Aktualizacje na programosy.pl:
Praat • SIW (System Info) • StressMyPC • Chromium • Kaspersky Rescue Disk • Vim • Free YouTube to MP3 Converter • Far Manager • Free YouTube Download
-
- Ogłoszenie:
Wirus w acup.sys
23 posty(ów) • Strona 1 z 2 • 1, 2
Wirus w acup.sys
przez sgsman 20 Paź 2008, 22:35
Pomagaj innym! Inni pomogą Tobie! A zwłaszcza Pan Pękaty Jeż!
-
sgsman - ~user
- Posty: 300
- Dołączenie: 27 Wrz 2008, 23:52
- Pochwały: 28
Wirus w acup.sys
przez sgsman 20 Paź 2008, 22:44
- Kod: Zaznacz wszystko
ComboFix 08-09-27.01 - User 2008-10-20 22:23:26.5 - [color=red][b]FAT32[/b][/color]x86
Uruchomiony z: C:\Documents and Settings\User\Pulpit\ComboFix.exe
[color=red][b]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/b][/color]
.
- TRYB ZREDUKOWANEJ FUNKCJONALNOŚCI -
.
((((((((((((((((((((((((( Pliki utworzone od 2008-09-20 do 2008-10-20 )))))))))))))))))))))))))))))))
.
2008-10-20 22:04 . 2008-10-20 22:04 664 --a------ C:\WINDOWS\system32\adr95.bin
2008-10-20 22:03 . 2008-10-20 22:03 22,689 --a------ C:\WINDOWS\system32\acpiz.dll
2008-10-20 22:03 . 2008-10-20 22:03 0 --a------ C:\WINDOWS\system32\k86.bin
2008-10-20 22:03 . 2008-10-20 22:04 0 --a------ C:\WINDOWS\system32\acup.sys
2008-10-15 20:48 . 2008-09-08 12:41 333,824 --------- C:\WINDOWS\system32\dllcache\srv.sys
2008-10-15 20:47 . 2008-08-14 15:26 2,190,464 --------- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-15 20:47 . 2008-08-14 15:26 2,146,816 --------- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-15 20:47 . 2008-08-14 15:26 2,067,328 --------- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-15 20:47 . 2008-08-14 15:26 2,025,472 --------- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-15 20:47 . 2008-09-15 17:27 1,846,656 --------- C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-14 11:55 . 2008-10-14 11:55 110,304 --a------ C:\WINDOWS\system32\drivers\ACEDRV09.sys
2008-10-05 17:29 . 2008-10-05 17:29 292 --a------ C:\WINDOWS\cncscore.ini
2008-10-05 17:29 . 2008-10-05 17:29 153 --a------ C:\Delapp.bat
2008-10-01 18:47 . 2008-10-01 18:47 <DIR> d-------- C:\Program Files\Odkurzacz
2008-10-01 17:53 . 2008-10-01 17:53 <DIR> d--hs---- C:\FOUND.004
2008-09-28 20:05 . 2008-09-28 20:05 580,096 --a------ C:\WINDOWS\system32\dllcache\user32.dll
2008-09-28 20:04 . 2008-09-28 20:04 <DIR> d-------- C:\WINDOWS\ERUNT
2008-09-28 13:04 . 2008-09-25 04:31 <DIR> d-------- C:\SDFix
2008-09-27 17:27 . 2008-09-27 17:27 0 --a------ C:\WINDOWS\MusicEditor.INI
2008-09-27 14:07 . 2008-10-04 10:50 28 --a------ C:\WINDOWS\Robota.INI
2008-09-27 13:57 . 2007-04-27 10:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-09-27 12:34 . 2008-10-14 11:08 130 --a------ C:\WINDOWS\musicmaker.INI
2008-09-27 12:33 . 2003-04-18 15:29 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2008-09-27 12:33 . 2004-08-11 19:53 38,912 --a------ C:\WINDOWS\system32\mgxasio.dll
2008-09-23 07:20 . 2008-09-23 07:20 <DIR> d-------- C:\Program Files\sina
2008-09-22 20:08 . 2008-09-22 20:08 <DIR> d-------- C:\Program Files\Common Files\SWF Studio
2008-09-22 17:20 . 2008-09-22 17:20 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\TVU Networks
2008-09-20 12:33 . 2008-09-20 12:33 <DIR> d-------- C:\WINDOWS\system32\pl
2008-09-20 12:33 . 2008-09-20 12:33 <DIR> d-------- C:\WINDOWS\l2schemas
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-03 17:26 6,066,176 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2008-09-15 15:27 1,846,656 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-10 15:46 --------- d-----w C:\Program Files\SubEdit-Player
2008-09-09 17:20 --------- d-----w C:\Program Files\Real Alternative
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-27 09:27 3,593,216 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-08-26 08:27 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-26 08:27 826,368 ------w C:\WINDOWS\system32\dllcache\wininet.dll
2008-08-26 08:27 671,232 ------w C:\WINDOWS\system32\dllcache\mstime.dll
2008-08-26 08:27 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-08-26 08:27 477,696 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll
2008-08-26 08:27 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-08-26 08:27 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-08-26 08:27 233,472 ------w C:\WINDOWS\system32\dllcache\webcheck.dll
2008-08-26 08:27 193,024 ------w C:\WINDOWS\system32\dllcache\msrating.dll
2008-08-26 08:27 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll
2008-08-26 08:27 102,912 ------w C:\WINDOWS\system32\dllcache\occache.dll
2008-08-26 08:27 1,159,680 ------w C:\WINDOWS\system32\dllcache\urlmon.dll
2008-08-26 08:26 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll
2008-08-26 08:26 44,544 ------w C:\WINDOWS\system32\dllcache\iernonce.dll
2008-08-26 08:26 384,512 ------w C:\WINDOWS\system32\dllcache\iedkcs32.dll
2008-08-26 08:26 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-08-26 08:26 347,136 ----a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
2008-08-26 08:26 27,648 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll
2008-08-26 08:26 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll
2008-08-26 08:26 230,400 ------w C:\WINDOWS\system32\dllcache\ieaksie.dll
2008-08-26 08:26 214,528 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll
2008-08-26 08:26 153,088 ------w C:\WINDOWS\system32\dllcache\ieakeng.dll
2008-08-26 08:26 133,120 ------w C:\WINDOWS\system32\dllcache\extmgr.dll
2008-08-26 08:26 124,928 ------w C:\WINDOWS\system32\dllcache\advpack.dll
2008-08-25 08:42 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-08-25 08:38 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-08-23 05:56 635,848 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-08-23 05:54 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-08-17 16:48 2,368 ----a-w C:\WINDOWS\system32\SVKP.sys
2008-08-14 13:26 2,190,464 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:26 2,067,328 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-14 10:04 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-07-27 17:05 111,928 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-07-25 16:32 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2005-03-31 20:17 40,960 ----a-w C:\Program Files\Uninstall_CDS.exe
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS SmartDoctor"="C:\Program Files\ASUS\SmartDoctor\\SmartDoctor.exe" [2004-12-16 987136]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-10-24 307200]
"PeerGuardian"="C:\Program Files\PeerGuardian2\pg2.exe" [2005-09-18 1421824]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"Octoshape Streaming Services"="C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2008-05-22 156944]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 7700480]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 133016]
