Liczba postów: 10
Liczba wątków: 1
Dołączył: 03.01.2008
Reputacja:
0
Skaner Norton Internet Security 2007 nic nie wykrył zanim nie został zablokowany. Cały Norton Internet Security 2007 został załatwiony bo zniknął plik ccApp.exe, czy jakoś tak. Nie mogę wgrać żadnego programu antywirusowego bo blokowane jest zainstalowanie pliku uruchamiającego program. AntiVir przy próbie zainstalowania generuje następujący komunikat Cytat: Error
Some files could not be created.
Please close all applications, rebot Windows and restart this instalation.
Nie mogę uruchomić Windowsa XP SP2 w trybie awaryjnym!
Oto moje logi:
Cytat:Logfile of HijackThis v1.99.1
Scan saved at 17:29:32, on 2008-01-03
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSsystem32CTSvcCDA.EXE
Crogram FilesCyberLinkShared FilesRichVideo.exe
Drogram FilesAlcohol SoftAlcohol 120StarWindStarWindService.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32MsPMSPSv.exe
Crogram FilesCanonCALCALMAIN.exe
C:WINDOWSExplorer.EXE
C:WINDOWSWebCamM1000M1000Mnt.exe
Crogram FilesMicrosoft IntelliPointipoint.exe
C:WINDOWSVdCap03CStillMnt.exe
Cocuments and SettingsHALPulpitHijackThis.exe
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = [Aby zobaczyć linki, zarejestruj się tutaj]
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Łącza
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - Drogram FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: LightFrame3IECOM - {43D29D14-460E-4F3A-9037-E60F11EF12F0} - C:WINDOWSsystem32LightFrame3IECOM.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - Crogram FilesJavajre1.6.0_01binssv.dll
O4 - HKLM..Run: [M1000Mnt]M1000Rmv.exe /StartStillMnt
O4 - HKLM..Run: [KernelFaultCheck]%systemroot%system32dumprep 0 -k
O4 - HKLM..Run: [IntelliPoint]"Crogram FilesMicrosoft IntelliPointipoint.exe"
O4 - HKLM..Run: [StillMnt]WCamRmv.exe /StartStillMnt
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - [Aby zobaczyć linki, zarejestruj się tutaj]
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Crogram FilesJavajre1.6.0_01binssv.dll
O9 - Extra ''Tools'' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Crogram FilesJavajre1.6.0_01binssv.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - DROGRA~1MICROS~1OFFICE11REFIEBAR.DLL
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - [Aby zobaczyć linki, zarejestruj się tutaj]
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - CROGRA~1COMMON~1SkypeSKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:WINDOWSsystem32WPDShServiceObj.dll
O23 - Service: ATI Smart - Unknown owner - C:WINDOWSsystem32ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - Crogram FilesCanonCALCALMAIN.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:WINDOWSsystem32CTSvcCDA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - Crogram FilesCommon FilesInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - Crogram FilesiPodbiniPodService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - Crogram FilesCyberLinkShared FilesRichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - Drogram FilesAlcohol SoftAlcohol 120StarWindStarWindService.exe
Silent Runners.vbs nie zachował się zgodnie z instrukcją lecz wygenerował jakiś ogromny plik, jak go próbuje dodać to nie mogę założyć tego tematu bo mam komunikat Cytat: Tekst wiadomości jest wymagany. Uzupełnij go.
i tyle.
Proszę o pomoc i pozdrawiam
Liczba postów: 802
Liczba wątków: 87
Dołączył: 01.12.2007
Reputacja:
6
Dodaj go jako załącznik na forum
Liczba postów: 10
Liczba wątków: 1
Dołączył: 03.01.2008
Reputacja:
0
Jarek napisał(a):Dodaj go jako załącznik na forum
Muszę go podzielić na dwa pliki załączników bo jest za duży.
[attachment=7]
[attachment=8]
Liczba postów: 850
Liczba wątków: 12
Dołączył: 15.07.2006
Reputacja:
0
Cytat: R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =
R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =
O4 - HKLM..Run: [KernelFaultCheck]%systemroot%system32dumprep 0 -k
Skasuj kosmetycznie te wpisy
StrazakSkoro nie możesz dać loga z Silent Runners, to daj loga z [Aby zobaczyć linki, zarejestruj się tutaj]
"Nie jestem konsumentem mieszczącym się w standardzie
Nie jestem gatunkiem skazanym na wymarcie
Nie jestem obiektem medialnego hałasu
Jestem nielegalnym zabójcą czasu"
Liczba postów: 10
Liczba wątków: 1
Dołączył: 03.01.2008
Reputacja:
0
bodek napisał(a): StrazakSkoro nie możesz dać loga z Silent Runners, to daj loga z [Aby zobaczyć linki, zarejestruj się tutaj]
Nie mogę uruchomić ComboFix.
Dostaje komunikat systemu z czerwonym X:
Cytat: ...ComboFix.exe nie jest prawidłową aplikacją systemu Win32.
Co z tym mam zrobić???
