infoR_96
(infoR_96)
22 Październik 2009 08:09
#1
Witam!
Nie mogę się pozbyć wirusa o nazwie win32:confi, avastem się po prostu nie da, bo on cały czas powraca, daje loga z ComboFix: http://wklej.org/id/182178/
Proszę mi nie pisać ‘że już dużo było takich postów’ czy coś takiego, ponieważ, kiedy chciałem dac tylko loga to mod wywalił mój post do śmietnika, oczywiście przepraszam za kłopot, ale proszę, abyście mnie nie krytykowali, tylko POMAGALI.
Z góry dziękuję za każdą ‘pomocną dłoń’ :)
jessica
(jessica)
22 Październik 2009 08:20
#2
I bardzo dobrze zrobił, bo w tym dziale Forum podczepianie się pod cudze tematy jest niemile widziane przez pomagających.
Problem może być podobny, ale każdy ma inaczej w komputerze, i po podczepieniu się pod cudzy temat jest łatwo o jakąś pomyłkę.
Rzeczywiście masz wirusa “CONFICKER”.
Wklej do Notatnika :
File::
c:\windows\system32\ljtsxmeu.dll
Folder::
c:\documents and settings\All Users.WINDOWS\Dane aplikacji\16765464
c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\lowsec
NetSvc::
wserhjcv
Driver::
wserhjcv
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9136:TCP"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wserhjcv]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"UserFaultCheck"=-
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie. (i powstanie log).
Daj ten log, który powstanie w trakcie usuwania.
Następnie odwiedź poniższy link i pobierz KB958644/MS08-067 łatkę zabezpieczeń dla danego systemu operacyjnego Windows, by w przyszłości utrudnić CONFICKERowi dostęp do komputera:
MS08-067 łatka Pobierz (http://www.microsoft.com/downloads/results.aspx?pocId=freetext=ms08-067DisplayLang=pl )
Przejrzyj listę i kliknij na link, który odpowiada wersji systemu Windows, który jest uruchomiony na zainfekowanym komputerze. Następnie należy pobrać plik ze strony, która otwiera się i zapisz go na pulpicie.
Wystarczy dwukrotnie kliknąć na plik, który został pobrany z witryny firmy Microsoft i postępuj zgodnie z instrukcjami, aby zainstalować łatkę.
jessi
infoR_96
(infoR_96)
22 Październik 2009 09:03
#3
oto ten log:
[code]ComboFix 09-10-20.03 - Karolek 2009-10-22 10:50.3.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.510.182 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Karolek\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\Karolek\Pulpit\CFScript.txt
* Utworzono nowy punkt przywracania
FILE ::
"c:\windows\system32\ljtsxmeu.dll"
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\documents and settings\All Users.WINDOWS\Dane aplikacji\16765464
c:\documents and settings\All Users.WINDOWS\Dane aplikacji\16765464\16765464
c:\documents and settings\All Users.WINDOWS\Dane aplikacji\16765464\16765464.exe
c:\documents and settings\All Users.WINDOWS\Dane aplikacji\16765464\pc16765464ins
c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\lowsec
c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\lowsec\local.ds
c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\lowsec\user.ds
c:\windows\system32\ljtsxmeu.dll
.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_WSERHJCV
-------\Service_wserhjcv
((((((((((((((((((((((((( Pliki utworzone od 2009-09-22 do 2009-10-22 )))))))))))))))))))))))))))))))
.
