x-kom hosting

wirus autorun.inf

fallout22
utworzono
utworzono

Witam!

Mam wirusa autorun.inf ktory skopiowal sie na pendrive oraz partycje c dysku twardego:

teraz o objawach:

po podlaczeniu pendrive jestem atakowany komunikatam o jakims bledzie autorun.inf na naglowkach bledow sa napisy svchost, system i gg

na partycji c znalazlem pliki exe

gg i svchost

na pendrive mam autorun.inf i system.exe

oto log z ComboFix

ComboFix 08-06-12.2 - NazwaUzytkownika 2008-06-14 19:09:24.4 - NTFSx86Microsoft Windows XP Professional  5.1.2600.3.1250.1.1045.18.1098 [GMT 2:00]Running from: C:\Documents and Settings\Pleskot\Pulpit\ComboFix.exe * Resident AV is active[b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b].(((((((((((((((((((((((((((((((((((((((   Other Deletions   ))))))))))))))))))))))))))))))))))))))))))))))))).C:\WINDOWS\svchost.exe.(((((((((((((((((((((((((   Files Created from 2008-05-14 to 2008-06-14  ))))))))))))))))))))))))))))))).2008-06-14 19:06 . 2008-06-09 14:44	576,546	---h-----	C:\WINDOWS\svchost.exe2008-06-14 18:52 . 2008-06-09 14:44	576,546	---h-----	C:\gg.exe2008-06-14 18:51 . 2008-06-14 18:51	<DIR>	d--------	C:\Program Files\Trend Micro2008-06-14 18:28 . 2008-06-14 18:57	<DIR>	d--------	C:\!KillBox2008-06-14 13:00 . 1998-10-07 12:54	327,168	--a------	C:\WINDOWS\IsUn0415.exe2008-06-11 08:50 . 2008-06-11 08:51	<DIR>	d--------	C:\Program Files\Audio Editor Gold2008-06-10 18:18 . 2008-06-10 18:18	<DIR>	d--------	C:\Program Files\QuickTime2008-06-10 18:18 . 2008-06-10 18:18	<DIR>	d--------	C:\Program Files\ImTOO2008-06-09 15:28 . 2008-06-11 08:56	<DIR>	d--------	C:\Program Files\Cheat Engine2008-06-09 15:28 . 2007-12-26 17:30	1,970,176	--a------	C:\WINDOWS\system32\d3dx9.dll2008-06-09 15:28 . 2007-12-26 17:30	679,936	--a------	C:\WINDOWS\system32\D3DX81ab.dll2008-06-06 20:06 . 2008-06-06 20:06	<DIR>	d--------	C:\Program Files\NAPI-PROJEKT2008-06-06 15:56 . 2008-06-06 15:56	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Apple Computer2008-06-05 19:36 . 2006-02-17 21:34	85,408	-ra------	C:\WINDOWS\system32\drivers\k510mgmt.sys2008-06-05 19:35 . 2006-02-17 21:34	94,064	-ra------	C:\WINDOWS\system32\drivers\k510mdm.sys2008-06-05 19:35 . 2006-02-17 21:34	83,344	-ra------	C:\WINDOWS\system32\drivers\k510obex.sys2008-06-05 19:35 . 2006-02-17 21:34	8,336	-ra------	C:\WINDOWS\system32\drivers\k510mdfl.sys2008-06-05 19:35 . 2006-02-17 21:34	6,176	-ra------	C:\WINDOWS\system32\drivers\k510cmnt.sys2008-06-05 19:35 . 2006-02-17 21:34	6,176	-ra------	C:\WINDOWS\system32\drivers\k510cm.sys2008-06-03 12:39 . 2005-02-25 05:36	22,752	--a------	C:\WINDOWS\system32\spupdsvc.exe2008-06-03 12:37 . 2007-07-30 19:19	43,352	--a------	C:\WINDOWS\system32\wups2.dll2008-06-03 12:37 . 2007-07-30 19:19	38,232	--a------	C:\WINDOWS\system32\wucltui.dll.mui2008-06-03 12:37 . 2007-07-30 19:20	30,040	--a------	C:\WINDOWS\system32\wuaucpl.cpl.mui2008-06-03 12:37 . 2007-07-30 19:20	30,040	--a------	C:\WINDOWS\system32\wuapi.dll.mui2008-06-03 12:37 . 2007-07-30 19:18	21,336	--a------	C:\WINDOWS\system32\wuaueng.dll.mui2008-06-03 02:56 . 2008-06-03 02:56	41,296	--a------	C:\WINDOWS\system32\xfcodec.dll2008-06-01 11:18 . 2008-06-14 16:50	<DIR>	d--------	C:\Program Files\SET FlashMenu2008-05-31 15:35 . 