Problem z zainfekowanymi plikami (fun.xls.exe, autorun.inf)


(Sen Sej) #1

witam

mam problem z wirusami na moim komputerze. program AVAST ciagle wykrywa zainfekowane pliki: "fun.xls.exe", "autorun.inf". po ich usunieciu i restarcie komputera jest spokoj na jakis czas. przy kolejnym uruchomieniu komputera, tak za 2-3 razem, AVAST ponownie wykrywa ww pliki. logi z programow Combofix i Hijackthis:

Combofix - http://wklej.org/id/48693/txt

Hijackthis - http://wklej.org/id/48695/txt

bardzo prosze o pomoc :slight_smile:


(Kambor4) #2

Wklej do Notatnika :

File::

C:\fun.xls.exe

D:\fun.xls.exe

c:\windows\system32\msime82.exe

c:\windows\system32\dsord.dll


Driver::

ktviynptq


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4f835f20-5ff0-11dd-9b6a-00023fbce8aa}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6dc9cc20-4c40-11dd-9b39-00023fbce8aa}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6dc9cc21-4c40-11dd-9b39-00023fbce8aa}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72712d82-a527-11dd-9ca4-00023fbce8aa}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{91f4bef1-9f8e-11dd-9c8e-00023fbce8aa}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{96bf7b30-4e74-11dd-9b45-00023fbce8aa}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f9e3f40-3b94-11dd-9adc-00023fbce8aa}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f9e3f41-3b94-11dd-9adc-00023fbce8aa}]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ktviynptq]

>>Plik>>Zapisz jako... >>> CFScript

Przeci膮gnij i upu艣膰 plik CFScript.txt na plik ComboFix.exe

-->CFScript-8a-4.gif

Ma si臋 rozpocz膮膰 usuwanie. (i powstanie log).Daj ten log, kt贸ry powstanie w trakcie usuwania.

Je艣li p贸jdzie dobrze, to: Po restarcie usu艅 r臋cznie folder C:**** Qoobox.

U偶yj (w Trybie Awaryjnym)--SDFix. (ni偶ej na stronie linku).

Poka偶 Report.txt znajduj膮cy si臋 w folderze SDFix.

============

K.


(Karol Drozdowski) #3
File::

C:\fun.xls.exe

c:\windows\system32\ff_vfw.dll

c:\windows\system32\dsord.dll


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4f835f20-5ff0-11dd-9b6a-00023fbce8aa}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6dc9cc20-4c40-11dd-9b39-00023fbce8aa}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6dc9cc21-4c40-11dd-9b39-00023fbce8aa}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{72712d82-a527-11dd-9ca4-00023fbce8aa}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{91f4bef1-9f8e-11dd-9c8e-00023fbce8aa}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{96bf7b30-4e74-11dd-9b45-00023fbce8aa}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f9e3f40-3b94-11dd-9adc-00023fbce8aa}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9f9e3f41-3b94-11dd-9adc-00023fbce8aa}]

Plik zapisz jako CFScript i przeci膮gnij na combofixa tak jak tu na obrazku

cfscript10uc2.gif

Po usuwaniu powinien powsta膰 log Daj ten log

Je艣li p贸jdzie dobrze, to: Po restarcie usu艅 r臋cznie folder C:\Qoobox.


(ybu) #4

drozd001 - Nie obra藕 si臋,ale wydaje mi si臋,偶e nauka interpretacji log贸w i udzielanie porad z tego wynikaj膮cych nie powinna si臋 odbywa膰 na forum bo mo偶na zrobi膰 komu艣 krzywd臋.Wielu pocz膮tkuj膮cych

u偶ytkownik贸w forum "na 艣lepo" wykonuje zalecenia wierz膮c w kwalifikacje udzielaj膮cego porady.

Mo偶na przecie偶 doskonali膰 swoje umiej臋tno艣ci tworz膮c skrypt i por贸wnywa膰 go potem z tym co robi膮

"oblatani" w temacie (a jest ich tu kilku).Dopiero po nabraniu do艣wiadczenia mo偶na zdecydowa膰 si臋 na pomaganie innym(w tym delikatnym temacie).

P.S. Widz臋,偶e poprawi艂e艣 sw贸j skrypt.

P.S2. W innym temacie poda艂e艣 skrypt zawieraj膮cy usuwanie sterownik贸w HP,ale na szcz臋艣cie wycofa艂e艣 ca艂y post.


(Sen Sej) #5

zeby nie ryzykowac skorzystalem z instrukcji djarta :wink:

logi z programow Combofix i SDFix:

Combofix - http://wklej.org/id/49169/txt

SDFix - http://wklej.org/id/49170/txt

co dalej?


(huber2t) #6

W logu nic nie widz臋

usu艅 r臋cznie folder C:\Qoobox , usu艅 instalk臋 Combofix z dysku.

