Gruntz Opublikowano 24 Lutego 2009 Zgłoś Opublikowano 24 Lutego 2009 (edytowane) Witam, raczej napewno jest to infekcja z Pendrive'a. Formatowalem komputer i po wlozeniu sticka pojawily sie znow nastepujace objawy: - caly pulupit, pasek start sie zawieszaja zwlaszcza przy starcie systemu - nie moge przeciagac ikon na pulpicie - firefox wiesza sie po jednym kliknieciu, zminimalizowanie okna i maksymalizowanie odwiesza go jednak znow mam jedno klikniecie Szukalem po internecie i znalazlem pare podobnych przypadkow ale nie znalazlem solucji Jesli chodzi o pendrive'a to mam tam wazne dane. Pod linuksem zrzucilem dane z niego sformatowalem i skopiowalem spowrotem ale nadal zaraza. Ponizej wklejam logi ComboFix: ComboFix 09-02-21.01 - Dreake 2009-02-24 15:29:33.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1250.1.1033.18.511.319 [GMT 1:00] Uruchomiony z: c:\documents and settings\Dreake\Desktop\ComboFix.exe AV: Kaspersky Anti-Virus *On-access scanning disabled* (Updated) UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! . ((((((((((((((((((((((((( Pliki utworzone od 2009-01-24 do 2009-02-24 ))))))))))))))))))))))))))))))) . 2009-02-24 14:45 . 2009-02-24 15:04 101,287 --a------ c:\windows\system32\drivers\klin.dat 2009-02-24 14:45 . 2009-02-24 15:04 89,601 --a------ c:\windows\system32\drivers\klick.dat 2009-02-24 14:44 . 2009-02-24 14:44 <DIR> d-------- c:\program files\Kaspersky Lab 2009-02-24 14:44 . 2009-02-24 15:06 <DIR> d-------- c:\documents and settings\All Users\Application Data\Kaspersky Lab 2009-02-24 14:44 . 2009-02-24 15:33 299,296 --ahs---- c:\windows\system32\drivers\fidbox.dat 2009-02-24 14:44 . 2009-02-24 15:33 4,384 --ahs---- c:\windows\system32\drivers\fidbox2.dat 2009-02-24 14:44 . 2009-02-24 15:05 3,440 --ahs---- c:\windows\system32\drivers\fidbox.idx 2009-02-24 14:44 . 2009-02-24 15:05 1,172 --ahs---- c:\windows\system32\drivers\fidbox2.idx 2009-02-24 14:43 . 2009-02-24 14:43 <DIR> d-------- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files 2009-02-24 14:10 . 2009-02-24 14:10 0 --a------ c:\windows\nsreg.dat . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-24 14:04 112,144 ----a-w c:\windows\system32\drivers\kl1.sys 2009-02-24 12:41 --------- d-----w c:\program files\ThinkPad 2009-02-24 12:41 --------- d-----w c:\program files\ltmoh 2009-02-24 12:40 --------- d--h--w c:\program files\InstallShield Installation Information 2009-02-24 12:39 --------- d-----w c:\program files\ATI Technologies 2009-02-24 12:38 --------- d-----w c:\program files\Common Files\InstallShield 2009-02-24 12:37 --------- d-----w c:\program files\Analog Devices 2009-02-24 12:36 --------- d-----w c:\program files\Broadcom 2009-02-24 11:44 --------- d-----w c:\program files\microsoft frontpage 2009-02-24 11:41 --------- d-----w c:\program files\Windows Media Connect 2 . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2007-10-31 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2007-10-31 15360] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dll, schannel.dll, digest.dll, credssp.dll, msnsspc.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA] --a------ 2006-11-16 21:00 344064 c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE] --a------ 2007-10-31 06:32 15360 c:\windows\system32\ctfmon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX] --a------ 2004-09-23 12:41 860160 c:\program files\Analog Devices\SoundMAX\SMax4.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP] --a------ 2004-10-14 09:11 1388544 c:\program files\Analog Devices\SoundMAX\SMax4PNP.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG] --a------ 2003-06-27 08:53 88363 c:\windows\AGRSMMSG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] "wscsvc"=2 (0x2) "helpsvc"=2 (0x2) "ERSvc"=2 (0x2) "clr_optimization_v2.0.50727_32"=3 (0x3) "CiSvc"=3 (0x3) "Ati HotKey Poller"=2 (0x2) [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2007-04-04 24344] . . ------- Skan uzupełniający ------- . FF - ProfilePath - c:\documents and settings\Dreake\Application Data\Mozilla\Firefox\Profiles\yp15nmng.default\ . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-24 15:33:04 Windows 5.1.2600 Service Pack 3, v.3244 NTFS skanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... skanowanie ukrytych plików ... skanowanie pomyślnie ukończone ukryte pliki: 0 ************************************************************************** . --------------------- Pliki DLL ładowane pod uruchomionymi procesami --------------------- - - - - - - - > 'winlogon.exe'(1360) c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll c:\windows\system32\Ati2evxx.dll c:\windows\system32\klogon.dll - - - - - - - > 'lsass.exe'(1416) c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\dnsq.dll c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\miscr3.dll . Czas ukończenia: 2009-02-24 15:34:42 ComboFix-quarantined-files.txt 2009-02-24 14:34:39 Przed: 5 375 254 528 bytes free Po: 5,382,004,736 bytes free 96 HiJackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:26:26, on 2009-02-24 Platform: Windows XP SP3, v.3244 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0013) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\ibmpmsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Documents and Settings\Dreake\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: Statystyki dla ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe O23 - Service: ThinkPad PM Service (IBMPMSVC) - Lenovo - C:\WINDOWS\system32\ibmpmsvc.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 2696 bytes Probowalem wyleczyc pendrive'a Flash Disinfectorem ale nadal zaraza Edytowane 24 Lutego 2009 przez Gruntz Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 25 Lutego 2009 Zgłoś Opublikowano 25 Lutego 2009 W logach nie ma sladu infekcji. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
