Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

pomocy,jak usunąć WIN 32 /DREFIR.E ROBAK?

jannaszek 11 Lis 2007 00:10 5363 12
  • #1 11 Lis 2007 00:10
    jannaszek
    Poziom 39  

    witam,nie wiem czy jeszcze coś zostanie ocalone,przyszłem z pracy i w zasadzie wszystkie archiwa skompresowne są zainfekowane ,i to narasta lawinowo -standardowe działania nie dają nic..
    dla niektórych to pestka więc proszę o pomoc

    0 12
  • #3 11 Lis 2007 00:33
    Kolobos
    Spec od komputerów

    Przeciez ten robak niczego nie infekuje..
    Daj w zalaczniku log z combofix oraz hijackthis.

    0
  • #4 11 Lis 2007 00:42
    jannaszek
    Poziom 39  

    wszyskie archiwa są zarażone takimi plikami:pomocy,jak usunąć WIN 32 /DREFIR.E ROBAK?
    niestety muszę iść spać -jutro dalsza część
    Deckard's System Scanner v20071014.68
    Run by tata on 2007-11-11 09:38:12
    Computer is in Normal Mode.
    --------------------------------------------------------------------------------

    -- System Restore --------------------------------------------------------------

    System Restore is disabled; attempting to re-enable...success.


    -- Last 1 Restore Point(s) --
    1: 2007-11-11 08:38:15 UTC - RP1 - Punkt kontrolny systemu


    Backed up registry hives.
    Performed disk cleanup.

    System Drive C: has 2.28 GiB (less than 15%) free.


    -- HijackThis (run as tata.exe) ------------------------------------------------

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 09:39:36, on 2007-11-11
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Eset\nod32krn.exe
    C:\Program Files\Common Files\Roxio Shared\SharedCOM8\RoxWatch.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Eset\nod32kui.exe
    C:\Program Files\Microsoft ActiveSync\wcescomm.exe
    D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\PROGRA~1\MI3AA1~1\rapimgr.exe
    D:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
    D:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    D:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
    C:\Program Files\Opera\Opera.exe
    C:\Documents and Settings\tata\Pulpit\PREZENTACJA NA GEJCE\dss.exe
    C:\PROGRA~1\TRENDM~1\HIJACK~1\tata.exe

    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
    O4 - HKCU\..\Run: [eMuleAutoStart] G:\dvd kopia progsy\internet\eMule0.45b.[content.emule-project.net]\eMule\emule.exe -AutoStart
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe




    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
    O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\SharedCOM8\RoxLiveShare.exe
    O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\SharedCOM8\RoxWatch.exe