2008-02-01 11:14	<DIR>	d--------	C:\Key [Kaspersky Antivirus+Internet Security 7.0]2008-05-31 15:13 . 2008-05-31 15:29	96,966	--a------	C:\WINDOWS\system32\drivers\klin.dat2008-05-31 15:13 . 2008-05-31 15:29	88,774	--a------	C:\WINDOWS\system32\drivers\klick.dat2008-05-31 15:12 . 2008-05-31 15:12	<DIR>	d--------	C:\Program Files\Kaspersky Lab2008-05-31 15:12 . 2008-06-14 18:55	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab2008-05-31 15:12 . 2008-06-14 19:13	4,582,176	--ahs----	C:\WINDOWS\system32\drivers\fidbox.dat2008-05-31 15:12 . 2008-06-14 19:12	114,208	--ahs----	C:\WINDOWS\system32\drivers\fidbox2.dat2008-05-31 15:12 . 2008-06-14 19:04	64,028	--ahs----	C:\WINDOWS\system32\drivers\fidbox.idx2008-05-31 15:12 . 2008-06-14 19:04	13,652	--ahs----	C:\WINDOWS\system32\drivers\fidbox2.idx2008-05-31 11:28 . 2008-05-31 11:29	<DIR>	d--------	C:\Documents and Settings\Pleskot\Dane aplikacji\Tibia2008-05-31 11:27 . 2008-06-10 15:41	<DIR>	d--------	C:\Program Files\Tibia2008-05-31 10:39 . 2006-11-07 10:42	88,560	-ra------	C:\WINDOWS\system32\drivers\w200mgmt.sys2008-05-31 08:49 . 2008-05-31 08:49	<DIR>	d--------	C:\Documents and Settings\Pleskot\Dane aplikacji\HP2008-05-30 19:01 . 2006-02-17 21:34	58,288	-ra------	C:\WINDOWS\system32\drivers\k510bus.sys2008-05-30 19:01 . 2006-02-17 21:34	5,808	-ra------	C:\WINDOWS\system32\drivers\k510whnt.sys2008-05-30 19:01 . 2006-02-17 21:34	5,808	-ra------	C:\WINDOWS\system32\drivers\k510wh.sys2008-05-30 17:20 . 2006-11-07 10:42	86,368	-ra------	C:\WINDOWS\system32\drivers\w200obex.sys2008-05-30 15:54 . 2008-05-30 15:54	<DIR>	d--------	C:\Documents and Settings\LocalService\Dane aplikacji\HP2008-05-30 15:54 . 2008-05-30 15:54	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\WEBREG2008-05-30 15:52 . 2008-05-30 15:52	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\HP2008-05-30 15:51 . 2008-05-30 15:51	<DIR>	d--------	C:\Program Files\Hewlett-Packard2008-05-30 15:51 . 2008-05-30 15:53	<DIR>	d--------	C:\Program Files\Common Files\HP2008-05-30 15:51 . 2008-05-30 15:51	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\HPSSUPPLY2008-05-30 15:50 . 2008-05-30 15:50	<DIR>	d--------	C:\Program Files\Common Files\Hewlett-Packard2008-05-30 15:49 . 2008-05-30 15:53	<DIR>	d--------	C:\Program Files\HP2008-05-30 15:48 . 2008-05-30 15:48	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Hewlett-Packard2008-05-30 15:48 . 2008-05-30 15:54	141,251	--a------	C:\WINDOWS\hpoins12.dat2008-05-30 15:48 . 2006-12-06 08:02	49,920	-ra------	C:\WINDOWS\system32\drivers\HPZid412.sys2008-05-30 15:48 . 2006-12-06 08:02	16,496	-ra------	C:\WINDOWS\system32\drivers\HPZipr12.sys2008-05-30 15:48 . 2007-01-22 18:05	1,470	---------	C:\WINDOWS\hpomdl12.dat2008-05-30 14:28 . 2008-05-30 14:33	<DIR>	d--------	C:\Program Files\PhotoFiltre2008-05-30 14:25 . 2008-05-30 14:27	986	--a------	C:\WINDOWS\unins000.dat2008-05-29 16:53 . 2006-10-26 19:56	32,592	--a------	C:\WINDOWS\system32\msonpmon.dll2008-05-29 16:51 . 2008-05-29 16:51	<DIR>	d--------	C:\Program Files\MSBuild2008-05-29 16:51 . 2008-05-29 16:51	<DIR>	d--------	C:\Program Files\Microsoft Works2008-05-29 16:50 . 2008-05-29 16:50	<DIR>	d--------	C:\Program Files\Microsoft.NET2008-05-29 16:46 . 