Zawirusowany pendrive i szukanie pozostałości

matio · 28 Październik 2007 13:46

Porzyczyłem od kolegi pendriva, który okazał się zawirusowany. Kaspersky zaraz po podłączeniu go do kompa zaczął wyć, usunął wszystko (mam nadzieję). Proszę o sprawdzenie logów czy nic nie zostało:

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:11:34, on 2007-10-28 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Programy\AVG Anti-Spyware 7.5\guard.exe D:\Programy\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\nvsvc32.exe D:\Programy\SolidConverterPDF\SCPDF\SolidPdfService.exe D:\Programy\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe C:\WINDOWS\Explorer.EXE D:\Programy\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\System32\ctfmon.exe D:\Programy\CursorXP\CursorXP.exe C:\WINDOWS\System32\rundll32.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.o2.pl/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programy\Adobe\ActiveX\AcroIEHelper.dll O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - D:\Programy\SolidConverterPDF\SCPDF\ExploreExtPDF.dll O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Programy\BitComet\tools\BitCometBHO_1.1.9.24.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programy\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll O3 - Toolbar: &Tłumaczenie - {0D704FAD-66E9-4F0A-BFED-4F665770DDB3} - C:\Program Files\Techland\Common\InternetTranslator\InternetTranslator.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - D:\Programy\SolidConverterPDF\SCPDF\ExploreExtPDF.dll O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [nwiz] nwiz.exe /install O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [kis] “D:\Programy\Kaspersky Internet Security 6.0\avp.exe” O4 - HKCU…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU…\Run: [CursorXP] D:\Programy\CursorXP\CursorXP.exe O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘?’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘?’) O4 - HKUS\S-1-5-21-1390067357-113007714-1708537768-1003…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User ‘?’) O4 - HKUS\S-1-5-21-1390067357-113007714-1708537768-1004…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User ‘?’) O4 - HKUS\S-1-5-21-1390067357-113007714-1708537768-1005…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User ‘?’) O4 - HKUS\S-1-5-21-1390067357-113007714-1708537768-1006…\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User ‘?’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘?’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - S-1-5-21-1390067357-113007714-1708537768-1003 Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe (User ‘?’) O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &D&ownload &with BitComet - res://D:\Programy\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &D&ownload all video with BitComet - res://D:\Programy\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: &D&ownload all with BitComet - res://D:\Programy\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Dodaj do Kaspersky Anti-Banner - D:\Programy\Kaspersky Internet Security 6.0\ie_banner_deny.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://E:\Programy\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll O9 - Extra button: Ochrona WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programy\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - D:\Programy\BitComet\tools\BitCometBHO_1.1.9.24.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programy\SPYBOT~1\SDHelper.dll O9 - Extra ‘Tools’ menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Programy\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Programy\AVG Anti-Spyware 7.5\guard.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - D:\Programy\Kaspersky Internet Security 6.0\avp.exe O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: Diskeeper - Diskeeper Corporation - D:\Programy\Diskeeper\DkService.exe O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SolidPDFConverterReadSpool (ScReadSpool) - VoyagerSoft, LLC - D:\Programy\SolidConverterPDF\SCPDF\SolidPdfService.exe O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programy\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe O24 - Desktop Component 0: (no name) - http://geocities.yahoo.com.br/fernandes … rsia-2.jpg – End of file - 6643 bytes

nie mogę uruchomić Silentrunners… przy próbie pokazuje się to okno, a po próbie włączenia żądanej usługi pokazuje się to. Nie działa diskeeper; pokazuje się to, a po probie wejścia w cokolwiek w podglądzie zdarzeń pokazuje się coś takiego

arekmalek · 28 Październik 2007 15:59

Użyj -----> Combofix

Daj z niego log (on pokazuje infekcję na pendrive)

matio · 28 Październik 2007 16:37

to pokazuje kaspersky http://www.fotosik.pl/showFullSize.php? … ee24c1d90e

arekmalek · 28 Październik 2007 17:08

Usunął trochę trojanów.

Na czas pracy combofixa wyłącz kaspersky’ego

Gutek · 30 Październik 2007 00:06

Prawoklik na Mój Komputer>>Przywracanie systemu>> wyłącz przywracanie systemu na wszystkich dyskach.