    --
    End of file - 2426 bytes

    -- HijackThis Fixed Entries (C:\PROGRA~1\TRENDM~1\HIJACK~1\backups\) -----------

    backup-20071009-193146-119 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    backup-20071009-193146-202 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    backup-20071009-193146-294 O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing)
    backup-20071009-193146-702 O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing)
    backup-20071009-193146-899 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
    backup-20071009-193228-148 O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    backup-20071009-193228-231 O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
    backup-20071009-193228-927 O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    backup-20071014-103552-908 O8 - Extra context menu item: Pobierz z &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
    backup-20071014-103606-932 O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing)
    backup-20071014-103606-961 O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing)
    backup-20071018-232603-333 O2 - BHO: (no name) - {384289A9-C8C5-444B-8218-512FB2E2380C} - C:\WINDOWS\system32\wuausfrv.dll
    backup-20071018-232603-436 O4 - HKUS\S-1-5-21-1935655697-1606980848-839522115-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'pawel')
    backup-20071018-232603-468 O4 - HKUS\S-1-5-21-1935655697-1606980848-839522115-1004\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe" (User 'pawel')
    backup-20071018-232603-646 O4 - HKUS\S-1-5-21-1935655697-1606980848-839522115-1004\..\Run: [Uniblue Registry Booster2] C:\Program Files\Uniblue\RegistryBooster2\RegistryBooster.exe /S (User 'pawel')
    backup-20071018-232603-656 O4 - HKLM\..\Run: [CBitSpirit] "C:\Program Files\BitSpirit\BitSpirit.exe" /start
    backup-20071018-232603-831 O4 - HKUS\S-1-5-21-1935655697-1606980848-839522115-1004\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'pawel')
    backup-20071024-200555-154 O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
    backup-20071024-200555-331 O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
    backup-20071024-200555-421 O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.9.24.dll
    backup-20071024-200555-475 O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing)
    backup-20071024-200555-517 O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
    backup-20071024-200555-590 O2 - BHO: (no name) - {B658E745-E4D7-459A-B903-C95189231978} - C:\WINDOWS\system32\dpvacm32.dll
    backup-20071024-200555-869 O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing)
    backup-20071024-200555-873 O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.9.24.dll
    backup-20071102-221637-401 O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    backup-20071102-221637-420 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    backup-20071102-221637-464 O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    backup-20071102-221637-546 O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\tata\USTAWI~1\Temp\svchost.exe 1
    backup-20071102-221637-733 O9 - Extra 'Tools' menuitem: Utwórz Ulubione dla urządzenia przenośnego... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
    backup-20071102-223314-212 O4 - HKCU\..\Run: [DrefIW] C:\WINDOWS\system32\SysDrefIWv2.exe
    backup-20071102-223314-826 O4 - HKLM\..\Run: [DrefIW] C:\WINDOWS\system32\SysDrefIWv2.exe
    backup-20071103-082037-512 O4 - HKLM\..\Run: [HP Software Update] D:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    backup-20071104-200030-577 O4 - HKUS\S-1-5-21-1935655697-1606980848-839522115-1004\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" (User 'pawel')
    backup-20071104-200030-722 O4 - HKLM\..\Run: [PowerDVD] C:\Program Files\CyberLink\PowerDVD\PowerDVD.exe /autostart
    backup-20071104-200030-888 O4 - HKUS\S-1-5-21-1935655697-1606980848-839522115-1004\..\Run: [eMuleAutoStart] G:\dvd kopia progsy\internet\eMule0.45b.[content.emule-project.net]\eMule\emule.exe -AutoStart (User 'pawel')
    backup-20071110-231300-208 O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
    backup-20071110-231300-428 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    backup-20071110-231300-603 O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\SharedCOM8\RoxLiveShare.exe
    backup-20071110-231300-709 O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
    backup-20071110-231300-886 O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\SharedCOM8\RoxWatch.exe
    backup-20071110-231300-917 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    backup-20071110-231300-976 O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
    backup-20071111-002941-170 O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\SharedCOM8\RoxLiveShare.exe
    backup-20071111-002941-345 O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
    backup-20071111-002941-733 O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
    backup-20071111-002941-910 O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
    backup-20071111-002941-950 O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\SharedCOM8\RoxWatch.exe

    -- File Associations -----------------------------------------------------------

    .cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
    .cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*


    -- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

    R1 atitray - c:\program files\radeon omega drivers\v3.8.330\ati tray tools\atitray.sys
    R1 PQNTDrv - c:\windows\system32\drivers\pqntdrv.sys <Not Verified; PowerQuest Corporation; PowerQuest product>
    R1 SCDEmu - c:\windows\system32\drivers\scdemu.sys <Not Verified; PowerISO Computing, Inc.; scdemu>
    R2 AMON - c:\windows\system32\drivers\amon.sys <Not Verified; Eset; NOD32 Antivirus System>
    R2 atksgt - c:\windows\system32\drivers\atksgt.sys
    R2 CX23880 (AVerMedia, AVerTV 303/403 Video Capture) - c:\windows\system32\drivers\cx88vid.sys <Not Verified; AVerMedia Technologies, Inc.; AVerMedia A88xVCap>
    R2 CX88XBAR (AVerMedia, AVerTV 303/403 Crossbar) - c:\windows\system32\drivers\cx88xbar.sys <Not Verified; AVerMedia Technologies, Inc.; AVerMedia A88xXBar>
    R2 CXTUNE (AVerMedia, AVerTV 303/403 Tuner) - c:\windows\system32\drivers\cx88tune.sys <Not Verified; AVerMedia Technologies, Inc.; AVerMedia A88xTuner>
    R2 lirsgt - c:\windows\system32\drivers\lirsgt.sys