2008-05-29 16:46	<DIR>	d--------	C:\Program Files\Microsoft Visual Studio 82008-05-29 16:45 . 2008-05-29 16:50	<DIR>	d--------	C:\WINDOWS\SHELLNEW2008-05-29 16:45 . 2008-05-29 16:53	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Microsoft Help2008-05-29 16:44 . 2008-05-29 16:44	<DIR>	dr-h-----	C:\MSOCache2008-05-29 16:42 . 2008-05-29 16:42	<DIR>	d--------	C:\Program Files\DAEMON Tools Lite2008-05-29 16:35 . 2008-05-29 16:35	<DIR>	d--------	C:\Documents and Settings\Pleskot\Dane aplikacji\DAEMON Tools2008-05-29 16:35 . 2008-05-29 16:35	717,296	--a------	C:\WINDOWS\system32\drivers\sptd.sys2008-05-29 16:13 . 2008-05-29 16:13	<DIR>	d--------	C:\USBFlashDriver2008-05-29 16:13 . 2006-03-01 10:25	8,704	--a------	C:\WINDOWS\system32\drivers\ggsemc.sys2008-05-28 18:12 . 2008-05-28 18:12	<DIR>	d--------	C:\Program Files\Wirtualna Polska2008-05-28 18:12 . 2008-05-28 18:12	4	--a------	C:\WINDOWS\system32\AMD Athlon XP 1700+_V1_V1.bin2008-05-28 08:52 . 2006-11-07 10:42	97,056	-ra------	C:\WINDOWS\system32\drivers\w200mdm.sys2008-05-28 08:52 . 2006-11-07 10:42	9,328	-ra------	C:\WINDOWS\system32\drivers\w200mdfl.sys2008-05-28 08:52 . 2006-11-07 10:42	6,208	-ra------	C:\WINDOWS\system32\drivers\w200cmnt.sys2008-05-28 08:52 . 2006-11-07 10:42	6,208	-ra------	C:\WINDOWS\system32\drivers\w200cm.sys2008-05-27 14:47 . 2006-11-07 10:42	61,504	-ra------	C:\WINDOWS\system32\drivers\w200bus.sys2008-05-27 14:47 . 2008-04-14 00:15	32,128	--a------	C:\WINDOWS\system32\drivers\usbccgp.sys2008-05-27 14:47 . 2008-04-14 00:15	32,128	--a--c---	C:\WINDOWS\system32\dllcache\usbccgp.sys2008-05-27 14:47 . 2008-04-14 00:15	26,368	--a--c---	C:\WINDOWS\system32\dllcache\usbstor.sys2008-05-27 14:47 . 2006-11-07 10:42	5,840	-ra------	C:\WINDOWS\system32\drivers\w200whnt.sys2008-05-27 14:47 . 2006-11-07 10:42	5,840	-ra------	C:\WINDOWS\system32\drivers\w200wh.sys2008-05-27 14:34 . 2008-05-27 14:34	<DIR>	d--------	C:\Program Files\K-Lite Codec Pack2008-05-27 14:34 . 2008-05-27 14:34	<DIR>	d--------	C:\Documents and Settings\Pleskot\Dane aplikacji\Media Player Classic2008-05-27 12:55 . 2008-05-27 12:55	<DIR>	d--------	C:\Documents and Settings\Pleskot\Dane aplikacji\Nero2008-05-27 12:46 . 2008-05-27 12:46	<DIR>	d--------	C:\Program Files\Nero2008-05-27 12:46 . 2008-05-27 12:50	<DIR>	d--------	C:\Program Files\Common Files\Nero2008-05-27 12:46 . 2008-05-27 12:46	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Nero2008-05-27 12:03 . 2008-05-27 13:09	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\POPWWPROFILES2008-05-27 09:54 . 2008-05-27 09:54	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Adobe Systems2008-05-27 09:53 . 2008-05-27 09:53	<DIR>	d--------	C:\Program Files\Common Files\Adobe Systems Shared2008-05-27 09:43 . 2008-05-27 09:55	<DIR>	d--------	C:\Program Files\Common Files\Adobe2008-05-27 09:04 . 2008-05-27 09:04	<DIR>	d--------	C:\WINDOWS\system32\LogFiles2008-05-27 09:04 . 2008-06-14 16:41	107,832	--a------	C:\WINDOWS\system32\PnkBstrB.exe2008-05-27 09:04 . 2008-06-01 10:34	66,872	--a------	C:\WINDOWS\system32\PnkBstrA.exe2008-05-27 09:04 . 2008-06-14 16:41	22,328	--a------	C:\WINDOWS\system32\drivers\PnkBstrK.sys2008-05-27 09:03 . 2008-05-27 09:03	98,304	--a------	C:\WINDOWS\system32\CmdLineExt.dll2008-05-27 08:39 . 