Wirus na pendrive

system · 1 Październik 2009 16:12

Mam pendrive 16 GB Emtec’a. Mam problem, ponieważ nie moge na niego nic wrzucać, zmieniać coś na nim, usuwać, nie moge go nawet sformatować. Avast wykrył w Autorun.ini wirusa.

O to log z combofix:

ComboFix 09-09-30.06 - Varq 2009-10-01 17:59.1.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.2047.1521 [GMT 2:00] Uruchomiony z: d:\documents and settings\Varq\Moje dokumenty\Pobieranie\ComboFix.exe AV: avast! antivirus 4.8.1356 [VPS 090930-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D} . Następujące pliki zostały wyłączone z działania w czasie skanowania: d:\program files\Auslogics\AusLogics Visual Styler\ThemeHelper.dll ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\dos32.pif c:\windows\Installer\117f6ae.msi c:\windows\Installer\13b43.msi c:\windows\Installer\13b4a.msi c:\windows\Installer\13b53.msi c:\windows\Installer\145f3.msi c:\windows\Installer\1b904c.msi c:\windows\Installer\1c3a93.msi c:\windows\Installer\25d9d.msi c:\windows\Installer\2b5b0.msi c:\windows\Installer\2d9135.msi c:\windows\Installer\348bfa.msi c:\windows\Installer\38aa3.msi c:\windows\Installer\4c153.msi c:\windows\Installer\4c15d.msi c:\windows\Installer\4ddcf0.msi c:\windows\Installer\5401d.msi c:\windows\Installer\5402e.msi c:\windows\Installer\5c377d.msi c:\windows\Installer\5c3784.msi c:\windows\Installer\5c378b.msi c:\windows\Installer\5c3792.msi c:\windows\Installer\5c379d.msi c:\windows\Installer\5c37ac.msi c:\windows\Installer\5c37b3.msi c:\windows\Installer\5c37bc.msi c:\windows\Installer\5c37c3.msi c:\windows\Installer\5c37ca.msi c:\windows\Installer\5c38a5.msi c:\windows\Installer\92cf6c.msi c:\windows\Installer\aeaff.msi c:\windows\Installer\aeb10.msi c:\windows\Installer\b19fd.msi c:\windows\Installer\b1a08.msi c:\windows\Installer\c5bcdc.msi c:\windows\Installer\c5bd01.msp c:\windows\Installer\c5bd02.msp c:\windows\Installer\c76b2.msi d:\recycler\S-1-5-21-1220945662-746137067-682003330-1003 . ((((((((((((((((((((((((( Pliki utworzone od 2009-09-01 do 2009-10-01 ))))))))))))))))))))))))))))))) . 2009-10-01 15:41 . 2009-10-01 15:41 -------- d-----w- d:\program files\Panda USB Vaccine 2009-10-01 15:24 . 2009-10-01 15:24 -------- d–h--w- d:\windows\system32\GroupPolicy 2009-10-01 15:03 . 2009-10-01 15:03 -------- d-----w- d:\program files\Smart Flash Recovery 2009-10-01 15:02 . 2009-09-15 10:54 23152 ----a-w- d:\windows\system32\drivers\aswRdr.sys 2009-10-01 15:02 . 2009-09-15 10:54 52368 ----a-w- d:\windows\system32\drivers\aswTdi.sys 2009-10-01 15:02 . 2009-09-15 10:53 27408 ----a-w- d:\windows\system32\drivers\aavmker4.sys 2009-10-01 15:02 . 2009-09-15 10:56 93424 ----a-w- d:\windows\system32\drivers\aswmon.sys 2009-10-01 15:02 . 2009-09-15 10:56 94160 ----a-w- d:\windows\system32\drivers\aswmon2.sys 2009-10-01 15:02 . 2009-09-15 10:55 114768 ----a-w- d:\windows\system32\drivers\aswSP.sys 2009-10-01 15:02 . 2009-09-15 10:55 20560 ----a-w- d:\windows\system32\drivers\aswFsBlk.sys 2009-10-01 15:02 . 2009-09-15 10:53 97480 ----a-w- d:\windows\system32\AvastSS.scr 2009-10-01 15:01 . 2009-09-15 10:59 1279968 ----a-w- d:\windows\system32\aswBoot.exe 2009-10-01 15:01 . 2003-03-18 20:20 1060864 ----a-w- d:\windows\system32\MFC71.dll 2009-10-01 15:01 . 2003-03-18 19:14 499712 ----a-w- d:\windows\system32\MSVCP71.dll 2009-10-01 15:01 . 2003-02-21 03:42 348160 ----a-w- d:\windows\system32\MSVCR71.dll 2009-10-01 15:01 . 