    S1 InCDPass - c:\windows\system32\drivers\incdpass.sys (file missing)
    S1 InCDRm (InCD Reader) - c:\windows\system32\drivers\incdrm.sys (file missing)
    S3 catchme - c:\docume~1\tata\ustawi~1\temp\catchme.sys (file missing)
    S3 SecBulk (SECBULK.sys, SEC SOC USBD Driver) - c:\windows\system32\drivers\secbulk.sys <Not Verified; Windows (R) 2000 DDK provider; Windows (R) 2000 DDK driver>
    S4 InCDFs (InCD File System) - c:\windows\system32\drivers\incdfs.sys (file missing)


    -- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

    All services whitelisted.


    -- Device Manager: Disabled ----------------------------------------------------

    No disabled devices found.


    -- Scheduled Tasks -------------------------------------------------------------

    2007-11-11 09:00:00 262 --ah----- C:\WINDOWS\Tasks\AB7B38DD91B4AEA5.job


    -- Files created between 2007-10-11 and 2007-11-11 -----------------------------

    2007-11-10 19:20:46 274432 --a------ C:\WINDOWS\system32\imon.dll <Not Verified; Eset; NOD32 Antivirus System>
    2007-11-10 19:20:46 502368 --a------ C:\WINDOWS\system32\drivers\amon.sys <Not Verified; Eset; NOD32 Antivirus System>
    2007-11-10 19:01:12 0 d-------- C:\WINDOWS\exefld
    2007-11-10 18:30:11 0 d-------- C:\Program Files\AutoMapa EU
    2007-11-10 14:04:05 0 d-------- C:\WINDOWS\system32\DLA
    2007-11-10 14:03:03 0 d-------- C:\Program Files\Roxio
    2007-11-10 14:03:03 0 d-------- C:\Program Files\Common Files\Roxio Shared
    2007-11-10 14:02:55 0 d-------- C:\Program Files\illiminable
    2007-11-10 14:02:36 0 d-------- C:\Program Files\Yahoo!
    2007-11-05 15:23:06 0 d-------- C:\Program Files\Platypus II
    2007-11-04 12:12:20 0 d-------- C:\Program Files\Platypus Free Trial
    2007-11-03 20:00:01 0 d-------- C:\Program Files\SubEdit-Player
    2007-11-03 17:16:32 0 d-------- C:\Program Files\Platypus
    2007-11-03 17:16:16 0 d-------- C:\Program Files\ReflexiveArcade
    2007-10-30 19:35:40 0 d-------- C:\WINDOWS\Prefetch
    2007-10-30 18:47:54 21124 --a------ C:\WINDOWS\hpomdl07.dat
    2007-10-30 18:47:54 112967 --a------ C:\WINDOWS\hpoins07.dat
    2007-10-29 19:26:06 0 d-------- C:\Program Files\Hewlett-Packard
    2007-10-29 19:24:29 71786 --a------ C:\WINDOWS\hpqins05.dat
    2007-10-29 18:46:26 0 d-------- C:\Program Files\Common Files\Sonic Shared
    2007-10-29 18:41:24 71426 --a------ C:\WINDOWS\hpqins04.dat
    2007-10-29 18:41:10 71807 --a------ C:\WINDOWS\hpqins09.dat
    2007-10-29 18:39:30 71718 --a------ C:\WINDOWS\hpqins01.dat
    2007-10-29 18:39:06 71366 --a------ C:\WINDOWS\hpqins06.dat
    2007-10-28 19:56:21 102767 --a------ C:\WINDOWS\hpoins05.dat
    2007-10-28 17:47:31 0 d-------- C:\Program Files\HP
    2007-10-28 09:16:50 0 d-------- C:\Program Files\BitDownload
    2007-10-27 22:46:39 0 d-------- C:\Program Files\BitComet
    2007-10-27 07:48:19 0 d-------- C:\Program Files\Opera
    2007-10-22 19:27:37 36864 --a------ C:\WINDOWS\system32\SDDEVMGR.dll <Not Verified; TOSHIBA/MEI; Toshiba/MEI SD Card Manager API Library>
    2007-10-22 19:27:36 0 d-------- C:\Program Files\Panasonic
    2007-10-22 18:05:53 952 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
    2007-10-21 11:45:25 10430 --a------ C:\WINDOWS\system32\drivers\SECBULK.sys <Not Verified; Windows (R) 2000 DDK provider; Windows (R) 2000 DDK driver>
    2007-10-19 19:29:41 2560 --a------ C:\WINDOWS\system32\bitcometres.dll <Not Verified; BitComet; BitComet BCTP Helper>
    2007-10-19 16:43:22 0 d-------- C:\Program Files\SUPERAntiSpyware
    2007-10-18 20:06:27 0 d-------- C:\Program Files\Duplicate Finder
    2007-10-15 15:51:59 0 d-------- C:\Program Files\Gadu-Gadu
    2007-10-14 16:03:39 299520 --a------ C:\WINDOWS\system32\uninst.exe <Not Verified; InstallShield Corporation, Inc.; InstallShield unInstaller>
    2007-10-14 16:03:39 0 d-------- C:\WINDOWS\APPLOG
    2007-10-14 16:03:39 0 d-------- C:\Program Files\Bin-2-ISO
    2007-10-12 19:51:16 0 d-------- C:\Program Files\Audacity


