Problem z wirusem

knorr · 8 Grudzień 2007 15:40

Witam.

Mam problem z wirusem Adware-Gen.Zainfekował on pliki:

Lokalizacja oryginalna:

C:\System Volume Information_restore{A9A492DA-C1BD-4856-916B-5BODF8D767A6}…

C:\Program Files\Save

C:\System Volume Information_restore{A9A492DA-C1BD-4856-916B-5BODF8D767A6}…

C:\Documents and Settings\Ja\Ustawienia lokalne\Temp

Ta lokalizacja np.C:\Program Files\Save, powtarzają się lecz nazwa pliku jest inna.

Kilka godzin przed wykryciem tych wirusów wyskoczył mi tryb awaryjny więc go włączyłem,zablokowałem mu wszystkie drogi ucieczki zmieniając disable na enable, nie wiem co dalej robić…Proszę o pomoc

Z góry dziękuję

Gutek · 8 Grudzień 2007 17:03

Prawoklik na Mój Komputer>>Przywracanie systemu>> wyłącz przywracanie systemu na wszystkich dyskach.

C:\Program Files\Save folder usuń ręcznie w trybie awaryjnym. daj zestaw logów z HJT + Silenta - http://forum.dobreprogramy.pl/viewtopic.php?t=36654

knorr · 9 Grudzień 2007 10:47

Kliknąłem prawym przyciskiem myszy na Mój Komputer, lecz nie było tam Przywracanie systemu. Gdzie mogę to znaleźć??

Faenor · 9 Grudzień 2007 10:52

Prawym klikasz na Mój Komputer>Właściwości>Przywracanie systemu >>wyłącz przywracanie systemu na wszystkich dyskach.

I oczywscie daj logi, o ktorych Gutek2222 wspomnial.

knorr · 9 Grudzień 2007 13:46

Aha, Wielkie Dzięki

Złączono Posta : 09.12.2007 (Nie) 15:55

oto mój log:

Logfile of HijackThis v1.99.1 Scan saved at 15:53, on 2007-12-09 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Winamp\winampa.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\Alwil Software\Avast4\ashSimpl.exe C:\Documents and Settings\Ja\Ustawienia lokalne\Temp\Katalog tymczasowy 3 dla hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM…\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKLM…\Run: [bearShare] “C:\Program Files\BearShare\BearShare.exe” /pause O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [MSMSGS] “C:\Program Files\Messenger\msmsgs.exe” /background O4 - HKCU…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU…\Run: [Gadu-Gadu] “D:\Gadu-Gadu\gg.exe” /tray O4 - HKCU…\Run: [WhenUSave] “C:\Program Files\Save\Save.exe” O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Gutek · 9 Grudzień 2007 15:29

miałeś usunąć folder

Daj log z ComboFix

knorr · 9 Grudzień 2007 16:46

usunąłem już ten folder

log z Combofix:

