Wirus autorun.inf

Rafal2iomuss · #1 (**permalink**) 26.05.2008, 12:50

Witam, otoz mialem poniekad pecha a zarazem szczescie. Chcialem sobie zrobic formata, wszystko przygotowałem no i kiedy mialem go zrobic wyłapałem wirusa ktory na kazdym dysku (razem z pendrivami i mpe :/) wrzucił plik autorun.inf w ktorym byl odnosnik do ctfmon.exe ;/ Zrobilem formata(tylko C), zainstalowałem kasperskiego i przeskanowałem kompa. wykryło 58 infekcji dwoch typow
Virus.Win32.Sality.q oraz Trojan.Win32.VB.atq
Skanuje od czasu formata kompa codziennie i czasami wykrywa mi na D/system volume information ze jakis plik jest tam skażony ;/ kasuje i jest niby ok ale na nastepny dzien znowu to samo ;/

wiem ze tutaj jest trend na hijackthis logi wiec wklejam to co tam mam. To jest moj pierwszy post tego typu wiec przymknijcie oko jak coś nie tak bedzie

pozdR!

acha, udało mi sie jeszcze zauwazyc, ze od czasu formata mam non stop jakies ataki z sieci, cały czas kaspersky daje mi znak ze zablokował jakis atak. Moze to ma jakies powiazanie z tym wirusem ;/

Kod:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:49:58, on 2008-05-26
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PCSync2.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Program Files\Hamachi\hamachi.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Program Files\Common Files\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O4 - HKCU\..\Run: [SRS Audio Sandbox] "C:\Program Files\SRS Labs\Audio Sandbox\SRSSSC.exe" /hideme
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Program Files\Hamachi\hamachi.exe
O8 - Extra context menu item: Dodaj do blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3A59603-C0F6-4A84-BABC-0EFF688EE909}: NameServer = 194.204.152.34 217.98.63.164
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Usługa bramy warstwy aplikacji (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5132 bytes

mr.n0b0dy · #2 (**permalink**) 26.05.2008, 21:58

Hijackthis za słaby jest. Daj loga z Combofixa - opis masz tutaj --> http://peb.pl/logi-z-hijackthis/1005...ml#post1146873
Zanim odpalisz Combofixa podepnij do kompa pendrive'a którego używasz i z którego weszła infekcja na kompa.

Rafal2iomuss · #3 (**permalink**) 27.05.2008, 00:35

mysle ze juz po sprawie. Zajrzałem do supportu ms i uzyskalem dostep do system volume information. Znalazło tam kolejne 50 wirusow. pokasowałem tam wsio co było i mozna powiedzieć ze sprawa ucichła ale ku prfilaktyce zapodam te logi (btw wirusa nie złapałem z pendriva tylko jak grałem w w3 i wylonczałem kaspera wtedy mnie siekło :/)

Kod:

ComboFix 08-05-25.5 - Szefunio 2008-05-26 23:54:53.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1250.1.1045.18.233 [GMT 2:00]
Running from: C:\Documents and Settings\Szefunio\Pulpit\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\system32\setup.ini

.
(((((((((((((((((((((((((   Files Created from 2008-04-26 to 2008-05-26  )))))))))))))))))))))))))))))))
.

