Pati911
(P Krajczynska)
4 Grudzień 2007 17:53
#1
jestem laikiem i od rana walcze z tym wirusem. teraz pisze z drugiego kompa - zdrowego. mam tez avasta z tym ze ja nie dalam sinowala do kwarantanny tylko usunelam. teraz mnie zaniepokoiles bo moze jeszcze jest. nie wiem za bardzo jak to stwierdzic - widze go jeszcze w oknie o nazwie virus chest i nie wiem czy mam go przez to okno usunac? skanowanie przy starcie juz go nie widzi.
absolutnie nie wchodz na konto bankowe! ja weszlam wczoraj i dwa razy sie logowalam - teraz juz wiem dlaczego
Złączono Posta : 04.12.2007 (Wto) 19:02
12/04/2007 17:18
Scan of all local drives
File F:\System Volume Information_restore{A98B93F8-C9C7-4067-A562-DDD3344F8607}\RP265\A0071511.dll is infected by Win32:Sinowal, Deleted
File F:\System Volume Information_restore{A98B93F8-C9C7-4067-A562-DDD3344F8607}\RP265\A0071520.dll is infected by Win32:Sinowal, Deleted
File F:\WINDOWS\system32~.exe[upack] is infected by Win32:Small-IKN [Trj], Deleted
File F:\WINDOWS\Temp_avast4_\unp70278014.tmp is infected by Win32:Sinowal, Deleted
Number of searched folders: 6414
Number of tested files: 103554
Number of infected files: 4
Gutek
(Gutek)
4 Grudzień 2007 20:50
#2
Prawoklik na Mój Komputer>>Przywracanie systemu>> wyłącz przywracanie systemu na wszystkich dyskach.
Daj log z ComboFix
Gutek
(Gutek)
5 Grudzień 2007 13:34
#4
Wklej do Notatnika:
>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )
– podobnie jak na tym obrazku –>
(jeśli pojawi się pytanie " 1 or 2 " - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)
Po restarcie usuń ręcznie folder C: * * Qoobox**.
Po tym nowy log z Combo
Chociaż możesz użyć automatu:
Pobierz program SDFix
Pati911
(P Krajczynska)
5 Grudzień 2007 15:51
#5
Oto log ostatni:
ComboFix 07-12-02.7 - Patrycja 2007-12-05 16:38:19.5 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.179 [GMT 1:00] Running from: F:\Documents and Settings\Patrycja\Pulpit\ComboFix.exe . ((((((((((((((((((((((((( Files Created from 2007-11-05 to 2007-12-05 ))))))))))))))))))))))))))))))) . 2007-12-04 23:34 . 2007-12-04 23:34 1,158 --a------ F:\WINDOWS\mozver.dat 2007-12-04 20:30 . 2007-12-04 20:30 2007-12-04 20:30 . 2007-12-04 20:30 2007-12-04 20:23 . 2007-12-04 20:23 0 --a------ F:\WINDOWS\nsreg.dat 2007-12-04 20:21 . 2007-12-04 20:22 2007-12-04 14:19 . 2007-12-04 14:19 2007-12-04 14:19 . 2007-09-06 12:09 801,144 --a------ F:\WINDOWS\system32\aswBoot.exe 2007-12-04 14:19 . 2004-01-09 11:13 380,928 --a------ F:\WINDOWS\system32\actskin4.ocx 2007-12-04 14:19 . 2007-09-06 12:00 95,608 --a------ F:\WINDOWS\system32\AvastSS.scr 2007-12-04 14:19 . 2007-09-06 12:05 94,416 --a------ F:\WINDOWS\system32\drivers\aswmon2.sys 2007-12-04 14:19 . 2007-09-06 12:05 92,848 --a------ F:\WINDOWS\system32\drivers\aswmon.sys 2007-12-04 14:19 . 2007-09-06 12:02 42,912 --a------ F:\WINDOWS\system32\drivers\aswTdi.sys 2007-12-04 14:19 . 2007-09-06 12:00 26,624 --a------ F:\WINDOWS\system32\drivers\aavmker4.sys 2007-12-04 14:19 . 2007-09-06 12:03 23,152 --a------ F:\WINDOWS\system32\drivers\aswRdr.sys 2007-12-04 08:08 . 2007-12-04 08:08 2007-12-03 15:07 . 2007-12-03 15:07 54,156 --ah----- F:\WINDOWS\QTFont.qfn 2007-12-03 15:07 . 2007-12-03 15:07 1,409 --a------ F:\WINDOWS\QTFont.for 2007-11-20 15:26 . 2007-11-21 11:58 88 -r-hs---- F:\WINDOWS\system32\28F0A088E6.sys 2007-11-19 22:47 . 