Związku z tym że załapałem w/w syf i z tego co wiem do niedawna zaden antyvir tego nie wywalał oprócz kasperskiego,mam pytanie czy jest już cos co to usuwa bez konieczności robienia tego z innego dysku?Mam zainfekowane prawie wszystkie exeki czy to jest wogóle do uratowania?Nie mogę niestety podpiąć się pod inny dysk,nie mogę tez zrobić formata.Póki co blokuje co moze firewall,ale on pewnie też jest zainfekowany.Zyje z tym już jakis czas ale nie chcę nic grzebac żeby nie utracić ważnych danych…
Wstaw logi z HijackThis i SilentRunners, opis tu : http://forum.dobreprogramy.pl/viewtopic.php?t=36654
To i tak nic nie da bo pewnie w logach nic nie widać
Logfile of HijackThis v1.99.1
Scan saved at 12:13:40, on 2006-10-31
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Sygate\SPF\Smc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\eMule\eMule.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\instalki\hijackthis\HijackThis.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: AVG Anti-Spyware.lnk = C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
O4 - Startup: Skrót do Smc.exe.lnk = C:\Program Files\Sygate\SPF\Smc.exe
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) - http://mks.com.pl/skaner/SkanerOnline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{52C73922-7904-48B0-88E5-498C5AE80884}: NameServer = 217.30.129.149,217.30.137.200
O17 - HKLM\System\CS1\Services\Tcpip\..\{52C73922-7904-48B0-88E5-498C5AE80884}: NameServer = 217.30.129.149,217.30.137.200
O17 - HKLM\System\CS2\Services\Tcpip\..\{52C73922-7904-48B0-88E5-498C5AE80884}: NameServer = 217.30.129.149,217.30.137.200
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\Smc.exe
"Silent Runners.vbs", revision 46, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Gadu-Gadu" = ""C:\Program Files\Gadu-Gadu\gg.exe" /tray" ["Gadu-Gadu Sp. z o.o."]
"MSMSGS" = ""C:\Program Files\Messenger\msmsgs.exe" /background" [MS]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"WinampAgent" = "C:\Program Files\Winamp\winampa.exe" [null data]
"SmcService" = "C:\PROGRA~1\Sygate\SPF\Smc.exe -startgui" ["Sygate Technologies, Inc."]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Rozszerzenie CPL kadrowania wyświetlania"
-> {HKLM...CLSID} = "Rozszerzenie CPL kadrowania wyświetlania"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Rozszerzenie ikony HyperTerminalu"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Rozszerzenie ikon plików programu Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["Anti-Malware Development a.s."]
HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]
HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["Anti-Malware Development a.s."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
Active Desktop and Wallpaper:
-----------------------------
Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Documents and Settings\Frycu1981\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp"
Enabled Screen Saver:
---------------------
HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]
Startup items in "Frycu1981" & "All Users" startup folders:
-----------------------------------------------------------
C:\Documents and Settings\Frycu1981\Menu Start\Programy\Autostart
"AVG Anti-Spyware" -> shortcut to: "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" ["Anti-Malware Development a.s."]
"Skrót do Smc.exe" -> shortcut to: "C:\Program Files\Sygate\SPF\Smc.exe" ["Sygate Technologies, Inc."]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
wps.dll ["Sygate Technologies, Inc."], 01 - 11, 23
%SystemRoot%\system32\mswsock.dll [MS], 12 - 14, 17 - 22
%SystemRoot%\system32\rsvpsp.dll [MS], 15 - 16
Toolbars, Explorer Bars, Extensions:
------------------------------------
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Badanie"
{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Program Files\Messenger\msmsgs.exe" [MS]
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
AVG Anti-Spyware Guard, AVG Anti-Spyware Guard, "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe" ["Anti-Malware Development a.s."]
Sygate Personal Firewall, SmcService, "C:\Program Files\Sygate\SPF\Smc.exe" ["Sygate Technologies, Inc."]
Keyboard Driver Filters:
------------------------
HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\
"UpperFilters" = INFECTION WARNING! "DumaNT" ["Windows (R) 2000 DDK provider"]
Print Monitors:
---------------
HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor i320\Driver = "CNMLM47.DLL" ["CANON INC."]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]
----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 34 seconds, including 4 seconds for message boxes)
W logach jest czysto
Zrób skan EWIDO po update
Przeskanuj komputer programami Ad-aware SE Personal 1.06 oraz Spybot Search & Destroy 1.4
Bieniol --> Zobacz TO dlatego to może być rootkit skoro infekuje exeki więc proszę o następujące logi:
Dwa logi z Gmera przy następujących ustawieniach.
-
Zakładka Rootkit >>> Zaznaczasz wszystko oprócz Pokaż wszystko >>> kliknij Szukaj >>> Czekasz cierpliwie aż skończy >>> Start, uruchom, notapad i klik na OK >>> Prawy klawisz, wklej >>> Plik >>> zapisz jako >>> zapisz.