2008-06-14 16:09	<DIR>	d--------	C:\Documents and Settings\Pleskot\Dane aplikacji\Azureus2008-05-27 08:39 . 2008-05-27 08:39	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Azureus2008-05-27 08:38 . 2008-05-27 08:38	<DIR>	d--------	C:\Program Files\Java2008-05-27 08:38 . 2008-05-27 08:38	410,976	--a------	C:\WINDOWS\system32\deploytk.dll2008-05-27 08:38 . 2008-05-27 08:38	73,728	--a------	C:\WINDOWS\system32\javacpl.cpl.((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))).2008-06-14 16:06	---------	d-----w	C:\Documents and Settings\Pleskot\Dane aplikacji\Xfire2008-05-31 13:29	112,144	----a-w	C:\WINDOWS\system32\drivers\kl1.sys2008-05-31 13:11	---------	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files2008-05-27 10:03	---------	d--h--w	C:\Program Files\InstallShield Installation Information2008-05-26 16:57	---------	d-----w	C:\Documents and Settings\Pleskot\Dane aplikacji\Gadu-Gadu2008-05-26 15:49	---------	d-----w	C:\Program Files\Windows Media Connect 22008-05-26 15:42	---------	d-----w	C:\Documents and Settings\Pleskot\Dane aplikacji\ATI2008-05-26 15:42	---------	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\ATI2008-05-26 15:31	---------	d-----w	C:\Program Files\ATI Technologies2008-05-26 15:30	---------	d-----w	C:\Program Files\Common Files\InstallShield2008-05-26 15:21	---------	d-----w	C:\Documents and Settings\NetworkService\Dane aplikacji\Xfire2008-05-26 15:19	4,261	----a-w	C:\WINDOWS\system32\drivers\rtport.sys2008-05-26 15:19	4,261	----a-w	C:\WINDOWS\rtport.tmp2008-05-26 15:19	---------	d-----w	C:\Program Files\VIA Technologies, Inc2008-05-26 15:06	---------	d-----w	C:\Program Files\microsoft frontpage2008-05-26 15:04	---------	d-----w	C:\Program Files\Usługi online2008-05-12 16:30	3,007,488	----a-w	C:\WINDOWS\system32\drivers\ati2mtag.sys2008-05-12 15:56	397,312	----a-w	C:\WINDOWS\system32\ATIDEMGX.dll2008-05-12 15:54	305,152	----a-w	C:\WINDOWS\system32\ati2dvag.dll2008-05-12 15:53	307,200	----a-w	C:\WINDOWS\system32\atiiiexx.dll2008-05-12 15:45	43,520	----a-w	C:\WINDOWS\system32\ati2edxx.dll2008-05-12 15:45	26,112	----a-w	C:\WINDOWS\system32\Ati2mdxx.exe2008-05-12 15:45	180,224	----a-w	C:\WINDOWS\system32\atipdlxx.dll2008-05-12 15:45	139,264	----a-w	C:\WINDOWS\system32\Oemdspif.dll2008-05-12 15:44	139,264	----a-w	C:\WINDOWS\system32\ati2evxx.dll2008-05-12 15:43	540,672	----a-w	C:\WINDOWS\system32\ati2evxx.exe2008-05-12 15:43	10,153,984	----a-w	C:\WINDOWS\system32\atioglx2.dll2008-05-12 15:41	53,248	----a-w	C:\WINDOWS\system32\ATIDDC.DLL2008-05-12 15:32	3,203,168	----a-w	C:\WINDOWS\system32\ati3duag.dll2008-05-12 15:22	1,999,616	----a-w	C:\WINDOWS\system32\ativvaxx.dll2008-05-12 15:09	47,104	----a-w	C:\WINDOWS\system32\amdpcom32.dll2008-05-12 15:05	5,439,488	----a-w	C:\WINDOWS\system32\atioglxx.dll2008-05-12 15:05	327,680	----a-w	C:\WINDOWS\system32\atikvmag.dll2008-05-12 15:03	19,968	----a-w	C:\WINDOWS\system32\atiadlxx.dll2008-05-12 15:03	17,408	----a-w	C:\WINDOWS\system32\atitvo32.dll2008-05-12 15:02	49,152	----a-w	C:\WINDOWS\system32\drivers\ati2erec.dll2008-05-12 15:02	241,664	----a-w	C:\WINDOWS\system32\atiok3x2.dll2008-05-12 14:57	548,864	----a-w	C:\WINDOWS\system32\ati2cqag.dll2008-05-12 08:49	593,920	------w	