2007-11-19 22:47 2007-11-19 21:45 . 2007-11-19 21:45 2007-11-19 21:45 . 2007-11-19 21:45 2007-11-19 21:43 . 2007-11-19 22:47 159,494 --a------ F:\WINDOWS\hpoins21.dat 2007-11-19 21:43 . 2007-05-15 11:13 8,138 --------- F:\WINDOWS\hpomdl21.dat 2007-11-19 21:31 . 2007-11-19 21:31 2007-11-19 21:27 . 2007-11-19 21:30 2007-11-19 21:27 . 2005-09-18 01:32 180,224 --a------ F:\WINDOWS\system32\nvudisp.exe 2007-11-19 21:27 . 2007-12-05 16:28 30,277 --a------ F:\WINDOWS\system32\nvapps.xml 2007-11-19 21:27 . 2005-09-18 01:32 15,078 --a------ F:\WINDOWS\system32\nvdisp.nvu 2007-11-19 21:20 . 2006-12-18 16:34 446,464 --a------ F:\WINDOWS\system32\CapabilityTable.exe 2007-11-19 21:19 . 2006-12-18 16:33 356,352 --a------ F:\WINDOWS\system32\nvunrm.exe 2007-11-19 21:19 . 2006-02-17 11:28 101,632 --a------ F:\WINDOWS\system32\drivers\nvtcp.sys 2007-11-19 21:19 . 2005-12-08 12:06 3,657 --a------ F:\WINDOWS\system32\nvnrm.nvu 2007-11-19 21:04 . 2007-11-19 21:08 664 --a------ F:\WINDOWS\system32\d3d9caps.dat 2007-11-19 21:04 . 2007-11-19 21:04 552 --a------ F:\WINDOWS\system32\d3d8caps.dat 2007-11-19 20:43 . 2007-11-19 20:43 2007-11-19 20:30 . 2007-11-19 20:43 2007-11-19 20:03 . 2007-11-19 20:04 2007-11-19 19:24 . 2007-10-04 17:14 136,260 --a------ F:\WINDOWS\system32\nvapps.nvb 2007-11-19 18:17 . 2007-11-19 18:17 2007-11-19 18:17 . 2004-08-01 08:09 55,936 --a------ F:\WINDOWS\system32\drivers\ousb2hub.sys 2007-11-19 18:17 . 2004-08-01 08:09 44,928 --a------ F:\WINDOWS\system32\drivers\ousbehci.sys 2007-11-19 17:36 . 2006-04-14 14:00 208,896 --------- F:\WINDOWS\system32\nvuide.exe 2007-11-19 17:36 . 2006-02-20 13:00 1,570 --------- F:\WINDOWS\system32\nvide.nvu 2007-11-19 17:05 . 2007-11-19 17:05 2007-11-19 15:32 . 2007-11-19 15:32 2007-11-19 14:59 . 2007-11-19 14:59 2007-11-19 14:58 . 2007-11-19 14:58 2007-11-19 14:54 . 2007-11-19 14:54 2007-11-19 14:53 . 2007-11-19 14:53 2007-11-19 14:53 . 2006-06-29 13:07 14,048 --------- F:\WINDOWS\system32\spmsg2.dll 2007-11-19 12:21 . 2007-11-19 22:44 159,312 --------- F:\WINDOWS\hpoins21.dat.temp 2007-11-19 12:21 . 2007-05-15 11:13 8,138 --------- F:\WINDOWS\hpomdl21.dat.temp 2007-11-19 12:20 . 2007-11-19 12:20 2007-11-19 12:20 . 2007-05-02 11:03 267,864 -ra------ F:\WINDOWS\system32\hpzids01.dll 2007-11-19 12:20 . 2007-03-15 15:32 118,272 --a------ F:\WINDOWS\system32\hpz3l5ha.dll 2007-11-19 12:20 . 2007-03-08 05:20 49,920 -ra------ F:\WINDOWS\system32\drivers\HPZid412.sys 2007-11-19 12:20 . 2007-03-08 05:20 16,496 -ra------ F:\WINDOWS\system32\drivers\HPZipr12.sys 2007-11-19 12:19 . 2007-03-08 05:20 21,568 -ra------ F:\WINDOWS\system32\drivers\HPZius12.sys 2007-11-19 12:18 . 2007-05-02 09:56 954,368 -ra------ F:\WINDOWS\system32\hpotiop5.dll 2007-11-19 12:18 . 2007-05-02 10:01 675,840 -ra------ F:\WINDOWS\system32\hpowiax5.dll 2007-11-19 12:18 . 2007-03-08 05:20 364,544 -ra------ F:\WINDOWS\system32\hppldcoi.dll 2007-11-19 12:18 . 2007-03-08 05:20 309,760 -ra------ F:\WINDOWS\system32\difxapi.dll 2007-11-19 12:18 . 2007-05-02 10:00 303,104 -ra------ F:\WINDOWS\system32\hpovst12.dll 2007-11-19 12:18 . 2004-08-03 22:58 15,104 --a------ F:\WINDOWS\system32\drivers\usbscan.sys 2007-11-19 12:18 . 2004-08-03 22:58 15,104 --a–c— F:\WINDOWS\system32\dllcache\usbscan.sys 2007-11-19 11:52 . 2007-11-19 11:52 2007-11-19 11:51 . 