1. ComboFix 07-12-08.1 - Ja 2007-12-09 17:43:24.3 - FAT32x86 2. Microsoft Windows XP Professional 5.1.2600.0.1250.1.1045.18.611 [GMT 1:00] 3. Running from: C:\Documents and Settings\Ja\Pulpit\ComboFix.exe 4. . 5. 6. ((((((((((((((((((((((((( Files Created from 2007-11-09 to 2007-12-09 ))))))))))))))))))))))))))))))) 7. . 8. 9. 2007-12-09 11:51 . 2007-12-09 11:51 10. 2007-12-09 11:49 . 2007-12-09 11:49 11. 2007-12-09 11:48 . 2007-12-09 11:48 12. 2007-12-08 11:53 . 2007-12-08 11:53 13. 2007-12-08 11:49 . 2007-12-08 11:49 14. 2007-12-08 10:05 . 2007-12-08 10:05 15. 2007-12-08 09:09 . 2007-10-12 15:143,734,536–a------C:\WINDOWS\system32\d3dx9_36.dll 16. 17. . 18. (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) 19. . 20. 2007-12-08 07:59---------d-----wC:\Program Files\BearShare 21. 2007-12-08 07:51---------d-----wC:\Documents and Settings\Ja\Dane aplikacji\Gadu-Gadu 22. 2007-12-08 07:46---------d-----wC:\Program Files\Vplayer 23. 2007-12-08 07:40---------d-----wC:\Program Files\Common Files\InstallShield 24. 2007-12-08 07:32---------d-----wC:\Program Files\microsoft frontpage 25. 2007-12-08 07:27---------d-----wC:\Program Files\Usługi online 26. 2007-12-04 14:5693,264----a-wC:\WINDOWS\system32\drivers\aswmon.sys 27. 2007-12-04 14:5594,544----a-wC:\WINDOWS\system32\drivers\aswmon2.sys 28. 2007-12-04 14:5323,152----a-wC:\WINDOWS\system32\drivers\aswRdr.sys 29. 2007-12-04 14:5142,912----a-wC:\WINDOWS\system32\drivers\aswTdi.sys 30. 2007-12-04 14:4926,624----a-wC:\WINDOWS\system32\drivers\aavmker4.sys 31. 2007-12-04 13:04837,496----a-wC:\WINDOWS\system32\aswBoot.exe 32. 2007-12-04 12:5495,608----a-wC:\WINDOWS\system32\AvastSS.scr 33. 2007-10-22 02:39267,272----a-wC:\WINDOWS\system32\xactengine2_10.dll 34. 2007-10-22 02:3717,928----a-wC:\WINDOWS\system32\X3DAudio1_2.dll 35. 2007-10-12 14:141,374,232----a-wC:\WINDOWS\system32\D3DCompiler_36.dll 36. 2007-10-02 08:56444,776----a-wC:\WINDOWS\system32\d3dx10_36.dll 37. . 38. 39. ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) 40. . 41. . 42. *Note* empty entries & legit default entries are not shown 43. REGEDIT4 44. 45. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 46. “CTFMON.EXE”=“C:\WINDOWS\System32\ctfmon.exe” [2001-10-26 17:29] 47. “MSMSGS”=“C:\Program Files\Messenger\msmsgs.exe” [2001-08-02 07:14] 48. “NvMediaCenter”=“RUNDLL32.exe” [2001-10-26 17:30 C:\WINDOWS\system32\rundll32.exe] 49. “Gadu-Gadu”=“D:\Gadu-Gadu\gg.exe” [2007-07-09 09:39] 50. 51. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 52. “NvCplDaemon”=“RUNDLL32.exe” [2001-10-26 17:30 C:\WINDOWS\system32\rundll32.exe] 53. “nwiz”=“nwiz.exe” [2003-07-28 14:19 C:\WINDOWS\system32\nwiz.exe] 54. “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2007-12-04 14:00] 55. “WinampAgent”=“C:\Program Files\Winamp\winampa.exe” [2006-09-26 15:49] 56. “BearShare”=“C:\Program Files\BearShare\BearShare.exe” [2005-02-28 11:01] 57. 58. [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 59. “CTFMON.EXE”=“C:\WINDOWS\System32\CTFMON.EXE” [2001-10-26 17:29] 60. 61. S3 AC2003;AC2003;C:\WINDOWS\System32\Drivers\AC2003.sys 62. 63. . 64. ************************************************************************** 65. 66. catchme 0.3.1331 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net 67. Rootkit scan 2007-12-09 17:43:51 68. Windows 5.1.2600 FAT NTAPI 69. 70. scanning hidden processes … 71. 72. scanning hidden autostart entries … 73. 74. scanning hidden files … 75. 76. scan completed successfully 77. hidden files: 0 78. 79. ************************************************************************** 80. . 81. Completion time: 2007-12-09 17:44:10 82. . 83. — E O F — 84.

Gutek · 9 Grudzień 2007 23:13

Powinno być Ok

knorr · 10 Grudzień 2007 07:08

Mam jeszcze jedno pytanie. Te 4 pliki np.

C:\System Volume Information_restore{A9A492DA-C1BD-4856-916B-5BODF8D767A6}…

Znajdują się kwarantannie, usunąć je, czy zostawić?

dashmen · 10 Grudzień 2007 08:01

to są pliki przywracania chyba systemu, wiec możesz to usunąć. Bo przecież wyłączyłeś przywracanie systemu to są one już do niczego nie potrzebne.

Gutek · 10 Grudzień 2007 16:21

Śmiało je usuń

knorr · 12 Grudzień 2007 13:19

Aha, bardzo dziękuje wam za pomoc.