    -- Find3M Report ---------------------------------------------------------------

    2007-11-10 22:06:20 457678 --a------ C:\WINDOWS\system32\perfh015.dat
    2007-11-10 22:06:20 79188 --a------ C:\WINDOWS\system32\perfc015.dat
    2007-11-10 20:20:18 0 d-------- C:\Documents and Settings\tata\Dane aplikacji\Tlen.pl
    2007-11-10 16:57:55 0 d-------- C:\Documents and Settings\tata\Dane aplikacji\DivX
    2007-11-10 14:06:21 0 d-------- C:\Documents and Settings\tata\Dane aplikacji\Roxio
    2007-11-10 14:03:34 0 d-------- C:\Program Files\Common Files\InstallShield
    2007-11-10 14:03:03 0 d-------- C:\Program Files\Common Files
    2007-11-09 15:40:01 0 d-------- C:\Program Files\foobar2000
    2007-11-06 21:29:27 37872 --a------ C:\Documents and Settings\tata\Dane aplikacji\GDIPFONTCACHEV1.DAT
    2007-11-06 17:06:29 0 d--h----- C:\Program Files\InstallShield Installation Information
    2007-11-03 15:06:42 0 d-------- C:\Program Files\Tlen.pl
    2007-11-01 10:32:37 0 d-------- C:\Program Files\Microsoft ActiveSync
    2007-10-30 19:28:42 0 d-------- C:\Program Files\Movie Maker
    2007-10-30 19:27:53 23640 --a------ C:\WINDOWS\system32\emptyregdb.dat
    2007-10-30 19:27:28 0 d-------- C:\Program Files\Messenger
    2007-10-30 18:53:05 569 --a------ C:\Documents and Settings\tata\Dane aplikacji\Hewlett-PackardHP PSC 1400 series1193766659_UI.log
    2007-10-30 18:53:05 106 --a------ C:\Documents and Settings\tata\Dane aplikacji\Hewlett-PackardHP PSC 1400 series1193766659_API.log
    2007-10-30 18:53:04 2023 --a------ C:\Documents and Settings\tata\Dane aplikacji\Hewlett-PackardHP PSC 1400 series1193766659_PROTOCOL.log
    2007-10-29 19:32:46 2290 --a------ C:\Documents and Settings\tata\Dane aplikacji\Hewlett-PackardHP PSC 1400 series1193682181_UI.log
    2007-10-29 19:32:42 8107 --a------ C:\Documents and Settings\tata\Dane aplikacji\Hewlett-PackardHP PSC 1400 series1193682181_PROTOCOL.log
    2007-10-29 19:32:42 425 --a------ C:\Documents and Settings\tata\Dane aplikacji\Hewlett-PackardHP PSC 1400 series1193682181_API.log
    2007-10-29 19:26:53 0 d-------- C:\Documents and Settings\tata\Dane aplikacji\HP
    2007-10-29 18:46:07 0 d-------- C:\Program Files\Common Files\HP
    2007-10-27 07:16:58 0 d-------- C:\Documents and Settings\tata\Dane aplikacji\SUPERAntiSpyware.com
    2007-10-27 07:15:38 0 d-------- C:\Program Files\POI-Warner MN6 Edition
    2007-10-27 07:15:20 0 d-------- C:\Program Files\POI-Warner MioMap Edition
    2007-10-24 18:59:40 0 d-------- C:\Documents and Settings\tata\Dane aplikacji\Skype
    2007-10-21 10:21:45 616 --a------ C:\WINDOWS\eReg.dat
