\Program Files\InstallShield Installation Information2008-05-26 16:57 --------- d-----w C:\Documents and Settings\Pleskot\Dane aplikacji\Gadu-Gadu2008-05-26 15:49 --------- d-----w C:\Program Files\Windows Media Connect 22008-05-26 15:42 --------- d-----w C:\Documents and Settings\Pleskot\Dane aplikacji\ATI2008-05-26 15:42 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\ATI2008-05-26 15:31 --------- d-----w C:\Program Files\ATI Technologies2008-05-26 15:30 --------- d-----w C:\Program Files\Common Files\InstallShield2008-05-26 15:21 --------- d-----w C:\Documents and Settings\NetworkService\Dane aplikacji\Xfire2008-05-26 15:19 4,261 ----a-w C:\WINDOWS\system32\drivers\rtport.sys2008-05-26 15:19 4,261 ----a-w C:\WINDOWS\rtport.tmp2008-05-26 15:19 --------- d-----w C:\Program Files\VIA Technologies, Inc2008-05-26 15:06 --------- d-----w C:\Program Files\microsoft frontpage2008-05-26 15:04 --------- d-----w C:\Program Files\Usługi online2008-05-12 16:30 3,007,488 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys2008-05-12 15:56 397,312 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll2008-05-12 15:54 305,152 ----a-w C:\WINDOWS\system32\ati2dvag.dll2008-05-12 15:53 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll2008-05-12 15:45 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll2008-05-12 15:45 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe2008-05-12 15:45 180,224 ----a-w C:\WINDOWS\system32\atipdlxx.dll2008-05-12 15:45 139,264 ----a-w C:\WINDOWS\system32\Oemdspif.dll2008-05-12 15:44 139,264 ----a-w C:\WINDOWS\system32\ati2evxx.dll2008-05-12 15:43 540,672 ----a-w C:\WINDOWS\system32\ati2evxx.exe2008-05-12 15:43 10,153,984 ----a-w C:\WINDOWS\system32\atioglx2.dll2008-05-12 15:41 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL2008-05-12 15:32 3,203,168 ----a-w C:\WINDOWS\system32\ati3duag.dll2008-05-12 15:22 1,999,616 ----a-w C:\WINDOWS\system32\ativvaxx.dll2008-05-12 15:09 47,104 ----a-w C:\WINDOWS\system32\amdpcom32.dll2008-05-12 15:05 5,439,488 ----a-w C:\WINDOWS\system32\atioglxx.dll2008-05-12 15:05 327,680 ----a-w C:\WINDOWS\system32\atikvmag.dll2008-05-12 15:03 19,968 ----a-w C:\WINDOWS\system32\atiadlxx.dll2008-05-12 15:03 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll2008-05-12 15:02 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll2008-05-12 15:02 241,664 ----a-w C:\WINDOWS\system32\atiok3x2.dll2008-05-12 14:57 548,864 ----a-w C:\WINDOWS\system32\ati2cqag.dll2008-05-12 08:49 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe2008-05-08 18:02 999,936 ----a-w C:\WINDOWS\system32\syssetup.dll2008-05-08 18:02 361,344 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys2008-05-08 18:02 1,571,840 ----a-w C:\WINDOWS\system32\sfcfiles.dll2008-05-08 18:00 8,704 ----a-w C:\WINDOWS\system32\wdfmgr.exe2008-04-14 23:04 1,246,357 ----a-r C:\WINDOWS\SET3.tmp2008-04-14 22:56 16,825 ----a-r C:\WINDOWS\SET8.tmp2008-04-14 22:56 1,088,840 ----a-r C:\WINDOWS\SET4.tmp2008-04-14 22:50 77,312 ----a-w C:\WINDOWS\system32\usbui.dll2008-04-14 22:50 75,776 ----a-w C:\WINDOWS\system32\storprop.dll2008-04-14 22:50 4,096 ----a-w C:\WINDOWS\system32\ksuser.dll2008-04-14 22:50 30,208 ----a-w C:\WINDOWS\system32\bthserv.dll2008-04-14 22:50 29,184 ----a-w C:\WINDOWS\system32\sdhcinst.dll2008-04-14 22:50 20,992 ----a-w C:\WINDOWS\system32\bthci.dll2008-04-14 21:35 58,880 ----a-w C:\WINDOWS\system32\drivers\redbook.sys2008-04-14 21:16 1,804 ----a-w C:\WINDOWS\system32\Dcache.bin2008-04-14 20:56 332,288 ----a-w C:\WINDOWS\system32\netsetup.exe2008-04-14 20:52 92,424 ----a-w C:\WINDOWS\system32\rdpdd.dll2008-04-14 20:52 87,176 ----a-w C:\WINDOWS\system32\rdpwsx.dll2008-04-14 20:52 40,840 ----a-w C:\WINDOWS\system32\drivers\termdd.sys2008-04-14 20:52 299,520 ----a-w C:\WINDOWS\system32\drmclien.dll2008-04-14 20:52 21,896 ----a-w C:\WINDOWS\system32\drivers\tdtcp.sys2008-04-14 20:52 139,656 ----a-w C:\WINDOWS\system32\drivers\rdpwd.sys2008-04-14 20:52 12,168 ----a-w C:\WINDOWS\system32\tsddd.dll2008-04-14 20:52 12,040 ----a-w C:\WINDOWS\system32\drivers\tdpipe.sys2008-04-14 