2009-10-22 08:39 . 2009-10-22 08:39 -------- d-s---w- c:\documents and settings\Karolek\UserData
2009-10-20 20:03 . 2008-05-15 23:24 1152888 ----a-w- c:\windows\system32\aswBoot.exe
2009-10-17 13:23 . 2009-10-17 13:23 -------- d-----w- c:\program files\MSECache
2009-10-17 10:17 . 2009-10-17 10:17 -------- d-----w- c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Apple
2009-10-16 17:58 . 2009-10-16 17:58 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\AdobeUM
2009-10-16 17:56 . 2009-10-16 17:56 -------- d-----w- c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Adobe
2009-10-16 17:06 . 1997-12-11 11:38 171520 ----a-w- c:\windows\Helion Screen Saver.scr
2009-10-16 17:03 . 2009-10-16 17:03 -------- d-----w- c:\documents and settings\Karolek\WINDOWS
2009-10-12 16:15 . 2009-10-12 16:15 -------- d-----w- c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\Talkback
2009-10-12 16:15 . 2009-10-12 16:15 -------- d-----w- c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\Thunderbird
2009-10-12 16:15 . 2009-10-12 16:15 -------- d-----w- c:\documents and settings\Tata.KOMPUTER\Dane aplikacji\Thunderbird
2009-10-10 20:23 . 2009-10-10 20:23 -------- d-----w- c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Thunderbird
2009-10-10 20:23 . 2009-10-10 20:23 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\Thunderbird
2009-10-09 08:23 . 2009-10-15 09:44 75488 ----a-w- c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-10-08 09:00 . 2009-10-08 09:00 -------- d-s---w- c:\documents and settings\Tata.KOMPUTER\UserData
2009-10-06 08:44 . 2009-10-06 08:45 -------- d-----w- c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\lazarus
2009-10-06 08:44 . 2008-11-28 10:36 1404928 ----a-w- c:\windows\system32\libqt4intf.dll
2009-10-03 14:14 . 2009-10-03 14:14 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\Panasonic
2009-10-02 17:25 . 2009-10-02 17:26 -------- d-----w- c:\program files\ABBYY FineReader 6.0 Sprint
2009-10-02 17:22 . 2009-10-02 17:22 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dane aplikacji\EPSON
2009-10-02 17:21 . 2004-09-10 20:12 49152 ----a-w- c:\windows\system32\E_DCINST.DLL
2009-10-02 17:21 . 2006-12-08 02:04 76800 ----a-w- c:\windows\system32\E_FLBCDE.DLL
2009-10-02 17:21 . 2006-04-19 02:00 62976 ----a-w- c:\windows\system32\E_FD4BCDE.DLL
2009-10-02 17:20 . 2009-10-02 17:26 -------- d-----w- c:\program files\epson
2009-10-02 17:20 . 2007-03-26 22:00 67072 ----a-w- c:\windows\system32\escwiad.dll
2009-09-29 16:56 . 2009-09-29 16:56 -------- d-----w- c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\Scansoft
2009-09-29 09:20 . 2009-09-29 09:20 -------- d-----w- c:\documents and settings\Tata.KOMPUTER\Ustawienia lokalne\Dane aplikacji\Scansoft
2009-09-29 07:43 . 2006-09-05 10:28 38480 ------w- c:\windows\system32\IJRMF.exe
2009-09-29 07:42 . 2009-09-29 07:42 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dane aplikacji\InstallShield
2009-09-29 07:42 . 2009-09-29 07:42 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\ScanSoft
2009-09-29 07:42 . 2009-09-29 07:42 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dane aplikacji\ScanSoft
2009-09-29 07:31 . 2009-09-29 07:45 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\Canon
2009-09-29 07:31 . 2009-09-29 07:31 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\Creative
2009-09-25 20:19 . 2002-01-01 01:28 860211 --s-a-w- c:\windows\system32\XSIFtk-3.6.2.1.dll
2009-09-25 19:33 . 2009-09-25 19:33 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\DivX
2009-09-25 19:32 . 2009-09-25 20:41 568 ---ha-w- C:\os678647.bin
2009-09-25 19:32 . 2009-09-25 19:32 -------- d-----w- c:\windows\Vbox
2009-09-25 19:32 . 1999-10-15 10:50 1056768 ----a-w- c:\windows\system32\ROBOEX32.DLL
2009-09-25 19:32 . 1999-01-28 13:44 49152 ----a-w- c:\windows\system32\INETWH32.dll
2009-09-25 19:31 . 2009-09-25 19:31 -------- d-----w- c:\windows\Noslip
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-18 19:59 . 2009-09-06 17:46 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\Skype
