Gość: Witam IP: *.neoplus.adsl.tpnet.pl 20.01.09, 16:06 Witam avast ciągle mi wykrywa wirusa m9ma w pamieci operacyjnej co mam zrobić tutaj wklejam log wklej.org/id/41955/ proszę o jego analizę i odpowiedź Odpowiedz Link Zgłoś czytaj wygodnie posty
Gość: Paweł Re: wirus m9ma IP: *.neoplus.adsl.tpnet.pl 20.01.09, 16:35 Jeśli są podłączone jakieś pamięci przenośnych usb - odłącz je i nigdzie nie podłączaj. Nie podłączaj również nowych pamięci przenośnych usb. Otwórz notatnik i wklej do niego, począwszy od File:: włącznie. File:: x:\autorun.inf x:\gfqgq.cmd x:\gy.exe x:\m9ma.exe c:\windows\system32\nmdfgds0.dll c:\windows\system32\nmdfgds1.dll c:\windows\system32\nmdfgds2.dll c:\windows\system32\nmdfgds3.dll c:\windows\system32\nmdfgds4.dll c:\windows\system32\nmdfgds5.dll c:\windows\system32\olhrwef.exe Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cdoosoft"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4a826b07-e63d-11dd-bddb-001d7dc901f0}] DeQuarantine:: C:\Qoobox\Quarantine\C:\WINDOWS\system32\hpowiax7.dll Plik zapisz jako CFScript.txt Za x:\ podstaw litery oznaczające Twoje partycje na dysku twardym, czyli: c:\autorun.inf c:\gfqgq.cmd .... d:\autorun.inf d:\gfqgq.cmd itd. Ikonkę CFScript.txt przeciągnij na ikonkę Combofix.exe i upuść. Rozpocznie się usuwanie. Wrzuć log z usuwania. Odpowiedz Link Zgłoś
Gość: Mateusz Re: wirus m9ma IP: *.neoplus.adsl.tpnet.pl 20.01.09, 16:43 to jest nowy log tak jak mówiłes ComboFix 09-01-19.05 - Mateusz 2009-01-20 16:39:04.4 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.2046.1593 [GMT 1:00] Uruchomiony z: c:\documents and settings\Mateusz\Pulpit\ComboFix.exe Użyto następujących komend :: c:\documents and settings\Mateusz\Moje dokumenty\CFScript.txt * Utworzono nowy punkt przywracania UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !! FILE :: c:\windows\system32\nmdfgds0.dll c:\windows\system32\nmdfgds1.dll c:\windows\system32\nmdfgds2.dll c:\windows\system32\nmdfgds3.dll c:\windows\system32\nmdfgds4.dll c:\windows\system32\nmdfgds5.dll c:\windows\system32\olhrwef.exe x:\autorun.inf x:\gfqgq.cmd x:\gy.exe x:\m9ma.exe . ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . C:\autorun.inf c:\windows\system32\nmdfgds0.dll c:\windows\system32\nmdfgds1.dll c:\windows\system32\olhrwef.exe D:\Autorun.inf . ((((((((((((((((((((((((( Pliki utworzone od 2008-12-20 do 2009-01-20 ))))))))))))))))))))))))))))))) . 2009-01-20 16:29 . 2009-01-20 16:34 <DIR> d-------- c:\documents and settings\Mateusz\Dane aplikacji\HPAppData 2009-01-20 16:23 . 2009-01-20 16:23 <DIR> d-------- c:\program files\CCleaner 2009-01-20 15:47 . 2009-01-20 15:47 <DIR> d-------- c:\documents and settings\Mateusz\Dane aplikacji\HP 2009-01-20 15:47 . 2009-01-20 15:47 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\WEBREG 2009-01-20 15:42 . 2009-01-20 15:42 <DIR> d-------- c:\documents and settings\All Users\Dane aplikacji\Hewlett-Packard 2009-01-20 14:34 . 2009-01-20 16:30 108,869 -r-hs---- C:\gy.exe 2009-01-19 18:42 . 2009-01-19 18:42 <DIR> d-------- c:\program files\EA Sports . (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-19 15:55 --------- d-----w c:\program files\VDOTool 2009-01-19 15:34 --------- d-----w c:\documents and settings\Mateusz\Dane aplikacji\Nowe Gadu-Gadu 2009-01-19 15:31 --------- d-----w c:\program files\Counter-Strike 2009-01-19 15:30 --------- d-----w c:\program files\Nowe Gadu-Gadu 2009-01-19 15:28 --------- d-----w c:\program files\HP 2009-01-19 15:28 --------- d-----w c:\program files\Hewlett-Packard 2009-01-19 15:28 --------- d-----w c:\program files\Common Files\Hewlett-Packard 2009-01-19 15:28 --------- d-----w c:\program files\Alwil Software 2009-01-19 15:28 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\HP Product Assistant 2009-01-19 15:28 --------- d-----w c:\documents and settings\All Users\Dane aplikacji\HP 2009-01-19 15:27 --------- d-----w c:\program files\Common Files\HP 2009-01-19 15:24 15,600 ----a-w c:\windows\gdrv.sys 2009-01-19 15:22 315,392 ----a-w c:\windows\HideWin.exe 2009-01-19 15:22 --------- d--h--w c:\program files\InstallShield Installation Information 2009-01-19 15:22 --------- d-----w c:\program files\SAGEM 2009-01-19 15:22 --------- d-----w c:\program files\Realtek 2009-01-19 15:22 --------- d-----w c:\program files\DIFX 2009-01-19 15:22 --------- d-----w c:\program files\Common Files\InstallShield 2009-01-19 15:21 --------- d-----w c:\program files\Yahoo! 2009-01-19 15:21 --------- d-----w c:\documents and settings\Mateusz\Dane aplikacji\InstallShield 2009-01-19 15:16 --------- d-----w c:\program files\microsoft frontpage 2009-01-19 15:15 --------- d-----w c:\program files\Usługi online 2008-12-08 17:47 107,045 --sh--r C:\m9ma.exe . ((((((((((((((((((((((((((((( snapshot@2009-01-20_15.52.15.31 ))))))))))))))))))))))))))))))))))))))))) . + 2009-01-20 15:23:00 262,144 ----a-w c:\windows\system32\config\systemprofile\NtUser.dat . ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360] "Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2008-11-14 6885376] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TBPanel"="c:\program files\VDOTool\TBPanel.exe" [2008-01-29 2157096] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152] "hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-08 8523776] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-08 81920] "RTHDCPL"="RTHDCPL.EXE" [2007-09-03 c:\windows\RTHDCPL.exe] "nwiz"="nwiz.exe" [2008-01-08 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360] c:\documents and settings\All Users\Menu Start\Programy\Autostart\ HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"= "c:\\Program Files\\Counter-Strike\\hl.exe"= [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . Zawartość folderu 'Zaplanowane zadania' 2009-01-20 c:\windows\Tasks\WebReg HP Deskjet F2200 series.job - c:\program files\HP\Digital Imaging\bin\hpqwrg.exe [2007-10-14 20:40] . . ----- Odpowiedz Link Zgłoś
Gość: Paweł Re: wirus m9ma IP: *.neoplus.adsl.tpnet.pl 20.01.09, 16:57 Przeczytaj jeszcze raz dokładnie mój poprzedni post. Co miało być podstawione za x: ? Litery, którymi są oznaczana kolejne partycje na dysku twardym. Proszę zrobić to teraz - ponownie Combofix z poprzednim skryptem, ale tym razem poprawnym. Logi wklejamy na www.wklejto.pl i tym podobne serwery. Odpowiedz Link Zgłoś