20:50 997,888 ----a-w C:\WINDOWS\system32\setupapi.dll2008-04-14 20:49 98,304 ----a-w C:\WINDOWS\system32\actxprxy.dll2008-04-14 20:48 5,632 ----a-w C:\WINDOWS\system32\wmi.dll2008-04-14 20:48 1,449,472 ----a-w C:\WINDOWS\system32\winntbbu.dll2008-04-14 20:47 57,375 ----a-w C:\WINDOWS\system32\odbcji32.dll2008-04-14 20:47 103,424 ----a-w C:\WINDOWS\system32\dpcdll.dll2008-04-14 20:43 4,126 ----a-w C:\WINDOWS\system32\msdxmlc.dll2008-04-14 20:42 3,584 ----a-w C:\WINDOWS\system32\msafd.dll2008-04-14 20:36 3,584 ----a-w C:\WINDOWS\system32\icmp.dll2008-04-14 20:35 9,344 ----a-w C:\WINDOWS\system32\framebuf.dll2008-04-14 20:35 569,856 ----a-w C:\WINDOWS\system32\gpedit.dll2008-04-14 20:33 3,072 ----a-w C:\WINDOWS\system32\dpnlobby.dll2008-04-14 20:33 3,072 ----a-w C:\WINDOWS\system32\dpnaddr.dll2008-04-14 20:33 24,064 ----a-w C:\WINDOWS\system32\pidgen.dll2008-04-14 20:31 16,896 ----a-w C:\WINDOWS\system32\cfgmgr32.dll2008-04-14 20:30 285,696 ----a-w C:\WINDOWS\system32\atmfd.dll2008-04-14 20:04 73,472 ----a-w C:\WINDOWS\system32\drivers\sr.sys2008-04-14 20:03 68,608 ----a-w C:\WINDOWS\system32\drivers\pci.sys2008-04-14 20:03 120,320 ----a-w C:\WINDOWS\system32\drivers\pcmcia.sys2008-04-14 20:00 2,190,336 ----a-w C:\WINDOWS\system32\ntoskrnl.exe2008-04-14 19:55 4,096 ----a-w C:\WINDOWS\system32\dsprpres.dll2008-04-14 19:52 89,600 ----a-w C:\WINDOWS\system32\msxml6r.dll2008-04-14 19:52 800,000 ----a-w C:\WINDOWS\system32\drivers\dmboot.sys2008-04-14 19:52 153,856 ----a-w C:\WINDOWS\system32\drivers\dmio.sys2008-04-14 19:50 80,896 ----a-w C:\WINDOWS\system32\msshavmsg.dll2008-04-14 19:50 24,960 ----a-w C:\WINDOWS\system32\drivers\kbdclass.sys2008-04-14 19:48 37,632 ----a-w C:\WINDOWS\system32\drivers\isapnp.sys2008-04-14 19:46 40,448 ----a-w C:\WINDOWS\system32\drivers\intelppm.sys2008-04-14 19:45 49,664 ----a-w C:\WINDOWS\system32\inetres.dll2008-04-14 19:43 563,200 ----a-w C:\WINDOWS\system32\shdoclc.dll2008-04-14 19:41 65,280 ----a-w C:\WINDOWS\system32\drivers\serial.sys2008-04-14 19:41 53,248 ----a-w C:\WINDOWS\system32\drivers\i8042prt.sys2008-04-14 19:37 10,240 ----a-w C:\WINDOWS\system32\gpkrsrc.dll2008-04-14 19:35 67,584 ----a-w C:\WINDOWS\system32\browselc.dll2008-04-14 19:35 1,845,888 ----a-w C:\WINDOWS\system32\win32k.sys2008-04-14 19:33 44,672 ----a-w C:\WINDOWS\system32\drivers\fips.sys2008-04-14 19:31 52,864 ----a-w C:\WINDOWS\system32\drivers\volsnap.sys.------- Sigcheck -------2008-05-08 20:02 361344 accf5a9a1ffaa490f33dba1c632b95e1 C:\WINDOWS\system32\drivers\tcpip.sys.((((((((((((((((((((((((((((( snapshot@2008-06-14_18.12.54,40 ))))))))))))))))))))))))))))))))))))))))).- 2008-06-14 15:24:56 2,048 --s-a-w C:\WINDOWS\bootstat.dat+ 2008-06-14 17:05:28 2,048 --s-a-w C:\WINDOWS\bootstat.dat+ 2008-06-14 17:05:44 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_158.dat.((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))..*Note* empty entries & legit default entries are not shown REGEDIT4[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]2008-05-27 08:38 34816 --a------ C:\Program Files\Java\jre6\bin\jp2ssv.dll[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]2008-05-27 08:38 73728 --a------ C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 22:51 15360]"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe" [2007-08-03 12:51 202024]"gadu-gadu"="C:\gg.exe" [2008-06-09 14:44 576546]"svchost"="C:\Windows\svchost.exe" [2008-06-09 14:44 576546][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Soltek"="C:\WINDOWS\system32\autorun.exe" [2001-10-30 08:00 61440]"SunJavaUpdateSched"="C:\Program Files\Java\jre6\bin\jusched.exe" [2008-05-27 08:38 136600]"GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]"hosted"="C:\Windows\system32\system.exe" [ ][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 22:51 15360][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]"nltide_2"="regsvr32 /s /n /i:U shell32" []C:\Documents and Settings\Pleskot\Menu Start\Programy\Autostart\Adobe Gamma.