Witam i proszę o pomoc.

Wczoraj załapałem jakieś wira, przeskanowałem dyski antyvirem usunąłem wszystko, dzisiaj z rana formatowałem dysk bo miałem “autoodtwarzanie partycji” ale po formacie działa tylko poprawnie partycja sformatowany a reszta wygląda tak.

Pomożecie mi ? o to logi z hijack’a.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:01:35, on 2007-09-29

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Kaspersky Anti-Virus Service (kavsvc) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


--

End of file - 2225 bytes

Te objawy wskazują, że masz infekcję na pendrive.

W tej sytuacji log z Hijacka jest zupełnie nieprzydatny.

Daj log z ComboFix (na dole tej strony z linku) -

Log wklej na http://wklej.org/, a w poście daj tylko link.(czyli skopiuj adres z paska adresów).

jessi

dzięki chociaż za zainteresowanie sie moim problemem.

Otwiera się już partycje i znalazło parę virów.

2007-09-28 19:22 165 --a------ C:\Qoobox\Quarantine\D\AutoRun.inf.vir

2007-09-28 19:22 165 --a------ C:\Qoobox\Quarantine\E\AutoRun.inf.vir

2007-09-28 19:22 165 --a------ C:\Qoobox\Quarantine\F\AutoRun.inf.vir



Zmienna PATH folderu dla woluminu WinShit

Numer seryjny woluminu: C431-323B

C:\QOOBOX\QUARANTINE

+---C

| \---ComboFix

+---D

| AutoRun.inf.vir

|       

+---E

| AutoRun.inf.vir

|       

+---F

| AutoRun.inf.vir

|       

\---Registry_backups

może coś jeszcze się zagnieździło w systemie…

http://wklej.org/id/bb14ac40ef

Tak, w logu ComboFixa nic więcej podejrzanego nie widzę.

Na razie ComboFix usunął tę infekcję, ale to będzie poracać po każdym użyciu dysku przenośnego.

Trzeba będzie wtedy znowu używać ComboFixa.

jessi

Dzięki wielkie za pomoc, i za podpowiedź wszystkie pendrajwery posprawdzam

Jeszcze raz dzięki.