Scoolony
(Lukaszkuleczka)
13 Czerwiec 2009 10:33
#1
Witam.
Mam problem z wirem który dostał się do kompa przez pendrive’a.
Jeden z objawów jakie da się zaobserwować to taki, że gdy z poziomu Mojego Komputera otwieram poszczególne partycje, to otwierają się one w nowym oknie…
Znalazłem na forum żeby sprawdzić system SDFixem, log wygląda tak:
SDFix: Version 1.240 Run by Administrator on 2009-06-13 at 12:12 Microsoft Windows XP [Wersja 5.1.2600] Running From: C:\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : Trojan Files Found: C:\autorun.inf - Deleted Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-06-13 12:16:34 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden services & system hive … scanning hidden registry entries … [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] “AppInit_DLLs”="" “DeviceNotSelectedTimeout”=“15” “GDIProcessHandleQuota”=dword:00002710 “Spooler”=“yes” “swapdisk”="" “TransmissionRetryTimeout”=“90” “USERProcessHandleQuota”=dword:00002710 scanning hidden files … scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] “%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll ,-22019" “C:\Program Files\Nowe Gadu-Gadu\gg.exe”=“C:\Program Files\Nowe Gadu-Gadu\gg.exe:*:Enabled:Nowe Gadu-Gadu” “C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe”=“C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe” “C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe”=“C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe” “C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe”=“C:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe” “C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe”=“C:\Program Files\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe” “C:\Program Files\HP\Digital Imaging\bin\hposid01.exe”=“C:\Program Files\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe” “C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe”=“C:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe” “C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe”=“C:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe” “C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe”=“C:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe” “C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe”=“C:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe” “C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe”=“C:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe” “C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe”=“C:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe” “C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe”=“C:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe:*:Enabled:hpqdia.exe” “C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe”=“C:\Program Files\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe” “C:\Program Files\uTorrent\uTorrent.exe”=“C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:µTorrent” “C:\Program Files\SopCast\adv\SopAdver.exe”=“C:\Program Files\SopCast\adv\SopAdver.exe:*:Enabled:SopCast Adver” “C:\Program Files\SopCast\SopCast.exe”=“C:\Program Files\SopCast\SopCast.exe:*:Enabled:SopCast Main Application” “C:\Program Files\Foxit Software\PDF Editor\PDFEdit.exe”=“C:\Program Files\Foxit Software\PDF Editor\PDFEdit.exe:*:Disabled:Foxit PDF Editor, the first REAL editor for PDF files!” [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] “%windir%\system32\sessmgr.exe”="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll ,-22019" Remaining Files : File Backups: - C:\SDFix\backups\backups.zip Files with Hidden Attributes : Sat 13 Jun 2009 104,425 …SHR — “C:\9dlvtiil.exe” Sat 13 Jun 2009 104,425 A.SHR — “C:!KillBox\olhrwef.exe” Sat 13 Jun 2009 88,064 …SHR — “C:\WINDOWS\system32\nmdfgds0.dll” Sat 13 Jun 2009 88,064 …SHR — “C:\WINDOWS\system32\nmdfgds1.dll” Sat 13 Jun 2009 104,425 …SHR — “C:\WINDOWS\system32\olhrwef.exe” Thu 14 Jun 2007 4,942,848 A…H. — “C:\Documents and Settings\Admin\Moje dokumenty~WRL0002.tmp” Tue 3 Oct 2006 50,280 …H. — “C:\Program Files\Common Files\Adobe\ESD\DLMCleanup.exe” Sun 27 Jan 2008 167,424 A…H. — “C:\Documents and Settings\Admin\Moje dokumenty\studia_porzednie semestry\3semestr\analiza ekonomiczna\wersty~WRL0002.tmp” Mon 28 Jan 2008 145,920 A…H. — “C:\Documents and Settings\Admin\Moje dokumenty\studia_porzednie semestry\3semestr\analiza ekonomiczna\wersty~WRL0003.tmp” Finished!
Co dalej?
Leon1
(Leon$)
13 Czerwiec 2009 11:05
#2
Pobierz Combofix http://www.searchengines.pl/index.php?s … ntry395642 .uruchom dwuklikiem
pokaż log
Podczas pobierania i skanu Combofixem proszę wyłączyć wszelkie zapory i antywirusy
Scoolony
(Lukaszkuleczka)
13 Czerwiec 2009 18:20
#3
Wygląda na to, że wszystko ok pliki zniknęły i objawów już nie ma Także dzięki wielkie.
PS. da się jakoś sformatować tego zarażonego pendriva tak, żeby się znowu te wiry nie przyczepiły do kompa?
deFco247
(deFco247)
13 Czerwiec 2009 18:23
#4
Daj log z usuwania Combofix. Nie jesteśmy pewni, czy wszystko zeszło.
Użyj jednego z tych narzędzi .
Leon1
(Leon$)
13 Czerwiec 2009 19:27
#6
Log wygląda na czysty
Pobierz CCleaner http://www.filehippo.com/download_ccleaner/
przeskanuj nim i wyczyść rejestr.
zrób optymalizacje uruchamiania
http://cybertrash.netarteria.pl/cyber/i … 378.0.html
usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html gdy będą wirusy pokaż raport
lub
Dr.WEB CureIt! http://dobreprogramy.pl/index.php?dz=2& … It!+4.44.5