Wirus blokuje możliwość aktualizacji NODa oraz wejścia na strony programów antywirusowych - Forum IDG.pl

Witam.
Na początek chciałem powiedzieć że prześledziłem wszystkie tematy związane z tym problemem na tym i innych forach, użyłem także programów Combofix oraz HiJackThis lecz niestety nie pomogły. Dowiedziałem sie także, że wirus ten infekuje wszystkie pliki exe komputera i nosi nazwe Virut (podbno)
Zanim dokonam formata który w moim przypadku wiąże sie z utratą wszystkich danych jako że nie jestem w stanie przekopiować na inne nośniki ilości GB jaką posiadam, chciałem zapytać formumowiczów czy mają jeszcze jakieś magiczne pomysły na zwalczenie tego problemu. Poniżej wklejam log z programu Combofix. pozdrawiam

ComboFix 10-02-08.09 - stseniow 2010-02-09  16:58:30.2.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1250.48.1045.18.478.174 [GMT 1:00]
Uruchomiony z: c:\documents and settings\stseniow\Pulpit\ComboFix.exe
Użyto następujących komend :: c:\documents and settings\stseniow\Pulpit\CFScript.txt
AV: ESET NOD32 Antivirus 3.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: Kerio Personal Firewall *enabled* {8DD86BF7-28B3-4CE9-88AE-E6EC790CAECA}
 * Rezydentny antywirus jest aktywny


FILE ::
"c:\windows\system32\oskjiouc.dll"
.

(((((((((((((((((((((((((((((((((((((((   Usunięto   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\TEMP\logishrd\LVPrcInj01.dll

.
(((((((((((((((((((((((((   Pliki utworzone od 2010-01-09 do 2010-02-09  )))))))))))))))))))))))))))))))
.

2010-02-09 15:36 . 2010-02-09 15:36	--------	d-----w-	c:\program files\Trend Micro
2010-02-08 18:23 . 2010-02-08 18:23	--------	d-----w-	c:\program files\ESET
2010-01-28 18:11 . 2010-01-28 18:11	--------	d-----w-	c:\documents and settings\stseniow\Dane aplikacji\IrfanView

.
((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-09 14:40 . 2009-09-09 11:40	--------	d-----w-	c:\documents and settings\stseniow\Dane aplikacji\foobar2000
2010-02-08 21:04 . 2009-07-24 07:39	--------	d-----w-	c:\documents and settings\stseniow\Dane aplikacji\Tlen.pl
2010-02-08 18:13 . 2009-10-06 18:11	--------	d-----w-	c:\program files\PKDC++ v1.00c
2010-02-08 18:09 . 2009-09-08 22:27	--------	d-----w-	c:\program files\Common Files\Apple
2010-02-08 18:08 . 2009-12-23 21:11	--------	d-----w-	c:\program files\FlashGet
2010-02-08 15:47 . 2009-07-10 15:12	--------	d-----w-	c:\documents and settings\stseniow\Dane aplikacji\Skype
2010-02-08 10:38 . 2009-07-16 08:02	--------	d-----w-	c:\documents and settings\stseniow\Dane aplikacji\skypePM
2010-01-07 00:00 . 2010-01-07 00:00	--------	d-----w-	c:\program files\Ahead
2010-01-07 00:00 . 2010-01-07 00:00	--------	d-----w-	c:\program files\Common Files\Ahead
2010-01-01 20:42 . 2009-10-07 20:47	--------	d-----w-	c:\documents and settings\stseniow\Dane aplikacji\U3
2009-12-20 13:08 . 2009-12-20 13:08	--------	d-----r-	c:\documents and settings\stseniow\Dane aplikacji\Brother
2004-08-04 11:00 . 2004-11-29 12:28	167698	--sha-r-	c:\windows\system32\sgnfzen.dll
.

(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 52\axcmd.exe" [2009-04-24 203416]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976]
"Toshiba Hotkey Utility"="c:\program files\Toshiba\Windows Utilities\Hotkey.exe" [2004-12-10 1089536]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0\bin\jusched.exe" [2005-02-04 36972]
"LogitechCommunicationsManager"="c:\program files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2008-02-13 564496]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2009-05-26 413696]
"Tweak UI"="TWEAKUI.CPL" [2000-06-18 106544]
"TWCU"="c:\program files\TP-LINK\TWCU\TWCU.exe" [2006-03-29 364544]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2006-01-12 155648]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-07-01 1447168]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Ulead Photo Express 3.0 SE Calendar Checker.lnk - c:\program files\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe [2009-11-3 61440]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^BTTray.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\BTTray.lnk
backup=c:\windows\pss\BTTray.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
2004-10-08 07:31	155648	----a-r-	c:\windows\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
2008-02-13 11:06	2196240	----a-w-	c:\program files\Logitech\QuickCam\Quickcam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PadTouch]
2004-11-17 09:56	1077327	----a-w-	c:\program files\Toshiba\Touch and Launch\PadExe.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
2004-11-26 10:02	118784	----a-w-	c:\program files\Toshiba\Program narzędziowy TOSHIBA Zooming Utility\SmoothView.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
2004-10-08 13:43	688218	----a-w-	c:\program files\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
2004-10-08 13:44	98394	----a-w-	c:\program files\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TOSCDSPD]
2003-09-15 15:52	65536	----a-w-	c:\program files\Toshiba\TOSCDSPD\TOSCDSPD.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\CesarFTP\\Server.exe"=
"c:\\Program Files\\Tlen.pl\\tlen.exe"=
"c:\\Program Files\\Kerio\\Personal Firewall 4\\kpf4gui.exe"=
"c:\\Program Files\\totalcmd\\TOTALCMD.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\FlashGet\\flashget.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Gadu-Gadu\\gg.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6714:TCP"= 6714:TCP:otfxm

