gajdowy
(gajdowy)
12 Czerwiec 2009 15:30
#1
Heur.win32 został wykryty, format nic nie pomógł więc zwracam się z prośbą do was, usunąłem mks_virem on-line to co napewno nadawało się do usunięcia, ale nie wiem czy to wszystko, avast sobie z tym nie poradził. wklejam log z hijacka , sprawdzcie jak możecie
z góry dzięki
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:28:23, on 2009-06-12
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: RGVFJLWGH - Sysinternals - www.sysinternals.com - C:\DOCUME~1\Dom\USTAWI~1\Temp\RGVFJLWGH.exe
--
End of file - 2416 bytes
ciemnowidz
(Henio Mazurek)
12 Czerwiec 2009 15:34
#2
Tutaj jest infekcja z pendrive’a. Format nie pomógł bo startery wirusa były na każdym dysku i pendrvie.
Pobierz FlashDisinfector i uruchom go mając podłączone pamięci przenośne
http://www.searchengines.pl/index.php?s … ntry369724
Potem wklej log z OTL
http://oldtimer.geekstogo.com/OTL.exe
gajdowy
(gajdowy)
12 Czerwiec 2009 15:43
#3
domyśliłem się ze to z pendriva, bo wczoraj dziewczyna przyniosła od koleżanki i wtedy się zaczęło;)
jako iż nie posiadam tego pendriva nie podpiąłem go ale FlashDisinfectore dysk przebadałem, oto log z OTL:
http://www.wklejto.pl/35907
edit:
i http://www.wklejto.pl/35908 bo zapomniałem dodać:)
Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked
Pobierz Combofix ale nie uruchamiaj!
Podczas pobierania i skanowania ComboFix’em wyłącz antywirusa i zapory!
Wklej do notatnika:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Loga wklej na http://www.wklej.org/ a w poście daj linka.
ciemnowidz
(Henio Mazurek)
12 Czerwiec 2009 15:52
#5
Z logu wynika, że pierwszy był OTL, więc będziesz musiał jeszcze raz wkleić świeżo robiony log z OTL. Na razie wklej w okienko programu
Run Fix. Restart. Do pokazania log z usuwania i nowy log z OTL.
gajdowy
(gajdowy)
12 Czerwiec 2009 16:02
#6
w miedzy czasie zrobilem to co dethloe123 napisał, z combofixem oto log/:
http://www.wklejto.pl/35911
ciemnowidz
(Henio Mazurek)
12 Czerwiec 2009 16:05
#7
Jeden czort. Wygląda na to, że wszystko się usunęło.
Start => Uruchom => wpisz Combofix /u
Wyłącz na chwilę przywracanie systemu.
Wykonaj dokładny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.
http://dobreprogramy.pl/index.php?dz=2& … lware+1.37
Przeczyść rejestr CCleaner’em
http://dobreprogramy.pl/index.php?dz=2& … +v2.19.901
W OTL kliknij Clean up.
gajdowy
(gajdowy)
12 Czerwiec 2009 16:09
#8
zanim to zrobie czy jeśli w międzyczasie jak był ten wirus jak podłączyłem inny dysk twardy to mogł zostać też zarażony?? bo jeśli tak, to muszę go podpiąć i od początku logi porobić dla sprawdzenia bo wcześniej o nim zapomniałem:/
ciemnowidz
(Henio Mazurek)
12 Czerwiec 2009 16:12
#9
Mógł zostać zarażony.
Podłącz dysk i uruchom ComboFix dwuklikiem, sam to powinien usunąć. Wklej log z tego.
gajdowy
(gajdowy)
12 Czerwiec 2009 16:28
#10
podłączyłem włączyłem i oto log: (jako iż dysk jest lekko zrąbany wykrył tylko 1 działającą partycje:P zresztą tak jak przy podłączaniu wczesniejszym)
ComboFix 09-06-11.06 - Dom 2009-06-12 18:21.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.511.364 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Dom\Pulpit\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090611-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
I:\Autorun.inf
.
((((((((((((((((((((((((( Pliki utworzone od 2009-05-12 do 2009-06-12 )))))))))))))))))))))))))))))))
.