C:\WINDOWS\system32\ati2sgag.exe2008-05-08 18:02	999,936	----a-w	C:\WINDOWS\system32\syssetup.dll2008-05-08 18:02	361,344	----a-w	C:\WINDOWS\system32\drivers\tcpip.sys2008-05-08 18:02	1,571,840	----a-w	C:\WINDOWS\system32\sfcfiles.dll2008-05-08 18:00	8,704	----a-w	C:\WINDOWS\system32\wdfmgr.exe2008-04-14 23:04	1,246,357	----a-r	C:\WINDOWS\SET3.tmp2008-04-14 22:56	16,825	----a-r	C:\WINDOWS\SET8.tmp2008-04-14 22:56	1,088,840	----a-r	C:\WINDOWS\SET4.tmp2008-04-14 22:50	77,312	----a-w	C:\WINDOWS\system32\usbui.dll2008-04-14 22:50	75,776	----a-w	C:\WINDOWS\system32\storprop.dll2008-04-14 22:50	4,096	----a-w	C:\WINDOWS\system32\ksuser.dll2008-04-14 22:50	30,208	----a-w	C:\WINDOWS\system32\bthserv.dll2008-04-14 22:50	29,184	----a-w	C:\WINDOWS\system32\sdhcinst.dll2008-04-14 22:50	20,992	----a-w	C:\WINDOWS\system32\bthci.dll2008-04-14 21:35	58,880	----a-w	C:\WINDOWS\system32\drivers\redbook.sys2008-04-14 21:16	1,804	----a-w	C:\WINDOWS\system32\Dcache.bin2008-04-14 20:56	332,288	----a-w	C:\WINDOWS\system32\netsetup.exe2008-04-14 20:52	92,424	----a-w	C:\WINDOWS\system32\rdpdd.dll2008-04-14 20:52	87,176	----a-w	C:\WINDOWS\system32\rdpwsx.dll2008-04-14 20:52	40,840	----a-w	C:\WINDOWS\system32\drivers\termdd.sys2008-04-14 20:52	299,520	----a-w	C:\WINDOWS\system32\drmclien.dll2008-04-14 20:52	21,896	----a-w	C:\WINDOWS\system32\drivers\tdtcp.sys2008-04-14 20:52	139,656	----a-w	C:\WINDOWS\system32\drivers\rdpwd.sys2008-04-14 20:52	12,168	----a-w	C:\WINDOWS\system32\tsddd.dll2008-04-14 20:52	12,040	----a-w	C:\WINDOWS\system32\drivers\tdpipe.sys2008-04-14 20:50	997,888	----a-w	C:\WINDOWS\system32\setupapi.dll2008-04-14 20:49	98,304	----a-w	C:\WINDOWS\system32\actxprxy.dll2008-04-14 20:48	5,632	----a-w	C:\WINDOWS\system32\wmi.dll2008-04-14 20:48	1,449,472	----a-w	C:\WINDOWS\system32\winntbbu.dll2008-04-14 20:47	57,375	----a-w	C:\WINDOWS\system32\odbcji32.dll2008-04-14 20:47	103,424	----a-w	C:\WINDOWS\system32\dpcdll.dll2008-04-14 20:43	4,126	----a-w	C:\WINDOWS\system32\msdxmlc.dll2008-04-14 20:42	3,584	----a-w	C:\WINDOWS\system32\msafd.dll2008-04-14 20:36	3,584	----a-w	C:\WINDOWS\system32\icmp.dll2008-04-14 20:35	9,344	----a-w	C:\WINDOWS\system32\framebuf.dll2008-04-14 20:35	569,856	----a-w	C:\WINDOWS\system32\gpedit.dll2008-04-14 20:33	3,072	----a-w	C:\WINDOWS\system32\dpnlobby.dll2008-04-14 20:33	3,072	----a-w	C:\WINDOWS\system32\dpnaddr.dll2008-04-14 20:33	24,064	----a-w	C:\WINDOWS\system32\pidgen.dll2008-04-14 20:31	16,896	----a-w	C:\WINDOWS\system32\cfgmgr32.dll2008-04-14 20:30	285,696	----a-w	C:\WINDOWS\system32\atmfd.dll2008-04-14 20:04	73,472	----a-w	C:\WINDOWS\system32\drivers\sr.sys2008-04-14 20:03	68,608	----a-w	C:\WINDOWS\system32\drivers\pci.sys2008-04-14 20:03	120,320	----a-w	C:\WINDOWS\system32\drivers\pcmcia.sys2008-04-14 20:00	2,190,336	----a-w	C:\WINDOWS\system32\ntoskrnl.exe2008-04-14 19:55	4,096	----a-w	C:\WINDOWS\system32\dsprpres.dll2008-04-14 19:52	89,600	----a-w	C:\WINDOWS\system32\msxml6r.dll2008-04-14 19:52	800,000	----a-w	C:\WINDOWS\system32\drivers\dmboot.sys2008-04-14 19:52	153,856	----a-w	C:\WINDOWS\system32\drivers\dmio.sys2008-04-14 19:50	80,896	----a-w	C:\WINDOWS\system32\msshavmsg.dll2008-04-14 19:50	24,960	----a-w	C:\WINDOWS\system32\drivers\kbdclass.sys2008-04-14 