Problemy z wirusem


(Vapno666) #1

zrobiłem wczoraj reinstal sysa ale dziś to samo co było przed reinstalem

1) pytanie o hasło przy starcie sysa

2) ctfmon w autostarcie

3) proces mrofinu.exe z jakimiś cyframi i literami po mrofinu

4) moorhunt do którego pracy jest potrzebny net framework nie startuje pojawia sie tylko komunikat o źle zainicjowanym programie ten sam komunikat pojawia sie kiedu nie ma sie zainstalowanego net frameworka wienc prawdopodobnie wir coś przestawił

log combofix

http://wklej.org/txt/45824ea669


(huber2t) #2

Daj log z Hijackthis


(Vapno666) #3

hijack

http://wklej.org/txt/e6dd205d3c


(Leon$) #4

Brak ukośników w ścieżkach dostępu np,

w obydwu logach

popraw

:slight_smile:


(Vapno666) #5

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:12:18, on 2008-05-07

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\TGTSoft\StyleXP\StyleXP.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\WinRAR\WinRAR.exe

C:\DOCUME~1\xp\USTAWI~1\Temp\Rar$EX00.718\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O4 - HKLM..\Run: [skyTel] SkyTel.EXE

O4 - HKLM..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM..\Run: [nwiz] nwiz.exe /install

O4 - HKLM..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKUS\S-1-5-19..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS.DEFAULT..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: MoorHunt.lnk = C:\Program Files\MoorHunt\MoorHunt.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip..{BC2715BF-2A8C-4CF5-93F2-26EA08C81BB1}: NameServer = 194.204.152.34,217.98.63.164

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe

--

End of file - 2860 bytes


(huber2t) #6

W logu czysto

Pokaż log z combofix


(Vapno666) #7

ComboFix 08-05-01.3 - xp 2008-05-07 17:55:10.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.645 [GMT 2:00]

Running from: E:\ComboFix.exe

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED!!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\autorun.inf

C:\Documents and Settings\xp\Menu Start\Programy\Autostart\ctfmon.exe

C:\Recycled\Recycled

C:\Recycled\Recycled\ctfmon.exe

C:\WINDOWS\mrofinu1001186.exe

.

((((((((((((((((((((((((( Files Created from 2008-04-07 to 2008-05-07 )))))))))))))))))))))))))))))))

.

2008-05-07 08:00 . 2008-05-07 08:00

2008-05-06 20:40 . 2008-05-06 20:40

2008-05-06 20:24 . 2008-05-06 19:50 211 --ahs---- C:\BOOT.BKK

2008-05-06 20:23 . 2008-05-06 20:23

2008-05-06 20:23 . 2008-05-07 12:04

2008-05-06 20:20 . 2008-05-07 07:58

2008-05-06 20:17 . 2008-05-07 17:12 63,804 --a------ C:\WINDOWS\system32\nvapps.xml

2008-05-06 20:16 . 2008-05-07 07:58

2008-05-06 20:16 . 2006-06-01 11:22 208,896 --a------ C:\WINDOWS\system32\nvudisp.exe

2008-05-06 20:16 . 2006-06-01 11:22 16,960 --a------ C:\WINDOWS\system32\nvdisp.nvu

2008-05-06 20:15 . 2004-05-02 10:47 23,040 -ra------ C:\WINDOWS\system32\drivers\GVCplDrv.sys

2008-05-06 20:14 . 2008-05-06 20:14 0 --a------ C:\WINDOWS\nsreg.dat

2008-05-06 20:11 . 2008-05-06 20:11 13,646 --a------ C:\WINDOWS\system32\wpa.bak

2008-05-06 20:09 . 2006-04-14 14:00 208,896 --------- C:\WINDOWS\system32\nvuide.exe

2008-05-06 20:09 . 2006-02-20 13:00 1,570 --------- C:\WINDOWS\system32\nvide.nvu

2008-05-06 20:08 . 2008-05-06 20:08

2008-05-06 20:08 . 2008-05-06 20:08 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav

2008-05-06 20:08 . 2008-05-06 20:08 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav

2008-05-06 20:06 . 2008-05-06 20:07

2008-05-06 20:06 . 2008-05-06 20:06

2008-05-06 20:05 . 2008-05-06 20:05

2008-05-06 20:05 . 2008-05-06 20:06

2008-05-06 20:05 . 2008-05-06 20:05

2008-05-06 20:05 . 2008-03-19 18:26 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll

2008-05-06 20:05 . 2008-03-19 18:29 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll

2008-05-06 20:05 . 2005-03-09 15:53 43,008 --a------ C:\WINDOWS\system32\drivers\AmdK8.sys

2008-05-06 20:05 . 2004-11-18 10:42 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe

2008-05-06 20:04 . 2008-05-06 20:04

2008-05-06 20:01 . 2008-05-07 11:55

2008-05-06 20:01 . 2008-05-06 20:01

2008-05-06 20:01 . 2008-05-06 19:53

2008-05-06 20:01 . 2008-05-07 12:29

2008-05-06 20:01 . 2008-05-07 12:01

2008-05-06 20:01 . 2008-05-06 21:46

2008-05-06 20:01 . 2008-05-06 20:28

2008-05-06 20:01 . 2008-05-07 08:00

2008-05-06 20:01 . 2008-05-07 17:55 323,584 --ah----- C:\Documents and Settings\xp\ntuser.dat.LOG

2008-05-06 20:00 . 2008-05-06 20:00

2008-05-06 20:00 . 2008-05-07 17:55

2008-05-06 20:00 . 2008-05-06 20:00

2008-05-06 20:00 . 2008-05-06 20:00

2008-05-06 20:00 . 2008-05-06 20:00 8,192 --a------ C:\WINDOWS\REGLOCS.OLD

2008-05-06 20:00 . 2008-05-07 17:13 1,024 --ah----- C:\Documents and Settings\LocalService\ntuser.dat.LOG

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-05-06 17:57 --------- d-----w C:\Program Files\microsoft frontpage

2008-05-06 17:56 --------- d-----w C:\Program Files\Usługi online

.

------- Sigcheck -------

2006-03-02 14:00 1040896 680867971164a896f1222485180868bc C:\WINDOWS\explorer.exe

2006-03-02 14:00 1040896 7160d413cbda849ad26039a9ad370f1c C:\WINDOWS\system32\dllcache\explorer.exe

2006-03-02 14:00 22528 a8f147cd8289a0fab145b85f2b484c76 C:\WINDOWS\system32\ctfmon.exe

2006-03-02 14:00 22528 156292c357469f8acb2bae2a051e3ba8 C:\WINDOWS\system32\dllcache\ctfmon.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 14:00 22528]

"STYLEXP"="C:\Program Files\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 20:31 1372160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]

"RTHDCPL"="RTHDCPL.EXE" [2006-05-27 04:47 16208384 C:\WINDOWS\RTHDCPL.exe]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-01 11:22 7618560]

"nwiz"="nwiz.exe" [2006-06-01 11:22 1519616 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-06-01 11:22 86016]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 14:00 22528]

C:\Documents and Settings\xp\Menu Start\Programy\Autostart\

MoorHunt.lnk - C:\Program Files\MoorHunt\MoorHunt.exe [2008-05-06 20:23:10 3575808]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe"=

*Newly Created Service* - CATCHME

.

**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-05-07 17:55:49

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

detected NTDLL code modification:

ZwOpenFile

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-05-07 17:56:22

ComboFix-quarantined-files.txt 2008-05-07 15:56:14

Pre-Run: 11,006,279,680 bajtów wolnych

Post-Run: 11,030,454,272 bajtów wolnych

110


(Leon$) #8

Log wygląda na czysty

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

włącz przywracanie systemu

:slight_smile:


(Asterisk) #9

Proszę o zmiane tematu na konkretny oraz dostosowanie

się do tematuZasady wklejania logów na forum


(Vapno666) #10

sorry admini za błędy tytuł poprawiam znam zasady wklejania musiałem złamać bo mi na wklej org wycieło ukośniki

WIELKIE SORRY

W dniu 08.05.2008 , o godzinie 21:41 został dopisany post przez vapno

kav log

http://wklej.org/id/b47470664d


(Leon$) #11

Masz pecha w twoim systemie grasuje Virut masz zarażone wszystkie pliki systemowe exe

100% szczepionki na to nie ma

czeka cię format całego dysku nie wolno zostawić ,zgrać i tym podobne żadnych plików exe

możesz spróbować tym http://www.grisoft.com/ww.virus-removal.ndi-67762

:frowning:


(Vapno666) #12

mając tego wira zgrałem gre z obrazu na płyte przez nero jest na nich wir?

ten vir zakaża exy które otwieram a te zakażenie powstało przez skan