Jestem coraz bardziej zdesperowany. Czy sformatowanie dysku C rozwiąże problem??? Była by to dla mnie ostateczność i ful roboty, ale jeśli to jedyne wyjście. O sformatowaniu wszystkich partycji cięszko mi nawet pomyśleć :-(((
Liczba postów: 44
Liczba wątków: 1
Dołączył: 15.07.2006
Reputacja:
0
Zobacz czy masz na dysku systemowym plik autostart.inf i podaj jego treść. Sprawdzić najlepiej przez "otwórz" w notatniku bo plik bedzie ukryty.
Liczba postów: 850
Liczba wątków: 12
Dołączył: 15.07.2006
Reputacja:
0
StrazakPobierz Combofixa jeszcze raz. Jeśli to nie pomoże to daj loga z [Aby zobaczyć linki, zarejestruj się tutaj]
"Nie jestem konsumentem mieszczącym się w standardzie
Nie jestem gatunkiem skazanym na wymarcie
Nie jestem obiektem medialnego hałasu
Jestem nielegalnym zabójcą czasu"
Liczba postów: 10
Liczba wątków: 1
Dołączył: 03.01.2008
Reputacja:
0
bodek napisał(a): StrazakPobierz Combofixa jeszcze raz. Jeśli to nie pomoże to daj loga z [Aby zobaczyć linki, zarejestruj się tutaj]
Odnalazłem aktualny link do Combofixa. Oto loga z niego:
Cytat: ComboFix 08-01-04.1 - HAL 2008-01-05 13:36:14.1 - NTFSx86
Microsoft Windows XP Professional5.1.2600.2.1250.1.1045.18.1650 [GMT 1:00]
Running from: Cocuments and SettingsHALPulpitComboFix(2).exe
* Created a new restore point
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:WINDOWSsystem32driverssrosa.sys
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------LEGACY_SROSA
-------srosa
((((((((((((((((((((((((( Files Created from 2007-12-05 to 2008-01-05)))))))))))))))))))))))))))))))
.
2008-01-05 13:37 . 2008-01-05 13:37 <DIR> d-------- C:WINDOWSsystem32xircom
2008-01-05 13:37 . 2008-01-05 13:37 <DIR> d-------- Crogram Filesmicrosoft frontpage
2008-01-05 13:35 . 2000-08-31 08:00 51,200 --a------ C:WINDOWSNirCmd.exe
2008-01-05 13:26 . 2008-01-05 13:26 <DIR> d-------- Ceckard
2008-01-02 02:24 . 2008-01-02 02:30 <DIR> d-------- Crogram FilesSkanerOnline
2008-01-01 11:14 . 2005-08-16 04:02 561,706 --------- C:WINDOWSsystem32drivershldrrr.exe
2008-01-01 11:05 . 2008-01-01 13:23 <DIR> d-------- C:WINDOWSsystem32driversdown
2007-12-30 15:25 . 2008-01-02 00:49 4,958,588 --a------ C:WINDOWS{00000003-00000000-00000006-00001102-00000004-20021102}.BAK
2007-12-11 10:38 . 2007-09-28 17:07 3,596,288 --a------ C:WINDOWSsystem32qt-dx331.dll
2007-12-11 10:38 . 2007-07-25 14:24 1,559,040 --a------ C:WINDOWSsystem32xvidcore.dll
2007-12-11 10:38 . 2007-09-28 17:05 739,840 --a------ C:WINDOWSsystem32divx.dll
2007-12-11 10:38 . 2006-09-24 16:11 389,120 --a------ C:WINDOWSsystem32lameACM.acm
2007-12-11 10:38 . 2007-03-10 12:51 282,624 --a------ C:WINDOWSsystem32xvidvfw.dll
2007-12-11 10:38 . 2004-01-25 17:18 217,088 --a------ C:WINDOWSsystem32yv12vfw.dll
2007-12-11 10:38 . 2007-09-04 17:56 164,352 --a------ C:WINDOWSsystem32unrar.dll
2007-12-11 10:38 . 2007-09-21 01:52 118,784 --a------ C:WINDOWSsystem32ac3acm.acm
2007-12-11 10:38 . 2007-09-28 17:05 81,920 --a------ C:WINDOWSsystem32dpl100.dll
2007-12-11 10:38 . 2007-10-03 16:03 414 --a------ C:WINDOWSsystem32lame_acm.xml
2007-12-11 09:59 . 2007-12-11 09:59 <DIR> d-------- Crogram FilesApple Software Update
2007-12-11 09:59 . 2007-12-11 09:59 <DIR> d-------- Cocuments and SettingsAll UsersDane aplikacjiApple
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-05 12:14 --------- d-----w Crogram FilesCommon FilesSymantec Shared
2008-01-02 00:39 --------- d-----w Cocuments and SettingsAll UsersDane aplikacjiSymantec
2007-12-20 17:33 --------- d--h--w Crogram FilesInstallShield Installation Information
2007-11-20 20:11 --------- d-----w Cocuments and SettingsHALDane aplikacjiEarthsim
2007-11-20 19:26 --------- d-----w Crogram FilesCommon FilesWise Installation Wizard
2007-11-20 19:26 --------- d-----w Crogram FilesAGEIA Technologies
2007-11-17 17:34 --------- d-----w Cocuments and SettingsHALDane aplikacjiSkype
