Nie działa menedżer urządzeń

[barto0o]

jak wrócę z pracy, masz pomysł czym jeszcze to przejechać?

[wojtas]

najpierw log z combofixa...

[barto0o]

http://wklej.org/id/92897/ log z combo

dr web na pełnym znalazł jakieś pojedyncze malware ale nie dałem loga bo nie wygenerował się a nie widziałem jak to zrobić. Kasperski odpalony z płyty pod linuxem też już nic nie znajduje. Teraz wychodzę do pracy i nastawiam drweb z płyty, zobaczymy co pokaże.

[wojtas]

wklej do notatnika

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\~\startupfolder\C:^Documents and Settings^barto0o^Menu Start^Programy^Autostart^ctfmon.exe]

w notatniku u góry>>>plik zapisz jako>>>Zmien rozszerzenie z TXT na Wszystkie pliki *.* >>> Zapisz pod nazwą FIX.REG

Klikasz dwa razy na powstały plik fix i dodajesz go do rejestru....

[barto0o]

coś jeszcze?

[wojtas]

pokaz raport potem z weba :d

[barto0o]

http://www.wklej.org/id/93163/ kolejne combo
dr web wersja cd nic nie znalazł, teraz wrzucę normalne pełne skanowanie

[wojtas]

zainstaluj:'

http://www.programosy.pl/program,comodo-firewall.html

Pobierz i uruchom narzędzie
The Avenger
w bialym polu wklej tekst:

Files to delete:

c:\windows\system32\drivers\rnrlm.sys

Drivers to unload:

abp470n5

Kopiujesz - Klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

oraz

sciagnij gmera


1. Zakładka Rootkit >>> zaznaczone wszystko oprócz Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta
2. Zakładka Rootkit >>> zaznaczone tylko Usługi i Pokazuj wszystko >>> kliknij Szukaj >>> czekaj cierpliwie aż skończy >>> Kopiuj >>> wklej do posta

[barto0o]

avenger

Kod: Zaznacz wszystko

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  file "c:\windows\system32\drivers\rnrlm.sys" not found!
Deletion of file "c:\windows\system32\drivers\rnrlm.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "abp470n5" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.


Dodano 20.05.2009 21:07:01:
gmer wszystko

http://www.wklej.org/id/93373/

gmer usługi

http://www.wklej.org/id/93375/

Dodano 20.05.2009 21:07:53:
dr web

Kod: Zaznacz wszystko

A0000551.bat   C:\System Volume Information\_restore{3B455C87-E6D2-4249-BB80-3D35747A29A2}\RP1   Prawdopodobnie BATCH.Virus   Usunięty.
A0000475.exe\data016   D:\System Volume Information\_restore{3B455C87-E6D2-4249-BB80-3D35747A29A2}\RP1\A0000475.exe   Adware.SearchAid.40   
A0000475.exe   D:\System Volume Information\_restore{3B455C87-E6D2-4249-BB80-3D35747A29A2}\RP1   Archiwum zawierające zainfekowane obiekty   Przeniesiony.
A0000476.exe\data015   D:\System Volume Information\_restore{3B455C87-E6D2-4249-BB80-3D35747A29A2}\RP1\A0000476.exe   Adware.SearchAid.40   
A0000476.exe   D:\System Volume Information\_restore{3B455C87-E6D2-4249-BB80-3D35747A29A2}\RP1   Archiwum zawierające zainfekowane obiekty   Przeniesiony.


comodo właśnie się ściąga bo próbowałem zainstalować kerio ale po poprzednie wersji jeszcze coś zostało i nie mogłem

[wojtas]

robiłes tym skan?? chodz imi o plyte Dr. Web LiveCD robiona na innym komputerze niz na Twoim

http://www.searchengines.pl/index.php?showtopic=112329&pid=517952&mode=threaded&start=#entry517952

bo jest infekcja Sality i chyba nic nie poradzimy na nią ..

nie wiem format trzeba chyba bedzie... pamietaj nie mozesz zostawic na kompie zadnego pliku scr exe dll bo one moga miec infekcje przykro mi ...

[barto0o]

no właśnie robiłem to co wcześniej pisałem i kasprem tez.... a archiwa mogę zabrać??? i jak to zrobić? nagrać na plyte, pendrive?

