 |
 |
12.06.2009, 17:38
|
|||
|
|||
autorun wirus i logi z combofix
Witam
Nie moge sobie poradzić z wirusem autorun. Gdy włanczam jaki kolwiek dysk to urochamia się ten wirus. Oto logi: Kod:
ComboFix 09-06-11.06 - Sebastian 2009-06-12 16:25.2 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.3.1250.48.1045.18.384.136 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Sebastian\Pulpit\combofix.exe
AV: ESET Smart Security 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: Zapora osobista *enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
((((((((((((((((((((((((((((((((((((((( Sterowniki/Usługi )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_AVPsys
((((((((((((((((((((((((( Pliki utworzone od 2009-05-12 do 2009-06-12 )))))))))))))))))))))))))))))))
.
2009-06-12 13:59 . 2009-06-12 13:59 -------- d-----w- c:\program files\RegCleaner
2009-06-12 13:52 . 2009-06-12 13:52 -------- d-----w- c:\program files\Trend Micro
2009-06-12 12:48 . 2008-09-16 19:23 168448 ----a-w- c:\windows\system32\unrar.dll
2009-06-12 12:47 . 2004-01-25 16:18 217088 ----a-w- c:\windows\system32\yv12vfw.dll
2009-06-12 12:47 . 2009-05-29 21:31 881664 ----a-w- c:\windows\system32\xvidcore.dll
2009-06-12 12:47 . 2009-05-29 21:37 205824 ----a-w- c:\windows\system32\xvidvfw.dll
2009-06-12 12:47 . 2008-11-06 16:37 3596288 ----a-w- c:\windows\system32\qt-dx331.dll
2009-06-12 12:47 . 2009-05-01 21:02 90112 ----a-w- c:\windows\system32\dpl100.dll
2009-06-12 12:47 . 2009-05-01 21:02 685056 ----a-w- c:\windows\system32\divx.dll
2009-06-12 12:47 . 2009-06-02 16:11 85504 ----a-w- c:\windows\system32\ff_vfw.dll
2009-06-12 12:47 . 2004-01-11 22:00 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-06-12 12:46 . 2009-06-12 12:47 -------- d-----w- c:\program files\K-Lite Codec Pack
2009-06-12 12:31 . 2009-06-12 12:31 -------- d-----w- c:\program files\NAPI-PROJEKT
2009-06-12 12:30 . 2009-06-12 12:30 -------- d-----w- c:\program files\ALLPlayer
2009-06-12 12:25 . 2009-06-12 12:25 -------- d-----w- c:\program files\Winamp
2009-06-12 12:25 . 2009-06-12 12:25 -------- d-----w- c:\documents and settings\Sebastian\Dane aplikacji\Winamp
2009-06-12 12:16 . 2009-06-12 12:16 -------- d-----w- c:\documents and settings\Sebastian\Ustawienia lokalne\Dane aplikacji\Opera
2009-06-12 12:03 . 2008-03-03 16:21 568 ---ha-w- c:\windows\nod32fixtemdono.reg
2009-06-12 12:03 . 2008-03-03 12:25 5702 ---ha-w- c:\windows\nod32restoretemdono.reg
2009-06-12 12:02 . 2009-06-12 12:02 -------- d-----w- c:\documents and settings\Sebastian\Ustawienia lokalne\Dane aplikacji\ESET
2009-06-12 12:02 . 2009-06-12 12:02 -------- d-----w- c:\documents and settings\Sebastian\Dane aplikacji\ESET
2009-06-12 11:41 . 2009-06-12 11:41 -------- d-----w- c:\program files\ESET
2009-06-12 11:41 . 2009-06-12 11:41 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ESET
2009-06-12 11:36 . 2009-06-12 11:36 -------- d-----w- c:\program files\Common Files\LightScribe
2009-06-12 11:34 . 2004-07-09 06:43 364544 ------w- c:\windows\system32\TwnLib4.dll
2009-06-12 11:34 . 2000-06-26 08:45 106496 ----a-w- c:\windows\system32\TwnLib20.dll
2009-06-12 11:34 . 2004-07-26 14:16 476320 ------w- c:\windows\system32\ImagXpr7.dll
2009-06-12 11:34 . 2004-07-26 14:16 471040 ------w- c:\windows\system32\ImagXRA7.dll
2009-06-12 11:34 . 2004-07-26 14:16 262144 ------w- c:\windows\system32\ImagXR7.dll