2007-11-17 00:31 --------- d-----w Cocuments and SettingsHALDane aplikacjiATI
2007-11-17 00:31 --------- d-----w Cocuments and SettingsAll UsersDane aplikacjiATI
2007-11-17 00:28 --------- d-----w Crogram FilesATI Technologies
2007-11-16 01:36 --------- d-----w Cocuments and SettingsHALDane aplikacjiCreative
2007-11-15 20:09 --------- d-----w Crogram FilesWindows Media Connect 2
2007-11-14 20:19 --------- d-----w Cocuments and SettingsAll UsersDane aplikacjiTest Drive Unlimited
2007-11-13 13:40 278,984 ----a-w C:WINDOWSsystem32driversatksgt.sys
2007-11-13 13:29 --------- d-----w Cocuments and SettingsAll UsersDane aplikacjiDAEMON Tools Pro
2007-11-13 13:12 --------- d-----w Cocuments and SettingsHALDane aplikacjiDAEMON Tools Pro
2007-11-13 13:04 685,816 ----a-w C:WINDOWSsystem32driverssptd.sys
2007-11-13 10:25 20,480 ----a-w C:WINDOWSsystem32driverssecdrv.sys
2007-11-06 23:59 --------- d-----w Cocuments and SettingsHALDane aplikacjiInstallShield Installation Information
2007-09-28 18:31 92,064 ----a-w Cocuments and SettingsHALmqdmmdm.sys
2007-09-28 18:31 9,232 ----a-w Cocuments and SettingsHALmqdmmdfl.sys
2007-09-28 18:31 79,328 ----a-w Cocuments and SettingsHALmqdmserd.sys
2007-09-28 18:31 66,656 ----a-w Cocuments and SettingsHALmqdmbus.sys
2007-09-28 18:31 6,208 ----a-w Cocuments and SettingsHALmqdmcmnt.sys
2007-09-28 18:31 5,936 ----a-w Cocuments and SettingsHALmqdmwhnt.sys
2007-09-28 18:31 4,048 ----a-w Cocuments and SettingsHALmqdmcr.sys
2007-09-28 18:31 25,600 ----a-w Cocuments and SettingsHALusbsermptxp.sys
2007-09-28 18:31 22,768 ----a-w Cocuments and SettingsHALusbsermpt.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"M1000Mnt"="M1000Rmv.exe" []
"IntelliPoint"="Crogram FilesMicrosoft IntelliPointipoint.exe" [2007-02-05 14:52 849280]
"StillMnt"="WCamRmv.exe" []
[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
"CTFMON.EXE"="C:WINDOWSsystem32CTFMON.EXE" [2004-08-04 01:44 15360]
[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
"EnableLUA"= 0 (0x0)
SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalFile system]
@="Driver Group"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalvgasave.sys]
@="Driver"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"
R0 AFPAnsi;G-DATA Ukrywacz Ansi;C:WINDOWSsystem32DriversAFPAnsi.sys [2002-10-09 12:53]
R0 FO_PAnt;FotoOffice VirtualDisc Driver;C:WINDOWSsystem32DriversFO_PAnt.sys [2003-07-17 11:56]
R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};Drogram FilesCyberLinkPowerDVD 0 00.fcl [2006-11-02 15:51]
R2 PfDetNT;PfDetNT;C:WINDOWSsystem32driversPfModNT.sys [2006-08-11 14:56]
R3 amdtools;AMD Special Tools Driver;C:WINDOWSsystem32DRIVERSAmdTools.sys [2006-06-07 13:15]
R3 M1000Srv;M5603C USB2.0 Camera Driver;C:WINDOWSsystem32DriversM1000KNT.sys [2004-06-24 11:55]
S1 oreans32;oreans32;C:WINDOWSsystem32driversoreans32.sys []
S3 atidgllk;atidgllk;Drogram FilesATISystemManageratidgllk.sys [2005-03-11 15:34]
S3 GVCplDrv;GVCplDrv;C:WINDOWSsystem32driversGVCplDrv.sys [2006-08-16 07:25]
S3 motmodem;Motorola USB CDC ACM Driver;C:WINDOWSsystem32DRIVERSmotmodem.sys [2007-02-27 13:31]
S3 SaiHFF04;SaiHFF04;C:WINDOWSsystem32DRIVERSSaiHFF04.sys [2005-11-03 09:52]
S3 SaiIFF04;Immersion''s HID USB Driver (FF04);C:WINDOWSsystem32DRIVERSSaiIFF04.sys [2005-11-03 09:52]
S3 usbscan;Sterownik skanera USB;C:WINDOWSsystem32DRIVERSusbscan.sys [2006-09-13 18:19]
S3 USBSTOR;Sterownik magazynu masowego USB;C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2006-09-13 18:19]
.
Contents of the ''Scheduled Tasks'' folder
"2007-12-17 07:18:00 C:WINDOWSTasksAppleSoftwareUpdate.job"
- Crogram FilesApple Software UpdateSoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [Aby zobaczyć linki, zarejestruj się tutaj]
Rootkit scan 2008-01-05 13:37:52
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-01-05 13:39:06 - machine was rebooted
ComboFix-quarantined-files.txt2008-01-05 12:39:03
.
