Autorun.inf


(T00kson) #1

Witam, mógłbym prosić o pomoc jak się tego badziewia pozbyć? Jestem świeżo po przeskanowaniu ComboFixem, HijackThis i Flash Disinfector. Wiem, że badziew istnieje bo mam NOD32, który oczywiście sobie z nim nie poradził.. Oto logi:

COMBO: http://wklejto.pl/30672

ComboFix 09-04-04.01 - pyz_grz 2009-04-07 10:48:58.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1250.1.1045.18.758.517 [GMT 2:00]

Uruchomiony z: c:\documents and settings\pyz_grz\Pulpit\ComboFix.exe

AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated)

 * Utworzono nowy punkt przywracania

.


((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.


c:\recycled\Recycled

c:\recycled\Recycled\ctfmon.exe


.

((((((((((((((((((((((((( Pliki utworzone od 2009-03-07 do 2009-04-07 )))))))))))))))))))))))))))))))

.


Nie utworzono żadnych nowych plików w tym okresie


.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-07 08:38	---------	d-----w	c:\program files\IrfanView

2009-04-07 08:34	---------	d-----w	c:\program files\CDNXL

2009-04-07 08:33	---------	d-----w	c:\program files\Business Objects

2009-04-07 08:32	---------	d--h--w	c:\program files\InstallShield Installation Information

2009-04-07 08:31	---------	d-----w	c:\program files\Microsoft SQL Server

2009-04-07 08:31	---------	d-----w	c:\program files\Microsoft Analysis Services

2009-04-07 07:28	---------	d-----w	c:\program files\ESET

2009-04-07 07:28	---------	d-----w	c:\documents and settings\All Users\Dane aplikacji\ESET

2009-04-07 07:26	---------	d-----w	c:\program files\Microsoft Works

2009-04-07 07:15	---------	d-----w	c:\program files\Common Files\InstallShield

2009-04-07 07:11	---------	d-----w	c:\program files\Broadcom

2009-04-07 07:11	---------	d-----w	c:\program files\Analog Devices

2009-04-07 07:03	---------	d-----w	c:\program files\microsoft frontpage

2009-04-07 07:01	---------	d-----w	c:\program files\Usługi online

.


((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  

REGEDIT4


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2004-10-14 1404928]

"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-07-01 1447168]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=


R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2008-07-01 34312]

R2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2008-07-01 468224]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##W2k8#Install]

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe

\Shell\Open(&0)\command - i:\recycled\ctfmon.exe

.

.

------- Skan uzupełniający -------

.

IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {3D732518-6C55-4949-95D9-53DC648220B8} = 194.204.159.1,194.204.152.34

FF - ProfilePath - c:\documents and settings\pyz_grz\Dane aplikacji\Mozilla\Firefox\Profiles\4qnbzqq0.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/ig?hl=pl&source=iglk

.


**************************************************************************


catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-07 10:49:50

Windows 5.1.2600 Dodatek Service Pack 3 NTFS


skanowanie ukrytych procesów ...  


skanowanie ukrytych wpisów autostartu ... 


skanowanie ukrytych plików ...  


skanowanie pomyślnie ukończone

ukryte pliki: 0


**************************************************************************

.

Czas ukończenia: 2009-04-07 10:50:37

ComboFix-quarantined-files.txt 2009-04-07 08:50:34


Przed: 25 530 036 224 bajtów wolnych

Po: 25,535,037,440 bajtów wolnych


WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect


83

HijackTHIS: http://wklejto.pl/30673

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:52:34, on 2009-04-07

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program Files\Analog Devices\Core\smax4pnp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\explorer.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{3D732518-6C55-4949-95D9-53DC648220B8}: NameServer = 194.204.159.1,194.204.152.34

O17 - HKLM\System\CS1\Services\Tcpip\..\{3D732518-6C55-4949-95D9-53DC648220B8}: NameServer = 194.204.159.1,194.204.152.34

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe


--

End of file - 2945 bytes

(huber2t) #2

Do wyleczenia pendrive z wirusów użyj tych programów

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer

usuń ręcznie folder C:\Qoobox oraz Combofix , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum


(T00kson) #3

Wszystko zrobione jak mówiłeś, log z kasperskiego: http://wklejto.pl/30682

nadal siedzi bydlak..


(huber2t) #4

Wklej do notatnika:

Folder::

D:\Recycled

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.org a w poście dajesz tylko link


(T00kson) #5

http://wklej.org/id/75375/ - oto wynik


(Leon$) #6

Log czysty

:slight_smile:


(T00kson) #7

zgadza się, NOD nic nie wykrył :slight_smile: dziękuję!

-- Dodane 08.04.2009 (Śr) 10:22 --

Witam ponownie, mógłbym prosić o jeszcze jednego kompa?

Najwyraźniej cała sieć jest trefna.. Albo w skrócie ktoś mógłby wytłumaczyć o co chodzi w tych logach to bym głowy nie zawracał..

Combo: http://www.wklejto.pl/30743

Hijack: http://www.wklejto.pl/30745