system
(system)
6 Grudzień 2007 21:35
#22
Proponuję również przeskanować pliki:
“Opis” tej infekcji znalazłem na tej egzotycznej stronce.
A wyskakujący napis to pozostałość w rejestrze:
Gutek
(Gutek)
6 Grudzień 2007 21:45
#24
OGŁOSZENIE - Logi z Gmera Jeśli będzie jakikolwiek problem z załączeniem logów w poście (ważą więcej niż przewiduje to limit, to znaczy nie chcą się dołączać, przez co są urwane i forum się rozjeżdża) można skorzystać z serwisu http://wklej.org/
nowy log z Combo + te scany
plików są nowe i moga być podmienione - na stronie http://virusscan.jotti.org/ albo http://scanner.virus.org/
piter83
(Grohuwka)
6 Grudzień 2007 22:04
#25
Combo
ComboFix 07-12-02.6 - P 2007-12-06 22:49:15.2 - NTFSx86 Running from: C:\Documents and Settings\P\Pulpit\ComboFix.exe . ((((((((((((((((((((((((( Files Created from 2007-11-06 to 2007-12-06 ))))))))))))))))))))))))))))))) . 2007-12-06 21:58 . 2007-12-06 20:59 2007-12-06 21:58 . 2007-12-06 19:12 2007-12-06 21:58 . 2007-12-06 19:16 2007-12-06 21:58 . 2007-12-06 19:12 2007-12-06 21:58 . 2007-12-06 19:12 2007-12-06 21:58 . 2007-12-06 19:12 2007-12-06 21:58 . 2007-12-06 19:12 2007-12-06 21:45 . 2007-12-06 22:37 250 --a------ C:\WINDOWS\gmer.ini . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-06 20:56 42,496 ----a-w C:\WINDOWS\system32\ftp.exe 2007-12-06 20:56 16,896 ----a-w C:\WINDOWS\system32\tftp.exe 2007-12-06 19:04 --------- d–h--w C:\Program Files\Common Files\Carlson 2007-12-06 18:57 133,120 ----a-w C:\WINDOWS\system32\sfc_os.dll 2007-12-06 18:37 --------- d–h--w C:\Program Files\InstallShield Installation Information 2007-12-06 18:37 --------- d-----w C:\Program Files\Common Files\InstallShield 2007-12-06 18:37 --------- d-----w C:\Program Files\Analog Devices 2007-12-06 18:36 --------- d-----w C:\Program Files\Winamp 2007-12-06 18:25 --------- d-----w C:\Program Files\Gadu-Gadu 2007-12-06 18:25 --------- d-----w C:\Program Files\Alwil Software 2007-12-06 18:20 --------- d-----w C:\Program Files\microsoft frontpage 2007-12-06 18:18 --------- d-----w C:\Program Files\Usługi online 2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2001-08-02 07:14] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-07-09 08:39] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-12-04 14:00] “NvCplDaemon”=“RUNDLL32.exe” [2001-10-26 18:30 C:\WINDOWS\system32\rundll32.exe] “nwiz”=“nwiz.exe” [2004-05-14 06:41 C:\WINDOWS\system32\nwiz.exe] “NvMediaCenter”=“RUNDLL32.exe” [2001-10-26 18:30 C:\WINDOWS\system32\rundll32.exe] “WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2003-12-13 01:50] “Smapp”=“C:\Program Files\Analog Devices\SoundMAX\SMTray.exe” [2003-05-05 08:57] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\CTFMON.EXE” [2001-10-26 18:29] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] “Shell”=“Explorer.exe %WINDIR%\Mrshield.exe” . ************************************************************************** catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-06 22:49:51 Windows 5.1.2600 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-12-06 22:50:17 C:\ComboFix2.txt … 2007-12-06 20:59 . — E O F —
scany
plik sfc_os.dll ogolnie rozpoznany jako trojan win32/banker
(jesli trzeba pelny raport dajcie znac)
Gutek
(Gutek)
6 Grudzień 2007 22:14
#26
Wklej do Notatnika:
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Start Uruchom regedit i przejdź do klucza:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Kliknij podwójnie wartość Shell i doprowadź ścieżkę dostępu do formy explorer.exe . Żadnych innych dopisków tam!
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
“Shell”=“explorer.exe”
albo:
Otwórz Notatnik i wklej w nim to:
Plik Zapisz jako Zmień rozszerzenie z TXT na Wszystkie pliki Zapisz pod nazwą FIX.REG kliknij dwa razy na utworzony plik FIX.REG i potwierdź dodanie do rejestru restart.