"RemoteControl"="C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768]
"InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2005-06-10 1397760]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"ISUSScheduler"="C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-08-08 282624]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 86016]
"nwiz"="nwiz.exe" [2006-10-22 C:\WINDOWS\system32\nwiz.exe]
C:\Documents and Settings\User\Menu Start\Programy\Autostart\
WordWeb.lnk - F:\WordWeb\wweb32.exe [2007-01-28 20992]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
GetRight - Tray Icon.lnk - C:\Program Files\GetRight\getright.exe [2006-02-14 2301952]
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
Uruchamianie pakietu Office.lnk - C:\Program Files\Microsoft Office\Office\OSA.EXE [1997-10-06 51984]
Microsoft Find Fast.lnk - C:\Program Files\Microsoft Office\Office\FINDFAST.EXE [1997-10-06 111376]
Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-06-06 113664]
Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk - C:\Program Files\SAGEM WiFi manager\WLANUTL.exe [2007-03-21 925696]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\acpiz]
2008-10-20 22:03 22689 C:\WINDOWS\system32\acpiz.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll
"vidc.asv2"= asusasv2.dll
"msacm.dvacm"= dvacm.acm
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\acup.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mks_Scan]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mks_Scan\Service]
@=""
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"F:\\FileZilla\\FileZilla.exe"=
"C:\\WINDOWS\\System32\\dpvsetup.exe"=
"C:\\Program Files\\Gadu-Gadu\\ggphone\\ggphone.exe"=
"D:\\AOE2CONQ\\empires2.exe"=
"C:\\Program Files\\Mozilla Firefox\\FIREFOX.EXE"=
"C:\\Program Files\\FlashGet\\FLASHGET.EXE"=
"D:\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"C:\\Program Files\\SopCast\\SopCast.exe"=
"C:\\Documents and Settings\\User\\Dane aplikacji\\SopCast\\adv\\SopAdver.exe"=
"C:\\Program Files\\TVUPlayer\\TVUPlayer.exe"=
"C:\\Program Files\\TVAnts\\Tvants.exe"=
"C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\SopCast\\sopvod.exe"=
"C:\\Program Files\\TC PowerPack\\totalcmd.exe"=
"C:\\Program Files\\QuickTime\\QuickTimePlayer.exe"=
"C:\\Documents and Settings\\User\\Ustawienia lokalne\\Dane aplikacji\\Octoshape\\Octoshape Streaming Services\\OctoshapeClient.exe"=
"D:\\Program Files\\Wolfenstein - Enemy Territory\\ET.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 ACEDRV09;ACEDRV09;C:\WINDOWS\system32\drivers\ACEDRV09.sys [2008-10-14 110304]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2008-08-17 2368]
R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;C:\WINDOWS\system32\DRIVERS\WlanBZXP.sys [2005-12-22 402432]
R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D.sys [2004-07-06 44544]
S1 acup;VPower Control Service;C:\WINDOWS\system32\acup.sys [2008-10-20 0]
S1 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS [ ]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;D:\Program Files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 UPnPService;UPnPService;C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 544768]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{36dc96a6-8ab9-11dc-93af-0060b30a1a0b}]
\Shell\Auto\command - activexdebugger32.exe f
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL activexdebugger32.exe e
\Shell\explore\Command - activexdebugger32.exe f
\Shell\open\Command - activexdebugger32.exe f
*Newly Created Service* - PGFILTER
.
.
------- Skan uzupełniający -------
.
FireFox -: Profile - C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\4hsbxv9g.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://onet.pl/
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-20 22:24:07
Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPI
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
Czas ukończenia: 2008-10-20 22:25:23
ComboFix-quarantined-files.txt 2008-10-20 20:25:14
Przed: 555˙220˙992 bajt˘w wolnych
Po: 875,397,120 bajt˘w wolnych
187 --- E O F --- 2008-10-15 21:19:10
Pomagaj innym! Inni pomogą Tobie! A zwłaszcza Pan Pękaty Jeż!
-
sgsman - ~user
- Posty: 300
- Dołączenie: 27 Wrz 2008, 23:52
- Pochwały: 28
-
Wirus w acup.sys
przez Magik 20 Paź 2008, 23:49
wklej do notatnika
zapisz jako fix.reg i odpal
wklej do notatnika
Zapisz plik jako CFScript.txt. Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe
do tego odpal
http://forum.programosy.pl/program-szukajacy-trojanow-i-malware-vt97108.html
i sdfixa bo to trojan
Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje
Potem wejdz do folderu C:\SDFix wrzuc zawartość pliku Report.txt
- Kod: Zaznacz wszystko
Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{36dc96a6-8ab9-11dc-93af-0060b30a1a0b}]
zapisz jako fix.reg i odpal
wklej do notatnika
- Kod: Zaznacz wszystko
FILE::
C:\WINDOWS\system32\acpiz.dll
C:\WINDOWS\system32\acup.sys
C:\WINDOWS\system32\k86.bin
C:\WINDOWS\system32\adr95.bin
C:\Delapp.bat
FOLDER::
C:\FOUND.004
Zapisz plik jako CFScript.txt. Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe
do tego odpal
http://forum.programosy.pl/program-szukajacy-trojanow-i-malware-vt97108.html
i sdfixa bo to trojan
Zastosuj SDFix . Po pobraniu uruchom go a rozpakuje się do C:\SDFix. Uruchom komputer w trybie awaryjnym (F8 przy stracie systemu). Będąc w awaryjnym uruchom plik RunThis.bat z folderu SDFixa. Zatwierdź czyszczenie przez Y. Poczekaj aż ukończy i komputer zresetuje
Potem wejdz do folderu C:\SDFix wrzuc zawartość pliku Report.txt
-
Magik - ~user
- Posty: 7956
- Dołączenie: 08 Maj 2004, 09:17
- Miejscowość: Głogów
- Pochwały: 886
-
Wirus w acup.sys
przez sgsman 21 Paź 2008, 14:40
Wykonałem wszystko w kolejności.
Oto logi:
Combofix:
FixIDEef:
SDfix
Co teraz zrobić? Czy wszystko jest w porządku?
Oto logi:
Combofix:
- Kod: Zaznacz wszystko
ComboFix 08-09-27.01 - User 2008-10-21 14:11:16.6 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1045.18.489 [GMT 2:00]
Uruchomiony z: C:\Documents and Settings\User\Pulpit\ComboFix.exe
Użyto następujących komend :: C:\Documents and Settings\User\Pulpit\CFScript.txt
* Utworzono nowy punkt przywracania
[color=red][b]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/b][/color]
.
- TRYB ZREDUKOWANEJ FUNKCJONALNOŚCI -
FILE ::
C:\Delapp.bat
C:\WINDOWS\system32\acpiz.dll
C:\WINDOWS\system32\acup.sys
C:\WINDOWS\system32\adr95.bin
C:\WINDOWS\system32\k86.bin
.
((((((((((((((((((((((((( Pliki utworzone od 2008-09-21 do 2008-10-21 )))))))))))))))))))))))))))))))
.