-
Zakładka Rootkit >>> Zaznaczasz tylko Usługi oraz Pokaż wszystko >>> klikasz Szukaj >>> Czekasz cierpliwie aż skończy >>> Start, uruchom, wpisz notapad i klik na OK >>> Prawy klawisz, wklej >>> Plik >>> zapisz jako >>> zapisz.
Możesz jeszcze z RootkitRevealer’a:
File => Scan => Poczekaj cierpliwie aż log zostanie zrobiony => file => save => Wskaż gdzie chcesz na dysku zapisać utworzony log.
Potem pliki z logami umieść w jakimś serwisie hostingowym i daj do nich linki ponieważ bezpośrednio do posta się nie zmieszczą.
http://www.megaupload.com/?d=F8LPJO71 1 log
http://www.sendspace.com/file/sx8fcv 2 log
Do Beniola
AdAware i SpyBot nic tu nie pomogą,czasem coś znajdują ale tego problemu nie usuną.Robiłem skan Kasperskim Online ale wywala mi się w połowie.Dokąd doskanuje to już pokazuje około 300 exeków zainfekowanych.Za każdym razem jak odpalam kompa firewall blokuje mi Windows/Temp/VRT(tu za kazdym razem inny numer).
ATF-Cleaner - http://www.atribune.org/ccount/click.php?id=1
Windows/Temp - w trybie awaryjnym usuń ręcznie
W jednym logu Ok - 2, pierwszego nie mogę pobrać
W TRYBIE AWARYJNYM uruchamiasz linię komend ( Start >>> Uruchm >>> cmd ) i wklepujesz:
RD /S /Q "C:\Documents and Settings\Twoja nazwa konta\Ustawienia lokalne\Temporary Internet Files"
Ok już zaraz się za to zabieram,podaje tylko skana z kasperskiego.Dosłownie chwile skanowalem a już mi wykazało że sporo exe jest zainfekowanych.Przeskanowałem tylko część Program Files. Daje loga z tego skanu
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
31 październik 2006 23:57:03
System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)
Kaspersky Online Scanner wersja: 5.0.83.0
Ostatnia aktualizacja Kaspersky Anti-Virus 1/11/2006
Liczba wpisów w bazie danych Kaspersky Anti-Virus223308
-------------------------------------------------------------------------------
Ustawienia skanowania:
Skanowanie przy użyciu następujących baz danych: standardowe
Skanuj archiwa: tak
Skanuj pocztowe bazy danych: tak
Obszar skanowania - Foldery:
C:\Program Files\
Statystyki skanowania:
Liczba skanowanych obiektów: 1353
Liczba wykrytych wirusów: 1
Liczba zainfekowanych obiektów: 40 / 0
Liczba podejrzanych obiektów: 0
Czas trwania skanowania: 00:02:27
Nazwa zainfekowanego obiektu / Nazwa wirusa / Ostatnie działanie
C:\Program Files\1stbenison\All Converter\allcon.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\A4Tech\Mouse\Amoumain.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\AC3Filter\dialog_patch.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\AC3Filter\uninstall.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\ACD Systems\ACDSee\ACDSee.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\ACD Systems\ACDSee\UNWISE.EXE Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\Adobe\Acrobat 5.0\Reader\AcroRd32.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\Adobe\Acrobat 7.0\Setup Files\RdrBig705\ENU\setup.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\Adobe\Acrobat 7.0\Setup Files\RdrBig705\ENU_\setup.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\Adobe\Acrobat 7.0\Setup Files\RdrBig705\ENU__\setup.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\AdobeUpdateManager.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\ComponentLauncher.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\Photoshop Album Starter Edition.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\PsaProxy.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Shared_Assets\locales\en_us\ADB2.EXE Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\AIDA32\aida32.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\audiograbber\audiograbber.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\Borland\Common Files\BDE\DATAPUMP.EXE Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\burnatonce\burnatonce.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\burnatonce\external\cdrdao.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\burnatonce\external\flac.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\burnatonce\external\mkisofs.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\burnatonce\external\oggdec.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\burnatonce\external\readcd.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\burnatonce\external\sox.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\burnatonce\external\toc2cue.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\burnatonce\external\WaveGain.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\Canon\Easy-PhotoPrint\BJEZPRN.EXE Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\CCleaner\ccleaner.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\CDex_140b9\CDex.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\Common Files\InstallShield\Driver\7\Intel 32\IDriver.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\Common Files\InstallShield\Engine\6\Intel 32\IKernel.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\Common Files\Internet Update\IUpdate.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\Common Files\Microsoft Shared\Artgalry\ARTGALRY.EXE Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\Common Files\Microsoft Shared\Artgalry\CAG.EXE Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\Common Files\Microsoft Shared\MSInfo\msinfo32.exe Zainfekowanych: Virus.Win32.Virut.a pominięty
C:\Program Files\Common Files\Microsoft Shared\MSInfo\OFFPROV.EXE Zainfekowanych: Virus.Win32.Virut.a pominięty
Skanowanie zostało przerwane przez użytkownika
Złączono Posta : 01.11.2006 (Sro) 0:09
Ok zrobione,co dalej?