2009-10-13 15:45 . 2009-09-06 16:50 75488 ----a-w- c:\documents and settings\Karolek\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-10-11 20:18 . 2009-06-20 20:16 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dane aplikacji\Microsoft Help
2009-10-02 17:27 . 2007-04-30 12:12 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-10-01 16:03 . 2009-09-06 17:22 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\Nowe Gadu-Gadu
2009-09-20 08:52 . 2009-08-20 16:20 618 ----a-w- c:\windows\eReg.dat
2009-09-19 10:00 . 2009-09-19 09:26 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\Dev-Cpp
2009-09-18 16:40 . 2001-10-26 14:15 85244 ----a-w- c:\windows\system32\perfc015.dat
2009-09-18 16:40 . 2001-10-26 14:15 494156 ----a-w- c:\windows\system32\perfh015.dat
2009-09-18 16:12 . 2009-09-18 16:12 -------- d-----w- c:\program files\EA SPORTS
2009-09-18 16:11 . 2009-09-18 16:11 -------- d--h--r- c:\documents and settings\Karolek\Dane aplikacji\SecuROM
2009-09-18 16:11 . 2009-09-18 16:11 107888 ----a-w- c:\windows\system32\CmdLineExt.dll
2009-09-16 08:47 . 2009-09-16 08:47 53616 ---ha-w- c:\windows\system32\mlfcache.dat
2009-09-13 16:02 . 2009-09-13 16:02 -------- d-----w- c:\documents and settings\Karolek\Dane aplikacji\ATI
2009-09-05 11:14 . 2004-08-03 22:44 6656 ----a-w- c:\windows\system32\lpcio.dll
2009-08-28 13:49 . 2009-08-28 13:49 -------- d-----w- c:\program files\AGEIA Technologies
2009-08-28 13:49 . 2007-05-01 07:06 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
2009-08-28 13:48 . 2009-08-28 13:48 271360 ----a-w- c:\windows\system32\drivers\atksgt.sys
2009-08-28 13:48 . 2009-08-28 13:48 18048 ----a-w- c:\windows\system32\drivers\lirsgt.sys
2009-08-24 15:30 . 2009-06-21 09:37 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Dane aplikacji\OpenFM
2008-09-09 12:22 . 2008-09-09 12:22 14275 ----a-w- c:\program files\settings.dat
.
((((((((((((((((((((((((((((( SnapShot@2009-10-20_18.31.42 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-10-20 19:55 . 2009-10-20 19:55 262144 c:\windows\system32\config\systemprofile\NtUser.dat
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\documents and settings\Karolek\Pulpit\Moje\PROGRAMY\RocketDock\RocketDock.exe" [2007-09-02 495616]
"FirstCap"="e:\firstcap\CapHk.exe" [2003-11-28 61440]
"Creative WebCam Tray"="c:\program files\Creative\Shared Files\CamTray.exe" [2005-10-27 299008]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-06-21 39408]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTRegRun"="c:\windows\CTRegRun.EXE" [1999-10-10 41984]
"SSBkgdUpdate"="c:\program files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]
"QuickTime Task"="e:\quicktime\qttask.exe" [2007-06-29 286720]
"OpwareSE4"="e:\omnipage\OpwareSE4.exe" [2006-10-11 75304]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 31016]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 90112]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-06-20 577536]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
c:\documents and settings\All Users.WINDOWS\Menu Start\Programy\Autostart\
Adobe Reader Speed Launch.lnk - e:\adobe acrobat reader 7.0.5\Reader\reader_sl.exe [2005-9-24 29696]
PHOTOfunSTUDIO -viewer-.lnk - e:\photofunstudio-viewer-\PhAutoRun.exe [2009-7-11 40960]
[HKLM\~\startupfolder\C:^Documents and Settings^Karolek^Menu Start^Programy^Autostart^Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk]
path=c:\documents and settings\Karolek\Menu Start\Programy\Autostart\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk
backup=c:\windows\pss\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnkStartup
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"d:\\Metin2\\metin2.bin"=
"e:\\Nowe Gadu-Gadu5\\gg.exe"=
"e:\\Gadu-Gadu\\gg.exe"=
"d:\\XRX\\XRX.exe"=
"e:\\Skype\\Phone\\Skype.exe"=
"d:\\Metin2\\metin2client.bin"=
"c:\\Documents and Settings\\Karolek\\Pulpit\\Moje\\skróty\\Skype.exe"=
R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\drivers\xfilt.sys [2009-06-20 11264]
R3 V0260VID;Live! Cam Vista IM;c:\windows\system32\drivers\V0260Vid.sys [2009-06-21 162176]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\g:\ntglm7x.sys --> g:\NTGLM7X.sys [?]