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:50 113664]C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\scvhost.exe [2008-02-10 15:55:50 503808][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"VIDC.XFR1"= xfcodec.dll"VIDC.YV12"= yv12vfw.dll[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^HP Digital Imaging Monitor.lnk]path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\HP Digital Imaging Monitor.lnkbackup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]--a------ 2008-04-01 11:39 486856 C:\Program Files\DAEMON Tools Lite\daemon.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]--a------ 2006-12-10 21:52 49152 C:\Program Files\HP\HP Software Update\HPWuSchd2.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]--a------ 2007-08-08 09:25 1828136 C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]--a------ 2007-03-01 15:57 153136 C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]--a------ 2008-01-21 12:17 61440 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]"ATI Smart"=2 (0x2)"Ati HotKey Poller"=2 (0x2)[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]"DisableMonitoring"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\system32\\sessmgr.exe"="D:\\Program Files\\Xfire\\xfire.exe"="C:\\Documents and Settings\\All Users\\Dane aplikacji\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\English\\setup.exe"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"="D:\\Program Files\\Azureus\\Azureus.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]"AllowInboundEchoRequest"= 1 (0x1)"AllowInboundTimestampRequest"= 1 (0x1)"AllowInboundMaskRequest"= 1 (0x1)"AllowInboundRouterRequest"= 1 (0x1)"AllowOutboundDestinationUnreachable"= 1 (0x1)"AllowOutboundSourceQuench"= 1 (0x1)"AllowOutboundParameterProblem"= 1 (0x1)"AllowOutboundTimeExceeded"= 1 (0x1)"AllowRedirect"= 1 (0x1)"AllowOutboundPacketTooBig"= 1 (0x1)R2 JavaQuickStarterService;Java Quick Starter;"C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf" []R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]R3 tj2knd5;Terayon Cable Modem (NDIS);C:\WINDOWS\system32\DRIVERS\tj2knd5.sys [2002-10-14 07:40]R3 tj2kunic;Terayon Cable Modem (WDM);C:\WINDOWS\system32\DRIVERS\tj2kunic.sys [2002-10-14 07:40]S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\k510bus.sys [2006-02-17 21:34]S3 k510mdfl;Sony Ericsson K510 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k510mdfl.sys [2006-02-17 21:34]S3 k510mdm;Sony Ericsson K510 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\k510mdm.sys [2006-02-17 21:34]S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\k510mgmt.sys [2006-02-17 21:34]S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\k510obex.sys [2006-02-17 21:34]S3 w200bus;Sony Ericsson W200 driver (WDM);C:\WINDOWS\system32\DRIVERS\w200bus.sys [2006-11-07 10:42]S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w200mdfl.sys [2006-11-07 10:42]S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w200mdm.sys [2006-11-07 10:42]S3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\w200mgmt.sys [2006-11-07 10:42]S3 w200obex;Sony Ericsson W200 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\w200obex.sys [2006-11-07 10:42][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc.**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-06-14 19:13:20Windows 5.1.2600 Dodatek Service Pack 3 NTFSscanning hidden processes ... scanning hidden autostart entries ...scanning hidden files ... scan completed successfullyhidden files: 0**************************************************************************.Completion time: 2008-06-14 19:14:21ComboFix-quarantined-files.txt 2008-06-14 17:14:18ComboFix2.txt 2008-06-14 17:07:33ComboFix3.txt 2008-06-14 16:20:42ComboFix4.txt 2008-06-14 16:13:23Pre-Run: 11,530,178,560 bajtów wolnychPost-Run: 11,518,599,168 bajtów wolnych340 Wiem ze to jest wirus pendrive'owy ale wariantu z GG i wlaczaniem pliku system nie znalazlem
Tomek komentarz 14 czerwca 2008 komentarz 14 czerwca 2008 Przeskanuj ten dysk przenośny antywirusem z aktualną bazą sygnatur. Jeżeli nie masz tam ważnych danych sformatuj go.