2008-05-26 23:54 . 2008-05-26 23:54	<DIR>	d--------	C:\Documents and Settings\Szefunio\Dane aplikacji\Gadu-Gadu
2008-05-26 11:38 . 2008-05-26 11:38	<DIR>	d--------	C:\Program Files\Trend Micro
2008-05-26 10:34 . 2008-05-26 10:34	<DIR>	d--------	C:\Documents and Settings\Szefunio\Dane aplikacji\Media Player Classic
2008-05-26 10:33 . 2008-05-26 10:33	<DIR>	d--------	C:\Program Files\K-Lite Codec Pack
2008-05-26 10:33 . 2007-11-29 23:30	3,596,288	--a------	C:\WINDOWS\system32\qt-dx331.dll
2008-05-25 13:48 . 2008-05-25 13:48	<DIR>	d--------	C:\Program Files\Common Files\Adobe
2008-05-24 10:22 . 2008-05-26 23:50	<DIR>	d--------	C:\Documents and Settings\Szefunio\Dane aplikacji\Hamachi
2008-05-24 10:21 . 2008-05-24 21:03	<DIR>	d--------	C:\Program Files\NiemPol
2008-05-24 10:21 . 2008-05-24 10:22	<DIR>	d--------	C:\Program Files\Hamachi
2008-05-24 10:21 . 2008-01-06 13:44	140,288	--a------	C:\WINDOWS\system32\COMDLG32.OCX
2008-05-24 10:21 . 2004-03-09 01:00	132,880	--a------	C:\WINDOWS\system32\MSINET.OCX
2008-05-24 10:21 . 2008-05-24 10:21	25,280	--a------	C:\WINDOWS\system32\drivers\hamachi.sys
2008-05-23 19:04 . 2008-05-23 19:04	<DIR>	d--------	C:\Documents and Settings\Szefunio\Dane aplikacji\Nokia Multimedia Player
2008-05-23 19:03 . 2008-05-23 19:03	<DIR>	d--------	C:\WINDOWS\system32\LogFiles
2008-05-23 19:02 . 2008-04-14 00:15	26,112	--a------	C:\WINDOWS\system32\drivers\usbser.sys
2008-05-23 19:02 . 2008-04-14 00:15	26,112	--a--c---	C:\WINDOWS\system32\dllcache\usbser.sys
2008-05-23 19:02 . 2008-05-23 19:02	0	--ah-----	C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-05-23 19:02 . 2008-05-23 19:02	0	--ah-----	C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2008-05-23 19:01 . 2006-10-08 21:51	23,856	--a------	C:\WINDOWS\system32\spupdsvc.exe
2008-05-23 19:00 . 2008-05-23 19:00	<DIR>	d--------	C:\Program Files\Common Files\PCSuite
2008-05-23 19:00 . 2008-05-23 19:00	<DIR>	d--------	C:\Program Files\Common Files\Nokia
2008-05-23 19:00 . 2008-05-23 19:03	<DIR>	d--------	C:\Documents and Settings\Szefunio\Dane aplikacji\PC Suite
2008-05-23 19:00 . 2008-05-23 19:00	<DIR>	d--------	C:\Documents and Settings\Szefunio\Dane aplikacji\Nokia
2008-05-23 19:00 . 2008-05-23 19:02	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\PC Suite
2008-05-23 18:59 . 2008-05-23 19:00	<DIR>	d----c---	C:\WINDOWS\system32\DRVSTORE
2008-05-23 18:59 . 2008-05-23 18:59	<DIR>	d--------	C:\Program Files\PC Connectivity Solution
2008-05-23 18:59 . 2008-05-23 19:00	<DIR>	d--------	C:\Program Files\Nokia
2008-05-23 18:59 . 2008-05-23 18:59	<DIR>	d--------	C:\Program Files\DIFX
2008-05-23 18:59 . 2007-11-29 10:33	1,419,232	--a------	C:\WINDOWS\system32\wdfcoinstaller01005.dll
2008-05-23 18:59 . 2007-11-29 10:39	95,744	--a------	C:\WINDOWS\system32\nmwcdcocls.dll
2008-05-23 18:59 . 2007-11-29 10:32	48,128	--a------	C:\WINDOWS\system32\nmwcdcls.dll
2008-05-23 18:59 . 2007-09-17 15:53	21,632	--a------	C:\WINDOWS\system32\drivers\pccsmcfd.sys
2008-05-23 18:59 . 2007-11-29 10:39	19,328	--a------	C:\WINDOWS\system32\drivers\ccdcmbo.sys
2008-05-23 18:59 . 2007-11-29 10:39	16,896	--a------	C:\WINDOWS\system32\drivers\ccdcmb.sys
2008-05-23 18:59 . 2007-11-29 10:39	8,064	--a------	C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys
2008-05-23 18:59 . 2007-11-29 10:39	8,064	--a------	C:\WINDOWS\system32\drivers\usbser_lowerflt.sys
2008-05-23 18:58 . 2008-05-23 18:58	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\Installations
2008-05-23 14:19 . 2008-05-23 14:19	<DIR>	d--------	C:\WINDOWS\nview
2008-05-23 14:19 . 2007-12-05 02:53	356,352	--a------	C:\WINDOWS\system32\NVUNINST.EXE
2008-05-23 14:19 . 2007-12-05 01:41	356,352	--a------	C:\WINDOWS\system32\nvudisp.exe
2008-05-23 14:19 . 2008-05-23 14:20	163,353	--a------	C:\WINDOWS\system32\nvapps.xml
2008-05-23 14:19 . 2007-12-05 01:41	17,737	--a------	C:\WINDOWS\system32\nvdisp.nvu
2008-05-23 14:18 . 2008-05-23 14:18	<DIR>	d--------	C:\NVIDIA
2008-05-23 14:04 . 2008-04-14 00:15	26,368	--a--c---	C:\WINDOWS\system32\dllcache\usbstor.sys
2008-05-23 14:00 . 2008-05-23 14:00	<DIR>	d--------	C:\Documents and Settings\All Users\Dane aplikacji\SRS Labs
2008-05-23 12:20 . 2008-05-23 12:20	2,422	--a------	C:\WINDOWS\system32\wpa.bak
2008-05-01 12:02 . 2008-05-01 12:02	1,034,752	--a------	C:\WINDOWS\explorer.exe
2008-05-01 11:55 . 2008-05-01 11:55	3,107,840	--a------	C:\WINDOWS\system32\winntbbu.dll