[barto0o]

sorry ze pytam ale po co? jak teraz bedzie format chyba że po, tylko powtarzam pytanie "a archiwa mogę zabrać??? i jak to zrobić? nagrać na plyte, pendrive?"

[wojtas]

sorka nie do Ciebie tak mozesz wrzucic na pendriva archiwa , filmy itp tylko nie pliki exe .dll i scr

[barto0o]

i jakieś wskazówki co najpierw robić po formacie oprócz firewalla?? jakieś zamykanie portów itd?? i archiwa moge zabierać jnawet jeżeli są w środku zrobione dll czy exe?

[wojtas]

sadze ze tak mozesz... antywirus odrazu i firewall potem porty rob formata z odlaczonym kablem od sieci

[barto0o]

po formacie... co wrzucić żeby można było sprawdzić czy nie został jakiś syf, log z combo??

[wojtas]

log z combo i skan webem jakis

[barto0o]

Combo

Kod: Zaznacz wszystko

ComboFix 09-05-20.A0 - Bart 2009-05-21 14:03.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1250.48.1045.18.1023.732 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Bart\Pulpit\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!
.

(((((((((((((((((((((((((   Pliki utworzone od 2009-04-21 do 2009-05-21  )))))))))))))))))))))))))))))))
.

2009-05-21 11:50 . 2009-05-21 11:51   --------   d-----w   c:\program files\Winamp
2009-05-21 11:50 . 2009-04-02 13:21   84480   ----a-w   c:\windows\system32\ff_vfw.dll
2009-05-21 11:50 . 2008-06-08 21:58   60273   ----a-w   c:\windows\system32\pthreadGC2.dll
2009-05-21 11:50 . 2009-05-21 11:50   --------   d-----w   c:\program files\ffdshow
2009-05-21 11:49 . 2008-12-12 22:26   178688   ----a-w   c:\windows\system32\xvidvfw.dll
2009-05-21 11:49 . 2008-12-12 22:23   617984   ----a-w   c:\windows\system32\xvidcore.dll
2009-05-21 11:49 . 2008-09-19 20:57   3596288   ----a-w   c:\windows\system32\qt-dx331.dll
2009-05-21 11:49 . 2008-09-25 07:03   81920   ----a-w   c:\windows\system32\dpl100.dll
2009-05-21 11:49 . 2008-09-25 07:03   524288   ----a-w   c:\windows\system32\DivXsm.exe
2009-05-21 11:49 . 2008-10-28 21:35   684032   ----a-w   c:\windows\system32\divx.dll
2009-05-21 11:49 . 2009-05-21 11:49   --------   d-----w   c:\program files\Codec
2009-05-21 11:25 . 2009-05-21 11:25   1172   ----a-w   c:\windows\mozver.dat
2009-05-21 11:24 . 2009-05-21 11:24   0   ----a-w   c:\windows\nsreg.dat
2009-05-21 11:24 . 2009-05-21 11:24   --------   d-----w   c:\documents and settings\Bart\Ustawienia lokalne\Dane aplikacji\Mozilla
2009-05-21 11:21 . 2009-05-21 11:21   11952   ----a-w   c:\windows\system32\avgrsstx.dll
2009-05-21 11:21 . 2009-05-21 11:21   108552   ----a-w   c:\windows\system32\drivers\avgtdix.sys
2009-05-21 11:20 . 2009-05-21 11:20   325896   ----a-w   c:\windows\system32\drivers\avgldx86.sys
2009-05-21 11:20 . 2009-05-21 11:22   --------   d-----w   c:\windows\system32\drivers\Avg
2009-05-21 11:20 . 2009-05-21 11:20   --------   d-----w   c:\program files\AVG
2009-05-21 11:20 . 2009-05-21 11:20   --------   d-----w   c:\documents and settings\All Users\Dane aplikacji\avg8
2009-05-21 09:42 . 2009-05-21 09:42   253688   ----a-w   c:\windows\system32\cssdll32.dll
2009-05-21 09:42 . 2009-05-21 09:42   --------   d-----w   c:\program files\AskBarDis
2009-05-21 09:41 . 2009-05-21 11:05   --------   d-----w   c:\documents and settings\All Users\Dane aplikacji\Comodo
2009-05-21 09:41 . 2009-05-21 09:41   168208   ----a-w   c:\windows\system32\guard32.dll
2009-05-21 09:41 . 2009-05-21 09:41   132640   ----a-w   c:\windows\system32\drivers\cmdguard.sys
2009-05-21 09:41 . 2009-05-21 09:41   24096   ----a-w   c:\windows\system32\drivers\cmdhlp.sys
2009-05-21 09:41 . 2009-05-21 09:42   --------   d-----w   c:\program files\COMODO
2009-05-21 09:37 . 2004-08-03 21:07   6400   -c--a-w   c:\windows\system32\dllcache\splitter.sys
2009-05-21 09:37 . 2004-08-03 21:07   6400   ----a-w   c:\windows\system32\drivers\splitter.sys
2009-05-21 09:37 . 2004-08-03 21:15   82944   -c--a-w   c:\windows\system32\dllcache\wdmaud.sys
2009-05-21 09:37 . 2004-08-03 21:15   82944   ----a-w   c:\windows\system32\drivers\wdmaud.sys
2009-05-21 09:37 . 2004-08-03 21:07   52864   -c--a-w   c:\windows\system32\dllcache\dmusic.sys
2009-05-21 09:37 . 2004-08-03 21:07   52864   ----a-w   c:\windows\system32\drivers\DMusic.sys
2009-05-21 09:19 . 2009-05-21 09:19   --------   d-----w   c:\documents and settings\All Users\Dane aplikacji\CyberLink
2009-05-21 09:19 . 2009-05-21 09:19   --------   d-----w   c:\program files\CyberLink
2009-05-21 09:19 . 2009-05-21 09:19   --------   d-----w   c:\program files\Common Files\InstallShield
2009-05-21 09:05 . 2009-05-21 09:05   --------   d-s---w   c:\documents and settings\Bart\UserData
2009-05-21 09:02 . 2004-10-13 09:56   462212   ----a-w   c:\windows\system32\drivers\SkyNET.sys
2009-05-21 08:57 . 2009-05-21 08:57   21361   ----a-w   c:\windows\system32\drivers\AegisP.sys
2009-05-21 08:57 . 2008-01-15 19:50   459520   ----a-w   c:\windows\system32\drivers\rt73.sys
2009-05-21 08:57 . 2005-11-30 09:33   2048   ----a-w   c:\windows\system32\rt73.bin
2009-05-21 08:57 . 2009-05-21 08:57   --------   dc----w   c:\windows\system32\DRVSTORE
2009-05-21 08:57 . 2009-05-21 08:57   --------   d-----w   c:\program files\EDIMAX
2009-05-21 08:57 . 2009-05-21 08:57   --------   d-----w   c:\documents and settings\Bart\Dane aplikacji\InstallShield

