Jakiś czas temu siostra mi napisała, że obawia się, że zainfekowała ten komputer, bo ponoć miała wirusa na pendrivie i korzystała z niego w odmu. Krótki czas później dzwonią rodzice, że im wyskakuje okienko avasta, że jakiś plik chyba jest groźny (kazałem im spisać wszystko, ale zgubili kartkę
), ale z tego co zrozumiałem to zagrożenie NIE było pewne. Pozwolenie skasowania pliku nic nie zmieniało - po ponownym uruchamianiu komputera czasami wyskakiwało to samo.Dodatkowo komputer zaczął wolniej pracować.
Wczoraj mama, będąc u koleżanki, skorzystała ze swojego penndrive i wyskoczył komunikat o zainfekowanym pliku, ale jaki plik, jaka infekcja ani nawet jaki program - tego już się nie dowiedziałem.
Skorzystałem z Flash_Disinfector, później z ComboFixa. Nie wiem czy już wszystko w porządku czy nie, dlatego dla pewności podaję loga.
Dodam, że strona HijackThis.de nie wykazała niczego do skasowania (wszelkie neutralne itp sprawdzałem w google)
- Kod: Zaznacz wszystko
ComboFix 08-12-21.01 - Komputer 2008-12-21 21:58:42.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.639.295 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Komputer\Pulpit\ComboFix.exe
* Utworzono nowy punkt przywracania
[COLOR=RED][B]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/B][/COLOR]
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
C:\e.cmd
C:\i.bat
c:\windows\system32\gasretyw0.dll
c:\windows\system32\gasretyw1.dll
c:\windows\system32\kamsoft.exe
D:\Autorun.inf
D:\e.cmd
D:\i.bat
E:\Autorun.inf
E:\e.cmd
E:\i.bat
F:\autorun.inf
F:\e.cmd
.
((((((((((((((((((((((((( Pliki utworzone od 2008-11-21 do 2008-12-21 )))))))))))))))))))))))))))))))
.
2008-12-21 21:42 . 2008-12-21 21:42 <DIR> d-------- c:\program files\Trend Micro
2008-12-01 18:55 . 2008-12-01 18:55 <DIR> d-------- c:\documents and settings\Komputer\Dane aplikacji\Media Player Classic
2008-11-29 23:02 . 2008-11-29 23:02 <DIR> d-------- c:\program files\Last.fm
2008-11-29 23:02 . 2008-11-29 23:02 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Last.fm
2008-11-29 20:53 . 2008-11-29 20:53 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\TVU Networks
2008-11-29 20:52 . 2008-11-29 20:53 <DIR> d-------- c:\program files\TVUPlayer
2008-11-29 20:52 . 2008-11-29 20:52 <DIR> d-------- c:\documents and settings\Komputer\LocalLow
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-21 20:51 --------- d-----w c:\program files\Neostrada TP
2008-11-16 20:12 --------- d-----w c:\documents and settings\Komputer\Dane aplikacji\Azureus
2008-11-10 19:43 --------- d-----w c:\documents and settings\Komputer\Dane aplikacji\NwDocx
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-11-15 13:29 67,696 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2008-11-15 13:29 54,376 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2008-11-15 13:29 34,952 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2008-11-15 13:29 46,720 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2008-11-15 13:29 172,144 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
"OM2_Monitor"="c:\program files\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2007-02-08 95800]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]
"WOOWATCH"="c:\progra~1\NEOSTR~1\Watch.exe" [2003-10-16 20480]
"WOOTASKBARICON"="c:\progra~1\NEOSTR~1\TaskbarIcon.exe" [2003-10-16 53248]
"WooCnxMon"="c:\progra~1\NEOSTR~1\CnxMon.exe" [2003-10-16 24576]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2006-03-16 421888]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-05-24 113664]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"vidc.DVX4"= DivX4.dll
"msacm.divxa32"= DivXa32.acm
[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup
[HKLM\~\startupfolder\C:^Documents and Settings^Komputer^Menu Start^Programy^Autostart^Reboot.exe]
path=c:\documents and settings\Komputer\Menu Start\Programy\Autostart\Reboot.exe
backup=c:\windows\pss\Reboot.exeStartup
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AQQ]
--a------ 2007-02-28 13:18 2351864 c:\progra~1\WapSter\AQQ\AQQ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
--a------ 2007-05-15 14:55 1057328 c:\program files\Nero\Nero 7\InCD\InCD.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LightScribe Control Panel]
--a------ 2007-04-19 12:26 484904 c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-09-01 14:57 282624 c:\program files\QuickTime\qttask.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SecurDisc]
--a------ 2007-05-15 14:55 1628208 c:\program files\Nero\Nero 7\InCD\NBHGui.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-04-23 16:45 22058792 c:\program files\Skype\Phone\Skype.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-04-01 19:49 36352 c:\program files\Winamp\winampa.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\WapSter\\AQQ\\AQQ.exe"=
"c:\\PROGRA~1\\WapSter\\AQQ\\AQQ.exe"=
"c:\\Program Files\\Gadu-Gadu\\gg.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Azureus\\Azureus.exe"=
"c:\\Program Files\\TVUPlayer\\TVUPlayer.exe"=
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-05-24 78416]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-05-24 20560]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dde516cc-a204-11dd-bf32-000e505da28d}]
\Shell\AutoRun\command - F:\i.bat
\Shell\explore\Command - F:\i.bat
\Shell\open\Command - F:\i.bat
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fd49be90-8da0-11dd-befb-000e505da28d}]
\Shell\AutoRun\command - I:\i.bat
\Shell\explore\Command - I:\i.bat
\Shell\open\Command - I:\i.bat
*Newly Created Service* - PROCEXP90
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"c:\program files\Common Files\LightScribe\LSRunOnce.exe"
.
- - - - USUNIĘTO PUSTE WPISY - - - -
MSConfigStartUp-kamsoft - c:\windows\system32\kamsoft.exe
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.neostrada.pl
IE: { - c:\program files\Messenger\msmsgs.exe
IE: {c:\program files\Messenger\msmsgs.exe - -
TCP: {442D524F-0806-48AC-8EC9-A875D85734F4} = 194.204.159.1 217.98.63.164
FF - ProfilePath -
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-21 22:02:15
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
Czas ukończenia: 2008-12-21 22:04:00
ComboFix-quarantined-files.txt 2008-12-21 21:03:33
Przed: 27 865 030 656 bajtów wolnych
Po: 28,516,438,016 bajtów wolnych
oraz skasuj folder C:\