2009-10-01 15:01 -------- d-----w- d:\program files\Alwil Software 2009-10-01 15:01 . 2009-10-01 15:01 -------- d-----w- d:\documents and settings\Varq\Ustawienia lokalne\Dane aplikacji\Help 2009-10-01 14:59 . 2009-10-01 14:59 -------- d-----w- d:\program files\PowerQuest 2009-10-01 14:57 . 2008-04-13 22:15 26368 -c–a-w- d:\windows\system32\dllcache\usbstor.sys 2009-10-01 03:40 . 2005-02-25 03:36 22752 ----a-w- d:\windows\system32\spupdsvc.exe . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-10-01 14:59 . 2009-09-30 17:47 -------- d–h--w- d:\program files\InstallShield Installation Information 2009-10-01 14:58 . 2009-09-30 17:46 -------- d-----w- d:\program files\Common Files\InstallShield 2009-10-01 14:56 . 2009-09-30 18:29 -------- d-----w- d:\program files\Auslogics 2009-09-30 18:53 . 2009-09-11 17:05 -------- d-----w- d:\program files\Nowe Gadu-Gadu 2009-09-30 18:35 . 2009-09-30 18:35 -------- d-----w- d:\documents and settings\All Users\Dane aplikacji\Visual Styler 2009-09-30 18:35 . 2009-09-30 18:35 2261376 ----a-w- d:\windows\system32\ntoskvs1.exe 2009-09-30 18:29 . 2009-09-30 18:29 -------- d-----w- d:\documents and settings\Varq\Dane aplikacji\Visual Styler 2009-09-30 18:16 . 2009-09-30 18:16 -------- d-----w- d:\documents and settings\All Users\Dane aplikacji\OpenFM 2009-09-30 18:16 . 2009-09-30 18:16 -------- d-----w- d:\documents and settings\Varq\Dane aplikacji\OpenFM 2009-09-30 18:07 . 2009-09-30 18:07 -------- d-----w- d:\documents and settings\Varq\Dane aplikacji\Nowe Gadu-Gadu 2009-09-30 18:04 . 2009-09-30 18:04 0 ----a-w- d:\windows\nsreg.dat 2009-09-30 17:51 . 2001-10-26 16:15 73532 ----a-w- d:\windows\system32\perfc015.dat 2009-09-30 17:51 . 2001-10-26 16:15 495436 ----a-w- d:\windows\system32\perfh015.dat 2009-09-30 17:50 . 2009-09-30 17:50 -------- d-----w- d:\program files\ATI Technologies 2009-09-30 17:49 . 2009-09-30 17:49 12328 ----a-w- d:\documents and settings\Varq\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT 2009-09-30 17:47 . 2009-09-30 17:47 -------- d-----w- d:\program files\Realtek 2009-09-30 17:46 . 2009-09-30 17:46 -------- d-----w- d:\program files\Intel 2009-09-30 17:42 . 2009-09-30 17:42 552 ----a-w- d:\windows\system32\d3d8caps.dat 2009-09-30 17:37 . 2009-09-30 17:37 -------- d-----w- d:\program files\microsoft frontpage 2009-09-30 17:35 . 2009-09-30 17:35 -------- d-----w- d:\program files\Usługi online 2009-09-30 17:32 . 2009-09-30 17:32 21856 ----a-w- d:\windows\system32\emptyregdb.dat 2009-09-30 17:32 . 2009-09-30 17:32 -------- d-----w- d:\program files\Windows Media Connect 2 2009-09-11 16:48 . 2009-09-11 16:48 -------- d-----w- d:\program files\EA Games . ------- Sigcheck ------- [-] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . d:\windows\SoftwareDistribution\Download\5cb56d26ae277f6fc62b86faa15488d1\sp3qfe\tcpip.sys [-] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . d:\windows\SoftwareDistribution\Download\5cb56d26ae277f6fc62b86faa15488d1\sp3gdr\tcpip.sys [-] 2008-05-08 . ACCF5A9A1FFAA490F33DBA1C632B95E1 . 361344 . . [5.1.2600.5512] . . d:\windows\system32\drivers\tcpip.sys [-] 2008-05-08 . 9F02C1CF7C3100E4AEA7DD8B6A86A01B . 1571840 . . [5.1.2600.5512] . . d:\windows\system32\sfcfiles.dll . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Nowe Gadu-Gadu”=“d:\program files\Nowe Gadu-Gadu\gg.exe” [2009-08-31 11391592] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “avast!”