zrobiłem wczoraj reinstal sysa ale dziś to samo co było przed reinstalem
pytanie o hasło przy starcie sysa
ctfmon w autostarcie
proces mrofinu.exe z jakimiś cyframi i literami po mrofinu
moorhunt do którego pracy jest potrzebny net framework nie startuje pojawia sie tylko komunikat o źle zainicjowanym programie ten sam komunikat pojawia sie kiedu nie ma sie zainstalowanego net frameworka wienc prawdopodobnie wir coś przestawił
log combofix
Daj log z Hijackthis
Brak ukośników w ścieżkach dostępu np,
w obydwu logach
popraw
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:12:18, on 2008-05-07
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\xp\USTAWI~1\Temp\Rar$EX00.718\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O4 - HKLM…\Run: [skyTel] SkyTel.EXE
O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [sTYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA LOKALNA’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O4 - Startup: MoorHunt.lnk = C:\Program Files\MoorHunt\MoorHunt.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip…{BC2715BF-2A8C-4CF5-93F2-26EA08C81BB1}: NameServer = 194.204.152.34,217.98.63.164
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
–
End of file - 2860 bytes
W logu czysto
Pokaż log z combofix
ComboFix 08-05-01.3 - xp 2008-05-07 17:55:10.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1045.18.645 [GMT 2:00]
Running from: E:\ComboFix.exe
* Created a new restore point
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
C:\Documents and Settings\xp\Menu Start\Programy\Autostart\ctfmon.exe
C:\Recycled\Recycled
C:\Recycled\Recycled\ctfmon.exe
C:\WINDOWS\mrofinu1001186.exe
.
((((((((((((((((((((((((( Files Created from 2008-04-07 to 2008-05-07 )))))))))))))))))))))))))))))))
.
2008-05-07 08:00 . 2008-05-07 08:00
2008-05-06 20:40 . 2008-05-06 20:40
2008-05-06 20:24 . 2008-05-06 19:50 211 --ahs---- C:\BOOT.BKK
2008-05-06 20:23 . 2008-05-06 20:23
2008-05-06 20:23 . 2008-05-07 12:04
2008-05-06 20:20 . 2008-05-07 07:58
2008-05-06 20:17 . 2008-05-07 17:12 63,804 --a------ C:\WINDOWS\system32\nvapps.xml
2008-05-06 20:16 . 2008-05-07 07:58
2008-05-06 20:16 . 2006-06-01 11:22 208,896 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-05-06 20:16 . 2006-06-01 11:22 16,960 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-05-06 20:15 . 2004-05-02 10:47 23,040 -ra------ C:\WINDOWS\system32\drivers\GVCplDrv.sys
2008-05-06 20:14 . 2008-05-06 20:14 0 --a------ C:\WINDOWS\nsreg.dat
2008-05-06 20:11 . 2008-05-06 20:11 13,646 --a------ C:\WINDOWS\system32\wpa.bak
2008-05-06 20:09 . 2006-04-14 14:00 208,896 --------- C:\WINDOWS\system32\nvuide.exe
2008-05-06 20:09 . 2006-02-20 13:00 1,570 --------- C:\WINDOWS\system32\nvide.nvu
2008-05-06 20:08 . 2008-05-06 20:08
2008-05-06 20:08 . 2008-05-06 20:08 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2008-05-06 20:08 . 2008-05-06 20:08 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav
2008-05-06 20:06 . 2008-05-06 20:07
2008-05-06 20:06 . 2008-05-06 20:06
2008-05-06 20:05 . 2008-05-06 20:05
2008-05-06 20:05 . 2008-05-06 20:06
2008-05-06 20:05 . 2008-05-06 20:05
2008-05-06 20:05 . 2008-03-19 18:26 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-05-06 20:05 . 2008-03-19 18:29 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-05-06 20:05 . 2005-03-09 15:53 43,008 --a------ C:\WINDOWS\system32\drivers\AmdK8.sys
2008-05-06 20:05 . 2004-11-18 10:42 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-05-06 20:04 . 2008-05-06 20:04
2008-05-06 20:01 . 2008-05-07 11:55
2008-05-06 20:01 . 2008-05-06 20:01
2008-05-06 20:01 . 2008-05-06 19:53
2008-05-06 20:01 . 2008-05-07 12:29
2008-05-06 20:01 . 2008-05-07 12:01
2008-05-06 20:01 . 2008-05-06 21:46
2008-05-06 20:01 . 2008-05-06 20:28
2008-05-06 20:01 . 2008-05-07 08:00
2008-05-06 20:01 . 2008-05-07 17:55 323,584 --ah----- C:\Documents and Settings\xp\ntuser.dat.LOG
2008-05-06 20:00 . 2008-05-06 20:00
2008-05-06 20:00 . 2008-05-07 17:55
2008-05-06 20:00 . 2008-05-06 20:00
2008-05-06 20:00 . 2008-05-06 20:00
2008-05-06 20:00 . 2008-05-06 20:00 8,192 --a------ C:\WINDOWS\REGLOCS.OLD
2008-05-06 20:00 . 2008-05-07 17:13 1,024 --ah----- C:\Documents and Settings\LocalService\ntuser.dat.LOG
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-06 17:57 --------- d-----w C:\Program Files\microsoft frontpage
2008-05-06 17:56 --------- d-----w C:\Program Files\Usługi online
.