    2007-10-09 18:27:03 0 d-------- C:\Program Files\Trend Micro
    2007-10-05 10:22:13 0 d-------- C:\Documents and Settings\tata\Dane aplikacji\AdobeUM
    2007-10-03 12:11:51 0 d-------- C:\Program Files\AVerTV
    2007-09-30 15:12:10 372736 --a------ C:\WINDOWS\suinsta4001.exe <Not Verified; Marcelo Bona Boff; e-VisualSetup 4 & e-PocketSetup 4>
    2007-09-29 18:25:35 0 d-------- C:\Program Files\DivX
    2007-09-29 06:53:10 0 d-------- C:\Program Files\Electronic Arts
    2007-09-28 14:04:20 0 d-------- C:\Program Files\Object Software (Beijing) Co., Ltd
    2007-09-19 21:10:33 0 d-------- C:\Program Files\Torrent Search Expert
    2007-09-19 20:56:22 34 --a------ C:\WINDOWS\tse.bin
    2007-09-18 20:06:34 0 d-------- C:\Program Files\Secured eMule
    2007-09-17 19:23:00 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll <Not Verified; DivX, Inc.; DivX®>
    2007-09-17 19:23:00 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll <Not Verified; DivX, Inc.; DivX®>
    2007-09-17 19:22:58 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll <Not Verified; DivX, Inc.; DivX?>
    2007-09-17 19:22:58 739840 --a------ C:\WINDOWS\system32\DivX.dll <Not Verified; DivX, Inc.; DivX®>
    2007-09-16 13:05:00 4096 --a------ C:\WINDOWS\d3dx.dat
    2007-09-15 21:54:47 0 d-------- C:\Program Files\ScanSpyware v3.7
    2007-08-21 01:26:52 196608 --a------ C:\WINDOWS\system32\dtu100.dll <Not Verified; DivX, Inc.; DivX, Inc. dtu100>
    2007-08-21 01:26:52 81920 --a------ C:\WINDOWS\system32\dpl100.dll <Not Verified; DivX, Inc.; DivX, Inc. dpl100>
    2007-08-15 23:33:14 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
    2007-08-15 23:30:26 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll


    -- Registry Dump ---------------------------------------------------------------

    *Note* empty entries & legit default entries are not shown


    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "@"="" []
    "nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-11-10 19:20]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Komunikator"="C:\Program Files\Tlen.pl\tlen.exe" [2007-02-12 11:01]
    "H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 15:57]
    "eMuleAutoStart"="G:\dvd kopia progsy\internet\eMule0.45b.[content.emule-project.net]\eMule\emule.exe" [2007-05-13 15:57]

    C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
    HP Digital Imaging Monitor.lnk - D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 23:23:26]
    HP Image Zone - szybkie uruchamianie.lnk - D:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 00:49:24]

