wirus autorun.inf

chmielu19 · #1 (**permalink**) 09.06.2009, 19:23

nie ja pierwszy nie ostatni mam problem z autorunem.. jak wszyscy ktorzy pisali tutaj o tym wirusie skanowalem system Combofixem i faktycznie kilka rzeczy sie zmienilo w kompie, jednak pliki autorun.inf powrocily na niektore dyski (np pendrive). Wiem ze aby pozbyc sie trwale tych plikow pasuje przeczyscic rejestr, ja jednak nie wiem ktore dokladnie pliki mam usunac. Przesylam Wam log z combofixa i licze na to ze ktos podpowie co usunac. Z gory dzieki

Kod:

ComboFix 09-06-08.03 - Chmielu 2009-06-09 18:03.5 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1250.48.1045.18.255.94 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Chmielu\Pulpit\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Sterowniki/Usługi   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ASC3360PR
-------\Service_asc3360pr


(((((((((((((((((((((((((   Pliki utworzone od 2009-05-09 do 2009-06-09  )))))))))))))))))))))))))))))))
.

2009-06-09 16:07 . 2009-06-09 16:07	5509	----a-w-	c:\windows\system32\drivers\gmnjqn.sys
2009-06-09 15:11 . 2009-06-09 15:11	--------	d-----w-	C:\Frienz Lineage II Patch
2009-06-09 15:09 . 2005-01-05 13:43	4682	----a-w-	c:\windows\system32\npptNT2.sys
2009-06-09 15:01 . 2009-06-09 15:09	--------	d-----w-	C:\Lineage II
2009-06-09 12:04 . 2009-06-09 12:37	--------	d-----w-	c:\documents and settings\Chmielu\Dane aplikacji\Moje pliki zapisu Bitwy o Śródziemie
2009-06-09 12:01 . 2009-06-09 12:04	--------	d-----w-	C:\Bitwa o Śródziemie
2009-06-09 11:45 . 2004-08-03 21:08	26496	-c--a-w-	c:\windows\system32\dllcache\usbstor.sys
2009-06-09 09:16 . 2009-06-09 09:19	--------	d-----w-	c:\documents and settings\Chmielu\Dane aplikacji\Nowe Gadu-Gadu
2009-06-09 09:16 . 2009-06-09 09:16	--------	d-----w-	c:\program files\Nowe Gadu-Gadu

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-09 16:07 . 2009-06-09 06:45	--------	d-----w-	c:\program files\neostrada tp
2009-06-09 15:01 . 2009-06-09 06:47	--------	d--h--w-	c:\program files\InstallShield Installation Information
2009-06-09 11:59 . 2009-06-09 07:43	--------	d-----w-	c:\documents and settings\Chmielu\Dane aplikacji\Winamp
2009-06-09 07:45 . 2009-06-09 07:43	--------	d-----w-	c:\program files\Winamp
2009-06-09 07:11 . 2009-06-09 07:11	0	----a-w-	c:\windows\nsreg.dat
2009-06-09 07:03 . 2009-06-09 07:03	--------	d-----w-	c:\program files\SubEdit-Player
2009-06-09 07:02 . 2009-06-09 07:02	--------	d-----w-	c:\program files\D-Tools
2009-06-09 07:00 . 2009-06-09 07:00	--------	d-----w-	c:\program files\Ahead
2009-06-09 07:00 . 2009-06-09 07:00	--------	d-----w-	c:\program files\Common Files\Ahead
2009-06-09 06:59 . 2009-06-09 06:47	--------	d-----w-	c:\program files\Java
2009-06-09 06:59 . 2009-06-09 06:59	--------	d-----w-	c:\program files\Common Files\Java
2009-06-09 06:57 . 2009-06-09 06:47	--------	d-----w-	c:\program files\Common Files\InstallShield
2009-06-09 06:48 . 2009-06-09 06:48	33	----a-w-	c:\windows\system32\drivers\adidsl.cfg
2009-06-09 06:48 . 2009-06-09 06:48	--------	d-----w-	c:\program files\SAGEM
2009-06-09 06:41 . 2001-10-26 18:15	49492	----a-w-	c:\windows\system32\perfc015.dat
2009-06-09 06:41 . 2001-10-26 18:15	355486	----a-w-	c:\windows\system32\perfh015.dat
2009-06-09 06:36 . 2009-06-09 06:36	--------	d-----w-	c:\program files\microsoft frontpage
2009-06-09 06:34 . 2009-06-09 06:34	86327	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-06-09 06:34 . 2009-06-09 06:34	--------	d-----w-	c:\program files\Usługi online
2009-06-09 06:32 . 2009-06-09 06:32	21856	----a-w-	c:\windows\system32\emptyregdb.dat
2009-05-28 09:23 . 2009-05-28 09:23	42088	----a-w-	c:\documents and settings\Chmielu\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll
2009-05-28 08:34 . 2009-05-28 08:34	11264	----a-w-	c:\documents and settings\Chmielu\Dane aplikacji\Nowe Gadu-Gadu\_userdata\npgg.1.dll
.

