![reklama](http://www.programosy.pl/images/reklama_forum1.png)
Dzisiaj na drugim komputerze pojawił się problem. Komputer jest totalnie zamulony.
Przy próbie uruchomienia czegokolwiek trzeba kilka minut a i tak nie ma gwarancji.
W trakcie uruchomienia wwdc przed przejściem do panelu pojawiła się nast. informacja (nie mam pewności czy nie jest to komunikat antywirusa):
Your system seems to be infected by the GAOBOT worm, 'WINUPDATES.EXE' running.
Po uruchomniu wwdc - wszystkie przyciski mają właściwy kolor (bole biosu- żółte).
Nacisnąłem ctrl+alt+delete i okazało się, że winUpdates.exe zajmował 99% zasobów procesora.
Co robić w tej sytuacji?. Na dobrą sprawę nie można na nim nawet uruchomić internetu, więc na razie nie dodałem logów.
Czy jeśli podłącze pen-driva to infekcja może przenieść się przez niego na inny komputer?
pozdrawiam,
edit:
udało się mi się wyłączyć opcję winupdates.exe i uruchomić internet na zainfekowanym kompie. Komp w miarę działa - wstawiam logi.
log combofix:
- Kod: Zaznacz wszystko
ComboFix 09-02-25.02 - Admin 2009-02-26 17:15:47.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.511.342 [GMT 1:00]
Uruchomiony z: c:\documents and settings\Admin\Pulpit\ComboFix.exe
AV: PC Tools AntiVirus 5.0.1.1 *On-access scanning enabled* (Updated)
* Utworzono nowy punkt przywracania
UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\lsass.exe
.
((((((((((((((((((((((((( Pliki utworzone od 2009-01-26 do 2009-02-26 )))))))))))))))))))))))))))))))
.
2009-02-25 19:01 . 2009-02-25 19:01 <DIR> d-------- c:\documents and settings\Admin\Dane aplikacji\Tibia
2009-02-24 18:34 . 2009-02-24 19:48 <DIR> d-------- c:\documents and settings\Admin\Dane aplikacji\vlc
2009-02-24 08:50 . 2009-02-26 17:01 45 --a------ C:\TEST.XML
2009-02-24 08:33 . 2009-02-24 08:33 <DIR> d-------- c:\program files\TGTSoft
2009-02-24 08:31 . 2009-02-25 19:37 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Spybot - Search & Destroy
2009-02-24 08:21 . 2009-02-24 08:21 <DIR> d-------- c:\windows\SxsCaPendDel
2009-02-24 08:03 . 2009-02-24 08:03 0 --a------ c:\windows\nsreg.dat
2009-02-24 07:57 . 2009-02-24 07:58 <DIR> d-------- c:\program files\Google
2009-02-24 07:55 . 2009-02-24 07:58 <DIR> d-------- c:\windows\system32\Adobe
2009-02-24 07:50 . 2009-02-24 07:49 410,976 --a------ c:\windows\system32\deploytk.dll
2009-02-24 07:50 . 2009-02-24 07:49 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-24 07:49 . 2009-02-24 07:49 <DIR> d-------- c:\program files\Java
2009-02-24 07:48 . 2009-02-24 07:48 1,700,352 --a------ c:\windows\system32\gdiplus.dll
2009-02-24 07:46 . 2009-02-24 07:46 <DIR> d-------- C:\Programy
2009-02-24 07:44 . 2009-02-24 07:44 <DIR> d-------- c:\documents and settings\Admin\Dane aplikacji\Gadu-Gadu
2009-02-24 07:41 . 2009-02-24 08:57 <DIR> d-------- c:\documents and settings\Admin\Gadu-Gadu
2009-02-24 07:38 . 2009-02-24 07:38 <DIR> d-------- c:\windows\Downloaded Installations
2009-02-24 07:37 . 2005-09-04 00:48 1,970,176 --a------ c:\windows\system32\d3dx9.dll
2009-02-24 07:37 . 2005-09-04 00:48 679,936 --a------ c:\windows\system32\D3DX81ab.dll
2009-02-24 07:34 . 2009-02-24 07:34 <DIR> d-------- c:\program files\Common Files\Stardock
2009-02-24 07:34 . 2004-04-26 13:47 163,456 --a------ c:\windows\system32\drivers\vidstub.sys
2009-02-24 07:20 . 2009-02-24 07:20 <DIR> d-------- c:\documents and settings\Admin\Dane aplikacji\PC Tools
2009-02-24 07:19 . 2007-12-06 16:51 28,568 --a------ c:\windows\system32\drivers\AVHook.sys
2009-02-24 07:19 . 2007-12-06 16:51 21,912 --a------ c:\windows\system32\drivers\AVRec.sys
2009-02-24 07:19 . 2008-02-12 11:44 21,904 --a------ c:\windows\system32\drivers\AVFilter.sys
2009-02-24 07:18 . 2009-02-24 07:19 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\PC Tools
2009-02-23 20:25 . 2009-02-23 20:25 <DIR> d-------- c:\program files\Common Files\PC Tools
2009-02-23 20:25 . 2009-02-26 17:06 <DIR> d-a------ c:\documents and settings\All Users\Dane aplikacji\TEMP
2009-02-23 20:25 . 2006-11-24 11:19 499,712 --a------ c:\windows\system32\msvcp71.dll
2009-02-23 20:25 . 2006-11-24 11:19 348,160 --a------ c:\windows\system32\msvcr71.dll
2009-02-23 20:07 . 2009-02-23 20:07 21,419 --a------ c:\windows\system32\drivers\AegisP.sys
2009-02-23 20:06 . 2009-02-23 20:06 <DIR> d----c--- c:\windows\system32\DRVSTORE
2009-02-23 20:06 . 2009-02-23 20:06 <DIR> d-------- c:\program files\RALINK
2009-02-23 20:06 . 2009-02-23 20:06 <DIR> d--h----- c:\program files\InstallShield Installation Information
2009-02-23 20:06 . 2007-07-28 16:10 483,968 --a------ c:\windows\system32\drivers\rt61.sys