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-26 21:56	60,960	--sha-w	C:\WINDOWS\system32\drivers\fidbox2.dat
2008-05-26 21:56	3,806,240	--sha-w	C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-26 21:27	---------	d-----w	C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab
2008-05-26 16:57	58,256	--sha-w	C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-26 16:57	10,532	--sha-w	C:\WINDOWS\system32\drivers\fidbox2.idx
2008-05-23 11:59	---------	d-----w	C:\Program Files\SRS Labs
2008-05-23 11:48	---------	d-----w	C:\Program Files\Gadu-Gadu
2008-05-23 11:24	---------	d--h--w	C:\Program Files\InstallShield Installation Information
2008-05-23 11:24	---------	d-----w	C:\Program Files\Realtek AC97
2008-05-23 11:24	---------	d-----w	C:\Program Files\Common Files\InstallShield
2008-05-23 11:23	---------	d-----w	C:\Program Files\Intel
2008-05-23 09:48	---------	d-----w	C:\Program Files\Lavalys
2008-05-23 09:46	96,645	----a-w	C:\WINDOWS\system32\drivers\klin.dat
2008-05-23 09:46	87,941	----a-w	C:\WINDOWS\system32\drivers\klick.dat
2008-05-23 09:31	---------	d-----w	C:\Program Files\Kaspersky Lab
2008-05-23 09:29	---------	d-----w	C:\Program Files\ZTE ZXDSL 852
2008-05-23 09:24	---------	d-----w	C:\Program Files\microsoft frontpage
2008-05-23 09:22	---------	d-----w	C:\Program Files\Usługi online
2008-05-23 09:20	---------	d-----w	C:\Program Files\Windows Media Connect 2
2008-04-15 01:04	1,246,357	----a-r	C:\WINDOWS\SET3.tmp
2008-04-15 00:56	16,825	----a-r	C:\WINDOWS\SET8.tmp
2008-04-15 00:56	1,088,840	----a-r	C:\WINDOWS\SET4.tmp
2008-04-14 23:16	1,804	----a-w	C:\WINDOWS\system32\Dcache.bin
2008-04-14 22:56	332,288	----a-w	C:\WINDOWS\system32\netsetup.exe
2008-04-14 22:52	92,424	----a-w	C:\WINDOWS\system32\rdpdd.dll
2008-04-14 22:52	87,176	----a-w	C:\WINDOWS\system32\rdpwsx.dll
2008-04-14 22:52	299,520	----a-w	C:\WINDOWS\system32\drmclien.dll
2008-04-14 22:52	21,896	----a-w	C:\WINDOWS\system32\drivers\tdtcp.sys
2008-04-14 22:52	139,656	----a-w	C:\WINDOWS\system32\drivers\rdpwd.sys
2008-04-14 22:52	12,168	----a-w	C:\WINDOWS\system32\tsddd.dll
2008-04-14 22:52	12,040	----a-w	C:\WINDOWS\system32\drivers\tdpipe.sys
2008-04-14 22:50	997,888	----a-w	C:\WINDOWS\system32\setupapi.dll
2008-04-14 22:49	98,304	----a-w	C:\WINDOWS\system32\actxprxy.dll
2008-04-14 22:48	5,632	----a-w	C:\WINDOWS\system32\wmi.dll
2008-04-14 22:47	57,375	----a-w	C:\WINDOWS\system32\odbcji32.dll
2008-04-14 22:43	4,126	----a-w	C:\WINDOWS\system32\msdxmlc.dll
2008-04-14 22:42	3,584	----a-w	C:\WINDOWS\system32\msafd.dll
2008-04-14 22:36	3,584	----a-w	C:\WINDOWS\system32\icmp.dll
2008-04-14 22:35	9,344	----a-w	C:\WINDOWS\system32\framebuf.dll
2008-04-14 22:33	3,072	----a-w	C:\WINDOWS\system32\dpnlobby.dll
2008-04-14 22:33	3,072	----a-w	C:\WINDOWS\system32\dpnaddr.dll
2008-04-14 22:31	16,896	----a-w	C:\WINDOWS\system32\cfgmgr32.dll
2008-04-14 22:30	285,696	----a-w	C:\WINDOWS\system32\atmfd.dll
2008-04-14 22:04	73,472	----a-w	C:\WINDOWS\system32\drivers\sr.sys
2008-04-14 22:03	120,320	----a-w	C:\WINDOWS\system32\drivers\pcmcia.sys
2008-04-14 21:59	2,146,816	----a-w	C:\WINDOWS\system32\ntoskrnl.exe
2008-04-14 21:55	4,096	----a-w	C:\WINDOWS\system32\dsprpres.dll
2008-04-14 21:52	89,600	----a-w	C:\WINDOWS\system32\msxml6r.dll
2008-04-14 21:52	800,000	----a-w	C:\WINDOWS\system32\drivers\dmboot.sys
2008-04-14 21:52	153,856	----a-w	C:\WINDOWS\system32\drivers\dmio.sys
2008-04-14 21:50	80,896	----a-w	C:\WINDOWS\system32\msshavmsg.dll