2009-06-12 16:03 . 2009-06-12 16:03 -------- d-----w- C:\_OTL
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-12 15:53 . 2009-06-12 13:25 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-06-12 15:52 . 2009-06-12 15:52 12328 ----a-w- c:\documents and settings\Dom\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-06-12 15:23 . 2009-06-12 15:23 -------- d-----w- c:\program files\Trend Micro
2009-06-12 14:51 . 2009-06-12 14:39 -------- d-----w- c:\program files\SkanerOnline
2009-06-12 14:17 . 2009-06-12 14:17 0 ----a-w- c:\windows\nsreg.dat
2009-06-12 13:40 . 2009-06-12 13:40 -------- d-----w- c:\program files\Alwil Software
2009-06-12 13:39 . 2004-08-04 12:00 49492 ----a-w- c:\windows\system32\perfc015.dat
2009-06-12 13:39 . 2004-08-04 12:00 355486 ----a-w- c:\windows\system32\perfh015.dat
2009-06-12 13:26 . 2009-06-12 13:26 -------- d-----w- c:\program files\microsoft frontpage
2009-06-12 13:24 . 2009-06-12 13:24 -------- d-----w- c:\program files\Usługi online
2009-06-12 13:22 . 2009-06-12 13:22 21856 ----a-w- c:\windows\system32\emptyregdb.dat
.
((((((((((((((((((((((((((((( SnapShot@2009-06-12_15.58.27 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-06-12 16:15 . 2009-06-12 16:15 16384 c:\windows\Temp\Perflib_Perfdata_484.dat
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-06-12 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-06-12 20560]
S3 RGVFJLWGH;RGVFJLWGH;c:\docume~1\Dom\USTAWI~1\Temp\RGVFJLWGH.exe --> c:\docume~1\Dom\USTAWI~1\Temp\RGVFJLWGH.exe [?]
.
.
------- Skan uzupełniający -------
.
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - hxxp://www.mks.com.pl/skaner/SkanerOnline.cab
FF - ProfilePath -
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-12 18:25
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
Czas ukończenia: 2009-06-12 18:25
ComboFix-quarantined-files.txt 2009-06-12 16:25
ComboFix2.txt 2009-06-12 15:59
Przed: 12 864 110 592 bajtów wolnych
Po: 12 856 942 592 bajtów wolnych
72
ciemnowidz
(Henio Mazurek)
12 Czerwiec 2009 16:32
#11
Powinno być czysto. Wykonaj to co napisałem wcześniej. FlashDisinfectorem przejedź jeszcze raz, bo coś nie zadziałał.
gajdowy
(gajdowy)
12 Czerwiec 2009 16:40
#12
włączyłęm FlashDisinfectora , oto log z OTL http://www.wklejto.pl/35921 (wyłączona zapora i antywirus)
a teraz zabieram się za to co pisałeś wcześniej
ciemnowidz
(Henio Mazurek)
12 Czerwiec 2009 16:45
#13
Wejdź jeszcze w Opcje folderów => Widok, włącz pokazywanie plików ukrytych i wyłącz ukrywanie systemowych. Potem sprawdź czy na każdej z partycji jest folder AUTORUN.INF , to folder FlashDisinfectora. Jeśli go nie będzie to użyj tych programów, one też zabezpieczą podobnie dyski
http://www.searchengines.pl/Zabezpiecze … 23572.html
Jak wykonasz to co poprzednio napisałem to powinno być wszystko.
gajdowy
(gajdowy)
12 Czerwiec 2009 18:10
#14
nci nie wykryło, wielkie dzięki, u dziewczyny to samo bezie wiec jak bede u niej robil to wkleje logi do sprawdzenia:), folderu AUTORUN.INF nie utworzyło nigdzie
skanuje avastem i cos takiego mi wykrywa Win32:Rootkit-gen [Rtk] w pliku C:\Documents and Settings\NetworkService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\OPQ3K9MR\qgkpoytu[1].bmp niby jakis rootkit
poradzisz cos na to?
ciemnowidz
(Henio Mazurek)
12 Czerwiec 2009 18:19
#15
Przeczyść tempy przez ATF (zaznacz wszystkie kratki)
http://cybertrash.pl/images/tata/ATF/ATF.html