19:48	37,632	----a-w	C:\WINDOWS\system32\drivers\isapnp.sys2008-04-14 19:46	40,448	----a-w	C:\WINDOWS\system32\drivers\intelppm.sys2008-04-14 19:45	49,664	----a-w	C:\WINDOWS\system32\inetres.dll2008-04-14 19:43	563,200	----a-w	C:\WINDOWS\system32\shdoclc.dll2008-04-14 19:41	65,280	----a-w	C:\WINDOWS\system32\drivers\serial.sys2008-04-14 19:41	53,248	----a-w	C:\WINDOWS\system32\drivers\i8042prt.sys2008-04-14 19:37	10,240	----a-w	C:\WINDOWS\system32\gpkrsrc.dll2008-04-14 19:35	67,584	----a-w	C:\WINDOWS\system32\browselc.dll2008-04-14 19:35	1,845,888	----a-w	C:\WINDOWS\system32\win32k.sys2008-04-14 19:33	44,672	----a-w	C:\WINDOWS\system32\drivers\fips.sys2008-04-14 19:31	52,864	----a-w	C:\WINDOWS\system32\drivers\volsnap.sys.------- Sigcheck -------2008-05-08 20:02  361344  accf5a9a1ffaa490f33dba1c632b95e1	C:\WINDOWS\system32\drivers\tcpip.sys.(((((((((((((((((((((((((((((   snapshot@2008-06-14_18.12.54,40   ))))))))))))))))))))))))))))))))))))))))).- 2008-06-14 15:24:56	2,048	--s-a-w	C:\WINDOWS\bootstat.dat+ 2008-06-14 17:05:28	2,048	--s-a-w	C:\WINDOWS\bootstat.dat+ 2008-06-14 17:05:44	16,384	----atw	C:\WINDOWS\Temp\Perflib_Perfdata_158.dat.(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Note* empty entries & legit default entries are not shown REGEDIT4[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]2008-05-27 08:38	34816	--a------	C:\Program Files\Java\jre6\bin\jp2ssv.dll[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E7E6F031-17CE-4C07-BC86-EABFE594F69C}]2008-05-27 08:38	73728	--a------	C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 22:51 15360]"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe" [2007-08-03 12:51 202024]"gadu-gadu"="C:\gg.exe" [2008-06-09 14:44 576546]"svchost"="C:\Windows\svchost.exe" [2008-06-09 14:44 576546][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Soltek"="C:\WINDOWS\system32\autorun.exe" [2001-10-30 08:00 61440]"SunJavaUpdateSched"="C:\Program Files\Java\jre6\bin\jusched.exe" [2008-05-27 08:38 136600]"GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]"hosted"="C:\Windows\system32\system.exe" [ ][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 22:51 15360][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]"nltide_2"="regsvr32 /s /n /i:U shell32" []C:\Documents and Settings\Pleskot\Menu Start\Programy\Autostart\Adobe Gamma.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:50 113664]C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\scvhost.exe [2008-02-10 15:55:50 503808][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]"VIDC.XFR1"= xfcodec.dll"VIDC.YV12"= yv12vfw.dll[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^HP Digital Imaging Monitor.lnk]path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\HP Digital Imaging Monitor.lnkbackup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]--a------ 2008-04-01 11:39 486856 C:\Program Files\DAEMON Tools Lite\daemon.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]--a------ 2006-12-10 21:52 49152 C:\Program Files\HP\HP Software Update\HPWuSchd2.