Daj log z ComboFix

matio · 31 Październik 2007 20:39

ComboFix 07-10-29.1** - Mati 2007-10-31 21:30:38.1 - FAT32x86 Running from: C:\Documents and Settings\Mati\Pulpit\ComboFix.exe . ((((((((((((((((((((((((( Files Created from 2007-09-28 to 2007-10-31 ))))))))))))))))))))))))))))))) . 2007-10-31 21:29 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-10-21 17:56 2007-10-15 23:46 2007-10-14 17:16 2007-10-14 17:16 2,560 --a------ C:\WINDOWS\system32\bitcometres.dll 2007-10-09 21:48 2007-09-29 15:18 2007-09-24 17:50 2007-09-16 15:57 2007-09-11 20:23 2007-09-09 18:46 2007-09-01 19:21 605,696 -rah----- C:\WINDOWS\system32\PolengAddins.dll . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-10-31 17:18 75,452 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2007-10-31 17:18 5,849,088 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2007-10-31 17:18 2,937,140 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2007-10-31 17:18 1,376,256 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat 2007-09-11 19:27 45,592 ----a-w C:\Documents and Settings\Mati\Dane aplikacji\GDIPFONTCACHEV1.DAT 2007-09-01 18:16 11,973 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2007-08-17 19:51 765,952 ----a-w C:\WINDOWS\system32\xvidcore.dll 2007-08-17 19:51 639,066 ----a-w C:\WINDOWS\system32\DivX.dll 2007-07-16 17:34 6,723,072 ----a-w C:\WINDOWS\system32\logonuiX.exe 2007-04-21 12:14 40,136 ----a-w C:\Documents and Settings\kloc\Dane aplikacji\GDIPFONTCACHEV1.DAT 2006-12-03 14:28 144 ----a-w C:\Documents and Settings\Jagoda\Dane aplikacji\config.dat 2006-10-25 18:47 143 ----a-w C:\Documents and Settings\Jacek\Dane aplikacji\config.dat 2006-10-04 15:23 142 ----a-w C:\Documents and Settings\kloc\Dane aplikacji\config.dat 2006-03-19 17:54 38,704 ----a-w C:\Documents and Settings\Jacek\Dane aplikacji\GDIPFONTCACHEV1.DAT 2007-05-01 21:39:16 5 --sha-w C:\WINDOWS\system32\bdbddfafb5_s.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “NvCplDaemon”=“C:\WINDOWS\System32\NvCpl.dll” [2006-01-24 13:52] “nwiz”=“nwiz.exe” [2006-01-24 13:52 C:\WINDOWS\system32\nwiz.exe] “NvMediaCenter”=“C:\WINDOWS\System32\NvMcTray.dll” [2006-01-24 13:52] “@”="" [] “kis”=“D:\Programy\Kaspersky Internet Security 6.0\avp.exe” [2006-03-24 18:09] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “CTFMON.EXE”=“C:\WINDOWS\System32\ctfmon.exe” [2002-09-20 17:05] “CursorXP”=“D:\Programy\CursorXP\CursorXP.exe” [2005-01-19 16:34] [HKEY_USERS.default\software\microsoft\windows\currentversion\run] “PcSync”=C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog C:\Documents and Settings\Mati\Menu Start\Programy\Autostart\ Adobe Gamma.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:50] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk] path=C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Mati^Menu Start^Programy^Autostart^Adobe Gamma.lnk] path=C:\Documents and Settings\Mati\Menu Start\Programy\Autostart\Adobe Gamma.lnk backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kav] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCLEPCI] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_07\bin\jusched.exe *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1239 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-10-31 21:34:11 Windows 5.1.2600 Dodatek Service Pack. 1 FAT NTAPI scanning hidden processes … scanning hidden autostart entries … scanning hidden files … scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2007-10-31 21:35:30 . — E O F —

zaraz po zakończeniu się skanowania combofixem pokazało się okienko z jakimś błędem, ale nie pamiętam o co chodziło:/

Złączono Posta : 31.10.2007 (Sro) 21:41

w tym komunikacie chodziło o jakąś bibliotekę

Gutek · 1 Listopad 2007 11:19

Prawoklik na Mój Komputer>>Przywracanie systemu>> wyłącz przywracanie systemu na wszystkich dyskach.

matio · 1 Listopad 2007 21:11

ok, a co z tym?