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
    "NoCloseDragDropBands"=1 (0x1)
    "NoSimpleStartMenu"=1 (0x1)
    "NoToolbarsOnTaskbar"=1 (0x1)
    "NoPublishingWizard"=0 (0x0)
    "NoWebServices"=0 (0x0)
    "NoOnlinePrintsWizard"=0 (0x0)

    SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
    @="DiskDrive"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
    @="Hdc"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
    @="Keyboard"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
    @="Mouse"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
    @="System"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
    @="Volume"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eMuleAutoStart]

    G:\dvd kopia progsy\internet\eMule0.45b.[content.emule-project.net]\eMule\emule.exe -AutoStart

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
    "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hldrrr]
    C:\WINDOWS\system32\hldrrr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Komunikator]
    C:\Program Files\Tlen.pl\tlen.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
    "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
    "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
    SOUNDMAN.EXE

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]
    C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsServicesStartup]
    C:\DOCUME~1\tata\USTAWI~1\Temp\svchost.exe 1

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
    "NOD32krn"=2 (0x2)
    "usnjsvc"=3 (0x3)
    "Ati HotKey Poller"=2 (0x2)
    "IDriverT"=3 (0x3)
    "ewido security suite guard"=2 (0x2)
    "ewido security suite control"=2 (0x2)


    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K]
    AutoRun\command- K:\Setup.EXE




    -- End of Deckard's System Scanner: finished at 2007-11-11 09:40:06 ------------

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:10:33, on 2007-11-11
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Eset\nod32krn.exe
    C:\Program Files\Common Files\Roxio Shared\SharedCOM8\RoxWatch.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\wscntfy.exe
    C:\Program Files\Eset\nod32kui.exe
    C:\Program Files\Microsoft ActiveSync\wcescomm.exe
    D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\PROGRA~1\MI3AA1~1\rapimgr.exe
    D:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
    D:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
    D:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
    C:\Program Files\Opera\Opera.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
    O4 - HKCU\..\Run: [eMuleAutoStart] G:\dvd kopia progsy\internet\eMule0.45b.[content.emule-project.net]\eMule\emule.exe -AutoStart
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
    O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\SharedCOM8\RoxLiveShare.exe
    O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\SharedCOM8\RoxWatch.exe

    --
    End of file - 2374 bytes

    0
  • #5 11 Lis 2007 16:04
    jannaszek
    Poziom 39  

    pomocy,jak usunąć WIN 32 /DREFIR.E ROBAK?

    nie wiem jak ,ale rozprzestrzenia się po archiwach ,na wszystkich dyskach -usunąłem już setki plików ,i ciągle się pojawiaja.
    usunąłem co mogłem ,dałem fix.reg ,no i nie wiem co dalej.
    wirysek rozprzestrzenia się w momencie próby kasowania wewnątrz archiwów

    0
  • #6 11 Lis 2007 17:02
    Kolobos
    Spec od komputerów

    Miales dac logi z COMBOFIX oraz hijackthis w ZALACZNIKU, a dales dss + hijackthis w tresci.
    Masz pelno infekcji, rootkit beagle, lop itd.
    Ktory to juz raz zainfekowales sobie system? Moze juz czas zebys nauczyl sie obslugi komputera..

    Przeskanuj system przy pomocy SuperAntiSpyware, nastepnie combofix, naprawa trybu awaryjnego:
    http://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe
    W trybie awaryjnym uzyj SDFix, nastepnie daj w ZALACZNIKU! log z combofix oraz sdfix.

    0
  • Pomocny post
    #7 11 Lis 2007 17:05
    pidar
    Spec od pamięci masowych

    A może to go usunie RegRun Reanimator z http://www.greatis.com/security/download.htm i usuń tego wirusa jeśli go znajdzie. Inne podejrzane procesy na razie zostaw. Reanimatora zastosuj w ostateczności, gdy inne środki zawiodą(ręczne usuwanie).