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]--a------ 2007-08-08 09:25 1828136 C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]--a------ 2007-03-01 15:57 153136 C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]--a------ 2008-01-21 12:17 61440 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]"ATI Smart"=2 (0x2)"Ati HotKey Poller"=2 (0x2)[HKEY_LOCAL_MACHINE\software\microsoft\security center]"AntiVirusDisableNotify"=dword:00000001"UpdatesDisableNotify"=dword:00000001[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]"DisableMonitoring"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\system32\\sessmgr.exe"="D:\\Program Files\\Xfire\\xfire.exe"="C:\\Documents and Settings\\All Users\\Dane aplikacji\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\English\\setup.exe"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"="D:\\Program Files\\Azureus\\Azureus.exe"=[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]"AllowInboundEchoRequest"= 1 (0x1)"AllowInboundTimestampRequest"= 1 (0x1)"AllowInboundMaskRequest"= 1 (0x1)"AllowInboundRouterRequest"= 1 (0x1)"AllowOutboundDestinationUnreachable"= 1 (0x1)"AllowOutboundSourceQuench"= 1 (0x1)"AllowOutboundParameterProblem"= 1 (0x1)"AllowOutboundTimeExceeded"= 1 (0x1)"AllowRedirect"= 1 (0x1)"AllowOutboundPacketTooBig"= 1 (0x1)R2 JavaQuickStarterService;Java Quick Starter;"C:\Program Files\Java\jre6\bin\jqs.exe" -service -config "C:\Program Files\Java\jre6\lib\deploy\jqs\jqs.conf" []R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]R3 tj2knd5;Terayon Cable Modem (NDIS);C:\WINDOWS\system32\DRIVERS\tj2knd5.sys [2002-10-14 07:40]R3 tj2kunic;Terayon Cable Modem (WDM);C:\WINDOWS\system32\DRIVERS\tj2kunic.sys [2002-10-14 07:40]S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\k510bus.sys [2006-02-17 21:34]S3 k510mdfl;Sony Ericsson K510 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k510mdfl.sys [2006-02-17 21:34]S3 k510mdm;Sony Ericsson K510 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\k510mdm.sys [2006-02-17 21:34]S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\k510mgmt.sys [2006-02-17 21:34]S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\k510obex.sys [2006-02-17 21:34]S3 w200bus;Sony Ericsson W200 driver (WDM);C:\WINDOWS\system32\DRIVERS\w200bus.sys [2006-11-07 10:42]S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w200mdfl.sys [2006-11-07 10:42]S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w200mdm.sys [2006-11-07 10:42]S3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\w200mgmt.sys [2006-11-07 10:42]S3 w200obex;Sony Ericsson W200 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\w200obex.sys [2006-11-07 10:42][HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc.**************************************************************************catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2008-06-14 19:13:20Windows 5.1.2600 Dodatek Service Pack 3 NTFSscanning hidden processes ... scanning hidden autostart entries ...scanning hidden files ... scan completed successfullyhidden files: 0**************************************************************************.Completion time: 2008-06-14 19:14:21ComboFix-quarantined-files.txt  2008-06-14 17:14:18ComboFix2.txt  2008-06-14 17:07:33ComboFix3.txt  2008-06-14 16:20:42ComboFix4.txt  2008-06-14 16:13:23Pre-Run: 11,530,178,560 bajtów wolnychPost-Run: 11,518,599,168 bajtów wolnych340