2008-04-14 21:50	24,960	----a-w	C:\WINDOWS\system32\drivers\kbdclass.sys
2008-04-14 21:46	5,504	----a-w	C:\WINDOWS\system32\drivers\intelide.sys
2008-04-14 21:46	40,448	----a-w	C:\WINDOWS\system32\drivers\intelppm.sys
2008-04-14 21:45	49,664	----a-w	C:\WINDOWS\system32\inetres.dll
2008-04-14 21:43	563,200	----a-w	C:\WINDOWS\system32\shdoclc.dll
2008-04-14 21:41	65,280	----a-w	C:\WINDOWS\system32\drivers\serial.sys
2008-04-14 21:41	53,248	----a-w	C:\WINDOWS\system32\drivers\i8042prt.sys
2008-04-14 21:37	10,240	----a-w	C:\WINDOWS\system32\gpkrsrc.dll
2008-04-14 21:35	67,584	----a-w	C:\WINDOWS\system32\browselc.dll
2008-04-14 21:35	58,880	----a-w	C:\WINDOWS\system32\drivers\redbook.sys
2008-04-14 21:35	1,845,888	----a-w	C:\WINDOWS\system32\win32k.sys
2008-04-14 21:33	44,672	----a-w	C:\WINDOWS\system32\drivers\fips.sys
2008-04-14 21:31	52,864	----a-w	C:\WINDOWS\system32\drivers\volsnap.sys
2008-04-14 21:29	103,936	----a-w	C:\WINDOWS\system32\dpcdll.dll
2008-04-14 21:24	69,552	----a-w	C:\WINDOWS\system32\mmsystem.dll
2008-04-14 21:24	188,544	----a-w	C:\WINDOWS\system32\drivers\acpi.sys
2008-04-14 20:52	40,840	----a-w	C:\WINDOWS\system32\drivers\termdd.sys
2008-04-14 20:51	294,912	----a-w	C:\WINDOWS\system32\msh263.drv
2008-04-14 20:51	23,552	----a-w	C:\WINDOWS\system32\wdmaud.drv
2008-04-14 20:50	77,312	----a-w	C:\WINDOWS\system32\usbui.dll
2008-04-14 20:50	4,096	----a-w	C:\WINDOWS\system32\ksuser.dll
2008-04-14 20:03	68,608	----a-w	C:\WINDOWS\system32\drivers\pci.sys
2008-04-14 19:48	37,632	----a-w	C:\WINDOWS\system32\drivers\isapnp.sys
2008-04-14 00:58	175,744	----a-w	C:\WINDOWS\system32\drivers\rdbss.sys
2008-04-14 00:51	162,816	----a-w	C:\WINDOWS\system32\drivers\netbt.sys
2008-04-14 00:50	91,520	----a-w	C:\WINDOWS\system32\drivers\ndiswan.sys
2008-04-14 00:50	361,344	----a-w	C:\WINDOWS\system32\drivers\tcpip.sys
2008-04-14 00:50	182,656	----a-w	C:\WINDOWS\system32\drivers\ndis.sys
2008-04-14 00:49	75,264	----a-w	C:\WINDOWS\system32\drivers\ipsec.sys
2008-04-14 00:49	51,328	----a-w	C:\WINDOWS\system32\drivers\rasl2tp.sys
2008-04-14 00:49	48,384	----a-w	C:\WINDOWS\system32\drivers\raspptp.sys
2008-04-14 00:49	138,112	----a-w	C:\WINDOWS\system32\drivers\afd.sys
2008-04-14 00:47	456,576	----a-w	C:\WINDOWS\system32\drivers\mrxsmb.sys
2008-04-14 00:47	105,344	----a-w	C:\WINDOWS\system32\drivers\mup.sys
2008-04-14 00:46	49,536	----a-w	C:\WINDOWS\system32\drivers\classpnp.sys
2008-04-14 00:45	574,976	----a-w	C:\WINDOWS\system32\drivers\ntfs.sys
2008-04-14 00:45	334,848	----a-w	C:\WINDOWS\system32\drivers\srv.sys
2008-04-14 00:44	63,744	----a-w	C:\WINDOWS\system32\drivers\cdfs.sys
2008-04-14 00:44	143,744	----a-w	C:\WINDOWS\system32\drivers\fastfat.sys
2008-04-14 00:30	225,664	----a-w	C:\WINDOWS\system32\drivers\tcpip6.sys
2008-04-14 00:30	19,072	----a-w	C:\WINDOWS\system32\drivers\tdi.sys
2008-04-14 00:27	41,472	----a-w	C:\WINDOWS\system32\drivers\raspppoe.sys
2008-04-14 00:27	40,576	----a-w	C:\WINDOWS\system32\drivers\ndproxy.sys
2008-04-14 00:27	34,560	----a-w	C:\WINDOWS\system32\drivers\wanarp.sys
2008-04-14 00:27	20,864	----a-w	C:\WINDOWS\system32\drivers\ipinip.sys
2008-04-14 00:27	152,832	----a-w	C:\WINDOWS\system32\drivers\ipnat.sys
2008-04-14 00:27	14,336	----a-w	C:\WINDOWS\system32\drivers\asyncmac.sys
2008-04-14 00:27	10,112	----a-w	C:\WINDOWS\system32\drivers\ndistapi.sys
2008-04-14 00:26	88,320	----a-w	C:\WINDOWS\system32\drivers\nwlnkipx.sys
.

