Win32Small-Aby i Perlovga

Havvana · 22 Sierpień 2007 20:24

Generalnie chodzi o kompa mojej starszej, wiem że format w ogóle w mojej mentalności to ostateczność ale jeśli chodzi o tego kompa to całkowita ostateczność… Sprzęcik chodzi pod xp, nie ma podłączenia do neta, skanowany avastem… Generalnie od pewnego czasu zaczął się intensywnie zawieszać a że tam rzadko grzebe tym razem jednak okoliczności mnie zmusiły. Nie wiem skąd narobio sie tam tyle wirusów ale wydaje mi sie że jest to spowodowane przenoszeniem przez moją starszą na tego kompa ton plików przesyłanych mailem

Skany avasta czepiają się generalni ciągle jednego i tego samego virusa w pamięci operacyjnej i proponuje skanowanie systemu podczas startu… Próbowałam tej metody ale w tedy znajduje na tyle dużo obiektów że sama nie wiem co moge usunąc a co nie ponieważ niektóre pliki to pliki systemowe…

Zrobiłam loga:

Scan saved at 22:51:21, on 2007-08-22 Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\WINDOWS\system32\ODBCJET.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\ACAD2000\acad.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\test\USTAWI~1\Temp\RarExe0s.i20\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=3 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza F3 - REG:win.ini: load=C:\WINDOWS\svchost.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ODBCJET.exe, O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM…\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM…\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM…\Run: [DeviceDiscovery] C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\test\USTAWI~1\Temp\hpdj.exe (file missing)

Prosiła bym o jakieś rady w tej kwestii… tym bardziej że ja niewiele orientuje się w tych sprawach…

Jeżeli chodzi w ogóle o wirusy znalezione na kompie i pliki nimi zarażone zapodam screenem z avasta… Obecnie wszystko znajduje się pod kwarantanną bo nie wiem które z tych plików mogę usunąć…

http://www.speedyshare.com/315896223.html

Gutek · 22 Sierpień 2007 20:26

Wyłącz i włącz przywracanie systemu

Daj log z ComboFix

Havvana · 22 Sierpień 2007 20:41

Log z ComboFix:

ComboFix 07-08-17.2 - “test” 2007-08-22 23:45:32.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.322 [GMT 2:00] * Created a new restore point ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\Autorun.inf c:\autorun.inf C:\WINDOWS\autorun.inf C:\WINDOWS\svchost.exe C:\WINDOWS\system32\temp1.exe d:\autorun.inf D:\Autorun.inf d:\host.exe e:\autorun.inf E:\Autorun.inf e:\host.exe f:\autorun.inf F:\Autorun.inf f:\host.exe ((((((((((((((((((((((((( Files Created from 2007-07-22 to 2007-08-22 ))))))))))))))))))))))))))))))) 2007-08-22 23:44 51,200 --a------ C:\WINDOWS\nircmd.exe 2007-08-10 17:38 90,112 --a------ C:\WINDOWS\system32\AVASTSS.scr 2007-08-10 17:38 87,424 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys 2007-08-10 17:38 85,952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys 2007-08-10 17:38 635,520 --a------ C:\WINDOWS\system32\aswBoot.exe 2007-08-10 17:38 36,176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys 2007-08-10 17:38 24,304 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys 2007-08-10 17:38 16,352 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys 2007-08-10 17:38 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll 2007-08-10 17:38 (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “HPDJ Taskbar Utility”=“C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb08.exe” [2003-03-26 09:19] “HP Software Update”=“C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd.exe” [2002-12-17 11:40] “DeviceDiscovery”=“C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe” [2002-12-02 20:56] “avast!”=“C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe” [2006-08-05 08:23] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 02:44] C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\ Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26] Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{7f1851ac-304d-11dc-9f19-00115bec15a2}] Auto\command- H:\Cn911.exe AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Cn911.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{f5a1f8f5-43dc-11da-9d8e-00115bec15a2}] Auto\command- H:\Cn911.exe AutoRun\command- C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Cn911.exe ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-08-22 23:46:21 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** Completion time: 2007-08-22 23:46:50 C:\ComboFix-quarantined-files.txt … 2007-08-22 23:46 — E O F —

qrczak13 · 22 Sierpień 2007 21:14

Do notatnika wklej:

Plik > zapisz jako > zmień rozszerzenie z .txt na wszystkie pliki > zapisz pod nazwą Fix.reg np na

pulpicie > dwuklik na Fix.reg > potwierdzasz > restart.

Nic więcej nie widać.

Sformatuj pendriva.

Havvana · 22 Sierpień 2007 21:40

Hmmm… thx

A co mam zrobić z plikami które są zainfekowane… narazie w kwarantannie a potem? Moge to usunąć? …pliki systemowe???

—>>> http://www.speedyshare.com/315896223.html

qrczak13 · 22 Sierpień 2007 21:49

Nie są systemowe. Mają inną lokalizacje. W kosmos.

To znikną te w System Volume Information.

Havvana · 23 Sierpień 2007 10:09

:mrgreen: Dzięękuuujeeee…