piter83
(Grohuwka)
6 Grudzień 2007 22:51
#27
po 1szej operacji przy uruchamianiu restartowal sie i tak w kolko,
musialem reperowac,
potem zrobilem z rejestrem jak mowiles
log po obu operacjach
ComboFix 07-12-02.6 - P 2007-12-06 23:49:53.4 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.0.1250.1.1045.18.76 [GMT 1:00] Running from: C:\Documents and Settings\P\Pulpit\ComboFix.exe . ((((((((((((((((((((((((( Files Created from 2007-11-06 to 2007-12-06 ))))))))))))))))))))))))))))))) . 2007-12-06 23:39 . 2001-10-26 18:28 13,463,552 --a–c— C:\WINDOWS\system32\dllcache\hwxjpn.dll 2007-12-06 23:38 . 2001-10-26 17:29 2,134,528 --a–c— C:\WINDOWS\system32\dllcache\EXCH_smtpsnap.dll 2007-12-06 23:37 . 2007-12-06 23:37 749 -rah----- C:\WINDOWS\WindowsShell.Manifest 2007-12-06 23:37 . 2007-12-06 23:37 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest 2007-12-06 23:37 . 2007-12-06 23:37 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest 2007-12-06 23:37 . 2007-12-06 23:37 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest 2007-12-06 23:37 . 2007-12-06 23:37 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest 2007-12-06 23:37 . 2007-12-06 23:37 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest 2007-12-06 23:36 . 2001-10-26 18:29 159,744 --a–c— C:\WINDOWS\system32\dllcache\icwhelp.dll 2007-12-06 23:36 . 2001-10-26 18:29 73,728 --a–c— C:\WINDOWS\system32\dllcache\icwtutor.exe 2007-12-06 23:36 . 2001-10-26 18:28 65,536 --a–c— C:\WINDOWS\system32\dllcache\icwres.dll 2007-12-06 23:36 . 2001-10-26 18:29 57,344 --a–c— C:\WINDOWS\system32\dllcache\icwconn.dll 2007-12-06 23:36 . 2001-10-26 18:29 45,056 --a–c— C:\WINDOWS\system32\dllcache\icwutil.dll 2007-12-06 23:36 . 2001-10-26 18:29 40,960 --a–c— C:\WINDOWS\system32\dllcache\trialoc.dll 2007-12-06 23:36 . 2001-10-26 18:29 24,576 --a–c— C:\WINDOWS\system32\dllcache\icwrmind.exe 2007-12-06 23:33 . 2001-08-17 20:13 27,165 --a------ C:\WINDOWS\system32\drivers\fetnd5.sys 2007-12-06 21:58 . 2007-12-06 23:43 2007-12-06 21:58 . 2007-12-06 19:12 2007-12-06 21:58 . 2007-12-06 19:16 2007-12-06 21:58 . 2007-12-06 19:12 2007-12-06 21:58 . 2007-12-06 19:12 2007-12-06 21:58 . 2007-12-06 19:12 2007-12-06 21:58 . 2007-12-06 19:12 2007-12-06 21:45 . 2007-12-06 22:37 250 --a------ C:\WINDOWS\gmer.ini . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-06 19:04 --------- d–h--w C:\Program Files\Common Files\Carlson 2007-12-06 18:37 --------- d–h--w C:\Program Files\InstallShield Installation Information 2007-12-06 18:37 --------- d-----w C:\Program Files\Common Files\InstallShield 2007-12-06 18:37 --------- d-----w C:\Program Files\Analog Devices 2007-12-06 18:36 --------- d-----w C:\Program Files\Winamp 2007-12-06 18:25 --------- d-----w C:\Program Files\Gadu-Gadu 2007-12-06 18:25 --------- d-----w C:\Program Files\Alwil Software 2007-12-06 18:20 --------- d-----w C:\Program Files\microsoft frontpage 2007-12-06 18:18 --------- d-----w C:\Program Files\Usługi online 2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys 2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys 2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys 2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys 2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys 2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe 2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2001-08-02 07:14] “Gadu-Gadu”=“C:\Program Files\Gadu-Gadu\gg.exe” [2007-07-09 08:39] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-12-04 14:00] “NvCplDaemon”=“RUNDLL32.exe” [2001-10-26 18:30 C:\WINDOWS\system32\rundll32.exe] “nwiz”=“nwiz.exe” [2004-05-14 06:41 C:\WINDOWS\system32\nwiz.exe] “NvMediaCenter”=“RUNDLL32.exe” [2001-10-26 18:30 C:\WINDOWS\system32\rundll32.exe] “WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2003-12-13 01:50] “Smapp”=“C:\Program Files\Analog Devices\SoundMAX\SMTray.exe” [2003-05-05 08:57] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\CTFMON.EXE” [2001-10-26 18:29] S2 Microsoft register shield;Microsoft register shield;“C:\WINDOWS\Mrshield.exe” . ************************************************************************** catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-06 23:50:31 Windows 5.1.2600 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-12-06 23:50:53 C:\ComboFix2.txt … 2007-12-06 23:43 C:\ComboFix3.txt … 2007-12-06 22:50 . — E O F —
Gutek
(Gutek)
7 Grudzień 2007 16:09
#28
piter83:
musialem reperowac,
co dokładnie zrobiłeś?
daj nowy log z SDFix.exe
Wklej do Notatnika:
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Po tym nowy log z Combo
system
(system)
7 Grudzień 2007 18:24
#29
Po zapoznaniu się z tym opisem, sugeruję wykonania formatu.
Format musi dotyczyć wszystkich partycji i trzeba zapomnieć o powtórnym wykorzystaniu jakichkolwiek plików instalacyjnych programów znajdujących się obecnie na dysku.