2007-11-19 20:01 2007-11-19 11:49 . 2007-11-19 11:49 2007-11-19 11:49 . 2007-11-19 21:35 2007-11-19 11:48 . 2007-11-19 11:48 2007-11-19 11:47 . 2007-11-19 21:44 2007-11-19 11:47 . 2007-11-19 11:52 2007-11-13 17:56 . 2007-11-13 17:56 . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-12-05 15:37 --------- d-----w F:\Program Files\neostrada tp 2007-12-04 11:14 33 ----a-w F:\WINDOWS\system32\drivers\adidsl.cfg 2007-11-21 10:59 --------- d-----w F:\Documents and Settings\Patrycja\Dane aplikacji\Corel 2007-11-12 11:32 --------- d–h--w F:\Program Files\InstallShield Installation Information 2007-10-15 20:50 --------- d-----w F:\Documents and Settings\All Users\Dane aplikacji\BVRP Software 2007-10-15 20:28 24,192 ----a-w F:\Documents and Settings\Patrycja\usbsermptxp.sys 2007-10-15 20:28 22,768 ----a-w F:\Documents and Settings\Patrycja\usbsermpt.sys 2007-10-12 19:19 --------- d-----w F:\Documents and Settings\All Users\Dane aplikacji\Corel 2007-10-08 07:30 --------- d-----w F:\Documents and Settings\Patrycja\Dane aplikacji\Gadu-Gadu 2007-10-04 17:16 356,352 ----a-w F:\WINDOWS\system32\NVUNINST.EXE 2007-08-01 20:02 20 -c-h–w F:\Documents and Settings\All Users\Dane aplikacji\PKP_DLec.DAT 2007-08-01 20:02 20 -c-h–w F:\Documents and Settings\All Users\Dane aplikacji\PKP_DLds.DAT 2004-10-01 13:00 40,960 ----a-w F:\Program Files\Uninstall_CDS.exe 2004-06-10 12:13 40,960 ----a-w F:\Program Files\owcsetup.dll 2004-04-29 12:36 40,960 ----a-w F:\Program Files\owsetup1.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_LOCAL_MACHINE~\Browser Helper Objects{0347C33E-8762-4905-BF09-768834316C61}] 2007-03-02 16:52 1298024 -ra------ F:\Program Files\HP\Smart Web Printing\hpswp_printenhancer.dll [HKEY_LOCAL_MACHINE~\Browser Helper Objects{053F9267-DC04-4294-A72C-58F732D338C0}] 2007-03-02 16:52 177768 -ra------ F:\Program Files\HP\Smart Web Printing\hpswp_framework.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“F:\WINDOWS\system32\ctfmon.exe” [2004-08-03 23:44] “swg”=“F:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe” [2007-07-28 21:16] “NBJ”=“F:\Program Files\Ahead\Nero BackItUp\NBJ.exe” [2005-06-02 15:03] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “QuickTime Task”=“F:\Program Files\QuickTime\qttask.exe” [2006-07-16 21:47] “WOOWATCH”=“F:\PROGRA~1\NEOSTR~1\Watch.exe” [2004-08-23 13:49] “HP Software Update”=“F:\Program Files\HP\HP Software Update\HPWuSchd2.exe” [2007-03-11 21:34] “NvCplDaemon”=“RUNDLL32.exe” [2004-08-03 23:44 F:\WINDOWS\system32\rundll32.exe] “nwiz”=“nwiz.exe” [2005-09-18 01:32 F:\WINDOWS\system32\nwiz.exe] “NvMediaCenter”=“RUNDLL32.exe” [2004-08-03 23:44 F:\WINDOWS\system32\rundll32.exe] “avast!”=“F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-09-06 12:06] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“F:\WINDOWS\System32\CTFMON.EXE” [2004-08-03 23:44] F:\Documents and Settings\Patrycja\Menu Start\Programy\Autostart\ Webshots.lnk - D:\Webshots\Webshots\Launcher.exe [2006-04-24 19:42:14] F:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ Adobe Gamma Loader.lnk - F:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-04-22 20:03:01] HP Digital Imaging Monitor.lnk - F:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2007-03-11 21:26:24] NkbMonitor.exe.lnk - D:\Nikon\PictureProject\NkbMonitor.exe [2007-08-01 21:58:15] R2 