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-21 09:36 . 2009-05-21 09:36   --------   d-----w   c:\program files\C-Media 3D Audio
2009-05-21 09:19 . 2009-05-20 21:53   --------   d--h--w   c:\program files\InstallShield Installation Information
2009-05-21 09:06 . 2001-10-26 16:15   49492   ----a-w   c:\windows\system32\perfc015.dat
2009-05-21 09:06 . 2001-10-26 16:15   355486   ----a-w   c:\windows\system32\perfh015.dat
2009-05-21 08:56 . 2009-05-20 21:52   --------   d-----w   c:\program files\RALINK
2009-05-20 21:47 . 2009-05-20 21:47   12328   ----a-w   c:\documents and settings\Bart\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-05-20 21:39 . 2009-05-20 21:39   --------   d-----w   c:\program files\microsoft frontpage
2009-05-20 21:38 . 2001-07-21 22:36   67   --sha-w   c:\windows\Fonts\desktop.ini
2009-05-20 21:38 . 2009-05-20 21:37   86327   ----a-w   c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-05-20 21:37 . 2009-05-20 21:37   --------   d-----w   c:\program files\Usługi online
2009-05-20 21:35 . 2009-05-20 21:35   21856   ----a-w   c:\windows\system32\emptyregdb.dat
2008-12-18 00:26 . 2009-05-21 11:24   67688   ----a-w   c:\program files\mozilla firefox\components\jar50.dll
2008-12-18 00:26 . 2009-05-21 11:24   54368   ----a-w   c:\program files\mozilla firefox\components\jsd3250.dll
2008-12-18 00:26 . 2009-05-21 11:24   34944   ----a-w   c:\program files\mozilla firefox\components\myspell.dll
2008-12-18 00:26 . 2009-05-21 11:24   46712   ----a-w   c:\program files\mozilla firefox\components\spellchk.dll
2008-12-18 00:26 . 2009-05-21 11:24   172136   ----a-w   c:\program files\mozilla firefox\components\xpinstal.dll
.