2007-12-21 23:52:21 --- E O F ---
Liczba postów: 10
Liczba wątków: 1
Dołączył: 03.01.2008
Reputacja:
0
Zafi napisał(a):Zobacz czy masz na dysku systemowym plik autostart.inf i podaj jego treść. Sprawdzić najlepiej przez "otwórz" w notatniku bo plik bedzie ukryty.
Pliku autostart.inf nie udało mi się odnaleźć. Mimo iż mam załączone widzenie ukrytych plików systemowych. Zamieszczam autostart z jv 16:
Cytat: jv16 PowerTools 2006 [1.5.2.344]
Data fields are: Włączony, Program, Nazwa pliku, Załadowany z
Nie, Adobe Reader Speed Launch, reader_sl.exe, Cocuments and SettingsAll UsersMenu StartProgramyAutostart
Nie, Creative MediaSource Go, CTCMSGo.exe, HKEY_CURun
Nie, CTHelper, CTHELPER.EXE, HKEY_LMRun
Nie, CTSysVol, CTSysVol.exe, HKEY_LMRun
Nie, CTxfiHlp, CTXFIHLP.EXE, HKEY_LMRun
Nie, Drvsyskit, hldrrr.exe, HKEY_CURun
Nie, FineReader7NewsReaderPro, AbbyyNewsReader.exe, HKEY_LMRun
Nie, HDDHealth, hddhealth.exe -wl, HKEY_CURun
Nie, iTunesHelper, iTunesHelper.exe, HKEY_LMRun
Nie, Kalendarz XP, Kalendarz.exe, Cocuments and SettingsAll UsersMenu StartProgramyAutostart
Nie, LanguageShortcut, Language.exe, HKEY_LMRun
Nie, LightFrame 3, LightFrameV3.exe, Cocuments and SettingsAll UsersMenu StartProgramyAutostart
Nie, NeroFilterCheck, NeroCheck.exe, HKEY_LMRun
Nie, OrderReminder, OrderReminder.exe, HKEY_LMRun
Nie, RemoteControl, PDVDServ.exe, HKEY_LMRun
Nie, SansaDispatch, SansaDispatch.exe, HKEY_LMRun
Nie, SBDrvDet, SBDrvDet.exe, HKEY_LMRun
Nie, SMSystemAnalyzer, SMSystemAnalyzer.exe, HKEY_CURun
Nie, StartCCC, CLIStart.exe, HKEY_LMRun
Tak, IntelliPoint, ipoint.exe, HKEY_LMRun
Liczba postów: 44
Liczba wątków: 1
Dołączył: 15.07.2006
Reputacja:
0
to miało byś autorun.inf ale ja dziś śpie jak bys plik znalazł to znaczy że złapałeś między innymi trojana jeefo. Ściągnij na niego szczepionke np ze strony bitdefendera. Jak go wywalisz to idź z dyskiem do kolegi i go przeskanuj kasperskim czy bitdefenderem.
i pamiętaj by tego pliku szukać notatnikiem a nie przez explorator.
Liczba postów: 850
Liczba wątków: 12
Dołączył: 15.07.2006
Reputacja:
0
Hmm... Co my tu mamy? Combofix wywalił nam rootkita, Bagle hidires. Czyli mamy przyczynęniesprawnego trybu awaryjnego
Przeczytaj i zastosuj [Aby zobaczyć linki, zarejestruj się tutaj]
Prosiłbym także o log z [Aby zobaczyć linki, zarejestruj się tutaj] oraz log z [Aby zobaczyć linki, zarejestruj się tutaj]
Gdyby oba logi nie zmieściły się w jednym poście, możesz zamieścić je w załącznikach
"Nie jestem konsumentem mieszczącym się w standardzie
Nie jestem gatunkiem skazanym na wymarcie
Nie jestem obiektem medialnego hałasu
Jestem nielegalnym zabójcą czasu"
Liczba postów: 10
Liczba wątków: 1
Dołączył: 03.01.2008
Reputacja:
0
Zafi napisał(a):to miało byś autorun.inf ...
i pamiętaj by tego pliku szukać notatnikiem a nie przez explorator.
Gdzie mam go szukać. Pod C: czy w jakimś szczególnym katalogu. Sporo przejrzałem, ale go nie widzę.
Liczba postów: 850
Liczba wątków: 12
Dołączył: 15.07.2006
Reputacja:
0
Szukaj go w roocie dysku twardego, czyli bezpośrednio na nim
"Nie jestem konsumentem mieszczącym się w standardzie
Nie jestem gatunkiem skazanym na wymarcie
Nie jestem obiektem medialnego hałasu
Jestem nielegalnym zabójcą czasu"
Liczba postów: 10
Liczba wątków: 1
Dołączył: 03.01.2008
Reputacja:
0
bodek napisał(a):Hmm... Co my tu mamy? Combofix wywalił nam rootkita, Bagle hidires. Czyli mamy przyczynęniesprawnego trybu awaryjnego
Przeczytaj i zastosuj [Aby zobaczyć linki, zarejestruj się tutaj]
Co do trybu awaryjnego to jest pytanie: Czy w tym momencie coś mi to pomoże?