(((((((((((((((((((((((((((((   SnapShot@2009-06-09_09.46.14   )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-06-09 08:26 . 2009-06-09 15:50	94272              c:\windows\system32\FNTCACHE.DAT
+ 2009-06-09 11:45 . 2004-08-03 21:08	26496              c:\windows\system32\drivers\USBSTOR.SYS
+ 2009-06-09 07:03 . 2005-01-20 18:04	151552              c:\windows\SOUNDMAN.EXE
.
(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WOOWATCH"="c:\progra~1\NEOSTR~1\Watch.exe" [2004-08-23 20480]
"WOOTASKBARICON"="c:\progra~1\NEOSTR~1\GestMaj.exe" [2004-10-14 114688]
"DAEMON Tools-1033"="c:\program files\D-Tools\daemon.exe" [2004-03-12 81920]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-09 7561216]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-01-20 151552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\PROGRA~1\\NEOSTR~1\\GestMaj.exe"=
"g:\\l2\\Lineage II - Chronicle 4 Scions Of Destiny\\setup.exe"=
"c:\\WINDOWS\\SOUNDMAN.EXE"=
"c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=
"c:\\ComboFix\\NirCmd.cfexe"=
"c:\\Program Files\\D-Tools\\daemon.exe"=
"c:\\WINDOWS\\system32\\wscntfy.exe"=
"c:\\PROGRA~1\\NEOSTR~1\\TaskBarIcon.exe"=
"c:\\Bitwa o Śródziemie\\game.dat"=

R0 d346bus;d346bus;c:\windows\system32\drivers\d346bus.sys [2009-06-09 156800]
R0 d346prt;d346prt;c:\windows\system32\drivers\d346prt.sys [2009-06-09 5248]
R3 e4usbaw;USB ADSL2 WAN Adapter;c:\windows\system32\drivers\e4usbaw.sys [2009-06-09 116992]
S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);c:\windows\system32\drivers\e4ldr.sys [2009-06-09 64000]

--- Inne Usługi/Sterowniki w Pamięci ---

*NewlyCreated* - ASC3360PR
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.neostrada.pl
IE: { - c:\program files\Messenger\msmsgs.exe
TCP: {4EBB3C27-69EB-4E37-86D1-4558706513FB} = 194.204.159.1 217.98.63.164
FF - ProfilePath - c:\documents and settings\Chmielu\Dane aplikacji\Mozilla\Firefox\Profiles\2icto8n9.default\
FF - prefs.js: browser.startup.homepage - www.onet.pl
FF - plugin: c:\documents and settings\Chmielu\Dane aplikacji\Nowe Gadu-Gadu\_userdata\npgg.1.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPJPI150_04.dll
FF - plugin: c:\program files\Java\jre1.5.0_04\bin\NPOJI610.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-09 18:07
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...  

skanowanie ukrytych wpisów autostartu ... 

skanowanie ukrytych plików ...  

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\system32\FTRTSVC.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\progra~1\NEOSTR~1\TaskBarIcon.exe
.
**************************************************************************
.
Czas ukończenia: 2009-06-09 18:08 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt  2009-06-09 16:08
ComboFix2.txt  2009-06-09 11:51
ComboFix3.txt  2009-06-09 09:47

Przed: 4*212*207*616 bajtów wolnych
Po: 4*256*563*200 bajtów wolnych

131

mr.n0b0dy · #2 (**permalink**) 09.06.2009, 19:33

Logi zamieszczamy w tagach CODE lub QUOTE.

Do skasowania wg mnie plik:

Kod:

c:\windows\system32\drivers\gmnjqn.sys

Jeśli nie miałeś podpiętych do komputera przenośnych urządzeń usb w trakcie pracy Combofixa to wyczyść te urządzenia teraz ręcznie (skasuj wszystkie podejrzane pliki, w tym autorun.inf). Albo sformatuj je.
Zanim jednak podłączysz te urządzenia do komputera to zabezpiecz go przed takimi infekcjami przy pomocy programu Flash Disinfector. Czytaj -> http://www.searchengines.pl/Infekcje...ch-t94761.html
Potem podlącz te urządzenia, wyczyść je i zabezpiecz tym samym programem.

Szybka odpowiedź
Po Twoich działaniach wystąpiły następujące błędy

OK
Weryfikacja obrazka Wiadomość: Kliknij jedną z ikon szybkiej odpowiedzi w postach powyżej w celu aktywacji tego okna. Opcje Zacytować wiadomość podczas odpowiedzi? Dodawanie szybkiej odpowiedzi - Proszę czekać!

Narzędzia wątku	Przeszukaj ten temat
Wersja do druku Wyślij na email	Przeszukaj ten temat: Zaawansowane wyszukiwanie
Wygląd
Wygląd liniowy Wygląd mieszany Wygląd wątkowy

Podobne wątki
Temat	Autor wątku	Forum	Odpowiedzi	Ostatni post/autor
Wirus start.exe autorun.inf	vilu88	Logi do sprawdzenia	8	11.06.2009 10:45
Plik autorun.inf	Krzysiu555	programowanie	1	16.01.2009 23:02
Wirus autorun.inf	Rafal2iomuss	Logi do sprawdzenia	13	28.11.2008 00:17
Autorun.inf Combofix	boro89	Logi do sprawdzenia	2	22.11.2008 23:57
Wirus, autorun.inf, dysk flash	gekon001	bezpieczeństwo i anonimowość	5	11.01.2008 21:48

Wiadomość

Anuluj zmiany