=“d:\progra~1\ALWILS~1\Avast4\ashDisp.exe” [2009-09-15 81000] “RTHDCPL”=“RTHDCPL.EXE” - d:\windows\RTHDCPL.exe [2006-09-12 16264192] “SkyTel”=“SkyTel.EXE” - d:\windows\SkyTel.exe [2006-05-16 2879488] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“d:\windows\system32\CTFMON.EXE” [2008-04-14 15360] [HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] “nltide_2”=“shell32” [X] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] “UIHost”=“d:\documents and settings\All Users\Dane aplikacji\Visual Styler\Logon Screens\logonui.exe” [HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] “%windir%\Network Diagnostic\xpnetdiag.exe”= “%windir%\system32\sessmgr.exe”= “d:\Program Files\Nowe Gadu-Gadu\gg.exe”= R1 aswSP;avast! Self Protection;d:\windows\system32\drivers\aswSP.sys [2009-10-01 114768] R2 aswFsBlk;aswFsBlk;d:\windows\system32\drivers\aswFsBlk.sys [2009-10-01 20560] S2 ALThemeHelper;AusLogics Windows Themes Helper;d:\program files\Auslogics\AusLogics Visual Styler\themehelpersvc.exe [2009-09-30 112640] — Inne Usługi/Sterowniki w Pamięci — *NewlyCreated* - AAVMKER4 *NewlyCreated* - ASWFSBLK *NewlyCreated* - ASWMON2 *NewlyCreated* - ASWRDR *NewlyCreated* - ASWSP *NewlyCreated* - ASWTDI *NewlyCreated* - ASWUPDSV *NewlyCreated* - AVAST!_ANTIVIRUS *NewlyCreated* - AVAST!_MAIL_SCANNER *NewlyCreated* - AVAST!_WEB_SCANNER *NewlyCreated* - PQNTDRV *Deregistered* - mchInjDrv . . ------- Skan uzupełniający ------- . FF - ProfilePath - d:\documents and settings\Varq\Dane aplikacji\Mozilla\Firefox\Profiles\buhy3kdu.default\ FF - plugin: d:\documents and settings\Varq\Dane aplikacji\Nowe Gadu-Gadu_userdata\npgg.1.dll . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-10-01 18:02 Windows 5.1.2600 Dodatek Service Pack 3 NTFS skanowanie ukrytych procesów … skanowanie ukrytych wpisów autostartu … skanowanie ukrytych plików … skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > ‘winlogon.exe’(712) d:\program files\Auslogics\AusLogics Visual Styler\ThemeHelper.dll d:\windows\system32\Ati2evxx.dll - - - - - - - > ‘lsass.exe’(768) d:\program files\Auslogics\AusLogics Visual Styler\ThemeHelper.dll - - - - - - - > ‘csrss.exe’(684) d:\program files\Auslogics\AusLogics Visual Styler\ThemeHelper.dll . Czas ukończenia: 2009-10-01 18:03 ComboFix-quarantined-files.txt 2009-10-01 16:03 Przed: 41 078 562 816 bajtów wolnych Po: 40 967 401 472 bajtów wolnych WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT=“Microsoft Windows Recovery Console” /cmdcons multi(0)disk(0)rdisk(0)partition(2)\WINDOWS=“Microsoft Windows XP SP 3” /noexecute=optin /fastdetect multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“Microsoft Windows XP SP 2” /noexecute=optin /fastdetect 180 — E O F — 2009-10-01 03:40

Adalbert · 1 Październik 2009 16:14

http://www.instalki.pl/programy/downloa … fector.php ściągnij i uruchom z włożonym pendrivem

system · 1 Październik 2009 16:19

Uruchomiłem, ale nadal wszystko to samo, chyba że zrestartować kompa?

Adalbert · 1 Październik 2009 16:22

Poszukaj w takim razie jakiegoś innego narzędzia z http://www.searchengines.pl/index.php?showtopic=31936

system · 1 Październik 2009 16:32

Dalej to samo…

marcin071 · 1 Październik 2009 17:02

Daj log z OTL to ktoś ci sprawdzi.

Agaton · 1 Październik 2009 17:31

Avajan ,

W związku ze zmianą, jaka obowiązuje przy wklejaniu logów na forum - przeczytaj i zastosuj się do Tematu

Przeniesiono