W chwili ataku było załączone przywracanie systemu. Zaraz po załatwieniu Nortona próbowałem przywrócić system i dostałem
Cytat: W systemie nie dokonano żadnych istotnych zmian. System nie może być przywrócony.
I tak kilka razy na kolejnych punktach przywracania. Nawet po odinstalowaniu Nortona i przeczyszczeniu rejestrów po nim. Gdy spróbowałem ponownie przywracania dostałem ten sam komunikat:
Cytat: W systemie nie dokonano żadnych istotnych zmian. System nie może być przywrócony.
Czy jak zrobię drugi wariant - Czyli odtworzę przywracanie z wersji zaraz po zainstalowaniu, to czy nie dostanę w efekcie systemu jak po sformatowaniu???
Czy po takim uruchomieniu awaryjnym będę mógł w nim zainstalować AntiVir? o czy nie zostanie on skutecznie załatwiony po restarcie instalacyjnym?
bodek napisał(a):Szukaj go w roocie dysku twardego, czyli bezpośrednio na nim
Tu go nie ma.
bodek napisał(a):Prosiłbym także o log z [Aby zobaczyć linki, zarejestruj się tutaj] oraz log z [Aby zobaczyć linki, zarejestruj się tutaj]
Gdyby oba logi nie zmieściły się w jednym poście, możesz zamieścić je w załącznikach
Log z ComboFix jest w poście 8, a log z Gmer''a już załączam:
Liczba postów: 850
Liczba wątków: 12
Dołączył: 15.07.2006
Reputacja:
0
Strazaknie pisz posta pod postem, tylko używaj opcji [Aby zobaczyć linki, zarejestruj się tutaj]
W linku, który ci podałem jest instrukcja, jak przywrócić tryb awaryjny. Pomoże Ci to w przyszłości usuwać wirusy
Skoro nie ma pliku Autorun.inf to nic
Strazak napisał(a):Log z ComboFix jest w poście 8
Chodziło mi o aktualny log z Combofix, a nie ten z twoich wcześniejszych postów
"Nie jestem konsumentem mieszczącym się w standardzie
Nie jestem gatunkiem skazanym na wymarcie
Nie jestem obiektem medialnego hałasu
Jestem nielegalnym zabójcą czasu"
Liczba postów: 10
Liczba wątków: 1
Dołączył: 03.01.2008
Reputacja:
0
Dzięki bodek. Zrobiłem akcje z przywróć "Ostatnią dobrą konfiguracje". System załadował się jak by nic się nie zmieniło z tą różnicą iż AntiVir PE wgrał się bezproblemowo. Zainstalowałem też COMODO Firewall Pro.
A oto aktualny log z Combofix:
Cytat: ComboFix 08-01-04.1 - HAL 2008-01-06 21:59:34.3 - NTFSx86
Microsoft Windows XP Professional5.1.2600.2.1250.1.1045.18.1476 [GMT 1:00]
Running from: D:InstalacyjneZabezpieczeniaComboFix.exe
.
The following files were disabled during the run:
C:WINDOWSsystem32guard32.dll
((((((((((((((((((((((((( Files Created from 2007-12-06 to 2008-01-06)))))))))))))))))))))))))))))))
.
2008-01-06 00:46 . 2008-01-06 00:46 <DIR> d-------- Cocuments and SettingsHALDane aplikacjiComodo
2008-01-06 00:46 . 2008-01-06 00:51 <DIR> d-------- Cocuments and SettingsAll UsersDane aplikacjicomodo
2008-01-06 00:46 . 2008-01-06 00:46 139,008 --a------ C:WINDOWSsystem32guard32.dll.vir
2008-01-06 00:46 . 2008-01-06 00:46 81,272 --a------ C:WINDOWSsystem32driverscmdGuard.sys
2008-01-06 00:46 . 2008-01-06 00:46 23,672 --a------ C:WINDOWSsystem32driverscmdhlp.sys
2008-01-05 23:16 . 2008-01-05 23:16 <DIR> d-------- Crogram FilesAvira
2008-01-05 23:16 . 2008-01-05 23:16 <DIR> d-------- Cocuments and SettingsAll UsersDane aplikacjiAvira
2008-01-05 19:30 . 2008-01-05 20:23 250 --a------ C:WINDOWSgmer.ini
2008-01-05 13:37 . 2008-01-05 13:37 <DIR> d-------- C:WINDOWSsystem32xircom
2008-01-05 13:37 . 2008-01-05 13:37 <DIR> d-------- Crogram Filesmicrosoft frontpage
2008-01-05 13:35 . 2000-08-31 08:00 51,200 --a------ C:WINDOWSNirCmd.exe
2008-01-05 13:26 . 2008-01-05 13:26 <DIR> d-------- Ceckard
2008-01-02 02:24 . 2008-01-06 12:57 <DIR> d-------- Crogram FilesSkanerOnline
2008-01-01 11:05 . 2008-01-05 23:28 <DIR> d-------- C:WINDOWSsystem32driversdown