2008-10-20 22:32 . 2008-10-20 22:04 0 --a------ C:\WINDOWS\system32\ZDPNDIS5.SYS
2008-10-20 22:32 . 2008-10-20 22:04 0 --a------ C:\WINDOWS\system32\ZDCndis5.SYS
2008-10-20 22:32 . 2008-10-20 22:04 0 --a------ C:\WINDOWS\system32\PCANDIS5.SYS
2008-10-20 22:32 . 2008-10-20 22:04 0 --a------ C:\WINDOWS\system32\drivers\EagleNT.sys
2008-10-20 22:04 . 2008-10-20 22:04 664 --a------ C:\WINDOWS\system32\adr95.bin
2008-10-20 22:03 . 2008-10-20 22:03 22,689 --a------ C:\WINDOWS\system32\acpiz.dll
2008-10-20 22:03 . 2008-10-20 22:03 0 --a------ C:\WINDOWS\system32\k86.bin
2008-10-20 22:03 . 2008-10-20 22:04 0 --a------ C:\WINDOWS\system32\acup.sys
2008-10-15 20:48 . 2008-09-08 12:41 333,824 --------- C:\WINDOWS\system32\dllcache\srv.sys
2008-10-15 20:47 . 2008-08-14 15:26 2,190,464 --------- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-15 20:47 . 2008-08-14 15:26 2,146,816 --------- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-15 20:47 . 2008-08-14 15:26 2,067,328 --------- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-15 20:47 . 2008-08-14 15:26 2,025,472 --------- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-15 20:47 . 2008-09-15 17:27 1,846,656 --------- C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-14 11:55 . 2008-10-14 11:55 110,304 --a------ C:\WINDOWS\system32\drivers\ACEDRV09.sys
2008-10-05 17:29 . 2008-10-05 17:29 292 --a------ C:\WINDOWS\cncscore.ini
2008-10-05 17:29 . 2008-10-05 17:29 153 --a------ C:\Delapp.bat
2008-10-01 18:47 . 2008-10-01 18:47 <DIR> d-------- C:\Program Files\Odkurzacz
2008-10-01 17:53 . 2008-10-01 17:53 <DIR> d--hs---- C:\FOUND.004
2008-09-28 20:05 . 2008-09-28 20:05 580,096 --a------ C:\WINDOWS\system32\dllcache\user32.dll
2008-09-28 20:04 . 2008-09-28 20:04 <DIR> d-------- C:\WINDOWS\ERUNT
2008-09-28 13:04 . 2008-09-25 04:31 <DIR> d-------- C:\SDFix
2008-09-27 17:27 . 2008-09-27 17:27 0 --a------ C:\WINDOWS\MusicEditor.INI
2008-09-27 14:07 . 2008-10-04 10:50 28 --a------ C:\WINDOWS\Robota.INI
2008-09-27 13:57 . 2007-04-27 10:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-09-27 12:34 . 2008-10-14 11:08 130 --a------ C:\WINDOWS\musicmaker.INI
2008-09-27 12:33 . 2003-04-18 15:29 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2008-09-27 12:33 . 2004-08-11 19:53 38,912 --a------ C:\WINDOWS\system32\mgxasio.dll
2008-09-23 07:20 . 2008-09-23 07:20 <DIR> d-------- C:\Program Files\sina
2008-09-22 20:08 . 2008-09-22 20:08 <DIR> d-------- C:\Program Files\Common Files\SWF Studio
2008-09-22 17:20 . 2008-09-22 17:20 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\TVU Networks
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-03 17:26 6,066,176 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2008-09-15 15:27 1,846,656 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-10 15:46 --------- d-----w C:\Program Files\SubEdit-Player
2008-09-09 17:20 --------- d-----w C:\Program Files\Real Alternative
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-27 09:27 3,593,216 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-08-26 08:27 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-26 08:27 826,368 ------w C:\WINDOWS\system32\dllcache\wininet.dll
2008-08-26 08:27 671,232 ------w C:\WINDOWS\system32\dllcache\mstime.dll
2008-08-26 08:27 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-08-26 08:27 477,696 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll
2008-08-26 08:27 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-08-26 08:27 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-08-26 08:27 233,472 ------w C:\WINDOWS\system32\dllcache\webcheck.dll
2008-08-26 08:27 193,024 ------w C:\WINDOWS\system32\dllcache\msrating.dll
2008-08-26 08:27 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll
2008-08-26 08:27 102,912 ------w C:\WINDOWS\system32\dllcache\occache.dll
2008-08-26 08:27 1,159,680 ------w C:\WINDOWS\system32\dllcache\urlmon.dll
2008-08-26 08:26 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll
2008-08-26 08:26 44,544 ------w C:\WINDOWS\system32\dllcache\iernonce.dll
2008-08-26 08:26 384,512 ------w C:\WINDOWS\system32\dllcache\iedkcs32.dll
2008-08-26 08:26 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-08-26 08:26 347,136 ----a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
2008-08-26 08:26 27,648 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll
2008-08-26 08:26 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll
2008-08-26 08:26 230,400 ------w C:\WINDOWS\system32\dllcache\ieaksie.dll
2008-08-26 08:26 214,528 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll
2008-08-26 08:26 153,088 ------w C:\WINDOWS\system32\dllcache\ieakeng.dll
2008-08-26 08:26 133,120 ------w C:\WINDOWS\system32\dllcache\extmgr.dll
2008-08-26 08:26 124,928 ------w C:\WINDOWS\system32\dllcache\advpack.dll
2008-08-25 08:42 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-08-25 08:38 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-08-23 05:56 635,848 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-08-23 05:54 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-08-17 16:48 2,368 ----a-w C:\WINDOWS\system32\SVKP.sys
2008-08-14 13:26 2,190,464 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:26 2,067,328 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-14 10:04 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-07-27 17:05 111,928 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-07-25 16:32 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2005-03-31 20:17 40,960 ----a-w C:\Program Files\Uninstall_CDS.exe
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS SmartDoctor"="C:\Program Files\ASUS\SmartDoctor\\SmartDoctor.exe" [2004-12-16 987136]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-10-24 307200]
"PeerGuardian"="C:\Program Files\PeerGuardian2\pg2.exe" [2005-09-18 1421824]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"Octoshape Streaming Services"="C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2008-05-22 156944]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 7700480]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 133016]
"RemoteControl"="C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768]
"InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2005-06-10 1397760]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"ISUSScheduler"="C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-08-08 282624]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 86016]
"nwiz"="nwiz.exe" [2006-10-22 C:\WINDOWS\system32\nwiz.exe]
C:\Documents and Settings\User\Menu Start\Programy\Autostart\
WordWeb.lnk - F:\WordWeb\wweb32.exe [2007-01-28 20992]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
GetRight - Tray Icon.lnk - C:\Program Files\GetRight\getright.exe [2006-02-14 2301952]
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
Uruchamianie pakietu Office.lnk - C:\Program Files\Microsoft Office\Office\OSA.EXE [1997-10-06 51984]
Microsoft Find Fast.lnk - C:\Program Files\Microsoft Office\Office\FINDFAST.EXE [1997-10-06 111376]
Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-06-06 113664]
Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk - C:\Program Files\SAGEM WiFi manager\WLANUTL.exe [2007-03-21 925696]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\acpiz]
2008-10-20 22:03 22689 C:\WINDOWS\system32\acpiz.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll
"vidc.asv2"= asusasv2.dll
"msacm.dvacm"= dvacm.acm
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\acup.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mks_Scan]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mks_Scan\Service]
@=""
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"F:\\FileZilla\\FileZilla.exe"=
"C:\\WINDOWS\\System32\\dpvsetup.exe"=
"C:\\Program Files\\Gadu-Gadu\\ggphone\\ggphone.exe"=
"D:\\AOE2CONQ\\empires2.exe"=
"C:\\Program Files\\Mozilla Firefox\\FIREFOX.EXE"=
"C:\\Program Files\\FlashGet\\FLASHGET.EXE"=
"D:\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"C:\\Program Files\\SopCast\\SopCast.exe"=
"C:\\Documents and Settings\\User\\Dane aplikacji\\SopCast\\adv\\SopAdver.exe"=
"C:\\Program Files\\TVUPlayer\\TVUPlayer.exe"=
"C:\\Program Files\\TVAnts\\Tvants.exe"=
"C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\SopCast\\sopvod.exe"=
"C:\\Program Files\\TC PowerPack\\totalcmd.exe"=
"C:\\Program Files\\QuickTime\\QuickTimePlayer.exe"=
"C:\\Documents and Settings\\User\\Ustawienia lokalne\\Dane aplikacji\\Octoshape\\Octoshape Streaming Services\\OctoshapeClient.exe"=
"D:\\Program Files\\Wolfenstein - Enemy Territory\\ET.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 ACEDRV09;ACEDRV09;C:\WINDOWS\system32\drivers\ACEDRV09.sys [2008-10-14 110304]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2008-08-17 2368]
R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;C:\WINDOWS\system32\DRIVERS\WlanBZXP.sys [2005-12-22 402432]
R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D.sys [2004-07-06 44544]
S1 acup;VPower Control Service;C:\WINDOWS\system32\acup.sys [2008-10-20 0]
S1 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS [2008-10-20 0]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;D:\Program Files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 UPnPService;UPnPService;C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 544768]
*Newly Created Service* - PGFILTER
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-21 14:11:40
Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPI
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
PROCES: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\acpiz.dll
.