2009-06-12 11:34 . 2004-07-26 14:16 1568768 ------w- c:\windows\system32\ImagX7.dll
2009-06-12 11:34 . 2001-07-09 08:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe
2009-06-12 11:34 . 2009-06-12 11:34 -------- d-----w- c:\program files\Common Files\Ahead
2009-06-12 11:34 . 2009-06-12 11:34 -------- d-----w- c:\program files\Ahead
2009-06-12 11:34 . 2004-10-01 13:00 40960 ----a-w- c:\program files\Uninstall_CDS.exe
2009-06-12 11:34 . 2009-06-12 11:34 -------- d-----w- c:\program files\CyberLink DVD Solution
2009-06-12 11:29 . 2004-04-23 07:00 7680 ----a-w- c:\windows\system32\CNMVS6e.DLL
2009-06-12 11:29 . 2004-04-23 07:00 116736 ------w- c:\windows\system32\CNMLM6e.DLL
2009-06-12 11:28 . 2004-03-11 18:06 86016 ----a-r- c:\windows\system32\CNMCP6e.exe
2009-06-12 11:28 . 2009-06-12 11:28 -------- d--h--w- C:\BJPrinter
2009-06-12 11:26 . 2009-06-12 11:26 -------- d-----w- c:\documents and settings\Sebastian\Dane aplikacji\Gadu-Gadu
2009-06-12 11:24 . 2009-06-12 11:24 -------- d-----w- c:\documents and settings\Sebastian\Gadu-Gadu
2009-06-12 11:24 . 2009-06-12 11:24 -------- d-----w- c:\program files\Gadu-Gadu
2009-06-12 11:23 . 2009-06-12 11:23 -------- d-----w- c:\program files\Opera
2009-06-12 11:20 . 2007-07-19 22:57 267112 ----a-w- c:\windows\system32\xactengine2_9.dll
2009-06-12 11:19 . 2009-06-12 11:19 -------- d-----w- c:\windows\Logs
2009-06-12 11:13 . 2009-06-12 11:13 13104 ----a-w- c:\documents and settings\Sebastian\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-06-12 11:13 . 2009-06-12 11:13 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ATI
2009-06-12 11:13 . 2009-06-12 11:13 -------- d-----w- c:\documents and settings\Sebastian\Ustawienia lokalne\Dane aplikacji\ATI
2009-06-12 11:13 . 2009-06-12 11:13 -------- d-----w- c:\documents and settings\Sebastian\Dane aplikacji\ATI
2009-06-12 11:11 . 2009-06-12 11:12 0 ----a-w- c:\windows\ativpsrm.bin
2009-06-12 11:08 . 2009-02-25 13:15 593920 ------w- c:\windows\system32\ati2sgag.exe
2009-06-12 11:07 . 2009-06-12 11:07 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-06-12 11:07 . 2009-06-12 11:07 -------- d-----w- c:\program files\ATI Technologies
2009-06-12 11:06 . 2009-06-12 11:06 -------- d-----w- c:\program files\Common Files\InstallShield
2009-06-12 11:06 . 2009-06-12 11:06 -------- d-----w- C:\ATI
2009-06-12 10:38 . 2008-04-14 20:51 32866 ------w- c:\windows\slrundll.exe
2009-06-12 10:38 . 2009-06-12 10:39 -------- d-----w- c:\windows\l2schemas
2009-06-12 10:38 . 2009-06-12 10:38 -------- d-----w- c:\windows\system32\pl
2009-06-12 10:38 . 2009-06-12 10:38 -------- d-----w- c:\windows\system32\bits
2009-06-12 10:35 . 2009-06-12 10:35 -------- d-----w- c:\windows\ServicePackFiles
2009-06-12 10:34 . 2008-04-14 20:51 294912 ------w- c:\windows\system32\dllcache\dlimport.exe
2009-06-12 10:29 . 2007-08-10 18:53 26488 ----a-w- c:\windows\system32\spupdsvc.exe
2009-06-12 10:07 . 2009-06-12 10:07 -------- d-s---w- c:\windows\system32\Microsoft
2009-06-12 10:07 . 2009-06-12 10:07 -------- d-----w- c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft
2009-06-12 10:07 . 2009-06-12 10:07 -------- d-sh--w- c:\documents and settings\LocalService
2009-06-12 10:07 . 2009-06-12 10:07 -------- d--h--w- c:\documents and settings\LocalService\Ustawienia lokalne
2009-06-12 10:07 . 2009-06-12 10:07 -------- d-----w- c:\documents and settings\LocalService\Dane aplikacji
2009-06-12 10:06 . 2009-06-12 10:06 -------- d-----w- c:\documents and settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft
2009-06-12 10:06 . 2009-06-12 10:06 -------- d--h--w- c:\documents and settings\NetworkService\Ustawienia lokalne
2009-06-12 10:06 . 2009-06-12 10:06 -------- d-----w- c:\documents and settings\NetworkService\Dane aplikacji
2009-06-12 10:06 . 2009-06-12 10:06 -------- d-sh--w- c:\documents and settings\NetworkService
2009-06-12 10:04 . 2001-10-26 17:29 74240 ----a-w- c:\windows\system32\dllcache\w3ext.dll
2009-06-12 10:03 . 2001-10-26 17:29 29184 ----a-w- c:\windows\system32\dllcache\sm8cw.dll
2009-06-12 10:02 . 2001-10-26 15:29 38912 ----a-w- c:\windows\system32\dllcache\EXCH_ntfsdrv.dll
2009-06-12 10:01 . 2001-08-17 22:55 7168 ----a-w- c:\windows\system32\dllcache\kbdnec95.dll
2009-06-12 10:00 . 2001-08-17 21:06 311359 ----a-w- c:\windows\system32\dllcache\imepadsv.exe
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-12 11:04 . 2001-10-26 14:15 74230 ----a-w- c:\windows\system32\perfc015.dat
2009-06-12 11:04 . 2001-10-26 14:15 448004 ----a-w- c:\windows\system32\perfh015.dat
2009-06-12 10:44 . 2009-06-12 09:53 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-06-12 09:56 . 2009-06-12 09:56 -------- d-----w- c:\program files\microsoft frontpage
2009-06-12 09:52 . 2009-06-12 09:52 -------- d-----w- c:\program files\Usługi online
2009-06-12 09:48 . 2009-06-12 09:48 21856 ----a-w- c:\windows\system32\emptyregdb.dat
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gadu-Gadu"="c:\program files\Gadu-Gadu\gg.exe" [2008-03-20 2127296]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-02-25 61440]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2008-07-01 1447168]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
R2 ekrn;Eset Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [2008-07-01 468224]
S2 NOD32FiXTemDono;Eset Nod32 Boot;c:\windows\system32\regedt32.exe [2001-10-26 3584]
S3 NtApm;Sterownik interfejsu NT Apm/Legacy;c:\windows\system32\drivers\NtApm.sys [2009-06-12 9600]
.
- - - - USUNIĘTO PUSTE WPISY - - - -
HKCU-Run-wsctf.exe - wsctf.exe
.
------- Skan uzupełniający -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.sonyericsson.com/smileshutter/Flash/main.html?cc=pl&lc=pl
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-12 16:31
Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPI
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(732)
c:\windows\system32\Ati2evxx.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\SYSTEM32\ATI2EVXX.EXE
c:\windows\SYSTEM32\ATI2EVXX.EXE
c:\program files\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\MOM.EXE
c:\program files\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\CCC.EXE
c:\program files\COMMON FILES\LIGHTSCRIBE\LSSRVC.EXE
c:\windows\SYSTEM32\WDFMGR.EXE
.
**************************************************************************
.
Czas ukończenia: 2009-06-12 16:32 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2009-06-12 14:32
Przed: 6*546*866*176 bajtów wolnych
Po: 6*510*329*856 bajtów wolnych
158
       
|
 |
 |
|
|
|
12.06.2009, 22:53
|
||||
|
||||
|
Odp: autorun wirus i logi z combofix
Opis problemu tak enigmatyczny, że nie wiem czy dobrze się domyślam o co Ci chodzi...