    0
  • #8 11 Lis 2007 17:48
    jannaszek
    Poziom 39  

    cyt: Moze juz czas zebys nauczyl sie obslugi komputera.. kon.cyt.
    no pewnie,tyle że ja teraz żyję z jazdy po europie ,więc dzieci mają tydzień na położenie komputera,a ja 2 godż ,na postawienie -bo wypada jeszcze ukłuć żonę..
    -więc kożystam z gotowych rozwiązań i pomocy, bo w moim życu nie najważniejsze jest to blaszane draństwo[choć tak było]

    dziękuję za pomoć ,zobaczę co to da i odezwę się. nie wiem tylko czy zadziała ,bo nie mogę uruchomić tryb. awar. ,jedynie safe boot w msconfig

    0
  • Pomocny post
    #9 11 Lis 2007 19:24
    Kolobos
    Spec od komputerów

    > ja 2 godż ,na postawienie

    Zrob obraz partycji systemowej lub lepiej calego dysku i przywracaj po infekcji, tak bedzie szybciej. Ewentualnie zabezpiecz system (konto z ograniczeniami + blokady) albo tez kup karte przywracajaca po resecie system do poprzedniego stanu (dostepne na allegro).

    Dalem Ci program do naprawy trybu awaryjnego, wiec juz powinien dzialac.

    Wklej do notatnika to:

    File::
    C:\DOCUME~1\tata\USTAWI~1\Temp\svchost.exe
    C:\WINDOWS\system32\hldrrr.exe
    C:\WINDOWS\Tasks\AB7B38DD91B4AEA5.job

    Folder::
    C:\WINDOWS\exefld
    c:\docume~1\tata\daneap~1\idleus~1\

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "@"=-

    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hldrrr]

    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsServicesStartup]

    Plik zapisz w katalogu z combofix pod nazwa CFScript.txt, nastepnie przeciagnij plik CFScript.txt na ikone combofix.exe (tak jak to masz pokazane tutaj i12.tinypic.com/4l761r5.gif ).

    PS. Czekam na log z SDFix.

    0
  • #10 11 Lis 2007 19:59
    milakowie
    Poziom 16  

    OPIS WIRUSA



    Przeskanuj kompa - http://www.eset.pl/onlinescan

    1 ) Pytanie jakiego masz zainstalowanego antywirusa czy wogóle go masz.






    Kiedy plik wirusa zostanie zainstalowany, wykonywane są następujące operacje:

    1. W katalogu systemowym tworzy plik o nazwie SysDrefIWv2.exe

    2. Aby być uruchamianym z każdym startem systemu operacyjnego, w rejestrze tworzy wpis:
    "DrefIW= "SysDrefIWv2.exe"
    w lokalizacji: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run.

    3. Modyfikuje w rejestrze wpis "Start" ustawiając go na wartość "4" w lokalizacji: HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess powodując, że usługa Shared Access (Zapora systemu Windows/Udostępnianie połączenia internetowego) nie będzie uruchamiana ze startem systemu. Robak kontroluje wartość tego wpisu i jeśli ulegnie zmianie, przywraca na wartość "4".


    Uruchom tryb awaryjny

    usuń wartość rejestru opisaną wyżej czyli (DrefIW= "SysDrefIWv2.exe )znajduje sie w rejestrze tu - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run.


    2 ) Wyłącz na czas usuwania wirusa proces SVchost w procesach sysytemowych lub uwaga proces o nazwie zblizonej do nazwy wirusa jest zmienna .

    3) Usun wpis w rejestrze HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess a dokladnie chodzi o wartosc nr 4 bo ten wirus modyfikuje ja sam i uruchamia sie podczas startu za kazdym razem.

    4) Wszystkie programy antywirusowe spokojnie daja sobie rade z tym wirusem takie jak NOD32, SYMANTEC ,PANDA,TREND MICRO itp : .
    Robak rozrzestrzeniający się przez kanały IRC oraz dołączając się do wychodzących wiadomości e-mail. Robak napisany został w Visual C++ 6, skompresowany za pomocą PECompact i ma wielkość 30 720 bajtów.

    5) Po usuniecu wpisow w rejestrach i usunieciu wpisu w katalogu systemowym SysDrefIWv2.exe .


