Log do rozpracowania.autorun exe padł

Dla specjalistów Bezpieczeństwo
#1

prosze o pomoc w usunięciu wirusa lub jego pozostałości .oto moj log z comboFixa

ComboFix 08-08-23.03 - SPILER 2008-08-24 20:01:16.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.1430 [GMT 2:00]

Running from: C:\Documents and Settings\SPILER\Pulpit\ComboFix.exe

* Created a new restore point

* Resident AV is active

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Program Files\myglobalsearch

C:\Program Files\myglobalsearch\bar\1.bin\M9FFXTBR.JAR

C:\Program Files\myglobalsearch\bar\1.bin\M9FFXTBR.MANIFEST

C:\Program Files\myglobalsearch\bar\1.bin\M9NTSTBR.JAR

C:\Program Files\myglobalsearch\bar\1.bin\M9NTSTBR.MANIFEST

C:\Program Files\myglobalsearch\bar\1.bin\NPMYGLSH.DLL

C:\Program Files\myglobalsearch\bar\Cache\00221140

C:\Program Files\myglobalsearch\bar\Cache\013E17A4.bin

C:\Program Files\myglobalsearch\bar\Cache\013E1A34.bin

C:\Program Files\myglobalsearch\bar\Cache\013E1C18.bin

C:\Program Files\myglobalsearch\bar\Cache\files.ini

C:\Program Files\myglobalsearch\bar\History\search

C:\Program Files\myglobalsearch\bar\Settings\prevcfg.htm

C:\WINDOWS\system32\ckvo.exe

C:\WINDOWS\system32\ckvo0.dll

C:\WINDOWS\system32\ckvo1.dll

.

((((((((((((((((((((((((( Files Created from 2008-07-24 to 2008-08-24 )))))))))))))))))))))))))))))))

.

2008-08-24 18:26 . 2008-08-24 18:26

2008-08-24 18:25 . 2008-08-24 18:25

2008-08-24 18:22 . 2008-08-24 18:22

2008-08-24 18:21 . 2008-08-24 18:22

2008-08-24 17:57 . 2008-08-24 16:57 91,127 -r-hs---- C:\n.com

2008-08-23 08:46 . 2008-08-23 08:46

2008-08-23 08:43 . 2008-08-24 18:24

2008-08-23 08:43 . 2008-08-24 17:59

2008-08-23 08:41 . 2008-08-24 17:59

2008-08-18 22:44 . 2008-08-18 23:21

2008-08-18 22:43 . 2008-08-18 22:44

2008-08-16 22:20 . 2008-08-16 22:21

2008-08-12 21:38 . 2007-02-19 17:55 49,152 --a------ C:\WINDOWS\system32\OctaneARM.dll

2008-08-12 21:36 . 2008-08-13 00:12

2008-08-12 20:59 . 2008-08-12 21:26

2008-08-12 01:00 . 1999-05-07 00:00 82,960 --a------ C:\WINDOWS\system32\Picclp32.ocx

2008-08-12 01:00 . 2008-08-24 18:49 27,764 --a------ C:\WINDOWS\MiniCarRacing.ini

2008-08-12 01:00 . 2000-03-21 15:37 1,760 --a------ C:\WINDOWS\system32\objsafe.tlb

2008-08-12 00:59 . 2008-08-12 00:59

2008-08-12 00:59 . 1999-03-25 23:00 101,888 --a------ C:\WINDOWS\system32\Vb6stkit.dll

2008-08-12 00:59 . 2000-07-17 13:41 70,088 --a------ C:\WINDOWS\system32\Project2-1.ocx

2008-08-12 00:59 . 2000-04-06 14:58 1,453 --a------ C:\WINDOWS\system32\Project2.INF

2008-08-09 23:12 . 2008-08-09 23:20

2008-08-09 20:49 . 2008-08-09 20:49

2008-08-06 01:14 . 2008-08-06 01:14

2008-08-06 01:14 . 2008-08-06 01:14

2008-08-06 01:14 . 2008-08-06 01:14

2008-08-06 00:22 . 2008-08-06 00:22 10 --a------ C:\WINDOWS\popcinfo.dat

2008-08-05 18:46 . 2008-08-05 18:46

2008-08-05 17:14 . 2008-08-05 17:14

2008-08-05 17:14 . 2008-08-05 17:14

2008-08-05 13:08 . 2008-08-05 13:08

2008-08-03 23:29 . 2008-08-03 23:29

2008-08-03 23:27 . 2008-08-03 23:27 831 --a------ C:\2.rze

2008-08-03 23:24 . 2008-08-03 23:28 831 --a------ C:\1.rze

2008-08-03 23:19 . 2008-08-03 23:19

2008-08-03 20:24 . 2004-08-04 00:44 91,136 --a------ C:\WINDOWS\system32\kswdmcap.ax