------- Sigcheck -------

2008-05-01 12:02  1034752  0ffe2299a37932d32e0d32758155b928	C:\WINDOWS\explorer.exe

.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu"="C:\Program Files\Gadu-Gadu\gg.exe" [2008-03-20 12:04 2127296]
"SRS Audio Sandbox"="C:\Program Files\SRS Labs\Audio Sandbox\SRSSSC.exe" [2007-10-26 16:04 4354048]
"Nokia.PCSync"="C:\Program Files\Nokia\Nokia PC Suite 6\PCSync2.exe" [2008-03-26 18:41 1232896]
"PC Suite Tray"="C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" [2008-04-16 12:53 1079808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdslTaskBar"="stmctrl.dll" [2007-02-06 16:47 167936 C:\WINDOWS\system32\stmctrl.dll]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 15:28 577536 C:\WINDOWS\soundman.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="regsvr32 /s /n /i:U shell32" []
"nltide_3"="advpack.dll" [2002-04-27 00:47 123904 C:\WINDOWS\system32\advpack.dll]

C:\Documents and Settings\Szefunio\Menu Start\Programy\Autostart\
hamachi.lnk - C:\Program Files\Hamachi\hamachi.exe [2008-05-24 10:21:40 624416]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMMyPictures"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoInstrumentation"= 1 (0x1)
"NoStartMenuMFUprogramsList"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMMyPictures"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoInstrumentation"= 1 (0x1)
"NoStartMenuMFUprogramsList"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=

R0 Si3112;Si3112;C:\WINDOWS\system32\drivers\Si3112.sys [2002-04-27 00:48]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
R3 Stmatm;ATM/ADSL miniport;C:\WINDOWS\system32\DRIVERS\stmatm.sys [2007-01-22 11:52]
R3 TaurusUsb;ADSL Modem USB Service;C:\WINDOWS\system32\DRIVERS\torususb.sys [2007-02-06 16:08]
S3 pccsmcfd;PCCS Mode Change Filter Driver;C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2007-09-17 15:53]
S3 upperdev;upperdev;C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys [2007-11-29 10:39]
S3 UsbserFilt;UsbserFilt;C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys [2007-11-29 10:39]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-26 23:56:15
Windows 5.1.2600 Dodatek Service Pack 3 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

scanning hidden files ... 

