przez filip179 16 Maj 2010, 17:01
jak się tego ustrojstwa pozbyć? Czytałem trochę na ten temat, tutaj log z combofixa:
- Kod: Zaznacz wszystko
ComboFix 10-05-15.03 - Admin 2010-05-16 16:49:14.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.1.1250.48.1045.18.2039.1406 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Admin\Moje dokumenty\ComboFix.exe
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\autorun.inf
D:\Autorun.inf
c:\windows\system32\qmgr.dll . . . jest zainfekowany!!
c:\windows\system32\d3d9.dll . . . brak pliku!!
.
((((((((((((((((((((((((( Pliki utworzone od 2010-04-16 do 2010-05-16 )))))))))))))))))))))))))))))))
.
Nie utworzono żadnych nowych plików w tym okresie
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-16 14:43 . 2010-05-16 14:43 -------- d-----w- c:\documents and settings\Admin\Dane aplikacji\Malwarebytes
2010-05-16 14:43 . 2010-05-16 14:43 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-05-16 14:43 . 2010-05-16 14:43 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Malwarebytes
2010-05-16 14:34 . 2010-05-16 14:34 -------- d-----w- c:\program files\Opera
2010-05-16 14:31 . 2003-04-16 12:00 49492 ----a-w- c:\windows\system32\perfc015.dat
2010-05-16 14:31 . 2003-04-16 12:00 355486 ----a-w- c:\windows\system32\perfh015.dat
2010-05-16 14:30 . 2010-05-16 14:13 -------- d-----w- c:\program files\Neostrada TP
2010-05-16 14:14 . 2010-05-16 14:14 -------- d-----w- c:\program files\Thomson
2010-05-16 14:14 . 2010-05-16 14:06 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-05-16 14:13 . 2010-05-16 14:13 -------- d-----w- c:\program files\Java
2010-05-16 14:13 . 2010-05-16 14:05 -------- d-----w- c:\program files\Common Files\InstallShield
2010-05-16 14:07 . 2010-05-16 14:07 -------- d-----w- c:\program files\Intel
2010-05-16 14:06 . 2010-05-16 14:06 -------- d-----w- c:\program files\Realtek
2010-05-16 14:06 . 2010-05-16 14:06 315392 ----a-w- c:\windows\HideWin.exe
2010-05-16 14:05 . 2010-05-16 14:05 -------- d-----w- c:\program files\Alwil Software
2010-05-16 14:01 . 2010-05-16 14:01 -------- d-----w- c:\program files\microsoft frontpage
2010-05-16 14:00 . 2010-05-16 14:00 70691 ----a-w- c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2010-05-16 13:59 . 2010-05-16 13:59 21856 ----a-w- c:\windows\system32\emptyregdb.dat
2010-05-16 13:59 . 2010-05-16 13:59 -------- d-----w- c:\program files\Usługi online
2010-05-15 22:00 . 2010-05-16 14:30 112640 --sh--r- C:\p6xebrnt.exe
2010-04-29 13:39 . 2010-05-16 14:43 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-05-16 14:43 19288 ----a-w- c:\windows\system32\drivers\mbam.sys
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2006-10-05 98304]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2006-10-05 114688]
"Persistence"="c:\windows\System32\igfxpers.exe" [2006-10-05 94208]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-10 16126464]
"WooCnxMon"="c:\progra~1\NEOSTR~1\CnxMon.exe" [2003-10-16 24576]
"SpeedTouch USB Diagnostics"="c:\program files\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]
"WOOWATCH"="c:\progra~1\NEOSTR~1\Watch.exe" [2003-10-16 20480]
"WOOTASKBARICON"="c:\progra~1\NEOSTR~1\TaskbarIcon.exe" [2003-10-16 53248]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2003-04-16 13312]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2010-05-16 114768]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2010-05-16 38224]
.
.
------- Skan uzupełniający -------
.
uStart Page = hxxp://www.neostrada.pl
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-16 16:52
Windows 5.1.2600 Dodatek Service Pack. 1 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'winlogon.exe'(508)
c:\windows\System32\ODBC32.dll
- - - - - - - > 'lsass.exe'(564)
c:\windows\system32\MSVCRT40.dll
c:\windows\system32\MSVCIRT.dll
c:\windows\System32\dssenh.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\windows\RTHDCPL.EXE
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
c:\windows\system32\imapi.exe
.
**************************************************************************
.
Czas ukończenia: 2010-05-16 16:52:37 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt 2010-05-16 14:52
Przed: 205 843 075 072 bajtów wolnych
Po: 205 833 392 128 bajtów wolnych
winxpsp1_pl_hom_bf.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect
- - End Of File - - 4909DE6414E046A7730B8AFCE770055F
