Scoolony
13 Czerwiec 2009 10:33
#1
Witam.
Mam problem z wirem który dostał się do kompa przez pendrive’a.
Jeden z objawów jakie da się zaobserwować to taki, że gdy z poziomu Mojego Komputera otwieram poszczególne partycje, to otwierają się one w nowym oknie…
Znalazłem na forum żeby sprawdzić system SDFixem, log wygląda tak:
SDFix: Version 1.240 Run by Administrator on 2009-06-13 at 12:12 Microsoft Windows XP [Wersja 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : Trojan Files Found: C:\autorun.inf - Deleted Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-06-13 12:16:34 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden services & system hive … scanning hidden registry entries … [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] “AppInit_DLLs”="" “DeviceNotSelectedTimeout”=“15” “GDIProcessHandleQuota”=dword:00002710 “Spooler”=“yes” “swapdisk”="" “TransmissionRetryTimeout”=“90” “USERProcessHandleQuota”=dword:00002710 scanning hidden files … scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] “%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll ,-22019" “C:\Program Files\Nowe Gadu-Gadu\gg.exe”=“C:\Program Files\Nowe Gadu-Gadu\gg.exe:*:Enabled:Nowe Gadu-Gadu” “C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe”=“C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe” “C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe”=“C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe” “C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe”=“C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe” “C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe”=“C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe” “C:\Program Files\HP\Digital Imaging\bin\hposid01.exe”=“C:\Program Files\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe” “C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe”=“C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe” “C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe”=“C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe” “C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe”=“C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe” “C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe”=“C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe” “C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe”=“C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe” “C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe”=“C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe” “C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe”=“C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe:*:Enabled:hpqdia.exe” “C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe”=“C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe” “C:\Program Files\uTorrent\uTorrent.exe”=“C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:µTorrent” “C:\Program Files\SopCast\adv\SopAdver.exe”=“C:\Program Files\SopCast\adv\SopAdver.exe:*:Enabled:SopCast Adver” “C:\Program Files\SopCast\SopCast.exe”=“C:\Program Files\SopCast\SopCast.exe:*:Enabled:SopCast Main Application” “C:\Program Files\Foxit Software\PDF Editor\PDFEdit.exe”=“C:\Program Files\Foxit Software\PDF Editor\PDFEdit.exe:*:Disabled:Foxit PDF Editor, the first REAL editor for PDF files!” [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] “%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll ,-22019" Remaining Files : File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes : Sat 13 Jun 2009 104,425 …SHR — “C:\9dlvtiil.exe” Sat 13 Jun 2009 104,425 A.SHR — “C:!KillBox\olhrwef.exe” Sat 13 Jun 2009 88,064 …SHR — “C:\WINDOWS\system32\nmdfgds0.dll” Sat 13 Jun 2009 88,064 …SHR — “C:\WINDOWS\system32\nmdfgds1.dll” Sat 13 Jun 2009 104,425 …SHR — “C:\WINDOWS\system32\olhrwef.exe” Thu 14 Jun 2007 4,942,848 A…H. — “C:\Documents and Settings\Admin\Moje dokumenty~WRL0002.tmp” Tue 3 Oct 2006 50,280 …H. — “C:\Program Files\Common Files\Adobe\ESD\DLMCleanup.exe” Sun 27 Jan 2008 167,424 A…H. — “C:\Documents and Settings\Admin\Moje dokumenty\studia_porzednie semestry\3semestr\analiza ekonomiczna\wersty~WRL0002.tmp” Mon 28 Jan 2008 145,920 A…H. — “C:\Documents and Settings\Admin\Moje dokumenty\studia_porzednie semestry\3semestr\analiza ekonomiczna\wersty~WRL0003.tmp” Finished!
Co dalej?
Leon1
13 Czerwiec 2009 11:05
#2
Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 .uruchom dwuklikiem
pokaż log
Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy
Scoolony
13 Czerwiec 2009 18:20
#3
Wygląda na to, że wszystko ok
PS. da się jakoś sformatować tego zarażonego pendriva tak, żeby się znowu te wiry nie przyczepiły do kompa?
deFco247
13 Czerwiec 2009 18:23
#4
Daj log z usuwania Combofix. Nie jesteśmy pewni, czy wszystko zeszło.
Użyj jednego z tych narzędzi .
Leon1
13 Czerwiec 2009 19:27
#6
Log wygląda na czysty
Pobierz CCleaner http://www.filehippo.com/download_ccleaner/
przeskanuj nim i wyczyść rejestr.
zrób optymalizacje uruchamiania
http://cybertrash.netarteria.pl/cyber/i … 378.0.html
usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport
lub
Dr.WEB CureIt! http://dobreprogramy.pl/index.php?dz=2& … It!+4.44.5