2009-02-23 20:05 . 2009-02-23 20:05 <DIR> d-------- c:\program files\Common Files\SWF Studio
2009-02-23 20:05 . 2009-02-23 20:05 <DIR> d-------- c:\documents and settings\Admin\Dane aplikacji\InstallShield
2009-02-23 20:02 . 2009-02-23 20:02 427 --a------ c:\windows\ODBC.INI
2009-02-23 20:02 . 2009-02-23 19:22 261 --a------ c:\windows\system32\$winnt$.inf
2009-02-23 20:01 . 2009-02-23 20:01 <DIR> d-------- c:\windows\ShellNew
2009-02-23 20:00 . 2009-02-23 20:00 <DIR> d-------- c:\program files\Przeglądarka migawek
2009-02-23 20:00 . 2009-02-23 20:00 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\SBT
2009-02-23 20:00 . 2009-02-23 20:00 <DIR> d-------- c:\documents and settings\Admin\Dane aplikacji\Microsoft Web Folders
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-23 19:05 1,386,496 ----a-w c:\windows\system32\msvbvm60.dll
2009-02-23 19:00 --------- d-----w c:\program files\microsoft frontpage
2009-02-23 18:18 558,142 ----a-w c:\windows\java\Packages\WPJDR5VB.ZIP
2009-02-23 18:18 155,995 ----a-w c:\windows\java\Packages\LR7XV1BH.ZIP
2009-02-23 18:16 --------- d-----w c:\program files\Usługi online
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"STYLEXP"="c:\program files\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 1372160]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PCTAVApp"="d:\programy\PC Tools AntiVirus\PCTAV.exe" [2008-12-04 1370000]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-24 136600]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"wextract_cleanup0"="c:\windows\system32\advpack.dll" [2004-08-04 100864]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2009-02-23 1114112]
WinUpdates.exe [2009-02-09 757342]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Gry\\Metin 2\\metin2.bin"=
R0 BootScreen;BootScreen;\SystemRoot\\SystemRoot\System32\drivers\vidstub.sys --> \SystemRoot\\SystemRoot\System32\drivers\vidstub.sys [?]
--- Inne Usługi/Sterowniki w Pamięci ---
*Deregistered* - mchInjDrv
.
- - - - USUNIĘTO PUSTE WPISY - - - -
HKCU-Run-Orb - c:\program files\Winamp Remote\bin\OrbTray.exe
.
------- Skan uzupełniający -------
.
LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\6oz96pm0.default\
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-26 17:17:10
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
skanowanie ukrytych procesów ...
skanowanie ukrytych wpisów autostartu ...
skanowanie ukrytych plików ...
skanowanie pomyślnie ukończone
ukryte pliki: 0
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
- - - - - - - > 'lsass.exe'(748)
c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll
.
Czas ukończenia: 2009-02-26 17:19:32
ComboFix-quarantined-files.txt 2009-02-26 16:18:49
Przed: 4 954 763 264 bajtów wolnych
Po: 4,950,339,584 bajtów wolnych
118
Log Hijackthis
- Kod: Zaznacz wszystko
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:20:51, on 2009-02-26
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
D:\Programy\PC Tools AntiVirus\PCTAVSvc.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\explorer.exe
C:\Programy\Hijack This\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [PCTAVApp] "D:\Programy\PC Tools AntiVirus\PCTAV.exe" /MONITORSCAN
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Program Files\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe
O4 - Global Startup: WinUpdates.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: .NET Runtime Optimization Service v2.0.50727_X86 (clr_optimization_v2.0.50727_32) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: PC Tools AntiVirus Engine (PCTAVSvc) - PC Tools Research Pty Ltd - D:\Programy\PC Tools AntiVirus\PCTAVSvc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
--
End of file - 3471 bytes
Log z Kaspersky on-line (mój komputer)
- Kod: Zaznacz wszystko
czwartek, 26 luty 2009
System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600)
Wersja Kaspersky Online Scanner: 7.0.26.12
Data ostatniej aktualizacji bazy danych: Thursday, February 26, 2009 16:23:45
Liczba wpisów: 1848664
Ustawienia skanowania
Typ bazy danych użytej do skanowania rozszerzona
Skanuj archiwa tak
Skanuj pocztowe bazy danych tak
Obszar skanowania Mój komputer
A:\
C:\
D:\
E:\
Statystyki skanowania
Przeskanowanych plików 20282
Nazwa zagrożenia 1
Zainfekowanych obiektów 1
Podejrzanych obiektów 0
Czas skanowania 00:50:14
Nazwa pliku Nazwa zagrożenia Liczba zagrożeń
C:\Qoobox\Quarantine\C\WINDOWS\lsass.exe.vir Zainfekowany: Trojan-GameThief.Win32.Tibia.aaw 1
Wybrany obszar został przeskanowany.
pozdrawiam,