Czas ukończenia: 2008-10-21 14:12:52
ComboFix2.txt 2008-10-20 20:25:26
ComboFix-quarantined-files.txt 2008-10-21 12:12:46
Przed: 755˙744˙768 bajt˘w wolnych
Po: 753,270,784 bajt˘w wolnych
192 --- E O F --- 2008-10-15 21:19:10
FixIDEef:
- Kod: Zaznacz wszystko
********************************************************************************
* *
* FixIEDef Log *
* Version 1.6.10.6697 *
* *
********************************************************************************
Created at 14:19:53 on Tuesday, October 21, 2008
Time Zone :
Logged On User : User
Operating System : Microsoft Windows XP Home Edition Dodatek Service Pack 3
OS Version : 5.1.2600
System Langauge : Polish
Keyboard Layout : Polish
Processor : X86 AMD Athlon(tm) XP 2000+
System Drive : C:\
Windows Directory : C:\WINDOWS
System Directory : C:\WINDOWS\system32
System Drive Type : Fixed
System Drive Status : READY
System Drive Label :
System Drive Size : 24.99 GB
System Drive Free : 731.73 MB
Total Physical Memory: 767 MB
Free Physical Memory : 431 MB
Total Page File : 767 MB
Free Page File : 1506 MB
Total Virtual Memory : 2048 MB
Free Virtual Memory : 1973 MB
Boot State : Normal boot
--------------------------------------------------------------------------------
!!! Files that have been deleted !!!
C:\Documents and Settings\User\Ulubione\Search Online.url
C:\Documents and Settings\User\Ulubione\VIP Casino.url
C:\WINDOWS\system32\Help.ico
C:\WINDOWS\system32\pavas.ico
C:\WINDOWS\system32\Uninstall.ico
--------------------------------------------------------------------------------
!!! Directories that have been removed !!!
No malicious directories to be removed
--------------------------------------------------------------------------------
!!! Registry entries that have been removed !!!
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\BonParis
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\genaps.Bho
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8B7C06A9-F03A-4766-A99D-364278272FD2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9113117A-8879-4F1A-926A-B6EB70251755}
================================================================================
All Done :)
ShadowPuterDude
Safe Surfing!!!
SDfix
- Kod: Zaznacz wszystko
[b]SDFix: Version 1.229 [/b]
Run by Administrator on 2008-10-21 at 14:33
Microsoft Windows XP [Wersja 5.1.2600]
Running From: C:\SDFix
[b]Checking Services [/b]:
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
[b]Checking Files [/b]:
Trojan Files Found:
C:\WINDOWS\system32\k86.bin - Deleted
Co teraz zrobić? Czy wszystko jest w porządku?
Pomagaj innym! Inni pomogą Tobie! A zwłaszcza Pan Pękaty Jeż!
-
sgsman - ~user
- Posty: 300
- Dołączenie: 27 Wrz 2008, 23:52
- Pochwały: 28
-
Wirus w acup.sys
przez Magik 21 Paź 2008, 14:45
hmmm
wklej do notatnika raz jeszcze
Zapisz plik jako CFScript.txt. Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe
bo mi combofix nie zatwierdzil tego skryptu, i wklej nowy log ktory sie wygeneruje
wklej do notatnika raz jeszcze
- Kod: Zaznacz wszystko
FILE::
C:\WINDOWS\system32\acpiz.dll
C:\WINDOWS\system32\acup.sys
C:\WINDOWS\system32\k86.bin
C:\WINDOWS\system32\adr95.bin
C:\Delapp.bat
FOLDER::
C:\FOUND.004
Zapisz plik jako CFScript.txt. Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe
bo mi combofix nie zatwierdzil tego skryptu, i wklej nowy log ktory sie wygeneruje
-
Magik - ~user
- Posty: 7956
- Dołączenie: 08 Maj 2004, 09:17
- Miejscowość: Głogów
- Pochwały: 886
-
Wirus w acup.sys
przez sgsman 21 Paź 2008, 15:01
- Kod: Zaznacz wszystko
ComboFix 08-09-27.01 - User 2008-10-21 14:50:43.7 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.1.1045.18.474 [GMT 2:00]
Uruchomiony z: C:\Documents and Settings\User\Pulpit\ComboFix.exe
Użyto następujących komend :: C:\Documents and Settings\User\Pulpit\CFScript.txt
* Utworzono nowy punkt przywracania
[color=red][b]UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !![/b][/color]
.
- TRYB ZREDUKOWANEJ FUNKCJONALNOŚCI -
FILE ::
C:\Delapp.bat
C:\WINDOWS\system32\acpiz.dll
C:\WINDOWS\system32\acup.sys
C:\WINDOWS\system32\adr95.bin
C:\WINDOWS\system32\k86.bin
.
((((((((((((((((((((((((( Pliki utworzone od 2008-09-21 do 2008-10-21 )))))))))))))))))))))))))))))))
.