.
Zawartość folderu 'Zaplanowane zadania'
2009-10-17 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-06-03 11:42]
2009-10-18 c:\windows\Tasks\Norton Security Scan for Admin.job
- c:\program files\Norton Security Scan\Norton Security Scan\Engine\2.3.0.44\Nss.exe [2009-08-14 16:02]
.
.
------- Skan uzupełniający -------
.
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mDefault_Search_URL = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Easy-WebPrint – Dodaj do listy drukowania - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
IE: Easy-WebPrint – Drukuj - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
IE: Easy-WebPrint – Drukuj z dużą szybkością - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
IE: Easy-WebPrint – Podgląd - c:\program files\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
FF - ProfilePath - c:\documents and settings\Karolek\Dane aplikacji\Mozilla\Firefox\Profiles\vnbf7k74.default\
FF - plugin: e:\adobe acrobat reader 7.0.5\Reader\browser\nppdf32.dll
FF - plugin: e:\mozilla firefox\plugins\npOggX.dll
FF - plugin: e:\picasa3\npPicasa3.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin2.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin3.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin4.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin5.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin6.dll
FF - plugin: e:\quicktime\Plugins\npqtplugin7.dll
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-22 10:59
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(592)
c:\windows\system32\Ati2evxx.dll
- - - - - - - > 'explorer.exe'(2540)
c:\documents and settings\Karolek\Pulpit\Moje\PROGRAMY\RocketDock\RocketDock.dll
e:\omnipage\OpHookSE4.dll
e:\firstcap\WndHk.dll
c:\windows\system32\msi.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\documents and settings\All Users.WINDOWS\Dane aplikacji\EPSON\EPW!3 SSRP\E_S40RP7.EXE
c:\windows\system32\wdfmgr.exe
c:\combofix\CF21372.exe
c:\program files\ATI Technologies\ATI.ACE\CLI.EXE
c:\windows\system32\wscntfy.exe
c:\program files\ATI Technologies\ATI.ACE\cli.exe
c:\program files\ATI Technologies\ATI.ACE\cli.exe
c:\combofix\PEV.cfxxe
.
**************************************************************************
.
Czas ukończenia: 2009-10-22 11:02 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2009-10-22 09:02
ComboFix2.txt 2009-10-20 19:38
ComboFix3.txt 2009-10-20 18:33
Przed: 3 738 910 720 bajtów wolnych
Po: 3 739 938 816 bajtów wolnych
- - End Of File - - 53E5A941B8BA419FF80FE4EB1AA5F822
– Dodane 22.10.2009 (Cz) 11:04 –
i co teraz?
jessica
(jessica)
22 Październik 2009 09:13
#4
A teraz:
Usuń ręcznie folder C:* * Qoobox**.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
Łatkę, o której pisałam w swoim poprzednim poście, oczywiście już zainstalowałeś?
jessi
infoR_96
(infoR_96)
22 Październik 2009 17:04
#5
zrobiłem to co pisałaś (rozumiem, że jesteś dziewczyną - sądząc po nicku, jeśli tak to szacun dla Ciebie, jesteś bardzo mądra )
zaraz zainstaluję tą łatkę…