fallout22 komentarz 14 czerwca 2008 Autor komentarz 14 czerwca 2008 O to chodzi ze ten dysk przenosny jest bardzo wazny bo to komorka wiec formatowac raczej bym nie chcial. I czy po podlaczeniu komorki ponownie ten virus nie wroci, jest to przeciez bardzo mozliwe. Przeciez zarazone pliki gg i svchost siedza na partycji c nadal w załączniku dalem ss tego co sie dzieje Walczę usunąłem z partycji c GG i svchost ale co zrobic zeby pendrive znowu nie zaraził komputera
Mateusz J. komentarz 14 czerwca 2008 komentarz 14 czerwca 2008 Do notatnika wklej: File::C:\WINDOWS\svchost.exeC:\gg.exeC:\Windows\system32\system.exeC:\Documents and Settings\All Users\Menu Start\Programy\Autostart\scvhost.exeRegistry::[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"svchost"=-[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"hosted"=-[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]"nltide_2"=- W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą CFScript.txt i zapisz go w tym katalogu co ściągnięty i zapisany został combofix wystartuj do trybu awaryjny. Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt Tak jak na obrazku: Rozpocznie się usuwanie i powstanie log , który pokazujesz na forum. Do tego poproszę o loga z HijackThis.
Mateusz J. komentarz 14 czerwca 2008 komentarz 14 czerwca 2008 O4 - HKLM\..\Run: [hosted] C:\Windows\system32\system.exeO4 - HKCU\..\Run: [svchost] C:\Windows\svchost.exeO4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing) Fix w HijackThis. Czy podłączałeś pendrive między używaniem ComboFix i HijakThis? Dziwi mnie to, że w HijackThis widać znowu te szkodniki, a w ComboFix już ich nie ma. Pokaż jeszcze raz log z ComboFix i HijackThis.
Mati_888 komentarz 14 czerwca 2008 komentarz 14 czerwca 2008 Moim zdaniem się nie przejmuj ale zauważyłem że program ComboFix kasuje także autorun.inf, ale z C:\WINDOWS\system32\AutoRun.inf..."((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))).C:\WINDOWS\system32\AutoRun.inf" A tu masz ten temat, zawsze można spróbować, ale lepiej żebyś się mną nie sugerował tylko poczekał na trochę bardziej doświadczonych Chociaż jak piszesz że już je skasowałeś to dla ciebie to nieistotne Ja chciałem się tylko podzielić moim spostrzeżeniem ^^ //fragmenty logów wstawiamy w tagi code //vocativus
Mateusz J. komentarz 14 czerwca 2008 komentarz 14 czerwca 2008 Ps. komputer nie zarazi sie jesli wylacze autorun ? To jest właśnie jeden ze sposobów na zapobieganie ponownej infekcji, ale nie zawsze on działa. O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') Sfixowałeś te wpisy, bo dalej są. Zaznacz je i kliknij Fix checked. Moim zdaniem się nie przejmuj ale zauważyłem że program ComboFix kasuje także autorun.inf, ale z C:\WINDOWS\system32\AutoRun.inf... W tym przypadku tak nie było
fallout22 komentarz 15 czerwca 2008 Autor komentarz 15 czerwca 2008 Dobra zrobiłem jak kazałeś. Teraz jak usunac te pliki autorun.inf i system.exe z pendrive zeby sie nie przedostaly spowrotem do komputera? Wystarczy wyłączyć autorun i usunąć ręcznie?
Mateusz J. komentarz 15 czerwca 2008 komentarz 15 czerwca 2008 Możesz tak spróbować, a jeśli się nie uda to do notatnika wklej: Gdzie X to litera, którą komputer przypisał pendrive. File::X:\autorun.infX:\system.exe W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą CFScript.txt i zapisz go w tym katalogu co ściągnięty i zapisany został combofix wystartuj do trybu awaryjny. Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt Tak jak na obrazku: Nie wiadomo, czy to przejdzie, ale spróbować zawsze można.
fallout22 komentarz 15 czerwca 2008 Autor komentarz 15 czerwca 2008 Ok usunąłem to 1 plik avastem 1 recznie. :cwany:
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.