2008-08-03 20:02 . 2004-08-03 23:10 48,128 --a------ C:\WINDOWS\system32\drivers\61883.sys

2008-08-03 20:02 . 2004-08-03 23:10 48,128 --a–c— C:\WINDOWS\system32\dllcache\61883.sys

2008-08-03 19:58 . 2008-08-03 19:58

2008-08-03 19:58 . 2008-08-03 19:58

2008-08-03 19:57 . 2004-07-16 16:47 14,165 --a------ C:\WINDOWS\system32\drivers\Pclepci.sys

2008-08-03 19:55 . 2003-03-18 22:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll

2008-08-03 19:53 . 2008-08-03 19:56

2008-08-03 19:53 . 2008-08-03 20:23

2008-07-26 15:06 . 2006-03-02 14:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-24 16:35 --------- d-----w C:\Program Files\Kalendarz XP

2008-08-13 18:26 --------- d-----w C:\Documents and Settings\SPILER\Dane aplikacji\OpenOffice.org2

2008-08-12 19:30 --------- d–h--w C:\Program Files\InstallShield Installation Information

2008-07-21 18:33 --------- d-----w C:\Program Files\BearShare

2008-07-21 18:32 --------- d-----w C:\Program Files\eMule

2008-07-21 18:16 --------- d-----w C:\Program Files\Ares

2008-07-11 14:34 --------- d-----w C:\Program Files\Hewlett-Packard

2008-07-11 14:15 24,944 ----a-w C:\WINDOWS\system32\drivers\GVTDrv.sys

2008-07-10 19:36 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\NFS Underground

2008-07-07 20:33 253,952 ----a-w C:\WINDOWS\system32\es.dll

2008-07-05 21:48 --------- d-----w C:\Program Files\Activision

2008-07-03 19:33 --------- d-----w C:\Documents and Settings\SPILER\Dane aplikacji\AdobeUM

2008-07-03 14:56 72,748 ----a-w C:\WINDOWS\unins000.exe

2008-07-01 20:37 --------- d-----w C:\Program Files\Common Files\DirectX

2008-06-25 20:01 --------- d-----w C:\Program Files\GameTop.com

2008-06-25 20:00 --------- d-----w C:\Program Files\Bricks Of Egypt 2

2008-06-25 19:58 --------- d-----w C:\Program Files\ReflexiveArcade

2008-06-24 16:24 74,240 ----a-w C:\WINDOWS\system32\mscms.dll

2008-06-23 16:42 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-06-20 17:42 246,784 ----a-w C:\WINDOWS\system32\mswsock.dll

2008-06-17 18:14 16,608 ----a-w C:\WINDOWS\gdrv.sys

2008-06-03 23:13 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll

2008-06-03 20:15 262,884 ----a-w C:\WINDOWS\IPUI_DivXG400.exe

2008-06-03 15:09 315,392 ----a-w C:\WINDOWS\HideWin.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-05-10 16:36 2111176]

“ares”=“C:\Program Files\Ares\Ares.exe” [2007-05-04 02:32 961024]

“ctfmon.exe”=“C:\WINDOWS\system32\ctfmon.exe” [2006-03-02 14:00 15360]

“IPLA!”=“C:\Program Files\IPLA\IPLA.exe” [2008-07-22 13:12 2182392]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“egui”=“C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe” [2008-06-10 18:52 1447168]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2006-03-02 14:00 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

Kalendarz XP.lnk - C:\Program Files\Kalendarz XP\Kalendarz.exe [2008-06-03 22:33:47 882176]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

“VIDC.MJPG”= Pvmjpg21.dll

“VIDC.PIM1”= pclepim1.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GEST]

m‘|\ü [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]

–a------ 2005-08-12 14:43 45056 C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

–a------ 2006-03-02 14:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EasyTuneVPro]

–a------ 2007-07-26 15:05 20480 C:\Program Files\Gigabyte\ET5Pro\ETcall.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2004-10-13 18:24 1694208 C:\Program Files\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

–a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]

–a------ 2004-03-10 15:26 406016 C:\WINDOWS\system32\PSDrvCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

