Zwalczanie Win32/Nuwar.gen

marw3 · 5 Maj 2007 11:03

Jako, że to mój pierwszy post na tym forum - witam wszystkich.

Wczoraj przydarzyło się mojemu laptopowi coś bardzo nieprzyjemnego - zwis, a później straszne mulenie, wyłączanie się programów w trakcie pracy. Po użyciu kilku antywirusów (niestety miałem zdezaktualizowaną Pandę, która nie wykryła w zasadzie nic szczególnego, więc musiałem przerzucić się na nowy NOD32) usunąłem sporo wirusów, trojanów i robaków. Po kilku skanach NOD32 wykrywa już tylko robaka Win32/nuwar.gen, ale nie może go usunąć (pliki w których go wykrywa są w katalogu, do którego nie mogę uzyskać dostępu).

Z tego, co czytałem w internecie, robak ten zabezpiecza się przed usunięciem uruchamiając się przed innymi programami i blokując im możliwość skutecznego działania. Znalazłem w rejestrze podejrzane wpis:

O4 - HKCU…\Run: [xem] C:\WINDOWS\ServicePackFiles\services.exe - po tym, co przeczytalem podejrzewam że to jest plik robaka, a nie systemu, chciałbym się jednak upewnić.

Generalnie - naczytałem się teraz o tym robaku, ale nie jestem pewien co mam robić: mam raczej słabe pojęcie i informatyce i rzeczach z nią związanych. Byłbym bardzo wdzięczny, gdybyście poradzili mi co mam robić w tej sytuacji, by wyjść z niej w miarę bez szwanku (no i przez jakiś czas przynajmniej jeszcze nie być zmuszonym do formatowania całego dysku i reinstalacji systemu+wszystkich programów). Mam nadzieję, że to nie do końca prawda, że Nuwar.gen nieodwracalnie uszkadza wszystkie pliki *.exe na komputerze i nie ma innego wyjścia niż format i reinstalacja?

Zauważyłem, że diagnozujecie na podstawie logów z HijackThis Oto mój:

Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 11:54:13, on 2007-05-05 Platform: Windows XP Dodatek SP. 1 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Eset\nod32kui.exe C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe C:\WINDOWS\system32\sistray.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\Program Files\Eset\nod32krn.exe C:\PROGRA~1\Mozilla Firefox\firefox.exe C:\Documents and Settings\dr A. Kula\Pulpit\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza O2 - BHO: C:\WINDOWS\System32\lsdjd84jdhj.dll - {8D5849A2-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\System32\lsdjd84jdhj.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE O4 - HKCU…\Run: [xem] C:\WINDOWS\ServicePackFiles\services.exe O4 - HKCU…\Run: [Gadu-Gadu] “C:\Documents and Settings\dr A. Kula\Pulpit\gg zapas\Gadu-Gadu\gg.exe” /tray O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA LOKALNA’) O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’) O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe O8 - Extra context menu item: Download all links using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm O8 - Extra context menu item: Download all videos using BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm O8 - Extra context menu item: Download link using &BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra ‘Tools’ menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll O22 - SharedTaskScheduler: Fdjskie8 jf8e - {8D5849A2-93F3-429D-FF34-260A2068897C} - C:\WINDOWS\System32\lsdjd84jdhj.dll O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe – End of file - 3784 bytes

Gutek · 5 Maj 2007 11:50

usuń wpisy HJT

Użyj VundoFix + Trojan.Vundo Removal Tool + VirtumundoBeGone.

