Witam, mam taki problem jak nie pewnie pierwsza osoba przy próbie pobrania czegoś trafiłem na pewnego wirusa w postaci komunikatu policyjnego. Chodzi tu o to, że przy podłączeniu się do internetu, blokuje mi się pulpit a na screen wyskakuje komunikat, że niby złamałem jakieś prawa i muszę zapłacić 300 zł za to. Combofix niby miał sobie poradzić lecz działa on jednorazowo na włączenie komputera, przy wyłączeniu i ponownym włączeniu problem pojawia się ponownie. Wrzucam dodatkowo log combofix:
ComboFix 12-11-28.02 - Krajek 2012-11-28 18:11:27.3.2 - x86
Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.1790.972 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Krajek\Pulpit\ComboFix.exe
AV: Avira Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA
.
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
c:\documents and settings\All Users\Dane aplikacji\lsass.exe
c:\documents and settings\Krajek\wgsdgsdgdsgsd.exe
c:\windows\DPINST.LOG
c:\windows\system32\msconfig.exe
c:\windows\system32\Updater
c:\windows\system32\Updater\gpup.exe
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
.
c:\windows\system32\midimap.dll . . . jest zainfekowany!!
.
c:\windows\system32\CTFMON.EXE . . . jest zainfekowany!!
.
.
((((((((((((((((((((((((( Pliki utworzone od 2012-10-28 do 2012-11-28 )))))))))))))))))))))))))))))))
.
.
2012-11-28 16:40 . 2012-11-28 16:40 -------- d-----w- c:\documents and settings\Administrator
2012-11-26 20:51 . 2012-11-26 23:48 -------- d-----w- c:\documents and settings\NetworkService\Dane aplikacji\Notepad++
2012-10-30 21:55 . 2012-10-30 21:55 -------- d-----w- c:\program files\Tibiacast
2012-10-30 21:10 . 2012-10-30 21:10 -------- d-----r- c:\documents and settings\LocalService\Moje dokumenty
.
.
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-01 15:14 . 2012-10-02 16:54 134184 ----a-w- c:\windows\system32\drivers\avipbb.sys
2012-09-24 07:58 . 2012-10-02 16:54 36552 ----a-w- c:\windows\system32\drivers\avkmgr.sys
2012-09-13 08:58 . 2012-10-02 16:54 83792 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2012-11-01 13:05 . 2012-11-01 13:04 261600 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
------- Sigcheck -------
Note: Unsigned files aren’t necessarily malware.
.
[-] 2010-01-17 . 1F39C7BDBA4C5F3F01C4EABF7EDBF4B3 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
.
[-] 2010-01-17 14:27 . 4678172D19476FA7D539682FCA42C942 . 1420800 . . [2001.12.4414.700] . . c:\windows\system32\comres.dll
.
[-] 2010-01-17 . 335813EACD16E84F3047A3326F6E5473 . 549888 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
.
[-] 2010-01-17 . 37ED43F3DEC4400586554D61C3129478 . 112128 . . [5.4.3790.5512] . . c:\windows\system32\wuauclt.exe
.
[-] 2010-01-17 . 02D7CEB05E0118EB592208354C21D821 . 724992 . . [5.82] . . c:\windows\system32\comctl32.dll
[7] 2008-04-14 . 737739FACEAD60683AA8D7FF7602FD14 . 1054208 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
[7] 2001-08-18 . AEF3D788DBF40C7C4D204EA45EB0C505 . 921088 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
.
[-] 2009-06-26 . 946665FA0CC98F57E1023CD21F149D8B . 642560 . . [5.1.2600.3099] . . c:\windows\system32\user32.dll
.
[-] 2009-12-09 . A9BD5F368966EA709A4BFF992F583F07 . 1705984 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
[-] 2008-04-14 . 6D80898D552439B00B2AB651C4B60C3A . 270336 . . [5.1.2600.5512] . . c:\windows\regedit.exe
.
[-] 2010-01-17 . EB3B4771498DD3FFD97E123643A26D91 . 1312256 . . [5.1.2600.5512] . . c:\windows\system32\ole32.dll
.
[-] 2001-02-19 20:09 . D36A33C21EEED5A6C1DAECB7C80A1909 . 8192 . . [1.00.2409.7 built by: Lab06_N] . . c:\windows\system32\CTFMON.EXE
.
[-] 2008-04-25 . C8BDAD4065118558B3DC360FC96D81DB . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
[-] 2010-01-17 . 572B0A653990AFE6B71D38D7DD2F202D . 370688 . . [5.1.2600.5512] . . c:\windows\system32\hnetcfg.dll
.
[-] 2009-09-12 . 1E259C2EBA74C4BF719ECB02286F3F38 . 2286592 . . [5.1.2600.5755] . . c:\windows\system32\ntoskrnl.exe
.