2008-10-21 14:26 . 2008-10-21 14:26 <DIR> d--hs---- C:\FOUND.005
2008-10-21 14:19 . 2008-10-21 14:19 <DIR> d-------- C:\!FixIEDef
2008-10-20 22:32 . 2008-10-20 22:04 0 --a------ C:\WINDOWS\system32\ZDPNDIS5.SYS
2008-10-20 22:32 . 2008-10-20 22:04 0 --a------ C:\WINDOWS\system32\ZDCndis5.SYS
2008-10-20 22:32 . 2008-10-20 22:04 0 --a------ C:\WINDOWS\system32\PCANDIS5.SYS
2008-10-20 22:32 . 2008-10-20 22:04 0 --a------ C:\WINDOWS\system32\drivers\EagleNT.sys
2008-10-20 22:04 . 2008-10-20 22:04 664 --a------ C:\WINDOWS\system32\adr95.bin
2008-10-20 22:03 . 2008-10-20 22:03 22,689 --a------ C:\WINDOWS\system32\acpiz.dll
2008-10-20 22:03 . 2008-10-20 22:04 0 --a------ C:\WINDOWS\system32\acup.sys
2008-10-15 20:48 . 2008-09-08 12:41 333,824 --------- C:\WINDOWS\system32\dllcache\srv.sys
2008-10-15 20:47 . 2008-08-14 15:26 2,190,464 --------- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-10-15 20:47 . 2008-08-14 15:26 2,146,816 --------- C:\WINDOWS\system32\dllcache\ntkrnlmp.exe
2008-10-15 20:47 . 2008-08-14 15:26 2,067,328 --------- C:\WINDOWS\system32\dllcache\ntkrnlpa.exe
2008-10-15 20:47 . 2008-08-14 15:26 2,025,472 --------- C:\WINDOWS\system32\dllcache\ntkrpamp.exe
2008-10-15 20:47 . 2008-09-15 17:27 1,846,656 --------- C:\WINDOWS\system32\dllcache\win32k.sys
2008-10-14 11:55 . 2008-10-14 11:55 110,304 --a------ C:\WINDOWS\system32\drivers\ACEDRV09.sys
2008-10-05 17:29 . 2008-10-05 17:29 292 --a------ C:\WINDOWS\cncscore.ini
2008-10-05 17:29 . 2008-10-05 17:29 153 --a------ C:\Delapp.bat
2008-10-01 18:47 . 2008-10-01 18:47 <DIR> d-------- C:\Program Files\Odkurzacz
2008-10-01 17:53 . 2008-10-01 17:53 <DIR> d--hs---- C:\FOUND.004
2008-09-28 20:05 . 2008-09-28 20:05 580,096 --a------ C:\WINDOWS\system32\dllcache\user32.dll
2008-09-28 20:04 . 2008-09-28 20:04 <DIR> d-------- C:\WINDOWS\ERUNT
2008-09-28 13:04 . 2008-09-25 04:31 <DIR> d-------- C:\SDFix
2008-09-27 17:27 . 2008-09-27 17:27 0 --a------ C:\WINDOWS\MusicEditor.INI
2008-09-27 14:07 . 2008-10-04 10:50 28 --a------ C:\WINDOWS\Robota.INI
2008-09-27 13:57 . 2007-04-27 10:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-09-27 12:34 . 2008-10-14 11:08 130 --a------ C:\WINDOWS\musicmaker.INI
2008-09-27 12:33 . 2003-04-18 15:29 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2008-09-27 12:33 . 2004-08-11 19:53 38,912 --a------ C:\WINDOWS\system32\mgxasio.dll
2008-09-23 07:20 . 2008-09-23 07:20 <DIR> d-------- C:\Program Files\sina
2008-09-22 20:08 . 2008-09-22 20:08 <DIR> d-------- C:\Program Files\Common Files\SWF Studio
2008-09-22 17:20 . 2008-09-22 17:20 <DIR> d-------- C:\Documents and Settings\All Users\Dane aplikacji\TVU Networks
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-03 17:26 6,066,176 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2008-09-15 15:27 1,846,656 ----a-w C:\WINDOWS\system32\win32k.sys
2008-09-10 15:46 --------- d-----w C:\Program Files\SubEdit-Player
2008-09-09 17:20 --------- d-----w C:\Program Files\Real Alternative
2008-09-08 10:41 333,824 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-08-27 09:27 3,593,216 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-08-26 08:27 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-08-26 08:27 826,368 ------w C:\WINDOWS\system32\dllcache\wininet.dll
2008-08-26 08:27 671,232 ------w C:\WINDOWS\system32\dllcache\mstime.dll
2008-08-26 08:27 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-08-26 08:27 477,696 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll
2008-08-26 08:27 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-08-26 08:27 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-08-26 08:27 233,472 ------w C:\WINDOWS\system32\dllcache\webcheck.dll
2008-08-26 08:27 193,024 ------w C:\WINDOWS\system32\dllcache\msrating.dll
2008-08-26 08:27 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll
2008-08-26 08:27 102,912 ------w C:\WINDOWS\system32\dllcache\occache.dll
2008-08-26 08:27 1,159,680 ------w C:\WINDOWS\system32\dllcache\urlmon.dll
2008-08-26 08:26 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll
2008-08-26 08:26 44,544 ------w C:\WINDOWS\system32\dllcache\iernonce.dll
2008-08-26 08:26 384,512 ------w C:\WINDOWS\system32\dllcache\iedkcs32.dll
2008-08-26 08:26 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-08-26 08:26 347,136 ----a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
2008-08-26 08:26 27,648 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll
2008-08-26 08:26 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll
2008-08-26 08:26 230,400 ------w C:\WINDOWS\system32\dllcache\ieaksie.dll
2008-08-26 08:26 214,528 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll
2008-08-26 08:26 153,088 ------w C:\WINDOWS\system32\dllcache\ieakeng.dll
2008-08-26 08:26 133,120 ------w C:\WINDOWS\system32\dllcache\extmgr.dll
2008-08-26 08:26 124,928 ------w C:\WINDOWS\system32\dllcache\advpack.dll
2008-08-25 08:42 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-08-25 08:38 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-08-23 05:56 635,848 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-08-23 05:54 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-08-17 16:48 2,368 ----a-w C:\WINDOWS\system32\SVKP.sys
2008-08-14 13:26 2,190,464 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-08-14 13:26 2,067,328 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-08-14 10:04 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-07-27 17:05 111,928 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-07-25 16:32 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2005-03-31 20:17 40,960 ----a-w C:\Program Files\Uninstall_CDS.exe
.
((((((((((((((((((((((((((((( snapshot@2008-10-21_14.12.24.60 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-09-28 18:04:26 528,384 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat
+ 2008-10-21 12:31:34 528,384 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000001\ntuser.dat
- 2008-09-28 18:04:26 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
+ 2008-10-21 12:31:34 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\[u]0[/u]0000002\UsrClass.dat
- 2008-09-20 10:40:20 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-10-21 12:30:14 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-09-20 10:40:20 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
+ 2008-10-21 12:30:14 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Historia\History.IE5\index.dat
- 2008-10-21 07:29:16 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
+ 2008-10-21 12:30:14 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat
+ 2008-10-21 12:36:14 16,384 ----a-w C:\WINDOWS\Temp\Perflib_Perfdata_6c8.dat
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS SmartDoctor"="C:\Program Files\ASUS\SmartDoctor\\SmartDoctor.exe" [2004-12-16 987136]
"updateMgr"="C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-10-24 307200]
"PeerGuardian"="C:\Program Files\PeerGuardian2\pg2.exe" [2005-09-18 1421824]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"Octoshape Streaming Services"="C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2008-05-22 156944]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 7700480]
"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe" [2005-12-10 133016]
"RemoteControl"="C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768]
"InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2005-06-10 1397760]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"ISUSScheduler"="C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-08-08 282624]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 86016]
"nwiz"="nwiz.exe" [2006-10-22 C:\WINDOWS\system32\nwiz.exe]
C:\Documents and Settings\User\Menu Start\Programy\Autostart\
WordWeb.lnk - F:\WordWeb\wweb32.exe [2007-01-28 20992]
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
GetRight - Tray Icon.lnk - C:\Program Files\GetRight\getright.exe [2006-02-14 2301952]
Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
Uruchamianie pakietu Office.lnk - C:\Program Files\Microsoft Office\Office\OSA.EXE [1997-10-06 51984]
Microsoft Find Fast.lnk - C:\Program Files\Microsoft Office\Office\FINDFAST.EXE [1997-10-06 111376]
Adobe Gamma Loader.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2006-06-06 113664]
Program sieciowy dla SAGEM Wi-Fi 11g USB adapter.lnk - C:\Program Files\SAGEM WiFi manager\WLANUTL.exe [2007-03-21 925696]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\acpiz]
2008-10-20 22:03 22689 C:\WINDOWS\system32\acpiz.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll
"vidc.asv2"= asusasv2.dll
"msacm.dvacm"= dvacm.acm
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\acup.sys]
@="Driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mks_Scan]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Mks_Scan\Service]
@=""
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Gadu-Gadu\\gg.exe"=
"C:\\Program Files\\eMule\\emule.exe"=
"F:\\FileZilla\\FileZilla.exe"=
"C:\\WINDOWS\\System32\\dpvsetup.exe"=
"C:\\Program Files\\Gadu-Gadu\\ggphone\\ggphone.exe"=
"D:\\AOE2CONQ\\empires2.exe"=
"C:\\Program Files\\Mozilla Firefox\\FIREFOX.EXE"=
"C:\\Program Files\\FlashGet\\FLASHGET.EXE"=
"D:\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"C:\\Program Files\\SopCast\\SopCast.exe"=
"C:\\Documents and Settings\\User\\Dane aplikacji\\SopCast\\adv\\SopAdver.exe"=
"C:\\Program Files\\TVUPlayer\\TVUPlayer.exe"=
"C:\\Program Files\\TVAnts\\Tvants.exe"=
"C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\SopCast\\sopvod.exe"=
"C:\\Program Files\\TC PowerPack\\totalcmd.exe"=
"C:\\Program Files\\QuickTime\\QuickTimePlayer.exe"=
"C:\\Documents and Settings\\User\\Ustawienia lokalne\\Dane aplikacji\\Octoshape\\Octoshape Streaming Services\\OctoshapeClient.exe"=
"D:\\Program Files\\Wolfenstein - Enemy Territory\\ET.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 ACEDRV09;ACEDRV09;C:\WINDOWS\system32\drivers\ACEDRV09.sys [2008-10-14 110304]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 SVKP;SVKP;C:\WINDOWS\system32\SVKP.sys [2008-08-17 2368]
R3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;C:\WINDOWS\system32\DRIVERS\WlanBZXP.sys [2005-12-22 402432]
R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D.sys [2004-07-06 44544]
S1 acup;VPower Control Service;C:\WINDOWS\system32\acup.sys [2008-10-20 0]
S1 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\system32\ZDCndis5.SYS [2008-10-20 0]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;D:\Program Files\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 UPnPService;UPnPService;C:\Program Files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 544768]
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-21 14:51:09
Windows 5.1.2600 Dodatek Service Pack 3 FAT NTAPI
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
PROCES: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\acpiz.dll
.