Po wszystkim daj log z combofix - http://download.bleepingcomputer.com/sUBs/ComboFix.exe

marw3 · 5 Maj 2007 13:25

Usunąłem wskazane pozycje w HiJack This (“Fix”), uruchomiłem zalecone programy (nic nie znalazły) i zrobiłem skan ComboFix:

“dr A. Kula” - 07-05-05 15:03:50 Dodatek Service Pack. 1 ComboFix 07-04-25.4V - Running from: “C:\Documents and Settings\dr A. Kula\Pulpit” (((((((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) C:\WINDOWS\system32\wincom32.sys ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Folders Quarantined: C:\qoobox\purity\C\Program Files\CURITY~1 C:\qoobox\purity\C\Program Files\DOBE~1 C:\qoobox\purity\C\Program Files\MCROSO~1 C:\qoobox\purity\C\Program Files\SSTEM3~1 C:\qoobox\purity\C\Program Files\YSTEM~1 C:\qoobox\purity\C\Program Files\Common Files\ASEMBL~1 C:\qoobox\purity\C\Program Files\Common Files\CROSOF~1.NET C:\qoobox\purity\C\Program Files\Common Files\DOBE~1 C:\qoobox\purity\C\Program Files\Common Files\ICROSO~1 C:\qoobox\purity\C\Program Files\Common Files\ICROSO~1.NET C:\qoobox\purity\C\Program Files\Common Files\RACLE~1 C:\qoobox\purity\C\Program Files\Common Files\TSKS~1 C:\qoobox\purity\C\Program Files\Common Files\WNSXS~1 C:\qoobox\purity\C\WINDOWS\CROSOF~1 C:\qoobox\purity\C\WINDOWS\ICROSO~1 C:\qoobox\purity\C\WINDOWS\MANTEC~1 C:\qoobox\purity\C\WINDOWS\RACLE~1 C:\qoobox\purity\C\WINDOWS\RACLE~2 C:\qoobox\purity\C\WINDOWS\YSTEM~1 C:\qoobox\purity\C\WINDOWS\system32\ASKS~1 C:\qoobox\purity\C\WINDOWS\system32\ASKS~2 C:\qoobox\purity\C\WINDOWS\system32\CURITY~1 C:\qoobox\purity\C\WINDOWS\system32\FNTS~1 C:\qoobox\purity\C\WINDOWS\system32\ICROSO~1.NET C:\qoobox\purity\C\WINDOWS\system32\PPATCH~1 C:\qoobox\purity\C\WINDOWS\system32\PPPATC~1 C:\qoobox\purity\C\WINDOWS\system32\WNSXS~1 ((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-05 )))))))))))))))))))))))))))))))))) 2007-05-05 13:17 2007-05-05 00:01 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys 2007-05-05 00:01 298,104 --a------ C:\WINDOWS\system32\imon.dll 2007-05-05 00:01 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys 2007-05-04 21:19 524,288 --ah----- C:\DOCUME~1\ADMINI~1.KRA\NTUSER.DAT 2007-05-04 21:19 2007-05-04 21:19 2007-05-04 21:19 2007-05-04 21:19 2007-05-04 21:19 2007-05-04 21:19 2007-05-04 21:19 2007-05-04 20:12 2007-05-04 20:11 10,000 --a------ C:\WINDOWS\system32\lsdjd84jdhj.dll 2007-04-24 12:26 21,656 --a------ C:\WINDOWS\system32\dopdfmn5.dll 2007-04-24 12:26 17,048 --a------ C:\WINDOWS\system32\dopdfmi5.dll 2007-04-24 12:26 2007-04-24 10:59 2007-04-22 14:56 2007-04-06 18:46 2007-04-06 18:46 (((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))) 2007-05-04 23:59 -------- d–h----- C:\Program Files\installshield installation information 2007-05-04 20:51 -------- d-------- C:\Program Files\winamp 2007-05-04 20:39 -------- d-------- C:\Program Files\foobar2000 2007-04-22 15:52 -------- d-------- C:\Program Files\movie maker 2007-04-22 14:56 -------- d-------- C:\Program Files\jasc software inc 2007-04-03 15:54 -------- d-------- C:\Program Files\audacity 2007-03-25 11:17 49910 --a------ C:\WINDOWS\system32\perfc015.dat 2007-03-25 11:17 356068 --a------ C:\WINDOWS\system32\perfh015.dat 2007-03-13 20:04 -------- d-------- C:\Program Files\mirc 2007-02-22 11:30 4 --a------ C:\WINDOWS\system32\proc-220146841.bin 2007-02-22 11:30 1883 --a------ C:\WINDOWS\mozver.dat (((((((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))) *Note* empty entries & legit default entries are not shown [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects] {8D5849A2-93F3-429D-FF34-260A2068897C} C:\WINDOWS\System32\lsdjd84jdhj.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run] “nod32kui”="“C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE" [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run] “Gadu-Gadu”="“C:\Documents and Settings\dr A. Kula\Pulpit\gg zapas\Gadu-Gadu\gg.exe” /tray" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler] “{8D5849A2-93F3-429D-FF34-260A2068897C}”=“Fdjskie8 jf8e” HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Authentication Packages REG_MULTI_SZ msv1_0\0\0 Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0 Notification Packages REG_MULTI_SZ scecli\0\0 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost] LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0 NetworkService REG_MULTI_SZ DnsCache\0\0 rpcss REG_MULTI_SZ RpcSs\0\0 imgsvc REG_MULTI_SZ StiSvc\0\0 termsvcs REG_MULTI_SZ TermService\0\0 ******************************************************************** catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net Rootkit scan 2007-05-05 15:10:02 Windows 5.1.2600 Dodatek Service Pack. 1 NTFS scanning hidden processes … scanning hidden services … HKLM\SYSTEM\CurrentControlSet\Services\winmgmt5070-17ef scanning hidden autostart entries … scanning hidden files … C:\WINDOWS\system32\windev-5070-17ef.sys 139264 bytes C:\WINDOWS\system32\windev-peers.ini 16384 bytes scan completed successfully hidden processes: 0 hidden services: 1 hidden files: 2 ******************************************************************** Completion time: 07-05-05 15:12:01 - machine was rebooted C:\ComboFix-quarantined-files.txt … 07-05-05 15:12

Powstał jakiś dodatkowy log z plikami w kwarantannie:

01-10-26 17:45 742 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\etc\hosts.tim.vir

06-12-27 22:21 0 --a--c--- C:\Qoobox\Quarantine\C\WINDOWS\system32\recsl.exe.vir

07-05-04 20:11 57344 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\wincom32.sys.vir

07-05-04 20:12 1 --a------ C:\Qoobox\Quarantine\C\i.vir

07-05-04 20:12 15 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\dlh9jkd1q8.exe.vir

07-05-04 20:13 1174044 --a------ C:\Qoobox\Quarantine\C\DOCUME~1\DRA~1.KUL\DANEAP~1\Install.dat.vir

07-05-04 20:13 12364 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\vexga5me3.exe.vir

07-05-04 20:13 150 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\max1d164v.exe.vir

07-05-04 20:13 190 --a------ C:\Qoobox\Quarantine\C\WINDOWS\ServicePackFiles\killer.exe.bak.vir

07-05-04 20:15 122880 --a------ C:\Qoobox\Quarantine\C\WINDOWS\ServicePackFiles\54181531.dll.vir

07-05-04 20:15 13824 --a------ C:\Qoobox\Quarantine\C\WINDOWS\winvip.exe.vir

07-05-04 20:15 1406 --a------ C:\Qoobox\Quarantine\C\WINDOWS\ServicePackFiles\www.google.com\favicon.ico.vir

07-05-04 20:15 1410 --a------ C:\Qoobox\Quarantine\C\WINDOWS\ServicePackFiles\www.google.com\Google_files\hp3.gif.vir

07-05-04 20:15 1434 --a------ C:\Qoobox\Quarantine\C\WINDOWS\ServicePackFiles\www.google.com\index.html.vir

07-05-04 20:15 2702 --a------ C:\Qoobox\Quarantine\C\WINDOWS\ServicePackFiles\www.google.com\Google_files\hp2.gif.vir

07-05-04 20:15 2953 --a------ C:\Qoobox\Quarantine\C\WINDOWS\ServicePackFiles\www.google.com\Google_files\hp1.gif.vir

07-05-04 20:15 4277 --a------ C:\Qoobox\Quarantine\C\WINDOWS\ServicePackFiles\www.google.com\Google_files\hp0.gif.vir

07-05-04 20:15 62976 --a------ C:\Qoobox\Quarantine\C\WINDOWS\system32\arcac.exe.vir

07-05-04 20:15 986 --a------ C:\Qoobox\Quarantine\C\WINDOWS\ServicePackFiles\www.google.com\thank.html.vir



Zmienna PATH folderu

Numer seryjny woluminu: 71F5E346 6810:92C5

C:\QOOBOX

+---purity

| \---C

| +---Program Files

| | +---Common Files

| | | +---ASEMBL~1

| | | +---CROSOF~1.NET

| | | +---DOBE~1

| | | +---ICROSO~1

| | | +---ICROSO~1.NET

| | | +---RACLE~1

| | | +---TSKS~1

| | | \---WNSXS~1

| | +---CURITY~1

| | +---DOBE~1

| | +---MCROSO~1

| | +---SSTEM3~1

| | \---YSTEM~1

| \---WINDOWS

| +---CROSOF~1

| +---ICROSO~1

| +---MANTEC~1

| +---RACLE~1

| +---RACLE~2

| +---system32

| | +---ASKS~1

| | +---ASKS~2

| | +---CURITY~1

| | +---FNTS~1

| | +---ICROSO~1.NET

| | +---PPATCH~1

| | +---PPPATC~1

| | \---WNSXS~1

| \---YSTEM~1

\---Quarantine

    +---C

    | | i.vir

    | |   

    | +---DOCUME~1

    | | \---DRA~1.KUL

    | | \---DANEAP~1

    | | Install.dat.vir

    | |               

    | \---WINDOWS

    | | winvip.exe.vir

    | |   

    | +---ServicePackFiles

    | | | 54181531.dll.vir

    | | | killer.exe.bak.vir

    | | |   

    | | \---www.google.com

    | | | favicon.ico.vir

    | | | index.html.vir

    | | | thank.html.vir

    | | |   

    | | \---Google_files

    | | hp0.gif.vir

    | | hp1.gif.vir

    | | hp2.gif.vir

    | | hp3.gif.vir

    | |               

    | \---system32

    | | arcac.exe.vir

    | | dlh9jkd1q8.exe.vir

    | | max1d164v.exe.vir

    | | recsl.exe.vir

    | | vexga5me3.exe.vir

    | | wincom32.sys.vir

    | |   

    | \---drivers

    | \---etc

    | hosts.tim.vir

    |                       

    \---Registry_backups

Co chwilę NOD32 wykrywa próbę ściągnięcia na komputer jakiegoś trojana.

I jest jeszcze jedna dość dziwna sprawa: część programów (m.in. Outlook Express) wyłącza się po tym jak korzystając z nich używam klawiatury (dopóki obsługuję je myszą - wszystko jest ok).

Gutek · 5 Maj 2007 18:14

Użyj Pocket Killbox. Zaznaczasz opcję Delete on Reboot i w polu Full Path of File to Delete wklejasz ścieżkę

C:\WINDOWS\system32\lsdjd84jdhj.dll

i naciskasz X czerwony. Program poprosi o reset kompa … czyli resetujesz.

Otwórz Notatnik i wklej w nim to:

Plik >>> Zapisz jako >>> Ustaw rozszerzenie z TXT na Wszystkie pliki >>> zapisz pod nazwą FIX.REG >>> kliknij podwójnie zrobiony plik i potwierdź >>> reset kompa

marw3 · 5 Maj 2007 19:29

Wygląda na to, że pomogło! Outlook i Gadu-Gadu działają już normalnie (nie wyłączają się - w gg coś szwankuje z grafiką, nie wiem czego to może być symptomem, ale mam nadzieję, że to nic poważnego), wszystko inne na razie tez wygląda OK. NOD32 nie wykrywa już co chwilę próby ściągnięcia Trojana… Na wszelki wypadek przedstawiam loga z Silent Runners (tworzył się pół godziny, czy to normalne?):