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2009-09-09 721904]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2008-07-01 34312]
R1 fwdrv;Firewall Driver;c:\windows\system32\drivers\fwdrv.sys [2005-03-21 270336]
R1 LUMDriver;LUMDriver;c:\windows\system32\drivers\LUMDriver.sys [2003-07-11 14912]
R1 SMBHC;Sterownik kontrolera hosta magistrali zarządzania systemem firmy Microsoft;c:\windows\system32\drivers\smbhc.sys [2004-11-29 6784]
R2 BBDemon;Backbone Service;c:\program files\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe [2006-04-29 49152]
R2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2008-07-01 468224]
R3 RMSPPPOE;WAN Miniport (PPP over Ethernet Protocol);c:\windows\system32\drivers\RMSPPPOE.SYS [2002-10-02 31504]
R3 SMBBATT;Sterownik baterii inteligentnej Microsoft;c:\windows\system32\drivers\smbbatt.sys [2004-11-29 16128]
S2 mnderat;Windows Task;c:\windows\system32\svchost.exe -k netsvcs [2004-11-29 14336]
S3 IPN2220;INPROCOMM IPN2220 Wireless LAN Card Driver;c:\windows\system32\drivers\i2220ntx.sys [2004-12-03 155392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper	REG_MULTI_SZ   	getPlusHelper

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
mnderat
.
Zawartość folderu 'Zaplanowane zadania'

2010-02-05 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
.
.
------- Skan uzupełniający -------
.
uInternet Settings,ProxyOverride = *.local
IE: 	c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: &Download All with FlashGet - c:\program files\FlashGet\jc_all.htm
IE: &Download with FlashGet - c:\program files\FlashGet\jc_link.htm
IE: E&ksport do programu Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\stseniow\Dane aplikacji\Mozilla\Firefox\Profiles\3lcjhbmm.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.pl/webhp?rls=ig
FF - plugin: c:\documents and settings\stseniow\Dane aplikacji\Mozilla\Firefox\Profiles\3lcjhbmm.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}\plugins\np_gp.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPJPI150.dll
FF - plugin: c:\program files\Java\jre1.5.0\bin\NPOJI610.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [url="http://www.gmer.net"]http://www.gmer.net[/url]
Rootkit scan 2010-02-09 17:11
Windows 5.1.2600 Dodatek Service Pack 2 NTFS

skanowanie ukrytych procesów ...  

skanowanie ukrytych wpisów autostartu ... 

skanowanie ukrytych plików ...  

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, [url="http://www.gmer.net"]http://www.gmer.net[/url]

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8538A1F8]<< 
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf78b3fc3
\Driver\ACPI -> ACPI.sys @ 0xf770ccb8
\Driver\atapi -> 0x8538a1f8
IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805a1afe
 ParseProcedure -> ntoskrnl.exe @ 0x80570a6e
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805a1afe
 ParseProcedure -> ntoskrnl.exe @ 0x80570a6e
Warning: possible MBR rootkit infection !
user & kernel MBR OK 

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mnderat]
"ServiceDll"="c:\windows\system32\sgnfzen.dll"
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > 'explorer.exe'(4276)
c:\windows\TEMP\logishrd\LVPrcInj01.dll
c:\program files\RocketDock\RocketDock.dll
.
------------------------ Pozostałe uruchomione procesy ------------------------
.
c:\windows\system32\acs.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe
c:\program files\Kerio\Personal Firewall 4\kpf4ss.exe
c:\program files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
c:\program files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\program files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
c:\program files\Kerio\Personal Firewall 4\kpf4gui.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
c:\program files\Kerio\Personal Firewall 4\kpf4gui.exe
c:\windows\system32\igfxext.exe
.
**************************************************************************
.
Czas ukończenia: 2010-02-09  17:20:24 - komputer został uruchomiony ponownie
ComboFix-quarantined-files.txt  2010-02-09 16:20
ComboFix2.txt  2010-02-09 15:21

Przed: 8 451 522 560 bajtów wolnych
Po: 8 421 179 392 bajtów wolnych

- - End Of File - - 2CA8540614CF8EE5AA776F4E57526669

Forum IDG.pl - miejsce dyskusji o IT: Wirus blokuje możliwość aktualizacji NODa oraz wejścia na strony programów antywirusowych - Forum IDG.pl - miejsce dyskusji o IT

Zasady forum eksperckiego

Wirus blokuje możliwość aktualizacji NODa oraz wejścia na strony programów antywirusowych blokada aktualizacji Nod32 oraz dostepu do stron avast.com eset.pl etc Oceń temat:

#1 michus

#2 Demerzel

#3

#4 repylek

#5 gajedan

#6

Prześlij ten temat:

Podobne tematy

1 Użytkowników czyta ten temat
0 użytkowników, 1 gości, 0 anonimowych użytkowników

Usuń post

Podobne aktualności

Reklama

Skin i Język

Statystyki wykonywania