Czas ukończenia: 2008-10-21 14:52:27
ComboFix3.txt 2008-10-20 20:25:26
ComboFix-quarantined-files.txt 2008-10-21 12:52:20
ComboFix2.txt 2008-10-21 12:12:56
Przed: 696˙303˙616 bajt˘w wolnych
Po: 684,261,376 bajt˘w wolnych
207 --- E O F --- 2008-10-15 21:19:10
...i jak?
przy okazji: usuwać qooboxa?
Pomagaj innym! Inni pomogą Tobie! A zwłaszcza Pan Pękaty Jeż!
-
sgsman - ~user
- Posty: 300
- Dołączenie: 27 Wrz 2008, 23:52
- Pochwały: 28
-
Wirus w acup.sys
przez djarta 21 Paź 2008, 15:30
Mogą być dwa powody nie usuwania tych plików.
1) Te pliki są prawidłowe, są one plikami Windowsa (google milczy).
2)
Nie będę tego mówił, chyba każdy wie, że to ten ComboFix ma ograniczone funkcje.
Sprawdź je na --> http://virusscan.jotti.org/
albo na http://www.virustotal.com/en/indexf.html.
=====================
K.
1) Te pliki są prawidłowe, są one plikami Windowsa (google milczy).
2)
- TRYB ZREDUKOWANEJ FUNKCJONALNOŚCI -
Nie będę tego mówił, chyba każdy wie, że to ten ComboFix ma ograniczone funkcje.
C:\WINDOWS\system32\acpiz.dll
C:\WINDOWS\system32\acup.sys
C:\WINDOWS\system32\k86.bin
C:\WINDOWS\system32\adr95.bin
C:\Delapp.bat
Sprawdź je na --> http://virusscan.jotti.org/
albo na http://www.virustotal.com/en/indexf.html.
=====================
K.
Pozdrawiam djarta. 
- djarta
- ~user
- Posty: 684
- Dołączenie: 31 Lip 2008, 10:49
- Pochwały: 55
Wirus w acup.sys
przez sgsman 21 Paź 2008, 15:47
W kolejności zacytowania:
1) http://www.virustotal.com/pl/reanalisis.html?ec71ace5b4681cfc3838cdb781378aba
2) Virustotal miał problem z załadowaniem pliku, Virusscan też; to znaczy ładuje się strasznie długo. Tymczasem acup ma wielkość 0 bajtów
3) informacja następująca wyskakuje: "0 bytes size received / Se ha recibido un archivo vacio", na virusscanie pisze "The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"
4) http://www.virustotal.com/pl/analisis/8f9136de7af4c13ee5906e961cc7c8a6
5) http://www.virustotal.com/pl/analisis/653087ef8121f62f693532712a1affd4
Co robić? spróbować usunąć plik acup ręcznie?
1) http://www.virustotal.com/pl/reanalisis.html?ec71ace5b4681cfc3838cdb781378aba
2) Virustotal miał problem z załadowaniem pliku, Virusscan też; to znaczy ładuje się strasznie długo. Tymczasem acup ma wielkość 0 bajtów
3) informacja następująca wyskakuje: "0 bytes size received / Se ha recibido un archivo vacio", na virusscanie pisze "The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"
4) http://www.virustotal.com/pl/analisis/8f9136de7af4c13ee5906e961cc7c8a6
5) http://www.virustotal.com/pl/analisis/653087ef8121f62f693532712a1affd4
Co robić? spróbować usunąć plik acup ręcznie?
Pomagaj innym! Inni pomogą Tobie! A zwłaszcza Pan Pękaty Jeż!
-
sgsman - ~user
- Posty: 300
- Dołączenie: 27 Wrz 2008, 23:52
- Pochwały: 28
-
Wirus w acup.sys
przez djarta 21 Paź 2008, 15:50
Te pliki są czyste, nic nie usuwaj.
ComboFix - tak mniej więcej czysto.
Wykonaj to co jest podane w tym temacie (jeśli wykonałeś/łaś to wcześniej to nie rób tego).
Usuń ręcznie folder C:\Qoobox,
Usuń instalkę ComboFix z dysku.
Wykonaj optymalizację autostartu
Przeczyść komputer ATF-Cleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach.Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.
i tym:
FixIEDef.
================
K.
Autor postu otrzymał pochwałę
ComboFix - tak mniej więcej czysto.
Wykonaj to co jest podane w tym temacie (jeśli wykonałeś/łaś to wcześniej to nie rób tego).
Usuń ręcznie folder C:\Qoobox,
Usuń instalkę ComboFix z dysku.
Wykonaj optymalizację autostartu
Przeczyść komputer ATF-Cleaner
Wyłącz i włącz przywracanie systemu na wszystkich dyskach.Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum.
i tym:
FixIEDef.
================
K.
Autor postu otrzymał pochwałę
Pozdrawiam djarta.
- djarta
- ~user
- Posty: 684
- Dołączenie: 31 Lip 2008, 10:49
- Pochwały: 55
-
Wirus w acup.sys
przez sgsman 21 Paź 2008, 18:21
Wykonałem pierwsze 3 czynności (wwdc, qoobox i usunięcie combofixa).
A teraz kilka pytań:
1.Czy muszę wykonać wszystkie czynności, które opisałeś wyżej, łącznie z defragmentacją?
2. Czy wyłączenie i włączenie punktu przywracania systemu jest całkowicie bezpieczne?
3. czy nie powinienem pobrać nowej wersji combofixa i dlaczego powinno sie usuwać starą?
A odnośnie tych plików: pragnę zauważyć, że na stronach przez Ciebie podanych nie udało się przeskanować podejrzanego pliku acup (który pojawił się w chwili, gdy zostałem powiadomiony o wirusie przez Avasta - jak podaje Combofix, 0 22:03). Co więcej, 16 skanerów na tych stronach uznało acpiz za trojana. Nie powinienem iść w tym kierunku?
