Witam
Mam problem z pewnym wirusem. Ciężko powiedzieć z jakim, jest produkcji polskiej.
W zasadzie nie robi nic groźnego ale uniemożliwia mi prace na kompie.
Wygląda to tak że jak się załaduje mój profil to po kilku sekundach uruchamia się czarny ekran z czerwonymi napisami jak na załączonych fotkach. Nic nie można zrobić, nie działa alt+f4 ani ctrl+alt+del.
W autostarcie nic podejrzanego nie znalazłem, przeskanowałem combofixem i w zasadzie tez nic nie ma.
log z combofix:
ComboFix 09-08-06.01 - Basia 2009-08-11 10:41.1.1 - NTFSx86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.2.1250.48.1045.18.247.147 [GMT 2:00]
Uruchomiony z: F:\ComboFix.exe
AV: System antywirusowy NOD32 2.70 *On-access scanning enabled* (Outdated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\mdm.exe
.
((((((((((((((((((((((((( Pliki utworzone od 2009-07-11 do 2009-08-11 )))))))))))))))))))))))))))))))
.
2009-07-29 13:30 . 2009-03-08 22:33 414208 --sh--w- c:\windows\system32\AcroRd32.exe
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-27 20:00 . 2006-07-22 12:29 -------- d-----w- c:\documents and settings\Basia\Dane aplikacji\Skype
2005-03-08 21:12 . 2005-03-08 21:12 18710064 ----a-w- c:\program files\m2585632.exe
2002-12-08 01:35 . 2003-03-26 18:06 8685267 ----a-w- c:\program files\VCDv450.exe
2002-12-08 01:32 . 2003-03-26 18:06 21551 ----a-w- c:\program files\Virtual.CD.v4.3.2.KG.zip
2009-03-08 22:33 . 2009-07-29 13:30 414208 --sh--w- c:\windows\system32\AcroRd32.exe
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PcSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-04-11 1409024]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2006-11-24 20058152]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2002-10-15 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2002-10-15 114688]
"HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 241664]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd.exe" [2003-08-04 49152]
"BearShare"="c:\program files\BearShare\BearShare.exe" [2006-08-01 3313664]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2007-09-16 949376]
"AdobeReader"="c:\windows\System32\AcroRd32.exe" [2009-03-08 414208]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 159744]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-7-22 113664]
Adobe Reader Speed Launch.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]
DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2006-7-22 966756]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2003-9-16 237568]
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\BearShare\\BearShare.exe"=
"c:\\Program Files\\Gadu-Gadu\\gg.exe"=
"c:\\WINDOWS\\system32\\mshta.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
S1 nod32drv;nod32drv;c:\windows\system32\drivers\nod32drv.sys [2007-09-16 15424]
--- Inne Usługi/Sterowniki w Pamięci ---
*NewlyCreated* - ADILOADER
.
- - - - USUNIĘTO PUSTE WPISY - - - -
HKCU-Run-MSMSGS - c:\program files\Messenger\msmsgs.exe
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://google.bearshare.com/pl
LSP: c:\windows\system32\imon.dll
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-11 10:55
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
Czas ukończenia: 2009-08-11 10:59
ComboFix-quarantined-files.txt 2009-08-11 08:59
Przed: 6 146 981 888 bajtów wolnych
Po: 6 345 670 656 bajtów wolnych
86 --- E O F --- 2008-02-18 07:52
[/code]