------- Sigcheck -------

[-] 2008-06-02 07:14   1548288   64FF4E77CF31132734C42C90B4839FBA   c:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-06 13:20   279944   ----a-w   c:\program files\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"COMODO SafeSurf"="c:\program files\COMODO\SafeSurf\cssurf.exe" [2009-05-21 278264]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2009-05-21 1794320]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-05-21 1947928]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Wireless Utility.lnk - c:\program files\EDIMAX\Common\RaUI.exe [2009-5-21 716800]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-05-21 11:21   11952   ----a-w   c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\cssdll32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgemc.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"c:\\Program Files\\AVG\\AVG8\\avgnsx.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-05-21 325896]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-05-21 108552]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys [2009-05-21 132640]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [2009-05-21 24096]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [2009-05-21 908568]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-05-21 298776]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;c:\windows\system32\drivers\SkyNET.sys [2009-05-21 462212]
.
- - - - USUNIĘTO PUSTE WPISY - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl


.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.onet.pl/
FF - ProfilePath - c:\documents and settings\Bart\Dane aplikacji\Mozilla\Firefox\Profiles\w3qwgeh1.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.onet.pl/
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-21 14:05
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose, ZwOpenFile

skanowanie ukrytych procesów ... 

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ... 

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'lsass.exe'(1144)
c:\windows\system32\guard32.dll

- - - - - - - > 'explorer.exe'(3292)
c:\windows\system32\guard32.dll
.
Czas ukończenia: 2009-05-21 14:06
ComboFix-quarantined-files.txt  2009-05-21 12:06

Przed: 5 672 345 600 bajtów wolnych
Po: 5 761 220 608 bajtów wolnych

146


DrWeb pełne skanowanie

Kod: Zaznacz wszystko

A0001255.bat;C:\System Volume Information\_restore{2210F109-3F97-4A82-83A2-5CFE292355DC}\RP6;Prawdopodobnie BATCH.Virus;Usunięty.;
A0001335.bat;C:\System Volume Information\_restore{2210F109-3F97-4A82-83A2-5CFE292355DC}\RP6;Prawdopodobnie BATCH.Virus;Usunięty.;
A0001363.exe/data002\32788R22FWJFW\FIND3M.bat;C:\System Volume Information\_restore{2210F109-3F97-4A82-83A2-5CFE292355DC}\RP6\A0001363.exe/data002;Prawdopodobnie BATCH.Virus;;
data002;C:\System Volume Information\_restore{2210F109-3F97-4A82-83A2-5CFE292355DC}\RP6;Archiwum zawierające zainfekowane obiekty;;
A0001363.exe;C:\System Volume Information\_restore{2210F109-3F97-4A82-83A2-5CFE292355DC}\RP6;Kontener zawiera zainfekowane obiekty;Przeniesiony.;
dhvud.exe;F:\;Win32.Sector.19;Wyleczony.;


DrWeb pełny log
http://odsiebie.com/pokaz/2978701---1b11.html

[wojtas]

czy napewno zrobiłeś format wszystkich partycji? poniewaz widze :


detected NTDLL code modification:
ZwClose, ZwOpenFile

czyli teraz najprawdopodobniej virut... tez infekuje exe tu mozesz o nim poczytać:

http://www.searchengines.pl/Infekcje-plikow-wykonywalnych-exe-dll-scr-t122692.html

[barto0o]

tak zrobiłem obu partycji.... fak, co robić??? znowu format? na pendrive wstawiłem tylko pliki rar, zip, txt, doc, i mdb. Wszystkie archiwa były utworzone dawno przed zarażeniem tym syfem

w tym poście:
http://www.searchengines.pl/index.php?showtopic=124205&pid=542993&mode=threaded&start=#entry542993

znalazłem coś takiego:

picasso:

2. Catchme ma notyfikację:

KOD
detected NTDLL code modification:
ZwClose, ZwOpenFile


Wprawdzie coś podobnego stoi w logach (nie wszystkich) z wirusem Virut, ale wątpię w ten scenariusz, bo powinny być i inne znaki (niedziałające EXE, alerty Comodo, zgłaszanie błędów etc.). Równie dobrze ta modyfikacja NTDLL może pochodzić z działania Comodo.