–a------ 2008-02-22 04:25 144784 C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

-r------- 2005-05-03 12:43 69632 C:\WINDOWS\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

-r------- 2007-12-20 10:47 16860672 C:\WINDOWS\RTHDCPL.exe

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“C:\Program Files\Gadu-Gadu\gg.exe”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

“C:\Program Files\THQ\Dawn of War - Dark Crusade\DarkCrusade.exe”=

“C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe”=

“C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe”=

“C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe”=

“C:\totalcmd\TOTALCMD.EXE”=

“D:\gierki\NFSU\Speed.exe”=

“C:\Program Files\Activision\Call of Duty 4 - Modern Warfare\iw3mp.exe”=

“C:\Program Files\Ares\Ares.exe”=

R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2008-06-10 18:56]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{070c937d-6d63-11dd-8acd-001fd05419a5}]

\Shell\AutoRun\command - F:\yssjnngm.cmd

\Shell\explore\Command - F:\yssjnngm.cmd

\Shell\open\Command - F:\yssjnngm.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{4e676e2d-5120-11dd-92f8-001fd05419a5}]

\Shell\AutoRun\command - F:\c9hehpa.bat

\Shell\explore\Command - F:\c9hehpa.bat

\Shell\open\Command - F:\c9hehpa.bat

*Newly Created Service* - CATCHME

*Newly Created Service* - EKRN

*Newly Created Service* - PROCEXP90

.

        • ORPHANS REMOVED - - - -

HKCU-Run-kamsoft - C:\WINDOWS\system32\ckvo.exe

MSConfigStartUp-BearShare - C:\Program Files\BearShare\BearShare.exe

MSConfigStartUp-WinampAgent - C:\Program Files\Winamp\winampa.exe

.

------- Supplementary Scan -------

.

FireFox -: Profile - C:\Documents and Settings\SPILER\Dane aplikacji\Mozilla\Firefox\Profiles\6kc8cenn.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.wp.pl

FF -: plugin - C:\Program Files\Adobe\Acrobat 6.0\Reader\browser\nppdf32.dll

FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\npganymedenet.dll

FF -: plugin - C:\Program Files\Mozilla Firefox\plugins\NPMyGlSh.dll

FF -: plugin - C:\Program Files\Yahoo!\Common\npyaxmpb.dll

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-24 20:02:59

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-08-24 20:03:32

ComboFix-quarantined-files.txt 2008-08-24 18:03:25

Pre-Run: 45,433,683,968 bajtów wolnych

Post-Run: 45,459,357,696 bajtów wolnych

195 — E O F — 2008-08-16 07:12:26

#2

Do wyleczenia pendrive z wirusów użyj

Perlovg Removal Tool

Flash Disinfector

lub format

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

File::

C:\n.com

C:\2.rze

C:\1.rze


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{070c937d-6d63-11dd-8acd-001fd05419a5}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4e676e2d-5120-11dd-92f8-001fd05419a5}]

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

#3

dzięki na przyszłość będe pamiętał. pozdro =D>

#4

http://wklej.org/id/754/

#5

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

#6

puściłem skanowanie obszarów krytycznych.oto raport:

KASPERSKY ONLINE SCANNER REPORT

25 sierpień 2008 00:34:44

System operacyjny: Microsoft Windows XP Home Edition, Dodatek Service Pack 2 (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.1

Ostatnia aktualizacja Kaspersky Anti-Virus24/08/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus1141390

Ustawienia skanowania:

Skanowanie przy użyciu następujących baz danych: rozszerzone

Skanuj archiwa: tak

Skanuj pocztowe bazy danych: tak

Obszar skanowania - Obszary krytyczne:

C:\WINDOWS

C:\DOCUME~1\SPILER\USTAWI~1\Temp\

Statystyki skanowania:

Liczba skanowanych obiektów: 14164

Liczba wykrytych wirusów: 0

Liczba zainfekowanych obiektów: 0

Liczba podejrzanych obiektów: 0

Czas trwania skanowania: 00:05:53

Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\WINDOWS\Sti_Trace.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty

C:\WINDOWS\system32\config\ACEEvent.evt Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\Internet.evt Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\wiadebug.log Object is locked pominięty

C:\WINDOWS\wiaservc.log Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

C:\DOCUME~1\SPILER\USTAWI~1\Temp\etilqs_yzup0SHMhW1saSDbk9ZO Object is locked pominięty

Proces skanowania został zakończony.

#7

W raporcie czysto

Powinno być ok

:slight_smile: