Wirus sality (win32.sector.28480), problemy z usunięciem

[Andrew_wojownik]

Witam załapałem wirusa, nie wiem skąd. Wczoraj przeskanowałem całość DrWeb z Live CD (prawie 6h skanował i niby pousuwał wszystko, ale po paru godzinach znowu miałem tego wirusa). DrWeb wykrywa go jako Win32.Sector.28480. W tym czasie nie podpinałem żadnych pendrivów (żeby nie bylo ze mi sie z pena wirus mi się ładuje ). Skanowanie rmsality kończyło sie nie wiem czemu po chwili runtime error.

Z góry dzięki za pomoc

Log z OTL:
OTL.txt: http://wklej.org/id/105846/
Extras.txt: http://wklej.org/id/105847/

[wojtas]

Daj loga z combofixa ale zainstaluj wraz z nim konsolę odzyskiwania ( instrukcja programu )

[Andrew_wojownik]

Kod: Zaznacz wszystko

ComboFix 09-06-13.09 - Andrew 2009-06-14 12:41.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1250.48.1045.18.2047.1045 [GMT 2:00]
Uruchomiony z: l:\documents and settings\Andrew\Pulpit\ComboFix.exe
* Utworzono nowy punkt przywracania
.

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.

l:\windows\system32\msconfig.exe

.
(((((((((((((((((((((((((   Pliki utworzone od 2009-05-14 do 2009-06-14  )))))))))))))))))))))))))))))))
.

2009-06-13 17:15 . 2009-06-13 17:21   --------   d-----w-   l:\windows\LastGood
2009-06-13 09:45 . 2009-06-13 19:46   --------   d-----w-   l:\documents and settings\Andrew\Dane aplikacji\Download Manager
2009-06-12 19:49 . 2003-12-09 08:04   10368   ----a-w-   l:\windows\system32\drivers\rramdisk.sys
2009-06-12 19:27 . 2009-06-12 19:27   --------   d--h--w-   l:\windows\PIF
2009-06-08 20:19 . 2009-06-08 20:36   --------   d-----w-   L:\DU
2009-05-25 21:16 . 2009-05-25 21:16   --------   d-----w-   l:\documents and settings\Andrew\Ustawienia lokalne\Dane aplikacji\Electronic Arts
2009-05-25 21:15 . 2009-05-25 21:15   107888   ----a-w-   l:\windows\system32\CmdLineExt.dll
2009-05-23 09:54 . 2009-05-23 09:54   --------   d-----w-   l:\program files\Ubisoft
2009-05-23 09:54 . 2003-10-27 12:06   89360   ----a-w-   l:\windows\system32\VB5DB.DLL
2009-05-23 09:54 . 2003-10-27 12:06   69632   ----a-w-   l:\windows\system32\xmltok.dll
2009-05-23 09:54 . 2003-10-27 12:06   36864   ----a-w-   l:\windows\system32\xmlparse.dll
2009-05-23 09:54 . 2003-10-27 12:06   26096   ----a-w-   l:\windows\system32\xmlinst.exe
2009-05-23 09:54 . 2003-10-27 12:06   24576   ----a-w-   l:\windows\system32\msxml3a.dll
2009-05-22 10:03 . 2009-05-22 10:03   --------   d-----w-   l:\documents and settings\Andrew\Dane aplikacji\CPUControl
2009-05-22 10:03 . 2009-05-22 10:03   --------   d-----w-   l:\program files\CPU-Control
2009-05-20 06:15 . 2009-05-16 07:53   2051864   ----a-w-   l:\documents and settings\All Users\Dane aplikacji\avg8\update\backup\avgcorex.dll
2009-05-20 06:15 . 2009-05-16 07:52   3288344   ----a-w-   l:\documents and settings\All Users\Dane aplikacji\avg8\update\backup\setup.exe
2009-05-20 06:15 . 2009-05-16 07:52   424472   ----a-w-   l:\documents and settings\All Users\Dane aplikacji\avg8\update\backup\avgwdwsc.dll
2009-05-20 06:15 . 2009-05-16 07:52   312088   ----a-w-   l:\documents and settings\All Users\Dane aplikacji\avg8\update\backup\avglngx.dll
2009-05-20 06:15 . 2009-05-16 07:52   177432   ----a-w-   l:\documents and settings\All Users\Dane aplikacji\avg8\update\backup\avgmail.dll
2009-05-20 06:15 . 2009-05-16 07:53   486168   ----a-w-   l:\documents and settings\All Users\Dane aplikacji\avg8\update\backup\avgrsx.exe
2009-05-20 06:15 . 2009-05-16 07:52   1437464   ----a-w-   l:\documents and settings\All Users\Dane aplikacji\avg8\update\backup\avgupd.dll
2009-05-20 06:15 . 2009-05-16 07:52   755992   ----a-w-   l:\documents and settings\All Users\Dane aplikacji\avg8\update\backup\avginet.dll
2009-05-19 19:03 . 2005-01-05 10:13   36864   ----a-w-   l:\windows\system32\APCSnmp.dll
2009-05-18 10:18 . 2009-05-18 10:18   --------   d-----w-   l:\documents and settings\Andrew\Ustawienia lokalne\Dane aplikacji\Help
2009-05-17 14:21 . 2009-05-17 14:21   --------   d-----w-   l:\documents and settings\Andrew\Dane aplikacji\Mikrotik
2009-05-17 13:10 . 2009-05-17 13:22   --------   d-----w-   l:\program files\nLite

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-14 10:39 . 2009-04-16 13:15   --------   d-----w-   l:\documents and settings\Andrew\Dane aplikacji\stickies
2009-06-13 17:48 . 2009-04-16 13:18   1   ----a-w-   l:\documents and settings\Andrew\Dane aplikacji\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-06-13 17:22 . 2009-04-14 19:26   --------   d-----w-   l:\program files\ATI Technologies
2009-06-13 17:16 . 2009-06-13 17:16   0   ----a-w-   l:\windows\system32\SET9C.tmp
2009-06-13 17:16 . 2009-06-13 17:16   0   ----a-w-   l:\windows\system32\SET9B.tmp
2009-06-13 17:15 . 2009-06-13 17:15   0   ----a-w-   l:\windows\system32\SET9A.tmp
2009-06-13 17:15 . 2009-06-13 17:15   0   ----a-w-   l:\windows\system32\SET99.tmp
2009-06-13 17:15 . 2009-06-13 17:15   2031616   ----a-w-   l:\windows\system32\SET98.tmp
2009-06-13 17:08 . 2001-10-26 16:15   87352   ----a-w-   l:\windows\system32\perfc015.dat
2009-06-13 17:08 . 2001-10-26 16:15   497766   ----a-w-   l:\windows\system32\perfh015.dat
2009-06-13 09:45 . 2009-04-14 19:26   --------   d--h--w-   l:\program files\InstallShield Installation Information
2009-06-11 15:38 . 2009-04-14 20:48   --------   d-----w-   l:\program files\xp-AntiSpy
2009-06-08 19:41 . 2009-04-27 17:53   --------   d-----w-   l:\documents and settings\Andrew\Dane aplikacji\VMware
2009-05-29 21:42 . 2009-04-16 12:21   --------   d-----w-   l:\documents and settings\Andrew\Dane aplikacji\Azureus
2009-05-23 17:41 . 2004-07-17 09:36   12528   ----a-w-   l:\windows\system32\drivers\secdrv.sys
2009-05-16 07:53 . 2009-04-14 20:51   325896   ----a-w-   l:\windows\system32\drivers\avgldx86.sys
2009-05-16 07:53 . 2009-04-14 20:51   11952   ----a-w-   l:\windows\system32\avgrsstx.dll
2009-05-16 07:53 . 2009-04-14 20:51   27784   ----a-w-   l:\windows\system32\drivers\avgmfx86.sys
2009-05-16 07:52 . 2009-04-14 20:51   108552   ----a-w-   l:\windows\system32\drivers\avgtdix.sys
2009-05-09 11:34 . 2009-04-14 20:50   15928   ----a-w-   l:\documents and settings\Andrew\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-05-06 14:33 . 2009-05-06 14:33   --------   d-----w-   l:\documents and settings\All Users\Dane aplikacji\POP3Profiles
2009-05-05 18:07 . 2009-04-18 11:04   --------   d-----w-   l:\program files\Microsoft SQL Server
2009-04-29 03:30 . 2009-03-16 21:33   3643904   ----a-w-   l:\windows\system32\drivers\ati2mtag.sys
2009-04-29 02:18 . 2009-03-16 20:27   442368   ----a-w-   l:\windows\system32\ATIDEMGX.dll
2009-04-29 02:17 . 2009-04-29 02:17   335872   ----a-w-   l:\windows\system32\SET1E.tmp
2009-04-29 02:17 . 2009-03-16 20:26   335872   ----a-w-   l:\windows\system32\ati2dvag.dll
2009-04-29 02:07 . 2009-04-29 02:07   204800   ----a-w-   l:\windows\system32\SET48.tmp
2009-04-29 02:07 . 2009-03-16 20:17   204800   ----a-w-   l:\windows\system32\atipdlxx.dll
2009-04-29 02:06 . 2009-03-16 20:16   155648   ----a-w-   l:\windows\system32\Oemdspif.dll
2009-04-29 02:06 . 2009-03-16 20:16   26112   ----a-w-   l:\windows\system32\Ati2mdxx.exe
2009-04-29 02:06 . 2009-04-29 02:06   43520   ----a-w-   l:\windows\system32\SET4E.tmp
2009-04-29 02:06 . 2009-03-16 20:16   43520   ----a-w-   l:\windows\system32\ati2edxx.dll
2009-04-29 02:06 . 2009-04-29 02:06   155648   ----a-w-   l:\windows\system32\SET45.tmp
2009-04-29 02:06 . 2009-03-16 20:16   155648   ----a-w-   l:\windows\system32\ati2evxx.dll
2009-04-29 02:04 . 2009-04-29 02:04   602112   ----a-w-   l:\windows\system32\SET42.tmp
2009-04-29 02:04 . 2009-03-16 20:15   602112   ----a-w-   l:\windows\system32\ati2evxx.exe
2009-04-29 02:03 . 2009-03-16 20:13   53248   ----a-w-   l:\windows\system32\ATIDDC.DLL
2009-04-29 02:00 . 2009-03-16 20:17   311296   ----a-w-   l:\windows\system32\atiiiexx.dll
2009-04-29 01:56 . 2009-04-29 01:56   2997536   ----a-w-   l:\windows\system32\SET27.tmp
2009-04-29 01:56 . 2009-04-29 01:56   2997536   ----a-w-   l:\windows\system32\ati3duag.dll
2009-04-29 01:45 . 2009-03-16 20:04   11603968   ----a-w-   l:\windows\system32\atioglxx.dll
2009-04-29 01:42 . 2009-04-29 01:42   2687872   ----a-w-   l:\windows\system32\SET2A.tmp
2009-04-29 01:42 . 2009-03-16 19:53   2687872   ----a-w-   l:\windows\system32\ativvaxx.dll
2009-04-29 01:26 . 2009-03-16 19:40   49664   ----a-w-   l:\windows\system32\atimpc32.dll
2009-04-29 01:26 . 2009-03-16 19:40   49664   ----a-w-   l:\windows\system32\amdpcom32.dll
2009-04-29 01:22 . 2009-04-29 01:22   479232   ----a-w-   l:\windows\system32\SET51.tmp
2009-04-29 01:22 . 2009-03-16 19:36   479232   ----a-w-   l:\windows\system32\atikvmag.dll
2009-04-29 01:20 . 2009-03-16 19:35   45056   ----a-w-   l:\windows\system32\aticalrt.dll
2009-04-29 01:20 . 2009-03-16 19:34   45056   ----a-w-   l:\windows\system32\aticalcl.dll
2009-04-29 01:20 . 2009-03-16 19:35   135168   ----a-w-   l:\windows\system32\atiadlxx.dll
2009-04-29 01:19 . 2009-03-16 19:34   17408   ----a-w-   l:\windows\system32\atitvo32.dll
2009-04-29 01:19 . 2009-03-16 19:34   53248   ----a-w-   l:\windows\system32\drivers\ati2erec.dll
2009-04-29 01:18 . 2009-03-16 19:33   3280896   ----a-w-   l:\windows\system32\aticaldd.dll
2009-04-29 01:17 . 2009-04-29 01:17   303104   ----a-w-   l:\windows\system32\SET60.tmp
2009-04-29 01:17 . 2009-03-16 19:35   303104   ----a-w-   l:\windows\system32\atiok3x2.dll
2009-04-29 01:13 . 2009-04-29 01:13   630784   ----a-w-   l:\windows\system32\SET21.tmp
2009-04-29 01:13 . 2009-03-16 19:28   630784   ----a-w-   l:\windows\system32\ati2cqag.dll
2009-04-28 19:05 . 2009-04-14 19:27   593920   ------w-   l:\windows\system32\ati2sgag.exe
2009-04-27 19:23 . 2009-04-27 19:23   --------   d-----w-   l:\documents and settings\Andrew\Dane aplikacji\Citrix
2009-04-27 18:39 . 2009-04-27 18:39   133648   ----a-w-   l:\windows\system32\VBoxNetFltNotify.dll
2009-04-27 18:39 . 2009-04-28 11:46   79888   ----a-w-   l:\windows\system32\drivers\VBoxNetAdp.sys
2009-04-27 18:39 . 2009-04-28 11:46   41424   ----a-w-   l:\windows\system32\drivers\VBoxUSBMon.sys
2009-04-27 18:39 . 2009-04-27 18:39   87696   ----a-w-   l:\windows\system32\drivers\VBoxNetFlt.sys
2009-04-27 18:39 . 2009-04-28 11:46   100944   ----a-w-   l:\windows\system32\drivers\VBoxDrv.sys
2009-04-27 17:53 . 2009-04-27 17:53   --------   d-----w-   l:\documents and settings\All Users\Dane aplikacji\VMware
2009-04-25 13:33 . 2009-04-23 10:30   --------   d-----w-   l:\documents and settings\Andrew\Dane aplikacji\The Creative Assembly
2009-04-25 11:28 . 2009-04-16 12:25   --------   d-----w-   l:\program files\NAPI-PROJEKT
2009-04-24 21:40 . 2009-04-23 18:51   334912   ----a-w-   l:\documents and settings\Andrew\Dane aplikacji\id Software\quakelive\home\baseq3\cgamex86.dll
2009-04-24 21:40 . 2009-04-23 18:51   171072   ----a-w-   l:\documents and settings\Andrew\Dane aplikacji\id Software\quakelive\home\baseq3\uix86.dll
2009-04-24 21:34 . 2009-04-23 18:44   138944   ----a-w-   l:\windows\system32\drivers\PnkBstrK.sys
2009-04-24 21:34 . 2009-04-23 18:44   189784   ----a-w-   l:\windows\system32\PnkBstrB.exe
2009-04-24 21:34 . 2009-04-23 18:51   874660   ----a-w-   l:\documents and settings\Andrew\Dane aplikacji\id Software\quakelive\home\pb\pbcl.dll
2009-04-24 21:34 . 2009-04-23 18:51   57344   ----a-w-   l:\documents and settings\Andrew\Dane aplikacji\id Software\quakelive\home\pb\pbag.dll
2009-04-24 21:34 . 2009-04-23 18:51   479232   ----a-w-   l:\documents and settings\Andrew\Dane aplikacji\id Software\quakelive\home\pb\pbsv.dll
2009-04-24 21:34 . 2009-04-23 18:51   2669632   ----a-w-   l:\documents and settings\Andrew\Dane aplikacji\id Software\quakelive\home\baseq3\quakelive.dll
2009-04-24 15:55 . 2009-04-24 15:55   --------   d-----w-   l:\program files\AMD
2009-04-23 19:17 . 2009-04-23 18:44   75064   ----a-w-   l:\windows\system32\PnkBstrA.exe
2009-04-23 18:54 . 2009-04-23 18:51   441408   ----a-w-   l:\documents and settings\Andrew\Dane aplikacji\id Software\quakelive\home\baseq3\qagamex86.dll
2009-04-23 18:51 . 2009-04-23 18:51   874660   ----a-w-   l:\documents and settings\Andrew\Dane aplikacji\id Software\quakelive\home\pb\pbcls.dll
2009-04-23 18:51 . 2009-04-23 18:51   57344   ----a-w-   l:\documents and settings\Andrew\Dane aplikacji\id Software\quakelive\home\pb\pbags.dll
2009-04-23 18:46 . 2009-04-23 18:46   --------   d-----w-   l:\documents and settings\Andrew\Dane aplikacji\id Software
2009-04-23 18:44 . 2009-04-23 18:44   22328   ----a-w-   l:\documents and settings\Andrew\Dane aplikacji\PnkBstrK.sys
2009-04-23 18:44 . 2009-04-23 18:44   22328   ----a-w-   l:\documents and settings\Andrew\Dane aplikacji\PnkBstrK.sys
2009-04-23 18:44 . 2009-04-23 18:44   2246144   ----a-w-   l:\windows\system32\pbsvc.exe
2009-04-23 18:44 . 2009-04-23 18:44   --------   d-----w-   l:\documents and settings\All Users\Dane aplikacji\id Software
2009-04-23 10:39 . 2009-04-23 10:39   --------   d-----w-   l:\documents and settings\Andrew\Dane aplikacji\PeaZip
2009-04-22 13:56 . 2009-04-16 12:20   --------   d-----w-   l:\program files\Vuze
2009-04-20 09:12 . 2009-04-20 09:12   258048   ----a-w-   l:\windows\system32\libFLAC.dll
2009-04-20 09:10 . 2009-04-20 09:10   145081   ----a-w-   l:\windows\system32\libmpeg2_ff.dll
2009-04-20 09:09 . 2009-04-20 09:09   524288   ----a-w-   l:\windows\system32\DivXsm.exe
2009-04-20 09:09 . 2009-04-20 09:09   --------   d-----w-   l:\program files\Real Alternative
2009-04-20 09:09 . 2009-04-20 09:09   69632   ----a-w-   l:\windows\system32\divxconfig.exe
2009-04-19 09:25 . 2009-04-16 05:36   --------   d-----w-   l:\program files\Setup Files
2009-04-18 11:03 . 2009-04-18 11:03   --------   d-----w-   l:\program files\Microsoft Device Emulator
2009-04-18 11:03 . 2009-04-18 11:03   --------   d-----w-   l:\program files\Windows Mobile 5.0 SDK R2
2009-04-18 11:02 . 2009-04-18 08:29   --------   d-----w-   l:\documents and settings\All Users\Dane aplikacji\Microsoft Help
2009-04-18 11:02 . 2009-04-18 08:37   18368   ----a-w-   l:\documents and settings\All Users\Dane aplikacji\Microsoft\VSA\9.0\1033\ResourceCache.dll
2009-04-18 11:02 . 2009-04-18 08:37   1651104   ----a-w-   l:\documents and settings\All Users\Dane aplikacji\Microsoft\VisualStudio\9.0\1033\ResourceCache.dll
2009-04-18 11:00 . 2009-04-18 10:56   --------   d-----w-   l:\program files\Common Files\Merge Modules
2009-04-18 11:00 . 2009-04-18 11:00   --------   d-----w-   l:\documents and settings\All Users\Dane aplikacji\PreEmptive Solutions
.

------- Sigcheck -------

[-] 2006-08-09 17:28   360576   0FB6743E937C7BB248B2530A5A77ABC6   l:\windows\system32\drivers\tcpip.sys

[-] 2006-08-09 17:38   1548288   0FF478486132FA7B983B3382BC1FCD35   l:\windows\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-11-18 10:58   333192   ----a-w-   l:\program files\AskBarDis\bar\bin\askBar.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StatBar"="h:\program files\Globe Software\StatBar\StatBar.exe" [2003-07-25 335872]
"Steam"="h:\program files\steam\steam.exe" [2009-06-10 1217784]
"ALLUpdate"="h:\program files\ALLPlayer\ALLUpdate.exe" [2008-11-24 890368]
"DAEMON Tools Pro Agent"="h:\program files\DAEMON Tools Pro\DTProAgent.exe" [2007-06-22 150528]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CoolSwitch"="l:\windows\system32\taskswitch.exe" [2002-03-19 45632]
"SunJavaUpdateSched"="l:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"AVG8_TRAY"="l:\progra~1\AVG\AVG8\avgtray.exe" [2009-05-16 1947928]
"LiveMonitor"="l:\program files\MSI\Live Update 3\LMonitor.exe" [2009-02-24 519168]
"UnlockerAssistant"="h:\program files\Unlocker\UnlockerAssistant.exe" [2008-05-02 36352]
"StartCCC"="l:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-04-28 81920]
"RTHDCPL"="RTHDCPL.EXE" - l:\windows\RTHDCPL.exe [2008-04-10 16861184]
"ATIModeChange"="Ati2mdxx.exe" - l:\windows\system32\Ati2mdxx.exe [2009-04-29 26112]

l:\documents and settings\Andrew\Menu Start\Programy\Autostart\
OpenOffice.org 3.0.lnk - h:\program files\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]
Stickies.lnk - h:\program files\Stickies\stickies.exe [2008-8-28 765952]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-05-16 07:53   11952   ----a-w-   l:\windows\system32\avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"l:\\Program Files\\AVG\\AVG8\\avgemc.exe"=
"l:\\Program Files\\AVG\\AVG8\\avgupd.exe"=
"g:\\Gry\\RedFaction\\RF.exe"=
"l:\\WINDOWS\\system32\\PnkBstrA.exe"=
"l:\\WINDOWS\\system32\\PnkBstrB.exe"=
"h:\\Program Files\\APC\\PowerChute Business Edition\\APC\\PowerChute Business Edition\\agent\\pbeagent.exe"=
"h:\\Program Files\\Steam\\steamapps\\common\\left 4 dead\\left4dead.exe"=

R0 RRamdisk;Ramdisk Driver;l:\windows\system32\drivers\rramdisk.sys [2009-06-12 10368]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);l:\windows\system32\drivers\sfdrv01a.sys [2006-07-05 63352]
R1 AvgLdx86;AVG Free AVI Loader Driver x86;l:\windows\system32\drivers\avgldx86.sys [2009-04-14 325896]
R1 AvgTdiX;AVG Free8 Network Redirector;l:\windows\system32\drivers\avgtdix.sys [2009-04-14 108552]
R1 VBoxDrv;VirtualBox Service;l:\windows\system32\drivers\VBoxDrv.sys [2009-04-28 100944]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;l:\windows\system32\drivers\VBoxUSBMon.sys [2009-04-28 41424]
R2 APCPBEAgent;APC PBE Agent;h:\progra~1\APC\POWERC~1\APC\POWERC~1\agent\pbeagent.exe [2009-05-19 34104]
R2 avg8emc;AVG Free8 E-mail Scanner;l:\progra~1\AVG\AVG8\avgemc.exe [2009-04-14 908568]
R2 avg8wd;AVG Free8 WatchDog;l:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-04-14 298776]
R3 VBoxNetFlt;VBoxNetFlt Service;l:\windows\system32\drivers\VBoxNetFlt.sys [2009-04-27 87696]
S2 AODService;AODService;l:\program files\AMD\OverDrive\AODAssist.exe [2009-04-22 124256]
S3 Ambfilt;Ambfilt;l:\windows\system32\drivers\Ambfilt.sys [2009-04-14 1684736]
S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;l:\windows\system32\drivers\VBoxNetAdp.sys [2009-04-28 79888]

--- Inne Usługi/Sterowniki w Pamięci ---

*NewlyCreated* - AODDRIVER
*NewlyCreated* - RRAMDISK
*Deregistered* - AODDriver
*Deregistered* - DwShield000050F2

NETSVCS WYMAGA NAPRAWY - pokazano aktualnie istniejące wpisy
6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Netman
Nla
Ntmssvc
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
Tapisrv
Themes
TrkWks
W32Time
WZCSVC
Wmi
WmdmPmSp
winmgmt
xmlprov
BITS
ShellHWDetection
WmdmPmSN

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

.
.
------- Skan uzupełniający -------
.
uStart Page = www.kotor2.pl
TCP: {39727D26-9708-419C-BFFC-6CC03441DA41} = 195.177.64.34,195.177.64.66
FF - ProfilePath - l:\documents and settings\Andrew\Dane aplikacji\Mozilla\Firefox\Profiles\4hemw05w.default\
FF - plugin: h:\program files\Opera\program\plugins\npdsplay.dll
FF - plugin: h:\program files\Opera\program\plugins\nppl3260.dll
FF - plugin: h:\program files\Opera\program\plugins\nprpjplug.dll
FF - plugin: h:\program files\Opera\program\plugins\NPSWF32.dll
FF - plugin: h:\program files\Opera\program\plugins\npwmsdrm.dll
FF - plugin: l:\documents and settings\All Users\Dane aplikacji\id Software\QuakeLive\npquakezero.dll
FF - plugin: l:\documents and settings\Andrew\Dane aplikacji\Mozilla\Firefox\Profiles\4hemw05w.default\extensions\VMwareVMRC@vmware.com\plugins\np-vmware-vmrc-2.5.0-122581.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-14 12:43
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ... 

skanowanie ukrytych wpisów autostartu ...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  StatBar = h:\program files\Globe Software\StatBar\StatBar.exe?

skanowanie ukrytych plików ... 

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'winlogon.exe'(1212)
l:\windows\system32\Ati2evxx.dll
.
Czas ukończenia: 2009-06-14 12:45
ComboFix-quarantined-files.txt  2009-06-14 10:45

Przed: 849 444 864 bajtów wolnych
Po: 1 060 659 200 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
l:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(1)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

300


[wojtas]

Wklejasz do notatnika:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs"=-
"netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\
6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\
00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\
53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\
00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\
76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\
00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\
49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\
00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\
76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\
00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\
73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\
00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\
00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\
00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\
74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\
00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\
63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\
00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\
4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\
00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\
00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\
00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\
32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\
00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\
00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,54,00,65,00,72,00,6d,\
00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,\ 73,00,65,00,72,00,76,00,00,00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,\
00,6c,00,6c,00,48,00,57,00,44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,\
6e,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,78,00,6d,00,6c,\
00,70,00,72,00,6f,00,76,00,00,00,77,00,73,00,63,00,73,00,76,00,63,00,00,00,\
57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,00,00,00

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik.

poczytaj o infekcji:

http://www.searchengines.pl/Infekcje-plikow-wykonywalnych-exe-dll-scr-t122692.html

zrob skan jeszcze raz webem iPrzeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.

Autor postu otrzymał pochwałę

[Andrew_wojownik]

Zrobiłem to troche inaczej, przy pomocy reinstalacji systemu, ale odziwo nadal wirus jest

Zrobiłem dokładnie tak:
- zgrałem wszystkie dane z dysku systemowego, które były dla mnie ważne
- usunąłem partycje z systemem przy pomocy płyty instalacyjnej windows
- bez zadnego systemu operacyjnego na dysku odpaliłem z Live CD Dr Weba, przeskanował wszystko (12 godzin to trwało)
- zainstalowalem ponownie system
- nie używałem żadnych wersji instalacyjnych z dysku, wszystko ściągałem z zaufanych źródeł (czyli oficjalnych stron danych programów/producentów sprzętu)
- odpaliłem CureIT i na dysku systemowym nie wykrył co prawda Sality, ale na pozostałych tak

Co dalej z tym zrobić?

[wojtas]

jak chcesz robic format to wszystkich partycji wlacznie z plikami exe scr i dll bo one sa zainfekowane

[Andrew_wojownik]

Tylko, że jak skanuje Dr Web to pisze, że niby uleczył.
Jak przeskanowałem to z Live CD Cr Webem bez żadnego zainstalowanego systemu to nie powinno być juz żadnych zarażaonych plików, chyba, że coś źle myśle?

Format wszystkich partycji raczej dla mnie odpada, bo mam troche programów, których sobie potem nie ściągne z neta, ani z żadnego innego źródła.

[wojtas]

ta infekcja jest trudna do usuniencia jesli web leczy ale wirus wg Ciebie dalej jest czyli nie moze sobie poradzic z nia i bedzie problem

[Andrew_wojownik]

Już jakieś postępy mam, po ntym puszczeniu DrWeba wreszcie zaczynają znikać pliki zarażone Sality, jutro zapodam logi z OTLa i czego tam jeszcze trzeba, czy wszystko jest wmiare ok. Dzięki za pomoc