Avast 4.7 Home wykrywa, wirusa VBS:Malware-gen, na wszystkich partycjach i pendrivie. Wykrywa w plikach autorun.inf. Usunięte pliki wracają po kilkunastu sekundach. Objawy jakie zauważyłem jak na razie to otwieranie sie partycji w osobnym oknie. zrobilem loga z combo fixa. oto on, prosze o pomoc:

ComboFix 09-11-01.04 - xxx 2009-11-02 21:12.2.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.1023.644 [GMT 1:00]
Running from: d:\programy\ComboFix.exe
AV: avast! antivirus 4.8.1351 [VPS 091102-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\windows\system32\NTSVc.ocx
D:\Autorun.inf

Infected copy of c:\windows\system32\drivers\atapi.sys was found and disinfected
Restored copy from - Kitty ate it
.
((((((((((((((((((((((((( Files Created from 2009-10-02 to 2009-11-02 )))))))))))))))))))))))))))))))
.

2009-11-02 19:57 . 2009-11-02 19:57 -------- d-----w- c:\documents and settings\Sebastain\Dane aplikacji\Malwarebytes
2009-11-02 19:57 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-02 19:57 . 2009-11-02 19:57 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-11-02 19:57 . 2009-11-02 19:57 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Malwarebytes
2009-11-02 19:57 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-02 19:49 . 2009-11-02 19:49 -------- d-----w- c:\windows\system32\config\systemprofile\Ustawieni a lokalne\Dane aplikacji\Microsoft
2009-10-30 20:31 . 2009-03-09 14:27 453456 ----a-w- c:\windows\system32\d3dx10_41.dll
2009-10-30 20:31 . 2009-03-09 14:27 1846632 ----a-w- c:\windows\system32\D3DCompiler_41.dll
2009-10-30 20:31 . 2009-03-16 13:18 69448 ----a-w- c:\windows\system32\XAPOFX1_3.dll
2009-10-30 20:31 . 2009-03-16 13:18 517448 ----a-w- c:\windows\system32\XAudio2_4.dll
2009-10-30 20:31 . 2009-03-09 14:27 4178264 ----a-w- c:\windows\system32\D3DX9_41.dll
2009-10-30 20:31 . 2009-03-16 13:18 235352 ----a-w- c:\windows\system32\xactengine3_4.dll
2009-10-30 20:31 . 2009-03-16 13:18 22360 ----a-w- c:\windows\system32\X3DAudio1_6.dll
2009-10-26 20:58 . 2009-10-26 21:06 -------- d-----w- c:\program files\Nowe Gadu-Gadu
2009-10-24 20:14 . 2009-10-24 20:14 -------- d-----w- c:\program files\KONAMI
2009-10-03 20:45 . 2009-10-03 20:45 -------- d-----w- c:\documents and settings\Sebastain\Dane aplikacji\ipla
2009-10-03 20:45 . 2009-10-03 20:45 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\ipla
2009-10-03 20:45 . 2009-10-03 20:45 -------- d-----w- c:\program files\ipla
2009-10-03 20:45 . 2009-10-03 20:45 1700352 ----a-w- c:\windows\system32\gdiplus.dll

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-10-31 14:29 . 2002-09-28 22:00 61846 ----a-w- c:\windows\system32\perfc015.dat
2009-10-31 14:29 . 2002-09-28 22:00 426458 ----a-w- c:\windows\system32\perfh015.dat
2009-10-30 21:07 . 2008-11-17 21:02 -------- d---a-w- c:\documents and settings\All Users\Dane aplikacji\Sports Interactive
2009-10-30 21:05 . 2008-11-15 23:30 -------- d-----w- c:\documents and settings\Sebastain\Dane aplikacji\Sports Interactive
2009-10-26 15:26 . 2009-01-04 17:27 -------- d-----w- c:\documents and settings\Sebastain\Dane aplikacji\Image Zone Express
2009-10-21 17:27 . 2009-04-06 17:28 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\KONAMI
2009-10-15 16:49 . 2009-07-01 15:31 -------- d-----w- c:\program files\Opera 10 Beta
2009-10-04 08:56 . 2008-11-15 13:26 -------- d-----w- c:\program files\NAPI-PROJEKT
2009-09-22 20:18 . 2009-09-22 20:16 -------- d-----w- c:\program files\TVUPlayer
2009-09-22 20:16 . 2009-09-22 20:16 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\TVU Networks
2009-09-22 05:50 . 2009-09-21 19:34 119296 ----a-w- c:\windows\system32\zlib.dll
2009-09-21 19:34 . 2009-09-21 19:34 -------- d-----w- c:\documents and settings\Sebastain\Dane aplikacji\KALiNKOsoft
2009-09-21 19:34 . 2009-04-10 15:22 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-09-18 13:06 . 2008-11-15 13:26 -------- d-----w- c:\program files\ALLPlayer
2009-09-17 19:20 . 2008-11-15 15:43 -------- d-----w- c:\program files\Common Files\Adobe
2009-09-17 19:16 . 2008-11-15 13:26 -------- d-----w- c:\program files\HP
2009-09-17 19:11 . 2009-09-08 16:37 -------- d-----w- c:\documents and settings\Sebastain\Dane aplikacji\RayV
2009-09-14 18:13 . 2009-09-14 18:13 -------- d-----w- c:\documents and settings\Sebastain\Dane aplikacji\CoSoSys
2009-08-18 19:03 . 2008-11-15 13:08 43800 ----a-w- c:\documents and settings\Sebastain\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-08-17 16:10 . 2008-11-15 13:13 1279456 ----a-w- c:\windows\system32\aswBoot.exe
2009-08-17 16:06 . 2008-11-15 13:13 93392 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-08-17 16:06 . 2008-11-15 13:13 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-08-17 16:05 . 2008-11-15 15:35 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-08-17 16:05 . 2008-11-24 12:10 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-08-17 16:04 . 2008-11-15 13:13 51376 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-08-17 16:04 . 2008-11-15 13:13 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-08-17 16:03 . 2008-11-15 13:13 26944 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-08-17 16:02 . 2008-11-15 13:13 97480 ----a-w- c:\windows\system32\AVASTSS.scr
.

------- Sigcheck -------

[-] 2002-09-28 . 66A42B7DB194E24B973BBCCE840A0F3F . 12032 . . [5.1.2600.0] . . c:\windows\system32\drivers\acpiec.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ALLUpdate"="c:\program files\ALLPlayer\ALLUpdate.exe" [2009-06-04 869888]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2005-08-06 61440]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp. exe" [2009-08-17 81000]
"InstalkiLite"="c:\program files\InstalkiLite\InstalkiLite.exe" [2009-01-12 1314304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-02-12 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^ATI CATALYST – pasek zadań.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\ATI CATALYST – pasek zadań.lnk
backup=c:\windows\pss\ATI CATALYST – pasek zadań.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^VIA RAID TOOL.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\VIA RAID TOOL.lnk
backup=c:\windows\pss\VIA RAID TOOL.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Messenger"=2 (0x2)
"Pml Driver HPZ12"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"c:\\Program Files\\SopCast\\SopCast.exe"=
"c:\\Program Files\\Common Files\\Synacast\\SynaLive\\PPLive.exe"=
"d:\\Gry\\FM 2008\\fm.exe"=
"c:\\Program Files\\Nowe Gadu-Gadu\\gg.exe"=
"c:\\Program Files\\Opera\\opera.exe"=
"d:\\Gry\\Pro evolution soccer 2009\\pes2009.exe"=
"d:\\Gry\\Pro evolution soccer 2009\\GoalServer2009.exe"=
"d:\\Gry\\Pro evolution soccer 2009\\GoalWebServer2009.exe"=
"d:\\Gry\\Pro evolution soccer 2009\\stunnel\\stunnel.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\Opera 10 Beta\\opera.exe"=
"c:\\Program Files\\TVUPlayer\\TVUPlayer.exe"=
"d:\\Gry\\pes 2010\\pes2010.exe"=
"c:\\Program Files\\KONAMI\\Pro Evolution Soccer 2010\\pes2010.exe"=
"d:\\Gry\\FM 2010\\fm.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

R0 d346bus;d346bus;c:\windows\system32\drivers\d346bu s.sys [2008-11-15 156800]
R0 d346prt;d346prt;c:\windows\system32\drivers\d346pr t.sys [2008-11-15 5248]
R0 tffsport;M-Systems DiskOnChip 2000;c:\windows\system32\drivers\tffsport.sys [2008-12-27 149376]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-11-15 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswF sBlk.sys [2008-11-24 20560]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\dr ivers\mbamswissarmy.sys [2009-11-02 38224]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2009-02-10 138112]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - MBR
*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
.
------- Supplementary Scan -------
.
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-AdobeBridge - (no file)
HKLM-Run-AdobeCS4ServiceManager - c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.ex e
AddRemove-Adobe_faf656ef605427ee2f42989c3ad31b8 - c:\program files\Common Files\Adobe\Installers\faf656ef605427ee2f42989c3ad 31b8\Setup.exe
AddRemove-Konnekt - c:\program files\Konnekt\Uninst.exe
AddRemove-PDF-XChange 3_is1 - c:\program files\Symfonia\PDF\unins000.exe
AddRemove-SystemRequirementsLab - c:\program files\SystemRequirementsLab\Uninstall.exe



************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-02 21:18
Windows 5.1.2600 Service Pack 3, v.3311 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys SCSIPORT.SYS hal.dll >>UNKNOWN [0x86DBF4E0]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x868070e8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

************************************************** ************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(696)
c:\windows\system32\Ati2evxx.dll
.
Completion time: 2009-11-02 21:19
ComboFix-quarantined-files.txt 2009-11-02 20:19
ComboFix2.txt 2008-12-29 10:48

Pre-Run: 2*590*007*296 bytes free
Post-Run: 2*878*038*016 bytes free

WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOW S
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Micro soft Windows XP Professional" /fastdetect /NoExecute=OptIn

- - End Of File - - 0AE7D41FDC386237A1C8C6171C839437

Przypominam, że na tym forum bez polecenia kogoś doświadczonego nie używamy ComboFixa!
ComboFix dzisiaj nie jest już tym narzędziem, co kiedyś. Jest bardzo mocnym ingerencyjnym dezynfektorem, który niejednokrotnie może się podczas działania pomylić czy zawiesić i problem gotowy - w skutek nieszczęśliwego zbiegu okoliczności czy pecha, w skrajnych przypadkach można pogorszyć stan swojego systemu lub po prostu doprowadzić do formatu. Oto, co na ten temat pisze sam autor programu: KLIK. Jeśli zatem nie umiesz sam się zdiagnozować i przychodzisz pytać innych o zdanie, to rozumiem, że jak się pomyli to będziesz w stanie samemu postawić system z powrotem?
Na forum polish:Elite:board zaczynamy od podania logów z nieingerencyjnych porgramów OTL, DDS czy RSIT, które są zupełnie wystraczające, żeby podać wstępną diagnozę.

Proszę ściągnąć program OTL, skonfigurować go tak, jak podane jest TUTAJ i wkleić logi OTL.txt oraz Extras.txt. Przypominam, że logi podajemy w tagach [code] lub wklejamy je na www.wklej.org.

Proszę poprawić także loga w pierwszym poście!

__________________
kontakt ze mną przez prywatną wiadomość albo sality.peb@interia.pl

Prośby o akceptację postów ignoruję całkowicie!
Skargi i pretensje pisane kulturalnie czytam, proszę także o podawanie linków do zbanowanych profili.