Przeczy艣膰 system Ccleanerem

Wykonaj optymalizacj臋 autostartu

Wy艂膮cz i w艂膮cz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar ca艂ego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum


(Sen Sej) #7

komputer przeskanowalem programem Kaspersky Virus Removal Tool. ten online cos mi nie dzialal. KVRT znalazl wirusa.

wirusot0.th.jpg

raport z programu: http://wklej.org/id/49587/txt

jak go skutecznie usunac?


(Kambor4) #8

Usun膮艂e艣 go czy zostawi艂e艣.?

================

K.


(Sen Sej) #9

juz jest ok :slight_smile: dzieki za pomoc


(Capi10) #10

ComboFix 09-06-28.02 - Administrator 2009-06-29 13:09.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.511.231 [GMT 2:00]

Uruchomiony z: c:\documents and settings\Administrator\Pulpit\ComboFix.exe

U偶yto nast臋puj膮cych komend :: c:\documents and settings\Administrator\Pulpit\CFScript.txt

AV: avast! antivirus 4.7.986 [VPS 000734-2] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

((((((((((((((((((((((((((((((((((((((( Usuni臋to )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\fun.xls.exe

c:\program files\Mozilla Firefox\plugins\NPMyGlSh.dll

c:\program files\myglobalsearch

c:\program files\myglobalsearch\bar\1.bin\M9FFXTBR.JAR

c:\program files\myglobalsearch\bar\1.bin\M9FFXTBR.MANIFEST

c:\program files\myglobalsearch\bar\1.bin\M9NTSTBR.JAR

c:\program files\myglobalsearch\bar\1.bin\M9NTSTBR.MANIFEST

c:\program files\myglobalsearch\bar\1.bin\M9PLUGIN.DLL

c:\program files\myglobalsearch\bar\1.bin\MGSBAR.DLL

c:\program files\myglobalsearch\bar\1.bin\NPMYGLSH.DLL

c:\program files\myglobalsearch\bar\Cache\000FC904

c:\program files\myglobalsearch\bar\Cache\0010696A.bin

c:\program files\myglobalsearch\bar\Cache\0010BB72.bin

c:\program files\myglobalsearch\bar\Cache\00110C70.bin

c:\program files\myglobalsearch\bar\Cache\files.ini

c:\program files\myglobalsearch\bar\History\search

c:\program files\myglobalsearch\bar\Settings\prevcfg.htm

c:\windows\system32\algsrvs.exe

c:\windows\system32\explorer.exe

c:\windows\system32\msfun80.exe

c:\windows\system32\msime82.exe

c:\windows\system32\nmdfgds1.dll

c:\windows\ufdata2000.log

D:\Autorun.inf

D:\fun.xls.exe

.

((((((((((((((((((((((((( Pliki utworzone od 2009-05-28 do 2009-06-29 )))))))))))))))))))))))))))))))

.

2009-06-29 10:58 . 2009-06-29 10:58 395776 ----a-w- c:\windows\system32\CF18007.exe

2009-06-29 10:54 . 2009-06-29 10:54 -------- d-----w- C:\32788R22FWJFW.0.tmp

2009-06-29 10:27 . 2007-04-18 16:10 23416 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2009-06-29 10:27 . 2007-04-18 16:09 43176 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2009-06-29 10:27 . 2007-04-18 16:07 26888 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2009-06-29 10:27 . 2007-04-18 16:12 85952 ----a-w- c:\windows\system32\drivers\aswmon.sys

2009-06-29 10:27 . 2007-04-18 16:12 94552 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2009-06-29 10:27 . 2007-04-18 16:06 90112 ----a-w- c:\windows\system32\AvastSS.scr

2009-06-29 10:27 . 2007-04-18 16:16 733824 ----a-w- c:\windows\system32\aswBoot.exe

2009-06-27 15:11 . 2009-06-27 15:11 -------- d-----w- c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\ACDSee

2009-06-27 15:11 . 2009-06-27 15:11 -------- d-----w- c:\documents and settings\Administrator\Dane aplikacji\ACD Systems

2009-06-27 15:09 . 2009-06-27 15:09 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ACD Systems

2009-06-27 15:09 . 2009-06-27 15:09 -------- d-----w- c:\program files\Common Files\ACD Systems

2009-06-27 15:09 . 2009-06-27 15:09 -------- d-----w- c:\program files\ACD Systems

2009-06-27 15:09 . 2009-06-27 15:09 -------- d-----w- c:\windows\Downloaded Installations

2009-06-26 18:22 . 2004-08-03 21:08 31616 -c--a-w- c:\windows\system32\dllcache\usbccgp.sys

2009-06-26 18:22 . 2004-08-03 21:08 31616 ----a-w- c:\windows\system32\drivers\usbccgp.sys

2009-06-15 17:47 . 2009-06-15 17:47 -------- d-----w- c:\program files\Photo!