------- Sigcheck -------
2006-03-02 14:00 1040896 680867971164a896f1222485180868bc C:\WINDOWS\explorer.exe
2006-03-02 14:00 1040896 7160d413cbda849ad26039a9ad370f1c C:\WINDOWS\system32\dllcache\explorer.exe
2006-03-02 14:00 22528 a8f147cd8289a0fab145b85f2b484c76 C:\WINDOWS\system32\ctfmon.exe
2006-03-02 14:00 22528 156292c357469f8acb2bae2a051e3ba8 C:\WINDOWS\system32\dllcache\ctfmon.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2006-03-02 14:00 22528]
“STYLEXP”=“C:\Program Files\TGTSoft\StyleXP\StyleXP.exe” [2006-05-24 20:31 1372160]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“SkyTel”=“SkyTel.EXE” [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
“RTHDCPL”=“RTHDCPL.EXE” [2006-05-27 04:47 16208384 C:\WINDOWS\RTHDCPL.exe]
“NvCplDaemon”=“C:\WINDOWS\system32\NvCpl.dll” [2006-06-01 11:22 7618560]
“nwiz”=“nwiz.exe” [2006-06-01 11:22 1519616 C:\WINDOWS\system32\nwiz.exe]
“NvMediaCenter”=“C:\WINDOWS\system32\NvMcTray.dll” [2006-06-01 11:22 86016]
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2006-03-02 14:00 22528]
C:\Documents and Settings\xp\Menu Start\Programy\Autostart\
MoorHunt.lnk - C:\Program Files\MoorHunt\MoorHunt.exe [2008-05-06 20:23:10 3575808]
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\system32\sessmgr.exe”=
*Newly Created Service* - CATCHME
.
**************************************************************************
catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-07 17:55:49
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
detected NTDLL code modification:
ZwOpenFile
scanning hidden processes …
scanning hidden autostart entries …
scanning hidden files …
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-05-07 17:56:22
ComboFix-quarantined-files.txt 2008-05-07 15:56:14
Pre-Run: 11,006,279,680 bajtów wolnych
Post-Run: 11,030,454,272 bajtów wolnych
110
Log wygląda na czysty
zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html
usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.
Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE
włącz przywracanie systemu
sorry admini za błędy tytuł poprawiam znam zasady wklejania musiałem złamać bo mi na wklej org wycieło ukośniki
WIELKIE SORRY
W dniu 08.05.2008 , o godzinie 21:41 został dopisany post przez vapno
kav log
Masz pecha w twoim systemie grasuje Virut masz zarażone wszystkie pliki systemowe exe
100% szczepionki na to nie ma
czeka cię format całego dysku nie wolno zostawić ,zgrać i tym podobne żadnych plików exe
http://www.searchengines.pl/VirusWin32Virutn-t102286.html
możesz spróbować tym http://www.grisoft.com/ww.virus-removal.ndi-67762
mając tego wira zgrałem gre z obrazu na płyte przez nero jest na nich wir?
ten vir zakaża exy które otwieram a te zakażenie powstało przez skan