polska88
(Allegretto14)
16 Październik 2007 15:51
#1
Witam. Pare dni temu byłem zmuszony zrobic formata, poniewaz pewnego dnia właczam kompa, a antywirus alarmuje ze duza czesc plikow exe jest czym zarazona. Wiec zrobilem formata, po instalcji windowsa pierwsze co uczyniłem to zainstalowałem antywirusa…wszystko było ładnie przez 3 dni , do dzisiaj gdy chcialem go przeinstalowac, to znow wszystkie pliki exe sa czym pozarazane, co proponujecie? gdzie to cos moze siedziec?
SeBoLaS
(SeBoLaS)
16 Październik 2007 15:58
#2
Jeśli masz podzielony dysk na partycje to formatowałeś wszystkie czy tylko systemową??
polska88
(Allegretto14)
16 Październik 2007 16:00
#3
Tylko systemową. Sformatowałbym wszystko ale na innych partycjach mam dane a nie mam innego dysku ;/
adam9870
(adam9870)
16 Październik 2007 16:04
#4
Podejrzewam najgorsze, ale najpierw pokaż logi.
Przeskanuj system skanerem on-line kasperskiego dostępnym na stronie http://www.kaspersky.pl/virusscanner.html i wklej tu raport. Dodatkowo wklej log z Gmer’a wykonany przy następującym ustawieniu:
a także log z ComboFix .
Kasten
(Kasten)
16 Październik 2007 16:23
#5
myślę że jest to ten wirus:
http://www.viruslist.pl/encyclopedia.ht … d=2125&o=2
lub jego jakaś mutacja. Kiedyś go miałem zeskanowałem kompa wszystkie zarażone *exe wyrzuciłem format i już było dobrze
polska88
(Allegretto14)
16 Październik 2007 16:36
#6
A więc. IE już nie działa :(…, więc nie sprawdze skanerm on-line.
Log z comboFIx:
ComboFix 07-10-16.1 - Robert 2007-10-16 18:19:34.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.590 [GMT 2:00] Running from: C:\Documents and Settings\Robert\Pulpit\ComboFix.exe * Created a new restore point . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\Fonts\acrsec.fon C:\WINDOWS\Fonts\acrsecI.fon . ((((((((((((((((((((((((( Files Created from 2007-09-16 to 2007-10-16 ))))))))))))))))))))))))))))))) . 2007-10-16 18:18 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-16 18:02 2007-10-16 18:02 2007-10-16 18:02 2007-10-16 18:01 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys 2007-10-16 18:01 298,104 --a------ C:\WINDOWS\system32\imon.dll 2007-10-16 18:01 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys 2007-10-16 16:52 81,984 --a------ C:\WINDOWS\system32\bdod.bin 2007-10-16 16:49 2007-10-15 23:49 2007-10-15 23:49 2007-10-15 23:49 2007-10-15 23:49 2007-10-15 21:10 2007-10-15 21:10 2,560 --a------ C:\WINDOWS\system32\bitcometres.dll 2007-10-15 21:09 2007-10-15 17:11 2007-10-15 17:11 2007-10-15 17:06 10 --a------ C:\WINDOWS\smdat32m.sys 2007-10-15 17:06 0 --a------ C:\WINDOWS\smdat32a.sys 2007-10-15 17:02 2007-10-14 14:35 2007-10-14 14:35 2007-10-14 14:35 2007-10-14 14:34 2007-10-14 14:34 2007-10-13 21:42 2007-10-13 21:42 2007-10-13 21:42 2007-10-13 21:42 2007-10-13 21:41 2007-10-13 21:40 2007-10-13 21:39 2007-10-13 21:37 2007-10-13 21:37 2007-10-13 21:37 2007-10-13 20:37 2007-10-13 20:20 2007-10-13 20:20 20,400 --a------ C:\WINDOWS\system32\drivers\Entech.sys 2007-10-13 20:20 3,972 --a------ C:\WINDOWS\system32\drivers\PciBus.sys 2007-10-13 20:19 2007-10-13 15:58 2007-10-13 15:51 2007-10-13 15:51 2007-10-13 15:46 2007-10-13 15:46 2007-10-13 15:19 2007-10-13 15:02 2007-10-13 14:37 435,200 -ra------ C:\WINDOWS\N0027494F-Mortal Kombat 4-Setup.exe 2007-10-13 14:22 2007-10-13 14:22 2007-10-13 14:22 2007-10-13 14:22 2007-10-13 14:22 2007-10-13 14:22 2007-10-13 14:22 2007-10-13 14:00 2007-10-13 14:00 2007-10-13 14:00 2007-10-13 13:52 2007-10-13 13:22 2007-10-13 10:00 2007-10-13 09:58 2007-10-13 09:58 2007-10-12 21:18 2007-10-12 21:11 2007-10-12 16:37 2007-10-12 16:10 1,156 --a------ C:\WINDOWS\mozver.dat . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-16 14:49 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\McAfee 2007-10-15 15:09 --------- d–h--w C:\Program Files\InstallShield Installation Information 2007-10-15 15:06 1,761 ----a-w C:\WINDOWS\Fonts\acrsecB.fon 2007-10-13 19:00 1,986,560 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys 2007-10-13 19:00 1,986,560 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.old 2007-10-13 18:19 --------- d-----w C:\Program Files\Common Files\InstallShield 2007-10-12 13:51 --------- d-----w C:\Program Files\WapSter 2007-10-12 13:30 451,072 ----a-w C:\WINDOWS\Radeon Omega Drivers v3.8.360 Uninstall.exe 2007-10-12 13:27 --------- d-----w C:\Program Files\Radeon Omega Drivers 2007-10-12 13:18 --------- d-----w C:\Program Files\Usługi online 2007-08-21 06:26 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll 2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll 2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll 2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe 2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll 2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll 2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll 2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll 2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll 2007-07-19 22:57 267,112 ----a-w C:\WINDOWS\system32\xactengine2_9.dll 2007-07-19 22:54 18,280 ----a-w C:\WINDOWS\system32\x3daudio1_2.dll 2007-07-19 16:14 444,776 ----a-w C:\WINDOWS\system32\d3dx10_35.dll 2007-07-19 16:14 3,727,720 ----a-w C:\WINDOWS\system32\d3dx9_35.dll 2007-07-19 16:14 1,358,192 ----a-w C:\WINDOWS\system32\D3DCompiler_35.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Cmaudio”=“cmicnfg.cpl” [] “AtiPTA”=“atiptaxx.exe” [2006-02-22 02:05 C:\WINDOWS\system32\atiptaxx.exe] “nod32kui”=“C:\Program Files\Eset\nod32kui.exe” [2007-10-16 18:01] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 02:44] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Instafinder] C:\Program Files\Instafinder\instafinder.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking] C:\WINDOWS\system32\P2P Networking\P2P Networking.exe /AUTOSTART S3 RivaTuner32;RivaTuner32;??\C:\Program Files\RivaTuner v2.05\RivaTuner32.sys *Newly Created Service* - CATCHME *Newly Created Service* - GMER *Newly Created Service* - NOD32DRV . ************************************************************************** catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-16 18:21:41 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … ************************************************************************** . Completion time: 2007-10-16 18:22:59 . — E O F —
GMER : :
PS. Udało mi sie zainstalowac Noda, i wykrył i usunął jakis syf o nazwie WIN32/Virut.NAN w E:\System Volume Information_restore{2D078A9D-D67B-4B94-B18B-05D8D7B180F0}\RP30\A0006430.exe - Win32/Virut.NAN wirus - usunięty
polska88
(Allegretto14)
16 Październik 2007 21:23
#8
Pobieram na dysk, uruchamiam i :
Błąd " Nie znaleziono punktu wejścia procedury…w bibiotece PSAPI.DLL"
i tak jest ze wszystkimi plikami exe ;/
Gutek
(Gutek)
17 Październik 2007 21:18
#9
Użyj UnHookExec.inf - który odblokuje uruchamianie exe. Po ściągnięciu pliku UnHookExec.inf na dysk należy kliknąć na niego prawym i wybrać opcję Instaluj. Nic się nie pokaże bo to nie jest żadna instalacja. Inny - exefix.reg