2009-06-09 14:06 . 2009-06-09 14:06 -------- d-----w- c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\Native Instruments

2009-06-09 14:05 . 2009-06-09 14:06 -------- d-----w- c:\program files\Native Instruments

2009-06-07 15:25 . 2009-06-07 15:25 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\313D8

2009-06-06 17:43 . 2009-06-09 11:32 -------- d-----w- c:\program files\BearShare Applications

2009-06-06 16:42 . 2009-06-06 17:16 -------- d-----w- c:\program files\BearShare

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-06-29 10:27 . 2009-05-11 13:08 -------- d-----w- c:\program files\Alwil Software

2009-06-29 09:47 . 2009-04-09 10:21 -------- d-----w- c:\documents and settings\Administrator\Dane aplikacji\Winamp

2009-06-14 07:33 . 2009-04-09 10:49 -------- d-----w- c:\documents and settings\Administrator\Dane aplikacji\Nowe Gadu-Gadu

2009-06-12 13:12 . 2009-04-09 09:51 -------- d-----w- c:\program files\Google

2009-05-27 11:07 . 2009-04-09 11:59 -------- d-----w- c:\program files\Lexmark X1100 Series

2009-05-25 13:36 . 2009-04-15 13:35 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Microsoft Help

2009-05-14 11:42 . 2009-05-01 07:51 -------- d-----w- c:\program files\Common Files\Adobe

2009-05-12 14:20 . 2009-05-12 14:20 -------- d-----w- c:\program files\Kaspersky Lab

2009-05-06 16:31 . 2009-04-09 12:12 -------- d-----w- c:\program files\PhotoScape

2009-05-01 07:51 . 2009-05-01 07:51 -------- d-----w- c:\documents and settings\Administrator\Dane aplikacji\InterTrust

2009-04-30 14:02 . 2009-04-30 14:02 -------- d-----w- c:\program files\Rym贸wka 1.0

2009-04-15 16:19 . 2009-04-09 10:01 43752 ----a-w- c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-04-11 10:44 . 2009-04-09 09:43 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat

2009-04-09 10:46 . 2001-10-26 18:15 67078 ----a-w- c:\windows\system32\perfc015.dat

2009-04-09 10:46 . 2001-10-26 18:15 435978 ----a-w- c:\windows\system32\perfh015.dat

2009-04-09 10:01 . 2009-04-09 10:01 138 ----a-w- c:\documents and settings\Administrator\Ustawienia lokalne\Dane aplikacji\fusioncache.dat

2009-04-09 09:52 . 2009-04-09 09:52 0 ----a-w- c:\windows\nsreg.dat

2009-04-09 09:41 . 2009-04-09 09:41 21856 ----a-w- c:\windows\system32\emptyregdb.dat

.

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domy艣lne, prawid艂owe wpisy nie s膮 pokazane

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-12 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]

"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-03-23 888832]

"WinampAgent"="c:\program files\Winamp\winampa.exe" [2009-03-09 37888]

"Lexmark X1100 Series"="c:\program files\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-18 75392]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2005-12-19 15797248]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\

Catalyst System Tray.lnk - c:\program files\ATI Technologies\ATI.ACE\CLI.exe [2005-8-12 45056]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

"c:\Program Files\Nowe Gadu-Gadu\gg.exe"=

--- Inne Us艂ugi/Sterowniki w Pami臋ci ---

*NewlyCreated* - ASWUPDSV

*NewlyCreated* - AVAST!_MAIL_SCANNER

*NewlyCreated* - AVAST!_WEB_SCANNER

.

  • USUNI臉TO PUSTE WPISY - - - -

HKCU-Run-wsctf.exe - wsctf.exe

HKLM-Run-BearShare - c:\program files\BearShare\BearShare.exe

HKLM-Run-IMJPMIG8.2 - msime82.exe

HKLM-Run-Device Detector - DevDetect.exe

.

------- Skan uzupe艂niaj膮cy -------

.

uStart Page = hxxp://google.bearshare.com/pl/

uSearch Page = hxxp://www.google.com

uDefault_Search_URL = hxxp://www.google.com/ie

uSearch Bar = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

TCP: {DFB10FF8-21A2-4868-99FD-181918EB8F79} = 80.240.162.70 80.240.162.114

FF - ProfilePath - c:\documents and settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\y7kh50ml.default\

FF - prefs.js: browser.startup.homepage - hxxp://nasza-klasa.pl/

FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-06-29 13:11

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych proces贸w ...

skanowanie ukrytych wpis贸w autostartu ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

IMJPMIG8.2 = msime82.exe???.

skanowanie ukrytych plik贸w ...

skanowanie pomy艣lnie uko艅czone

ukryte pliki: 0

**************************************************************************

.

--------------------- Pliki DLL 艂adowane pod uruchomionymi procesami ---------------------

  • > 'winlogon.exe'(664)

c:\windows\system32\Ati2evxx.dll

.

Czas uko艅czenia: 2009-06-29 13:12

ComboFix-quarantined-files.txt 2009-06-29 11:12

Przed: 6聽479聽298聽560 bajt贸w wolnych

Po: 7聽267聽868聽672 bajt贸w wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

159

i co dalej ?