Wiem ze to jest wirus pendrive'owy ale wariantu z GG i wlaczaniem pliku system nie znalazlem

Tomek
komentarz
komentarz

Przeskanuj ten dysk przenośny antywirusem z aktualną bazą sygnatur.

Jeżeli nie masz tam ważnych danych sformatuj go.

fallout22
komentarz
komentarz

O to chodzi ze ten dysk przenosny jest bardzo wazny bo to komorka wiec formatowac raczej bym nie chcial.

I czy po podlaczeniu komorki ponownie ten virus nie wroci, jest to przeciez bardzo mozliwe.

Przeciez zarazone pliki gg i svchost siedza na partycji c nadal

w załączniku dalem ss tego co sie dzieje

Walczę usunąłem z partycji c GG i svchost ale co zrobic zeby pendrive znowu nie zaraził komputera

gggggg.JPG

post-21344-1213467204_thumb.jpg

Mateusz J.
komentarz
komentarz

Do notatnika wklej:

File::C:\WINDOWS\svchost.exeC:\gg.exeC:\Windows\system32\system.exeC:\Documents and Settings\All Users\Menu Start\Programy\Autostart\scvhost.exeRegistry::[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"svchost"=-[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"hosted"=-[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]"nltide_2"=-

W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą CFScript.txt i zapisz go w tym katalogu co ściągnięty i zapisany został combofix

wystartuj do trybu awaryjny. Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt Tak jak na obrazku:

82650GIF.gif

Rozpocznie się usuwanie i powstanie log , który pokazujesz na forum.

Do tego poproszę o loga z HijackThis.

fallout22
komentarz
komentarz

error.JPG

post-21344-1213470231_thumb.jpg

Mateusz J.
komentarz
komentarz
O4 - HKLM\..\Run: [hosted] C:\Windows\system32\system.exeO4 - HKCU\..\Run: [svchost] C:\Windows\svchost.exeO4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing)

Fix w HijackThis.

Czy podłączałeś pendrive między używaniem ComboFix i HijakThis?

Dziwi mnie to, że w HijackThis widać znowu te szkodniki, a w ComboFix już ich nie ma.

Pokaż jeszcze raz log z ComboFix i HijackThis.

fallout22
komentarz
komentarz
Mati_888
komentarz
komentarz

Moim zdaniem się nie przejmuj ale zauważyłem że program ComboFix kasuje także autorun.inf, ale z

C:\WINDOWS\system32\AutoRun.inf..."(((((((((((((((((((((((((((((((((((((((   Other Deletions   ))))))))))))))))))))))))))))))))))))))))))))))))).C:\WINDOWS\system32\AutoRun.inf"

A tu masz ten temat, zawsze można spróbować, ale lepiej żebyś się mną nie sugerował tylko poczekał na trochę bardziej doświadczonych :P Chociaż jak piszesz że już je skasowałeś to dla ciebie to nieistotne :P Ja chciałem się tylko podzielić moim spostrzeżeniem ^^

//fragmenty logów wstawiamy w tagi code

//vocativus

Mateusz J.
komentarz
komentarz
Ps. komputer nie zarazi sie jesli wylacze autorun ?

To jest właśnie jeden ze sposobów na zapobieganie ponownej infekcji, ale nie zawsze on działa.

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

Sfixowałeś te wpisy, bo dalej są. Zaznacz je i kliknij Fix checked.

Moim zdaniem się nie przejmuj ale zauważyłem że program ComboFix kasuje także autorun.inf, ale z C:\WINDOWS\system32\AutoRun.inf...

W tym przypadku tak nie było :)

fallout22
komentarz
komentarz

Dobra zrobiłem jak kazałeś.

Teraz jak usunac te pliki autorun.inf i system.exe z pendrive zeby sie nie przedostaly spowrotem do komputera?

Wystarczy wyłączyć autorun i usunąć ręcznie?

Mateusz J.
komentarz
komentarz

Możesz tak spróbować, a jeśli się nie uda to do notatnika wklej:

Gdzie X to litera, którą komputer przypisał pendrive.

File::X:\autorun.infX:\system.exe

W notatniku zakladka Plik ==> Zapisz jako ==> zapisz pod nazwą CFScript.txt i zapisz go w tym katalogu co ściągnięty i zapisany został combofix

wystartuj do trybu awaryjny. Na ikonę ComboFix przeciągasz zrobiony plik CFScript.txt Tak jak na obrazku:

82650GIF.gif

Nie wiadomo, czy to przejdzie, ale spróbować zawsze można.

fallout22
komentarz
komentarz

Ok usunąłem to 1 plik avastem 1 recznie. :cwany:

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.