Infekcja other malware gen


(Jaroszekp) #1

Witam!

Skanując kompa avastem znalazł plik zainfekowany wirusem other malware gen. Usunąłem go lecz to nic nie dało, po ponownym skanie kompa avast znów go wykrył. Plik przeniosłem do kwarantanny. Możecie mi pomóc? Jak mam go usunąć?

Dołączam log z combofix

C

omboFix 08-10-30.13 - Piotrek 2008-10-31 16:41:48.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.570 [GMT 1:00]

Uruchomiony z: D:\Documents and Settings\Piotrek\Pulpit\ComboFix.exe

* Utworzono nowy punkt przywracania

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA!!

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

D:\WINDOWS\Downloaded Program Files\setup.inf

.

((((((((((((((((((((((((( Pliki utworzone od 2008-09-28 do 2008-10-31 )))))))))))))))))))))))))))))))

.

2008-10-15 16:37 . 2008-10-15 16:37

2008-10-15 16:20 . 2008-03-05 14:56 3,786,760 --a------ D:\WINDOWS\system32\D3DX9_37.dll

2008-10-15 16:20 . 2007-07-19 17:14 3,727,720 --a------ D:\WINDOWS\system32\d3dx9_35.dll

2008-10-15 16:20 . 2007-05-16 15:45 3,497,832 --a------ D:\WINDOWS\system32\d3dx9_34.dll

2008-10-15 16:20 . 2007-03-12 15:42 3,495,784 --a------ D:\WINDOWS\system32\d3dx9_33.dll

2008-10-15 16:20 . 2006-11-29 12:06 3,426,072 --a------ D:\WINDOWS\system32\d3dx9_32.dll

2008-10-15 16:20 . 2006-09-28 15:05 2,414,360 --a------ D:\WINDOWS\system32\d3dx9_31.dll

2008-10-15 16:20 . 2007-04-04 17:53 81,768 --a------ D:\WINDOWS\system32\xinput1_3.dll

2008-09-18 09:25 . 2008-09-18 10:36

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-31 13:24 --------- d-----w D:\Program Files\lg_fwupdate

2008-10-30 21:48 --------- d-----w D:\Documents and Settings\Piotrek\Dane aplikacji\teamspeak2

2008-10-30 17:12 --------- d--h--w D:\Program Files\InstallShield Installation Information

2008-10-22 15:18 182,928 ----a-w D:\WINDOWS\system32\PnkBstrB.exe

2008-10-22 15:18 159,992 ----a-w D:\WINDOWS\system32\drivers\PnkBstrK.sys

2008-10-12 12:47 --------- d-----w D:\Documents and Settings\Piotrek\Dane aplikacji\Azureus

2008-09-15 15:40 1,846,272 ----a-w D:\WINDOWS\system32\win32k.sys

2008-08-28 10:04 333,056 ----a-w D:\WINDOWS\system32\drivers\srv.sys

2008-08-20 05:38 662,016 ----a-w D:\WINDOWS\system32\wininet.dll

2008-08-14 13:46 2,137,600 ----a-w D:\WINDOWS\system32\ntoskrnl.exe

2008-08-14 13:46 2,017,280 ----a-w D:\WINDOWS\system32\ntkrnlpa.exe

2008-07-18 20:10 94,920 ----a-w D:\WINDOWS\system32\cdm.dll

2008-07-18 20:10 53,448 ----a-w D:\WINDOWS\system32\wuauclt.exe

2008-07-18 20:10 45,768 ----a-w D:\WINDOWS\system32\wups2.dll

2008-07-18 20:10 36,552 ----a-w D:\WINDOWS\system32\wups.dll

2008-07-18 20:09 563,912 ----a-w D:\WINDOWS\system32\wuapi.dll

2008-07-18 20:09 325,832 ----a-w D:\WINDOWS\system32\wucltui.dll

2008-07-18 20:09 205,000 ----a-w D:\WINDOWS\system32\wuweb.dll

2008-07-18 20:09 1,811,656 ----a-w D:\WINDOWS\system32\wuaueng.dll

2008-07-07 20:33 253,952 ----a-w D:\WINDOWS\system32\es.dll

2008-07-01 12:07 98,304 ----a-w D:\WINDOWS\system32CmdLineExt.dll

2004-10-01 14:00 40,960 ----a-w D:\Program Files\Uninstall_CDS.exe

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2006-03-02 15360]