2007-12-11 10:38 . 2007-09-28 17:07 3,596,288 --a------ C:WINDOWSsystem32qt-dx331.dll
2007-12-11 10:38 . 2007-07-25 14:24 1,559,040 --a------ C:WINDOWSsystem32xvidcore.dll
2007-12-11 10:38 . 2007-09-28 17:05 739,840 --a------ C:WINDOWSsystem32divx.dll
2007-12-11 10:38 . 2006-09-24 16:11 389,120 --a------ C:WINDOWSsystem32lameACM.acm
2007-12-11 10:38 . 2007-03-10 12:51 282,624 --a------ C:WINDOWSsystem32xvidvfw.dll
2007-12-11 10:38 . 2004-01-25 17:18 217,088 --a------ C:WINDOWSsystem32yv12vfw.dll
2007-12-11 10:38 . 2007-09-04 17:56 164,352 --a------ C:WINDOWSsystem32unrar.dll
2007-12-11 10:38 . 2007-09-21 01:52 118,784 --a------ C:WINDOWSsystem32ac3acm.acm
2007-12-11 10:38 . 2007-09-28 17:05 81,920 --a------ C:WINDOWSsystem32dpl100.dll
2007-12-11 10:38 . 2007-10-03 16:03 414 --a------ C:WINDOWSsystem32lame_acm.xml
2007-12-11 09:59 . 2007-12-11 09:59 <DIR> d-------- Crogram FilesApple Software Update
2007-12-11 09:59 . 2007-12-11 09:59 <DIR> d-------- Cocuments and SettingsAll UsersDane aplikacjiApple
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-05 12:14 --------- d-----w Crogram FilesCommon FilesSymantec Shared
2007-12-20 17:33 --------- d--h--w Crogram FilesInstallShield Installation Information
2007-11-20 23:50 86,016 ----a-w C:WINDOWSsystem32OpenAL32.dll
2007-11-20 21:24 5,632 ----a-w C:WINDOWSsystem32BReWErS.dll
2007-11-20 20:11 --------- d-----w Cocuments and SettingsHALDane aplikacjiEarthsim
2007-11-20 19:26 --------- d-----w Crogram FilesCommon FilesWise Installation Wizard
2007-11-20 19:26 --------- d-----w Crogram FilesAGEIA Technologies
2007-11-17 17:34 --------- d-----w Cocuments and SettingsHALDane aplikacjiSkype
2007-11-17 00:31 --------- d-----w Cocuments and SettingsHALDane aplikacjiATI
2007-11-17 00:31 --------- d-----w Cocuments and SettingsAll UsersDane aplikacjiATI
2007-11-17 00:28 --------- d-----w Crogram FilesATI Technologies
2007-11-16 01:36 409,600 ----a-w C:WINDOWSsystem32wrap_oal.dll
2007-11-16 01:36 --------- d-----w Cocuments and SettingsHALDane aplikacjiCreative
2007-11-15 20:09 --------- d-----w Crogram FilesWindows Media Connect 2
2007-11-14 20:19 --------- d-----w Cocuments and SettingsAll UsersDane aplikacjiTest Drive Unlimited
2007-11-14 07:19 450,560 ------w C:WINDOWSsystem32DllCachejscript.dll
2007-11-13 13:40 278,984 ----a-w C:WINDOWSsystem32driversatksgt.sys
2007-11-13 13:29 --------- d-----w Cocuments and SettingsAll UsersDane aplikacjiDAEMON Tools Pro
2007-11-13 13:12 --------- d-----w Cocuments and SettingsHALDane aplikacjiDAEMON Tools Pro
2007-11-13 13:04 685,816 ----a-w C:WINDOWSsystem32driverssptd.sys
2007-11-13 10:25 20,480 ----a-w C:WINDOWSsystem32driverssecdrv.sys
2007-11-10 18:36 49,152 ----a-w C:WINDOWSsystem32apache.dll
2007-11-06 23:59 --------- d-----w Cocuments and SettingsHALDane aplikacjiInstallShield Installation Information
2007-10-30 10:14 3,086,848 ------w C:WINDOWSsystem32DllCachemshtml.dll
2007-10-29 22:41 1,291,264 ----a-w C:WINDOWSsystem32quartz.dll
2007-10-29 22:41 1,291,264 ------w C:WINDOWSsystem32DllCachequartz.dll
2007-10-25 16:44 8,488,960 ----a-w C:WINDOWSsystem32DllCacheshell32.dll
2007-10-25 08:28 222,720 ----a-w C:WINDOWSsystem32wmasf.dll
2007-10-25 08:28 222,720 ------w C:WINDOWSsystem32DllCachewmasf.dll
2007-10-11 06:11 668,672 ------w C:WINDOWSsystem32DllCachewininet.dll
2007-10-11 06:11 619,008 ------w C:WINDOWSsystem32DllCacheurlmon.dll
2007-10-11 06:11 474,112 ------w C:WINDOWSsystem32DllCacheshlwapi.dll
2007-10-11 06:11 1,498,112 ------w C:WINDOWSsystem32DllCacheshdocvw.dll
2007-10-11 06:10 96,768 ------w C:WINDOWSsystem32DllCacheinseng.dll
2007-10-11 06:10 55,808 ------w C:WINDOWSsystem32DllCacheextmgr.dll
2007-10-11 06:10 532,480 ------w C:WINDOWSsystem32DllCachemstime.dll