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-05-26 23:56:58
ComboFix-quarantined-files.txt  2008-05-26 21:56:56

Pre-Run: 76,143,300,608 bajtów wolnych
Post-Run: 76,196,851,712 bajtów wolnych

244	--- E O F ---	2008-05-23 10:22:56

mr.n0b0dy · #4 (**permalink**) 27.05.2008, 20:22

Faktycznie wygląda, że jest czysto. Do skasowania moim zdaniem nadają się te pliki:

Kod:

C:\WINDOWS\SET3.tmp
C:\WINDOWS\SET8.tmp
C:\WINDOWS\SET4.tmp

Dodam jeszcze, że aby pozbyć się wirusów siedzących w punktach przywracania systemu (czyli w folderze System Volume Information) wystarczy na moment wyłączyć przywracanie systemu i włączyć je ponownie. Taka operacja zalecana jest po każdej walce z wirusami ponieważ w tym folderze tworzą się ich kopie.

Opis Twojej infekcji pasuje jak ulał do typowego złapania syfu na pendrive i zarażenia z niego twardziela. Dla pewności zobacz czy na pendrivie nie masz jakichś podejrzanych plików (mogą być ukryte). Mogę się mylić oczywiście.
Pozdrawiam.

Rafal2iomuss · #5 (**permalink**) 28.05.2008, 11:35

Jest czyściutko juz

a wirus na 100% nie podszedł z pendrive'a. To raczej z mojego kompa poszedł on na pendrive'a. A samo działanie wirusa było ciekawe. Dopisał mi sie do wszystkich plikow exe jakie byly i antywir mi wszystko pokasował. A te

Kod:

C:\WINDOWS\SET3.tmp
C:\WINDOWS\SET8.tmp
C:\WINDOWS\SET4.tmp

pliki usunięte. Wielkie dzięks&pozdr!: D

nike007 · #6 (**permalink**) 27.11.2008, 20:32

elo mam taki sam problem z tymi wirusami co gorsze nie mogę zainstalować w ogóle ComboFix po wczytaniu
"

"
pojawia mi się niebieskie okienko co jest grane??? pomóżcie błagam

kaban123 · #7 (**permalink**) 27.11.2008, 20:38

Niebieskie okienko?

takowe ma się pojawić

Zrób skan i loga umieść w swoim temacie

nike007 · #8 (**permalink**) 27.11.2008, 22:41

ale w instrukcji jest jeszcze

i

a coś takiego mi się nie pokazuje ...

mr.n0b0dy · #9 (**permalink**) 27.11.2008, 22:44

No ale koniec końcem uruchamia się ten Combofix czy nie? Podaj treść komunikatu z tego "niebieskiego okna", które Ci się pokazuje. A jak dasz radę to screen. A na razie pokaż loga z Hijackthis.

Ziemniak_27 · #10 (**permalink**) 27.11.2008, 22:45

Mnie też się to w nowszej wersji nie pokazało

Po prostu daj mu zeskanować i wklej loga..
Tak nawiasem to załóż własny temat.

Szybka odpowiedź
Po Twoich działaniach wystąpiły następujące błędy

OK
Weryfikacja obrazka Wiadomość: Kliknij jedną z ikon szybkiej odpowiedzi w postach powyżej w celu aktywacji tego okna. Opcje Zacytować wiadomość podczas odpowiedzi? Dodawanie szybkiej odpowiedzi - Proszę czekać!

Narzędzia wątku	Przeszukaj ten temat
Wersja do druku Wyślij na email	Przeszukaj ten temat: Zaawansowane wyszukiwanie
Wygląd
Wygląd liniowy Wygląd mieszany Wygląd wątkowy

Podobne wątki
Temat	Autor wątku	Forum	Odpowiedzi	Ostatni post/autor
plik autorun.inf dla folderu na dysku	krystian2009	windows	10	03.05.2008 21:22
Autorun.inf - Problem.	jarzynekk	Logi do sprawdzenia	6	15.04.2008 20:31
błąd update.inf	bbbartek	windows	2	17.02.2008 20:22
Wirus, autorun.inf, dysk flash	gekon001	bezpieczeństwo i anonimowość	5	11.01.2008 21:48
Kanał inf	olo-k	komórki	2	20.01.2006 21:38