Jeszcze jeden problem. Przy próbie ponownego uruchomienia systemu, po jakiś czas po problemie z plikiem acup, wyskoczył mi błąd jakiś, którego konsekwencją jest to, iż przy starcie systemu nie może się uruchomić program Daemon Tools (podaje komunikat z którego wynika chyba, że uznaje moją wersję windowsa za niższą od W2000 i jakiś problem z kernelem - nie mam pojęcia, o co chodzi.). Nie mogę go także usunąć programem do dezinstalacji. Co robić?
Wyciąg z kasperskiego podam, gdy nim przeskanuje komputer.
A teraz kilka pytań:
1.Czy muszę wykonać wszystkie czynności, które opisałeś wyżej, łącznie z defragmentacją?
2. Czy wyłączenie i włączenie punktu przywracania systemu jest całkowicie bezpieczne?
3. czy nie powinienem pobrać nowej wersji combofixa i dlaczego powinno sie usuwać starą?
A odnośnie tych plików: pragnę zauważyć, że na stronach przez Ciebie podanych nie udało się przeskanować podejrzanego pliku acup (który pojawił się w chwili, gdy zostałem powiadomiony o wirusie przez Avasta - jak podaje Combofix, 0 22:03). Co więcej, 16 skanerów na tych stronach uznało acpiz za trojana. Nie powinienem iść w tym kierunku?
Jeszcze jeden problem. Przy próbie ponownego uruchomienia systemu, po jakiś czas po problemie z plikiem acup, wyskoczył mi błąd jakiś, którego konsekwencją jest to, iż przy starcie systemu nie może się uruchomić program Daemon Tools (podaje komunikat z którego wynika chyba, że uznaje moją wersję windowsa za niższą od W2000 i jakiś problem z kernelem - nie mam pojęcia, o co chodzi.). Nie mogę go także usunąć programem do dezinstalacji. Co robić?
Wyciąg z kasperskiego podam, gdy nim przeskanuje komputer.
Pomagaj innym! Inni pomogą Tobie! A zwłaszcza Pan Pękaty Jeż!
-
sgsman - ~user
- Posty: 300
- Dołączenie: 27 Wrz 2008, 23:52
- Pochwały: 28
-
Wirus w acup.sys
przez Magik 21 Paź 2008, 19:13
sgsman napisał(a):1.Czy muszę wykonać wszystkie czynności, które opisałeś wyżej, łącznie z defragmentacją?
Twoj wolny wybor
sgsman napisał(a):2. Czy wyłączenie i włączenie punktu przywracania systemu jest całkowicie bezpieczne?
jak najbardziej wskazane
sgsman napisał(a):A odnośnie tych plików: pragnę zauważyć, że na stronach przez Ciebie podanych nie udało się przeskanować podejrzanego pliku acup (który pojawił się w chwili, gdy zostałem powiadomiony o wirusie przez Avasta - jak podaje Combofix, 0 22:03). Co więcej, 16 skanerów na tych stronach uznało acpiz za trojana. Nie powinienem iść w tym kierunku?
wg, mych zrodel to jest plik trojana jak i pozostale
sgsman napisał(a):iż przy starcie systemu nie może się uruchomić program Daemon Tools (podaje komunikat z którego wynika chyba, że uznaje moją wersję windowsa za niższą od W2000
przeinstaluj ten program
sgsman napisał(a):i jakiś problem z kernelem
jakis he---->jakeis szczegoly
-
Magik - ~user
- Posty: 7956
- Dołączenie: 08 Maj 2004, 09:17
- Miejscowość: Głogów
- Pochwały: 886
-
Re: wirus w acup.sys
przez sgsman 23 Paź 2008, 19:09
Więc tak: program (Daemona) przeinstalowałem i usunąłem (dalej nie działał, ale dał sie odinstalować). Błąd wyglądał tak:
Co do skanu z Kasperskiego. Przeskanowałem dysk C, przerwałem skanowanie już innego dysku (niesamowicie długo to trwa). Log wygląda tak (z plików zarażonych):
Co robić? Proszę o pomoc!
Co do skanu z Kasperskiego. Przeskanowałem dysk C, przerwałem skanowanie już innego dysku (niesamowicie długo to trwa). Log wygląda tak (z plików zarażonych):
- Kod: Zaznacz wszystko
Nazwa pliku Nazwa zagrożenia Liczba zagrożeń
C:\WINDOWS\system32\acpiz.dll//PE_Patch.UPX//UPX/C:\WINDOWS\system32\acpiz.dll//PE_Patch.UPX//UPX Zainfekowany: Trojan-Spy.Win32.Goldun.bct 1
C:\WINDOWS\system32\acpiz.dll Zainfekowany: Trojan-Spy.Win32.Goldun.bct 1
C:\WINDOWS\system32\~.exe Zainfekowany: Backdoor.Win32.Agent.tna 1
C:\Documents and Settings\User\Ustawienia lokalne\temp\Temporary Internet Files\Content.IE5\MDC5ZMO5\load[1].exe Zainfekowany: Backdoor.Win32.Agent.tna 1
C:\Documents and Settings\User\Pulpit\SDFix.exe Podejrzany: Password-protected-EXE 2
C:\Program Files\Ahead\InCD\InCD_eng.chm Zainfekowany: Exploit.Win32.IMG-GIF.b 1
C:\SDFix\apps\procs.zip Podejrzany: Password-protected-EXE 1
C:\SDFix\apps\RestartIt!.zip Podejrzany: Password-protected-EXE 1
Co robić? Proszę o pomoc!
Pomagaj innym! Inni pomogą Tobie! A zwłaszcza Pan Pękaty Jeż!
-
sgsman - ~user
- Posty: 300
- Dołączenie: 27 Wrz 2008, 23:52
- Pochwały: 28
-
Wirus w acup.sys
przez Magik 23 Paź 2008, 19:22
do loga z kaspra
Nie zrobiles tego CO MOWILEM PARE POSTOW WYZEJ
Zapisz plik jako CFScript.txt. Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe
gdybys to zrobil, ale po co??
co do Daemon Tools
Nie zrobiles tego CO MOWILEM PARE POSTOW WYZEJ
- Kod: Zaznacz wszystko
FILE::
C:\WINDOWS\system32\acpiz.dll
C:\WINDOWS\system32\acup.sys
C:\WINDOWS\system32\k86.bin
C:\WINDOWS\system32\adr95.bin
C:\Delapp.bat
FOLDER::
C:\FOUND.004
Zapisz plik jako CFScript.txt. Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe
gdybys to zrobil, ale po co??
co do Daemon Tools
Jeżeli Twój system ma jakieś problemy z instalacją SPTD postępuj następująco:
Jeżeli Twój System jest uruchomiony to idz prosto do kroku 2.
Jeżeli nie możesz wcale uruchomić komputera rozpocznij od kroku 1.
1. Uruchom komputer w trybie awaryjnym i naciśnij klawisz ESC kiedy na dole ekranu zostanie wyświetlony komunikat:
"Press ESC to cancel loading SPTD.sys". To przerwie ładowanie "warstwy" SPTD.
2. Usuń lub tymczasowo zmień nazwę WINDOWS\System32\Drivers\sptd.sys.
3. Uruchom ponownie w normalnym trybie i sprawdz czy Twój problem jest rozwiązany
W przypadku gdy wystąpi BSOD/crash możesz sprawdzić czy został utworzony plik minidump (w folderze Windows\Minidump) powiązany z tym błędem, wyślij najnowszy plik do twurców programu Daemon Tools z doładnym opisem problemu.
NIE wysyłaj pliku minidump jeżeli Twój problem został rozwiązany po usunięciu sterowników Starforca
Narzędzie do odinstalowania sterowników Starforce http://onlinesecurity-on.com/downloads/sfdrvrem.zip
Musisz zaminić nazwę sptd.sys spowrotem po tym jak problem powodujący błędy zostanie rozwiązany to przywróci Daemon Tools do pracy.