"MSMSGS"="D:\Program Files\Messenger\msmsgs.exe" [2004-10-13 1694208]

"SpybotSD TeaTimer"="c:\Spybot - Search Destroy\TeaTimer.exe" [2008-01-28 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2006-06-01 7618560]

"RemoteControl"="D:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 32768]

"InCD"="D:\Program Files\Ahead\InCD\InCD.exe" [2006-03-14 1397760]

"NeroFilterCheck"="D:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]

"LGODDFU"="D:\Program Files\lg_fwupdate\fwupdate.exe" [2007-12-18 249856]

"SpeedTouch USB Diagnostics"="D:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-03-23 888832]

"avast!"="c:\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]

"ISUSPM Startup"="D:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe" [2004-04-17 196608]

"ISUSScheduler"="D:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" [2004-04-13 69632]

"nwiz"="nwiz.exe" [2006-06-01 D:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="NvMCTray.dll" [2006-06-01 D:\WINDOWS\system32\nvmctray.dll]

"SkyTel"="SkyTel.EXE" [2006-05-16 D:\WINDOWS\SkyTel.exe]

"RTHDCPL"="RTHDCPL.EXE" [2005-07-13 D:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 15360]

D:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

forteManager.lnk - D:\Program Files\LG Soft India\forteManager\bin\Monitor.exe [2008-05-21 1064960]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"D:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe"=

"C:\Gadu-Gadu\gg.exe"=

"C:\SopCast\SopCast.exe"=

"C:\SopCast\adv\SopAdver.exe"=

"C:\TVUPlayer\TVUPlayer.exe"=

"C:\Azureus\Azureus.exe"=

"C:\TVAnts\Tvants.exe"=

"C:\MOHAA\MOHAA.exe"=

"C:\WarRock\System\WarRock.exe"=

R1 aswSP;avast! Self Protection;D:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]

R2 aswFsBlk;aswFsBlk;D:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]

R3 LGDDCDevice;LGDDCDevice;D:\Program Files\LG Soft India\forteManager\bin\I2CDriver.sys [2007-12-24 14336]

S3 LGII2CDevice;LGII2CDevice;D:\Program Files\LG Soft India\forteManager\bin\PII2CDriver.sys [2007-12-24 13312]

*Newly Created Service* - PROCEXP90

.

  • USUNIĘTO PUSTE WPISY - - - -

HKCU-Run-swg - D:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

.

------- Skan uzupełniający -------

.

R0 -: HKCU-Main,Start Page = hxxp://www.lfc.pl/

R0 -: HKLM-Main,Start Page = hxxp://www.yahoo.com

R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s

O17 -: HKLM\CCS\Interface{220EF0D2-0687-47B7-87AC-AC65C6221097}: NameServer = 83.238.255.76 213.241.79.37

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-31 16:43:43

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone

ukryte pliki: 0

**************************************************************************

.

Czas ukończenia: 2008-10-31 16:44:29

ComboFix-quarantined-files.txt 2008-10-31 15:44:27

Przed: 42 325 032 960 bajtów wolnych

Po: 47,264,727,040 bajtów wolnych

116 --- E O F --- 2008-10-24 14:09:42


(Leon$) #2

w logu nic nie widać

Zastosuj Malwarebytes' Anti-Malware http://cybertrash.pl/Tata/MBAM/Malwarebytes_%20Anti-Malware.html pokaż log

:slight_smile:


(Jaroszekp) #3

Skan

Malwarebytes' Anti-Malware 1.30

Wersja bazy definicji: 1306

Windows 5.1.2600 Dodatek Service Pack 2

2008-10-31 17:49:39

mbam-log-2008-10-31 (17-49-39).txt

Typ skanowania: Pełne skanowanie (D:\|)

Przeskanowane obiekty: 64471

Upłynęło: 10 minute(s), 32 second(s)

Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 0

Zainfekowane foldery: 0

Zainfekowane pliki: 0

Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:

(Nie wykryto groźnych plików)

Zainfekowane foldery:

(Nie wykryto groźnych plików)

Zainfekowane pliki:

(Nie wykryto groźnych plików)

Ten zainfekowany plik jest w kwarantannie w avast - może ma to jakieś znaczenie dla tego skana.


(Leon$) #4

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i ... 378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport stronę uruchomić przez IE

:slight_smile:


(Jaroszekp) #5

hmm...jest coraz gorzej robie formata