ousbehci;OrangeWare USB Enhanced Host Controller Service;F:\WINDOWS\system32\Drivers\ousbehci.sys R3 ousb2hub;OrangeWare USB 2.0 Root Hub Support;F:\WINDOWS\system32\DRIVERS\ousb2hub.sys S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);F:\WINDOWS\system32\Drivers\e4ldr.sys S3 adusbmdm6501;AnyDATA CDMA USB Modem Driver (PID 6501);F:\WINDOWS\system32\DRIVERS\adusbmdm65.sys S3 adusbser6501;AnyDATA CDMA USB Serial Port (PID 6501);F:\WINDOWS\system32\DRIVERS\adusbser65.sys S3 akshasp;Aladdin HASP Key;F:\WINDOWS\system32\DRIVERS\akshasp.sys S3 e4usbaw;USB ADSL2 WAN Adapter;F:\WINDOWS\system32\DRIVERS\e4usbaw.sys [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . ************************************************************************** catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-05 16:39:49 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-12-05 16:40:38 F:\ComboFix2.txt … 2007-12-05 16:30 F:\ComboFix3.txt … 2007-12-04 23:06 . — E O F —
I jak, widzi Pan coś tutaj dziwnego jeszcze?
Bardzo,bardzo dziękuję za pomoc i czekam czy coś dalej jeszcze powinnam zrobić?
Pati911
(P Krajczynska)
5 Grudzień 2007 19:41
#7
Zrobiłam tak jak Pan mówił. Po uruchomieniu w trybie awaryjnym RunThis.bat i odpaleniu programu wyskoczyło okienko o nazwie HLVDD-Hardlock Virtual Device o treści
“Cannot find/// FAST Hardlock Driver”
tutaj musiałam kliknąć OK, po czym pokazało się kolejne okienko SDFix o treści
“HLVDD.DLL. Zainicjowanie pliku Dll przez instalowany sterownik urządzenia wirtalnego nie powiosło się”
Tutaj musiałam kliknąć ignoruj i program poszedł dalej. Wygenerował mi raport, który przedstawiam poniżej z tym że wydaję mi się że przez te wyskakujące okienka program mógł właściwie nie zadziałać.
Oto plik Report.txt
SDFix: Version 1.117 Run by Patrycja on 2007-12-05 at 20:23 Microsoft Windows XP [Wersja 5.1.2600] Running From: F:\SDFix\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting… Normal Mode: Checking Files: No Trojan Files Found Removing Temp Files… ADS Check: F:\WINDOWS No streams found. F:\WINDOWS\system32 No streams found. F:\WINDOWS\system32\svchost.exe No streams found. F:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-05 20:28:08 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden services & system hive … scanning hidden registry entries … [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Favorites\A\1\5\1c] “Order”=hex:08,00,00,00,02,00,00,00,b8,01,00,00,01,00,00,00,04,00,00,00,8c,… scanning hidden files … scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] Remaining Files: --------------- Files with Hidden Attributes: Wed 21 Nov 2007 88 …SHR — “F:\WINDOWS\system32\28F0A088E6.sys” Tue 13 Nov 2007 88 …SHR — “F:\WINDOWS\system32\96EDDF6365.sys” Wed 21 Nov 2007 2,828 A.SH. — “F:\WINDOWS\system32\KGyGaAvL.sys” Fri 16 Feb 2007 4,348 …SH. — “F:\Documents and Settings\All Users\DRM\DRMv1.bak” Thu 23 Jan 2003 65,952 …SHR — “F:\Program Files\Autodesk\Autodesk Express Viewer\Setup.exe” Finished!
Gutek
(Gutek)
5 Grudzień 2007 21:41
#8
Nic nie widzę
Skan AVG Anti-Spyware 7.5 po update + raport
Pati911
(P Krajczynska)
5 Grudzień 2007 23:32
#9
Zrobiłam wszystko. W okienku skan wyskoczył “Trojan.Small.edz”? To jest jakiś kolejny?
Oto raport
Gutek
(Gutek)
6 Grudzień 2007 16:37
#10
:x
Temat zamykam - poczytaj regulamin i wyjasnił skąd masz cracka