2007-10-11 06:10 449,024 ------w C:WINDOWSsystem32DllCachemshtmled.dll
2007-10-11 06:10 39,424 ------w C:WINDOWSsystem32DllCachepngfilt.dll
2007-10-11 06:10 357,888 ------w C:WINDOWSsystem32DllCachedxtmsft.dll
2007-10-11 06:10 251,904 ------w C:WINDOWSsystem32DllCacheiepeers.dll
2007-10-11 06:10 205,824 ------w C:WINDOWSsystem32DllCachedxtrans.dll
2007-10-11 06:10 16,384 ------w C:WINDOWSsystem32DllCachejsproxy.dll
2007-10-11 06:10 151,552 ------w C:WINDOWSsystem32DllCachecdfview.dll
2007-10-11 06:10 146,432 ------w C:WINDOWSsystem32DllCachemsrating.dll
2007-10-11 06:10 1,055,744 ------w C:WINDOWSsystem32DllCachedanim.dll
2007-10-11 06:10 1,024,000 ------w C:WINDOWSsystem32DllCachebrowseui.dll
2007-10-10 10:48 18,432 ------w C:WINDOWSsystem32DllCacheiedw.exe
2007-09-28 18:31 92,064 ----a-w Cocuments and SettingsHALmqdmmdm.sys
2007-09-28 18:31 9,232 ----a-w Cocuments and SettingsHALmqdmmdfl.sys
2007-09-28 18:31 79,328 ----a-w Cocuments and SettingsHALmqdmserd.sys
2007-09-28 18:31 66,656 ----a-w Cocuments and SettingsHALmqdmbus.sys
2007-09-28 18:31 6,208 ----a-w Cocuments and SettingsHALmqdmcmnt.sys
2007-09-28 18:31 5,936 ----a-w Cocuments and SettingsHALmqdmwhnt.sys
2007-09-28 18:31 4,048 ----a-w Cocuments and SettingsHALmqdmcr.sys
2007-09-28 18:31 25,600 ----a-w Cocuments and SettingsHALusbsermptxp.sys
2007-09-28 18:31 22,768 ----a-w Cocuments and SettingsHALusbsermpt.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
"SMSystemAnalyzer"="Drogram FilesioloSystem Mechanic Professional 6SMSystemAnalyzer.exe" [2006-12-20 17:47 557056]
"Creative MediaSource Go"="Drogram FilesCreativeMediaSourceGoCTCMSGo.exe" [2003-08-12 13:48 131072]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
"M1000Mnt"="M1000Rmv.exe" []
"IntelliPoint"="Crogram FilesMicrosoft IntelliPointipoint.exe" [2007-02-05 14:52 849280]
"StillMnt"="WCamRmv.exe" []
"avgnt"="Crogram FilesAviraAntiVir PersonalEdition Classicavgnt.exe" [2008-01-05 23:20 249896]
"NeroFilterCheck"="Crogram FilesCommon FilesAheadLibNeroCheck.exe" [2006-01-12 15:40 155648]
"RemoteControl"="Drogram FilesCyberLinkPowerDVDPDVDServ.exe" [2007-02-07 15:24 71216]
"SansaDispatch"="Drogram FilesSanDiskSansa UpdaterSansaDispatch.exe" [2007-10-22 12:52 75584]
"StartCCC"="Crogram FilesATI TechnologiesATI.ACECore-StaticCLIStart.exe" [2006-11-10 12:35 90112]
"SBDrvDet"="Crogram FilesCreativeSB Drive DetSBDrvDet.exe" [2002-12-03 17:06 45056]
"COMODO Firewall Pro"="Drogram Filescfp.exe" [2008-01-06 00:46 1481472]
[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
"CTFMON.EXE"="C:WINDOWSsystem32CTFMON.EXE" [2004-08-04 01:44 15360]
Cocuments and SettingsAll UsersMenu StartProgramyAutostart
Kalendarz XP.lnk - Drogram FilesKalendarz XPKalendarz.exe [2007-03-12 02:44:36]
LightFrame 3.lnk - Drogram FilesPhilipsLightFrame 3LightFrameV3.exe [2007-03-07 22:55:53]
[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionpoliciessystem]
"EnableLUA"= 0 (0x0)
[HKEY_LOCAL_MACHINEsoftwaremicrosoftwindows ntcurrentversionwindows]
"AppInit_DLLs"= C:WINDOWSsystem32guard32.dll
SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalFile system]
@="Driver Group"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimalvgasave.sys]
@="Driver"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootMinimal{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"
R0 AFPAnsi;G-DATA Ukrywacz Ansi;C:WINDOWSsystem32DriversAFPAnsi.sys [2002-10-09 12:53]
R0 FO_PAnt;FotoOffice VirtualDisc Driver;C:WINDOWSsystem32DriversFO_PAnt.sys [2003-07-17 11:56]
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:WINDOWSsystem32DRIVERScmdguard.sys [2008-01-06 00:46]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:WINDOWSsystem32DRIVERScmdhlp.sys [2008-01-06 00:46]