Możesz także ściągnąć spdtinst.exe () dla swojej wersji Windowsa i uruchomić "sptdinst remove", uruchomoć komputer ponownie aby zakończyć deinstalacje.
Jeżeli nie możesz uruchomić komputera w trybie awaryjnym nawet jeżeli nacisnołeś ESC kiedy się wyświetliło, zabootuj komputer do konsoli odzyskiwania przy pomocy płyty CD z Windowsem, zaloguj się do systemu (potrzebujesz hasła Administratora), zmień katalog (cd) na Windows\System32\Drivers i zmień nazwe plików sptd.sys i dtscsi.sys. Uruchom ponownie by sprawdzić czy problem został rozwiązany.
-
Magik - ~user
- Posty: 7956
- Dołączenie: 08 Maj 2004, 09:17
- Miejscowość: Głogów
- Pochwały: 886
-
Wirus w acup.sys
przez sgsman 23 Paź 2008, 19:26
Nie zrobiles tego CO MOWILEM PARE POSTOW WYZEJ
Śmiem zaprzeczyć, za każdym razem po wykonaniu tej czynności wklejałem loga. Może nie-usunięcie tych plików spowodowane jest tym, iż program działał w trybie ograniczonej funkcjonalności? Chyba powinienem pobrać nową wersję Combofixa? I czy nie powinienem wkleić nowej wersji skryptu, uwzględniającej wszystkie pliki znalezione przez Kasperskiego i odejmując z listy pliki uznane za bezpieczne? Aha, i cóż z tym plikiem "~"!?
Ps. zrobiłem Kasperskim osobno skan samego pliku acup - niby wykazał, że jest ok.
Pomagaj innym! Inni pomogą Tobie! A zwłaszcza Pan Pękaty Jeż!
-
sgsman - ~user
- Posty: 300
- Dołączenie: 27 Wrz 2008, 23:52
- Pochwały: 28
-
Wirus w acup.sys
przez Magik 23 Paź 2008, 19:30
sgsman napisał(a):Ps. zrobiłem Kasperskim osobno skan samego pliku acup - niby wykazał, że jest ok.
wg. moich zrodel to jest syfek
sgsman napisał(a):Może nie-usunięcie tych plików spowodowane jest tym, iż program działał w trybie ograniczonej funkcjonalności? Chyba powinienem pobrać nową wersję Combofixa?
maybe.........
sciagnij
http://swandog46.geekstogo.com/avenger.exe
wklej do notatnika
- Kod: Zaznacz wszystko
Files to delete:
C:\WINDOWS\system32\acpiz.dll
C:\WINDOWS\system32\acup.sys
C:\WINDOWS\system32\k86.bin
C:\WINDOWS\system32\adr95.bin
C:\Delapp.bat
Folders to delete:
C:\FOUND.004
Gdy już mamy dany skrypt wklejamy go do programu i klikamy Execute. Zgadzamy się na pytania Avengera oraz na reset komputera i rozpoczyna się proces usuwania.
Po opcji dezynfekcji, pliki które chcieliśmy skasować znajdziemy tu C:\Avenger\backup.zip .Kasujemy plik backup.zip
Po całej operacji na dysku C znajdziemy plik Avenger.txt, który wklejamy na forum.(jest to raport z kasowania)
-
Magik - ~user
- Posty: 7956
- Dołączenie: 08 Maj 2004, 09:17
- Miejscowość: Głogów
- Pochwały: 886
-
Re: wirus w acup.sys
przez sgsman 24 Paź 2008, 15:10
1. Pobrałem, wykonałem, oto log:
Czy z loga wynika, że jest OK?
2. Co zrobić z resztą syfów, które znalazł Kaspersky? Niepokoi mnie zwłaszcza plik "~.exe", który czasem się uaktywnia, gdy odpalam Firefoxa (i powoduje jego zawieszenie; po zamknięciu procesu w menadżerze przy ponownym otwarciu błąd nie występuje) oraz inne tam zawarte. Co robić?
- Kod: Zaznacz wszystko
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\WINDOWS\system32\acpiz.dll" deleted successfully.
File "C:\WINDOWS\system32\acup.sys" deleted successfully.
Error: file "C:\WINDOWS\system32\k86.bin" not found!
Deletion of file "C:\WINDOWS\system32\k86.bin" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
File "C:\WINDOWS\system32\adr95.bin" deleted successfully.
File "C:\Delapp.bat" deleted successfully.
Error: folder "C:\FOUND.004" not found!
Deletion of folder "C:\FOUND.004" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
Completed script processing.
*******************
Finished! Terminate.
Czy z loga wynika, że jest OK?
2. Co zrobić z resztą syfów, które znalazł Kaspersky? Niepokoi mnie zwłaszcza plik "~.exe", który czasem się uaktywnia, gdy odpalam Firefoxa (i powoduje jego zawieszenie; po zamknięciu procesu w menadżerze przy ponownym otwarciu błąd nie występuje) oraz inne tam zawarte. Co robić?
Pomagaj innym! Inni pomogą Tobie! A zwłaszcza Pan Pękaty Jeż!
-
sgsman - ~user
- Posty: 300
- Dołączenie: 27 Wrz 2008, 23:52
- Pochwały: 28
-
Wirus w acup.sys
przez Magik 24 Paź 2008, 15:14
sgsman napisał(a):Czy z loga wynika, że jest OK?
tak, co mial zrobic zrobil na 5
co do reszty
jesli zrobiles uwczesniejsze czyszczenie to ten syf z folderu temp juz powienien zniknac
co do tego exe'ka zrob skryp do Avenegera
- Kod: Zaznacz wszystko
Files to delete:
C:\WINDOWS\system32\~.exe
postap analogicznie j/w
co do Sdfixa i Nero wiadomo-->sciema
-
Magik - ~user
- Posty: 7956
- Dołączenie: 08 Maj 2004, 09:17
- Miejscowość: Głogów
- Pochwały: 886
-
Wirus w acup.sys
przez sgsman 24 Paź 2008, 15:35
- Kod: Zaznacz wszystko
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\WINDOWS\system32\~.exe" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
powiem tak nie wykonałem czyszczenia dysku, ale w tym folderze nie ma już pliku load[1] - jest za to plik load[2] (utworzony dziś) oraz wczorajsze elementy z load[1] (jakieś gify loader[1], loading[1]). ATFcleanerem usunąłem windows tempa oraz all users tempa, ale plik (w ogóle cały folder z plikami, nie tylko ten plik) dalej tam pozostał (był wykorzystywany przez mozillę). śmiem twierdzic, że te właśnie pliki wykorzystywał śmieć o nazwie "~.exe" (bo tworzyły się równolegle do niego).
jak te badziewia usunąć? Można ręcznie? albo zrobić skrypt do executora ze ścieżkami tych plików?
Pomagaj innym! Inni pomogą Tobie! A zwłaszcza Pan Pękaty Jeż!
-
sgsman - ~user
- Posty: 300
- Dołączenie: 27 Wrz 2008, 23:52
- Pochwały: 28
-
Wirus w acup.sys
przez Magik 24 Paź 2008, 15:58
sgsman napisał(a):jak te badziewia usunąć? Można ręcznie?
odpal kompa w trybiku awaryjnym i wywal recznie lub jak mowisz zrob skrypt ze sciezka i nazwa tych plikow
Autor postu otrzymał pochwałę
-
Magik - ~user
- Posty: 7956
- Dołączenie: 08 Maj 2004, 09:17
- Miejscowość: Głogów
- Pochwały: 886
-
23 posty(ów) • Strona 1 z 2 • 1, 2
Kto jest na forum
Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 28 gości