“Silent Runners.vbs”, revision R50, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by “{++}” Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “Gadu-Gadu” = ““C:\Documents and Settings\dr A. Kula\Pulpit\gg zapas\Gadu-Gadu\gg.exe” /tray” [“sms-express.com”] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++} “nod32kui” = ““C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE” ["Eset "] “KernelFaultCheck” = “C:\WINDOWS\system32\dumprep 0 -k” HKLM\Software\Microsoft\Active Setup\Installed Components\ {306D6C21-C1B6-4629-986C-E59E1875B8AF}(Default) = (no title provided) \StubPath = ““C:\WINDOWS\System32\rundll32.exe” “C:\Program Files\Messenger\msgsc.dll”,ShowIconsUser” [MS] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ “{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Rozszerzenie CPL kadrowania wyświetlania” -> {HKLM…CLSID} = “Rozszerzenie CPL kadrowania wyświetlania” \InProcServer32(Default) = “deskpan.dll” [file not found] “{88895560-9AA2-1069-930E-00AA0030EBC8}” = “Rozszerzenie ikony HyperTerminalu” -> {HKLM…CLSID} = “HyperTerminal Icon Ext” \InProcServer32(Default) = “C:\WINDOWS\System32\hticons.dll” [“Hilgraeve, Inc.”] “{0006F045-0000-0000-C000-000000000046}” = “Microsoft Outlook Custom Icon Handler” -> {HKLM…CLSID} = “Rozszerzenie ikon plików programu Outlook” \InProcServer32(Default) = “C:\Program Files\Microsoft Office\Office10\OLKFSTUB.DLL” [MS] “{42042206-2D85-11D3-8CFF-005004838597}” = “Microsoft Office HTML Icon Handler” -> {HKLM…CLSID} = (no title provided) \InProcServer32(Default) = “C:\Program Files\Microsoft Office\Office10\msohev.dll” [MS] “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” = “WinRAR shell extension” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] “{4FED14EE-8086-4b0c-A0DE-C27042ED1296}” = “PDFTransformer2ContextMenu” -> {HKLM…CLSID} = “PDFTransformer2.PDFTContextMenu.1” \InProcServer32(Default) = “C:\Program Files\ABBYY PDF Transformer 2.0\PDFTContextMenu.dll” [“ABBYY Software”] “{B089FE88-FB52-11D3-BDF1-0050DA34150D}” = “NOD32 Context Menu Shell Extension” -> {HKLM…CLSID} = “NOD32 Context Menu Shell Extension” \InProcServer32(Default) = “C:\Program Files\Eset\nodshex.dll” [null data] HKLM\Software\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}(Default) = “PDF Column Info” -> {HKLM…CLSID} = “PDF Shell Extension” \InProcServer32(Default) = “C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll” [“Adobe Systems, Inc.”] HKLM\Software\Classes*\shellex\ContextMenuHandlers\ NOD32 Context Menu Shell Extension(Default) = “{B089FE88-FB52-11D3-BDF1-0050DA34150D}” -> {HKLM…CLSID} = “NOD32 Context Menu Shell Extension” \InProcServer32(Default) = “C:\Program Files\Eset\nodshex.dll” [null data] PDFTransformer2ContextMenu(Default) = “{4FED14EE-8086-4b0c-A0DE-C27042ED1296}” -> {HKLM…CLSID} = “PDFTransformer2.PDFTContextMenu.1” \InProcServer32(Default) = “C:\Program Files\ABBYY PDF Transformer 2.0\PDFTContextMenu.dll” [“ABBYY Software”] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ NOD32 Context Menu Shell Extension(Default) = “{B089FE88-FB52-11D3-BDF1-0050DA34150D}” -> {HKLM…CLSID} = “NOD32 Context Menu Shell Extension” \InProcServer32(Default) = “C:\Program Files\Eset\nodshex.dll” [null data] WinRAR(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}” -> {HKLM…CLSID} = “WinRAR” \InProcServer32(Default) = “C:\Program Files\WinRAR\rarext.dll” [null data] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\ “shutdownwithoutlogon” = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} “undockwithoutlogon” = (REG_DWORD) hex:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ “Wallpaper” = “C:\Documents and Settings\dr A. Kula\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp” Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ “Wallpaper” = “C:\Documents and Settings\dr A. Kula\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp” Startup items in “dr A. Kula” & “All Users” startup folders: ------------------------------------------------------------ C:\Documents and Settings\All Users.WINDOWS\Menu Start\Programy\Autostart “Adobe Reader Speed Launch” -> shortcut to: “C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe” [“Adobe Systems Incorporated”] “DSLMON” -> shortcut to: “C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe” [empty string] “Microsoft Office” -> shortcut to: “C:\Program Files\Microsoft Office\Office10\OSA.EXE -b -l” [MS] “Utility Tray” -> shortcut to: “C:\WINDOWS\system32\sistray.exe” [“Silicon Integrated Systems Corporation”] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] 000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS] 000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: C:\WINDOWS\System32\imon.dll ["Eset "], 01 - 05, 24 %SystemRoot%\system32\mswsock.dll [MS], 06 - 09, 12 - 23 %SystemRoot%\system32\rsvpsp.dll [MS], 10 - 11 Toolbars, Explorer Bars, Extensions: ------------------------------------ Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ “MenuText” = “Sun Java Console” “CLSIDExtension” = “{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}” -> {HKCU…CLSID} = “Java Plug-in 1.6.0_01” \InProcServer32(Default) = “C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll” [“Sun Microsystems, Inc.”] -> {HKLM…CLSID} = “Java Plug-in 1.6.0_01” \InProcServer32(Default) = “C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll” [“Sun Microsystems, Inc.”] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ LightScribeService Direct Disc Labeling Service, LightScribeService, “C:\Program Files\Common Files\LightScribe\LSSrvc.exe” [“Hewlett-Packard Company”] Machine Debug Manager, MDM, ““C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe”” [MS] NOD32 Kernel Service, NOD32krn, ““C:\Program Files\Eset\nod32krn.exe”” ["Eset "] Print Monitors: --------------- HKLM\System\CurrentControlSet\Control\Print\Monitors\ doPDF Desktop 5 Monitor\Driver = “dopdfmn5.dll” [“Softland”] PDF-XChange\Driver = “C:\WINDOWS\System32\pxc25pm.dll” [“Tracker Software”] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + The search for DESKTOP.INI DLL launch points on all local fixed drives took 301 seconds. ---------- (total run time: 1684 seconds)