    6) Pozostaje pelny skan komputera za pomoca antywirusa polecam NOD32 dobrze sobie radzi z wirusami tworzonymi za pomocą C++ .




    pozdrawiam www.haker.magma-net.pl

    0
  • Pomocny post
    #11 11 Lis 2007 20:20
    Kolobos
    Spec od komputerów

    :arrow: milakowie
    Autor ma Nod32 (co widac w logu) i nie ma u siebie nic z tego co wystepuje w opisie tego robaka.

    0
  • #12 11 Lis 2007 22:45
    jannaszek
    Poziom 39  

    milakowie,znam tą stronę,i jest jak pisze kolobos.
    podanych wpisów nie znalazłem w rejestrze. eset nod 32-jedynie potrafi wykryć owe pliki exe.
    całość działań przyniosła jekieś efekty,bo zdaje się nie rozprzestrzenia sie,co widzę po kolejnych skanach.mnóstwo roboty,bo muszę wypakować archiwa,potem ręcznie wywalać to robactwo do kosza-przy okazji robię remanent..
    tzn. nawet na pewno -dysk c jest już czysty.
    powłączałem wszelkie ochrony ,zobaczymy
    dziękuję jeszcze raz

    Dodano po 42 [minuty]:

    nie mogę ściągnąć sdfix-błąd.
    jutro będę działał ,bo zdaje się jeszcze są problemy.dzięki kolobos za cierpliwość.
    mam nawet 2 obrazy ,ale stare ,a trochę pozmieniało mi się w komputerze i szkoda mi czasu na konfigurowanie i tp.-nie mniej tak zrobię

    0
  • #13 12 Lis 2007 18:57
    jannaszek
    Poziom 39  

    witam ponownie.udało się ściągnąć sdfix[nie pozwalał nod 32]
    proszę , oto raport

    SDFix: Version 1.90

    Run by tata on 2007-11-12 at 18:37

    Microsoft Windows XP [Wersja 5.1.2600]

    Running From: C:\SDFix\SDFix

    Safe Mode:
    Checking Services:


    Restoring Windows Registry Values
    Restoring Windows Default Hosts File
    Restoring Missing Security Center Service
    Restoring Missing SharedAccess Service

    Rebooting...


    Normal Mode:
    Checking Files:

    No Trojan Files Found




    Removing Temp Files...

    ADS Check:

    C:\WINDOWS
    No streams found.

    C:\WINDOWS\system32
    No streams found.

    C:\WINDOWS\system32\svchost.exe
    No streams found.

    C:\WINDOWS\system32\ntoskrnl.exe
    No streams found.



    Final Check:

    Remaining Services:
    ------------------



    Authorized Application Key Export:

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "C:\\Program Files\\Tlen.pl\\tlen.exe"="C:\\Program Files\\Tlen.pl\\tlen.exe:*:Enabled:Komunikator Tlen.pl"
    "G:\\dvd kopia progsy\\internet\\eMule0.45b.[content.emule-project.net]\\eMule\\emule.exe"="G:\\dvd kopia progsy\\internet\\eMule0.45b.[content.emule-project.net]\\eMule\\emule.exe:*:Enabled:eMule"
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
    "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

    Remaining Files:
    ---------------


    Files with Hidden Attributes:

    C:\Documents and Settings\tata\Dane aplikacji\Microsoft\Emulator for Windows CE\VPCKeyboard.dll
    C:\WINDOWS\system32\calcsci.exe
    C:\System Volume Information\_restore{9D8BF2CE-497D-45ED-82B9-63E28155C0A2}\RP2\A0000172.sys
    C:\WINDOWS\system32\KGyGaAvL.sys
    C:\WINDOWS\system32\config\default.tmp.LOG
    C:\WINDOWS\system32\config\software.tmp.LOG
    C:\WINDOWS\system32\config\system.tmp.LOG

    Finished
    wydaje się że pliki nie rozprzestrzeniają się,-system chodzi żwawo.uważam że jest ok,chyba że coś wyjdzie w tym raporcie
    pozdrawiam wszystkich

    0