[-] 2010-01-17 . 193B2DEA1AB15B511DDBB8E01E034477 . 42496 . . [5.1.2600.5512] . . c:\windows\system32\midimap.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Gadu-Gadu”=“d:\program files\programy\Gadu-Gadu\gg.exe” [2005-08-30 1708032]
“Steam”=“d:\program files\Gry\Steam\steam.exe” [2012-09-02 1353080]
“DAEMON Tools Lite”=“c:\program files\DAEMON Tools Lite\DTLite.exe” [2011-01-20 1305408]
“Sony PC Companion”=“c:\program files\Sony\Sony PC Companion\PCCompanion.exe” [2012-09-12 445624]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“DrvIcon”=“c:\program files\Vista Drive Icon\DrvIcon.exe” [2008-04-13 49152]
“SynTPLpr”=“c:\program files\Synaptics\SynTP\SynTPLpr.exe” [2008-04-10 122880]
“SynTPEnh”=“c:\program files\Synaptics\SynTP\SynTPEnh.exe” [2008-04-10 524288]
“NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2011-01-07 13880424]
“SunJavaUpdateSched”=“c:\program files\Common Files\Java\Java Update\jusched.exe” [2010-10-29 249064]
“Adobe Reader Speed Launcher”=“c:\program files\Adobe\Reader 10.0\Reader\Reader_sl.exe” [2010-11-15 35736]
“Adobe ARM”=“c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe” [2010-11-15 932288]
“NeroFilterCheck”=“c:\program files\Common Files\Ahead\Lib\NeroCheck.exe” [2007-03-09 153136]
“avgnt”=“c:\program files\Avira\AntiVir Desktop\avgnt.exe” [2012-09-25 386336]
.
[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
“nltide_2”=“shell32” [X]
“_nltide_3”=“advpack.dll” [2009-03-08 128512]
.
c:\documents and settings\Default User\Menu Start\Programy\Autostart\
Styler.lnk - c:\documents and settings\Krajek\Dane aplikacji\Microsoft\Installer{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}_585b207a.exe [2011-3-21 15086]
.
c:\documents and settings\Administrator\Menu Start\Programy\Autostart\
Styler.lnk - c:\documents and settings\Krajek\Dane aplikacji\Microsoft\Installer{E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}_585b207a.exe [2011-3-21 15086]
.
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
“DisableCAD”= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
“NoSMHelp”= 1 (0x1)
“NoSMConfigurePrograms”= 1 (0x1)
“NoResolveTrack”= 1 (0x1)
.
[HKEY_USERS.default\software\microsoft\windows\currentversion\policies\explorer]
“NoSMHelp”= 1 (0x1)
“NoSMConfigurePrograms”= 1 (0x1)
“NoResolveTrack”= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
“AntiVirusOverride”=dword:00000001
.
[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\Network Diagnostic\xpnetdiag.exe”=
“%windir%\system32\sessmgr.exe”=
“d:\Program Files\Gry\Steam\Steam.exe”=
“d:\Program Files\EA Sports\FIFA 11\Game\fifa.exe”=
“d:\heroes\Heroes3.exe”=
“c:\WINDOWS\system32\dplaysvr.exe”=
“d:\heroes\Heroes33.exe”=
“d:\Program Files\KONAMI\Pro Evolution Soccer 2012\pes2012.exe”=
“d:\Program Files\programy\Gadu-Gadu\gg.exe”=
“d:\SopCast\SopCast.exe”=
“d:\Program Files\Gry\Steam\steamapps\zaper9g\counter-strike\hl.exe”=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2012-10-02 36552]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\drivers\dtsoftbus01.sys [2011-05-20 218688]
R2 AntiVirSchedulerService;Avira Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2012-10-02 84256]
S3 ALSysIO;ALSysIO;??\c:\docume~1\Krajek\USTAWI~1\Temp\ALSysIO.sys – c:\docume~1\Krajek\USTAWI~1\Temp\ALSysIO.sys [?]
S3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RtsUStor.sys [2011-03-21 171520]
S3 Sony PC Companion;Sony PC Companion;c:\program files\Sony\Sony PC Companion\PCCService.exe [2012-09-27 155320]
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components{D58F39FF-953E-4F45-898F-59F243B9A523}]
2009-03-08 03:32 128512 ----a-w- c:\windows\system32\advpack.dll
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://startsear.ch/?aff=1cf=7eadfd00- … 234e21ea2d
mStart Page = hxxp://startsear.ch/?aff=1cf=7eadfd00- … 234e21ea2d
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: Eksport do programu Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Krajek\Dane aplikacji\Mozilla\Firefox\Profiles\280kqbfr.default\
FF - prefs.js: browser.search.selectedEngine - Web Search
FF - prefs.js: browser.startup.homepage - hxxp://startsear.ch/?aff=1cf=7eadfd00- … 234e21ea2d
FF - prefs.js: keyword.URL - hxxp://startsear.ch/?aff=2src=spcf=7e … e21ea2dq=
FF - prefs.js: network.proxy.type - 0
.
-
-
-
- USUNIĘTO PUSTE WPISY - - - -
-
-
.
AddRemove-Gadu-Gadu - d:\programy\Gadu-Gadu\Setup.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-11-28 18:18
Windows 5.1.2600 Dodatek Service Pack 3 NTFS
.
skanowanie ukrytych procesów …
.
skanowanie ukrytych wpisów autostartu …
.
skanowanie ukrytych plików …
.
skanowanie pomyślnie ukończone
ukryte pliki: 0
.
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
.
-
-
-
-
-
-
- ‘winlogon.exe’(756)
-
-
-
-
-
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\sfc_os.dll
c:\windows\system32\cscui.dll
.
-
-
-
-
-
-
- ‘lsass.exe’(812)
-
-
-
-
-
c:\windows\system32\setupapi.dll
c:\windows\system32\scecli.dll
c:\windows\system32\psbase.dll
.
Czas ukończenia: 2012-11-28 18:23:11
ComboFix-quarantined-files.txt 2012-11-28 17:23
.
Przed: 2 175 160 320 bajtów wolnych
Po: 2 552 434 688 bajtów wolnych
.
-
- End Of File - - C6151B945F191162C2AF973863C67C05