Byłbym wdzięczny (hm, już jestem… w takim razie: byłbym wdzięczny jeszcze bardziej), gdyby ktoś rzucił fachowym okiem na powyższego loga i stwierdził, czy sytuacja jest już opanowana i mogę odetchnąć. Na jakimś forum czytałem, że ten cały robak Nuwar.gen trwale uszkadza pliki (w tym *.exe) - to prawda?

Dziękuję Ci serdecznie, Gutku2222, za dotychczasową pomoc.

adam9870 · 5 Maj 2007 19:39

Już jest Ok.

U jednych log jest tworzony minutę, a u drugich nawet 15 minut, więc nie należy się przejmować się tym. Czas tworzenia loga o niczym nie świadczy.

Przeskanuj system skanerem on-line Kasperskiego:

http://www.kaspersky.pl/virusscanner.html

I jeśli został dodany jakiś kod do plików *.EXE, to ten skaner powinien to wykryć i naprawić. Bowiem skaner Kasperskiego jest bardzo skuteczny. Niejednokrotnie już widziałem raporty, w których zostały wykryte bardzo poważne szkodniki modyfikujące kod binarny plików.

marw3 · 6 Maj 2007 06:08

Kaspersky wykrył wprawdzie jakieś paskudztwa TrojanDownloader w kilku plikach, ale udało mi się je usunąć bez problemu… Poza tym rzeczywiście wygląda na to, że wszystko w porządku!

Chciałbym wobec tego serdecznie Wam podziękować za szybką oraz - co najważniejsze - kompetentną i skuteczną pomoc. Gdyby nie Wy pewnie musiałbym tłuc się po jakichś “pogotowiach komputerowych” w których jakiś geniusz pewnie i tak sformatowałby mi dysk i wziął za to jeszcze niezłą kasę. Nie mam na razie pomysłu jak by się Wam odwdzięczyć, więc jeszcze raz: dziękuję.