Jezeli mowisz o tzw. infekcji z przenośnych urządzeń usb to podłącz wszystkie przenosne urządzenia usb do komputera i ponownie zapuść Combofixa, który powinien skasować ewentualny syf z tych urządzeń. Albo sformatuj te urządzenia lub wyczyść je ręcznie (z włączonym pokazywaniem ukrytych folderów i plików). A jak piszesz o czymś innym to opisz to dokładniej. Log jest czysty.
__________________
Nie sprawdzam logów z CF, HJT i podobnych na PW oraz gg   
|
|
|
|
|
|
12.06.2009, 23:08
|
|||
|
|||
|
Odp: autorun wirus i logi z combofix
Wirus do kompa przyniosłem pendrivem ,lecz ten wirus zainfekował mój twardy dysk D. Z wirusem na pendrive sobie poradziłem bo sformatowałem go. Wirus uruchamia się ,gdy wejdzie sie na dysk dwuklikiem inaczej się nie uruchamia. Mój antywirus ESET go wykrywa lecz nie jest wstanie go usunąć.
Zauważyłem też ,że na każdej przenośnej pamieci tworzy pliki: "sm.exe" , "6phx.com" i "explorer.exe" A dokładniej wyskakuje takie coś przy skanowaniu dysku D:  Dorzuce jescze logi Hijack: Kod:
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ESET\ESET Smart Security\ekrn.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\ESET\ESET Smart Security\egui.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Gadu-Gadu\gg.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\Winamp\winamp.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.sonyericsson.com/smileshutter/Flash/main.html?cc=pl&lc=pl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
--
End of file - 3256 bytes
Ostatnio edytowane przez tribes ; 12.06.2009 o 23:16.
|
|
|
|
|
|
12.06.2009, 23:21
|
||||
|
||||
|
Odp: autorun wirus i logi z combofix
Z logów nie wynika żebyś miał teraz problem z infekcją pochodzącą z pendrive (na dysku D: brak jest szkodliwych plików).
Wyczyść komputer (ważne): 1. Wyczyść punkty przywracania systemu. Najlepiej zrobić to poprzez chwilowe wyłączenie (powiedzmy na trzy minuty) funkcji Przywracania systemu. Po tej chwili możesz włączyć tą funkcję z powrotem. Opis --> http://cybertrash.pl/Tata/Wiedza/PRZ...20SYSTEMU.html 2. Wyczyść foldery tymczasowe i cache przeglądarki internetowej przy pomocy malutkiego programiku ATF Cleaner --> http://cybertrash.pl/images/tata/ATF/ATF.html 3. Pozbądź się z dysku Combofixa (przed każdą akcją prowadzoną z użyciem tego narzędzia zalecane jest ściągnąć jego nową wersję gdyż kolejne wersje zawierają nowe procedury wykrywania i kasacji syfa, poza tym program ten po ściągnięciu na twardy dysk ma ograniczoną czasowo używalność - po pewnym czasie nie będziesz już mógł użyć posiadanej wersji i musisz i tak zassać nową). Combofixa pozbywasz się poleceniem: Cytat:
Zabezpiecz partycje twardego dysku oraz wszystkie przenosne urządzenia usb za pomocą programu Flash Disinfector, poczytaj tutaj -> http://www.searchengines.pl/Infekcje...ch-t94761.html Przeskanuj ponownie komputer antywirusem.
__________________
Nie sprawdzam logów z CF, HJT i podobnych na PW oraz gg
|
|
|
|
| Narzędzia wątku | Przeszukaj ten temat |
| Wygląd | |
Wygląd liniowy
|
|
Podobne wątki
|
||||
| Temat | Autor wątku | Forum | Odpowiedzi | Ostatni post/autor |
| wirus autorun.inf | chmielu19 | bezpieczeństwo i anonimowość | 1 | 09.06.2009 19:33 |
| Wirus autorun.inf | Rafal2iomuss | Logi do sprawdzenia | 13 | 28.11.2008 00:17 |
| Autorun.inf Combofix | boro89 | Logi do sprawdzenia | 2 | 22.11.2008 23:57 |
| Wirus, autorun.inf, dysk flash | gekon001 | bezpieczeństwo i anonimowość | 5 | 11.01.2008 21:48 |
| Wszystkie czasy w strefie GMT +2. Teraz jest 01:35. |