R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};Drogram FilesCyberLinkPowerDVD 0 00.fcl [2006-11-02 15:51]
R2 PfDetNT;PfDetNT;C:WINDOWSsystem32driversPfModNT.sys [2006-08-11 14:56]
R3 amdtools;AMD Special Tools Driver;C:WINDOWSsystem32DRIVERSAmdTools.sys [2006-06-07 13:15]
R3 M1000Srv;M5603C USB2.0 Camera Driver;C:WINDOWSsystem32DriversM1000KNT.sys [2004-06-24 11:55]
S1 oreans32;oreans32;C:WINDOWSsystem32driversoreans32.sys []
S3 atidgllk;atidgllk;Drogram FilesATISystemManageratidgllk.sys [2005-03-11 15:34]
S3 GVCplDrv;GVCplDrv;C:WINDOWSsystem32driversGVCplDrv.sys [2006-08-16 07:25]
S3 motmodem;Motorola USB CDC ACM Driver;C:WINDOWSsystem32DRIVERSmotmodem.sys [2007-02-27 13:31]
S3 SaiHFF04;SaiHFF04;C:WINDOWSsystem32DRIVERSSaiHFF04.sys [2005-11-03 09:52]
S3 SaiIFF04;Immersion''s HID USB Driver (FF04);C:WINDOWSsystem32DRIVERSSaiIFF04.sys [2005-11-03 09:52]
S3 usbscan;Sterownik skanera USB;C:WINDOWSsystem32DRIVERSusbscan.sys [2006-09-13 18:19]
S3 USBSTOR;Sterownik magazynu masowego USB;C:WINDOWSsystem32DRIVERSUSBSTOR.SYS [2006-09-13 18:19]
.
Contents of the ''Scheduled Tasks'' folder
"2007-12-17 07:18:00 C:WINDOWSTasksAppleSoftwareUpdate.job"
- Crogram FilesApple Software UpdateSoftwareUpdate.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [Aby zobaczyć linki, zarejestruj się tutaj]
Rootkit scan 2008-01-06 22:03:40
Windows 5.1.2600 Dodatek Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:WINDOWSsystem32winlogon.exe
-> C:WINDOWSsystem32guard32.dll
PROCESS: C:WINDOWSexplorer.exe [6.00.2900.3156]
-> Drogram FilesPhilipsLightFrame 3LFMVLCursor.dll
.
Completion time: 2008-01-06 22:04:26
ComboFix-quarantined-files.txt2008-01-06 21:04:12
ComboFix2.txt2008-01-06 13:17:54
ComboFix3.txt2008-01-05 12:39:06
.
2007-12-21 23:52:21 --- E O F ---
I jak tam? Czy mogę być spokojny?
Czy macie jakieś sugestie, wskazówki?
Liczba postów: 850
Liczba wątków: 12
Dołączył: 15.07.2006
Reputacja:
0
Poza dalej jeszcze niesprawnym trybem awaryjnym, wszystko wygląda dobrze
"Nie jestem konsumentem mieszczącym się w standardzie
Nie jestem gatunkiem skazanym na wymarcie
Nie jestem obiektem medialnego hałasu
Jestem nielegalnym zabójcą czasu"
Liczba postów: 10
Liczba wątków: 1
Dołączył: 03.01.2008
Reputacja:
0
Tryb awaryjny już naprawiony zgodnie z instrukcją.
Bardzo dziękuje Panowie za wszelką pomoc.
Nortonowi "dziękujemy" , żeby tak nic nie wykryć przy skanach i potem dać się tak załatwić.
Teraz zaufałem AntiVirowi PEC, BitDefenderowi i COMODO PRO, wszystko w wersji Free. Co o tym sądzicie? Czy mogę czuć się w miarę bezpiecznie? Aha i czy natychmiastowe usuwanie zainfekowanych plików jest OK!
Jeszcze raz DZIĘKI i pozdrawiam.
Liczba postów: 87
Liczba wątków: 4
Dołączył: 13.11.2006
Reputacja:
0
Strazak napisał(a):Teraz zaufałem AntiVirowi PEC, BitDefenderowi i COMODO PRO, wszystko w wersji Free. Co o tym sądzicie? Czy mogę czuć się w miarę bezpiecznie?
Ten Bitdefender jest tylko do skanowania, bez rezydenta , tak ? Bo jeśli ma rezydenta to będzie się gryzł z Avirą( według zasady 1 AV, 1 Firewall ).
W takim razie brakuje jakiegoś antyszpieganp. Windows Defender
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 10
Liczba wątków: 1
Dołączył: 03.01.2008
Reputacja:
0
lis vitalis napisał(a):Ten Bitdefender jest tylko do skanowania, bez rezydenta
Dokładnie tak, nie gryzą się lecz całkiem ciekawie współpracują, np. AntiVir wychwytuje zawirusowane pliki podczas skanu BitDefendera.
lis vitalis napisał(a):W takim razie brakuje jakiegoś antyszpiega...
Jako antyszpieg jest Spybot - Search & Destroy, a przeglądarka Firefox z łatką NoScript i Adblock.
Będzie dobrze???
|