Problem z wirusem win32.Allaple. HELP!

Dla specjalistów Bezpieczeństwo
#1

Witam, mam spory problem z wirusem, ktory zaatakowal mi kompa. W ogole nie moge sobie z nim poradzic. Na dodatek, dosyc szybko rozsadza mi on system (niebieski ekran przy uruchamianiu :/). Kaspersky pokazal jak na razie tyle:

deleted: virus Net-Worm.Win32.Allaple.b	File: C:\WINDOWS\SYSTEM32\URDVXC.EXE

deleted: virus Net-Worm.Win32.Allaple.a	File: C:\WINDOWS\Web\tip.htm

deleted: virus Net-Worm.Win32.Allaple.a	File: C:\Program Files\WinRAR\Order.htm

deleted: virus Net-Worm.Win32.Allaple.b	File: C:\Program Files\WinRAR\hlnebjxh.exe

detected: virus Net-Worm.Win32.Allaple.a	File: C:\Documents and Settings\Sebastian\Ustawienia lokalne\Temporary Internet Files\Content.IE5\X72RVWF4\getmainbanner[1].htm

deleted: virus Net-Worm.Win32.Allaple.b	File: C:\WINDOWS\System32\.exe

deleted: virus Net-Worm.Win32.Allaple.a	File: C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab\AVP6\PdmHist\7f0.30214C6A01C74549.history\00000002.bak

Zaznaczam, ze ~2h temu musialem nowy system instalowac, bo stary sie w w/w sposob rozsypal. Niestety, g… to dalo oczywiscie. Gdy tylko zaczynam uzywac netu, to zaraz wyskakuja jakies bledy, komunikaty itp. i windows pada w ciagu paru godzin. Log z hijacka:

Logfile of HijackThis v1.99.1

Scan saved at 16:21:49, on 2007-01-31

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\sstray.exe

C:\Program Files\Creative\Desktop Wireless\mouse_2k.exe

C:\Program Files\Creative\Desktop Wireless\kb_2k.exe

C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Logitech\SetPoint\SetPoint.exe

C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Deluxe Ski Jump 3\DSJ3.exe

C:\Documents and Settings\Sebastian\Pulpit\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [CreativeMouse] C:\Program Files\Creative\Desktop Wireless\mouse_2k.exe

O4 - HKLM\..\Run: [CreativeKeyboard] C:\Program Files\Creative\Desktop Wireless\kb_2k.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_10\bin\jusched.exe"

O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\npjpi150_10.dll

O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Prosilbym bardzo o pilna pomoc, bo mam wrazenie, ze w krotkim czasie windows znowu sie zwali, a ja chyba wywale kompa przez okno. Jak sie pozbyc tego bydlaka ?

#2

Log czysty.

Wrzuć log z ComboFix. Aby zrobić w nim log należy go uruchomić => nacisnąć klawisz Y => czekać cierpliwie i log powinien być w formie pliku .txt o nazwie combofix na partycji C.

#3

OK, oto log z Combofixa:

Złączono Posty : 31.01.2007 (Sro) 18:08

Mały update:

Kaspersky znalazl przed chwila 301 infekcji: Allaple.a oraz Allaple.b plus jeden backdoor Trojan. To sie rozmnaza jak kroliki. Czy ktos ma pomysl jak to powstrzymac ? Przegladlem kilka watkow dot. tego wirusa, ale nie znalazlem tam jednoznacznej odp. jak sobie poradzic z tym paskudztwem :confused:

#4

Skan AVG Anti-Spyware 7.5 po update i po tym skanie wrzuć raport :wink:

Użyj Windows Worms Doors Cleanera zmień znaczki z disable na enable. Po użyciu tego narzędzia wymagany jest reset sysa.