wirus m9ma

IP: *.neoplus.adsl.tpnet.pl 20.01.09, 16:06
Witam avast ciągle mi wykrywa wirusa m9ma w pamieci operacyjnej co mam zrobić
tutaj wklejam log wklej.org/id/41955/ proszę o jego analizę i odpowiedź
    • Gość: Paweł Re: wirus m9ma IP: *.neoplus.adsl.tpnet.pl 20.01.09, 16:35
      Jeśli są podłączone jakieś pamięci przenośnych usb - odłącz je i nigdzie nie
      podłączaj. Nie podłączaj również nowych pamięci przenośnych usb.
      Otwórz notatnik i wklej do niego, począwszy od File:: włącznie.

      File::
      x:\autorun.inf
      x:\gfqgq.cmd
      x:\gy.exe
      x:\m9ma.exe
      c:\windows\system32\nmdfgds0.dll
      c:\windows\system32\nmdfgds1.dll
      c:\windows\system32\nmdfgds2.dll
      c:\windows\system32\nmdfgds3.dll
      c:\windows\system32\nmdfgds4.dll
      c:\windows\system32\nmdfgds5.dll
      c:\windows\system32\olhrwef.exe

      Registry::
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "cdoosoft"=-
      [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4a826b07-e63d-11dd-bddb-001d7dc901f0}]

      DeQuarantine::
      C:\Qoobox\Quarantine\C:\WINDOWS\system32\hpowiax7.dll

      Plik zapisz jako CFScript.txt
      Za x:\ podstaw litery oznaczające Twoje partycje na dysku twardym, czyli:
      c:\autorun.inf
      c:\gfqgq.cmd
      ....
      d:\autorun.inf
      d:\gfqgq.cmd
      itd.

      Ikonkę CFScript.txt przeciągnij na ikonkę Combofix.exe i upuść. Rozpocznie się
      usuwanie. Wrzuć log z usuwania.

      • Gość: Mateusz Re: wirus m9ma IP: *.neoplus.adsl.tpnet.pl 20.01.09, 16:43
        to jest nowy log tak jak mówiłes

        ComboFix 09-01-19.05 - Mateusz 2009-01-20 16:39:04.4 - NTFSx86
        Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.2046.1593 [GMT 1:00]
        Uruchomiony z: c:\documents and settings\Mateusz\Pulpit\ComboFix.exe
        Użyto następujących komend :: c:\documents and settings\Mateusz\Moje
        dokumenty\CFScript.txt
        * Utworzono nowy punkt przywracania

        UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!

        FILE ::
        c:\windows\system32\nmdfgds0.dll
        c:\windows\system32\nmdfgds1.dll
        c:\windows\system32\nmdfgds2.dll
        c:\windows\system32\nmdfgds3.dll
        c:\windows\system32\nmdfgds4.dll
        c:\windows\system32\nmdfgds5.dll
        c:\windows\system32\olhrwef.exe
        x:\autorun.inf
        x:\gfqgq.cmd
        x:\gy.exe
        x:\m9ma.exe
        .

        ((((((((((((((((((((((((((((((((((((((( Usunięto
        )))))))))))))))))))))))))))))))))))))))))))))))))
        .

        C:\autorun.inf
        c:\windows\system32\nmdfgds0.dll
        c:\windows\system32\nmdfgds1.dll
        c:\windows\system32\olhrwef.exe
        D:\Autorun.inf

        .
        ((((((((((((((((((((((((( Pliki utworzone od 2008-12-20 do 2009-01-20
        )))))))))))))))))))))))))))))))
        .

        2009-01-20 16:29 . 2009-01-20 16:34 <DIR> d-------- c:\documents and
        settings\Mateusz\Dane aplikacji\HPAppData
        2009-01-20 16:23 . 2009-01-20 16:23 <DIR> d-------- c:\program files\CCleaner
        2009-01-20 15:47 . 2009-01-20 15:47 <DIR> d-------- c:\documents and
        settings\Mateusz\Dane aplikacji\HP
        2009-01-20 15:47 . 2009-01-20 15:47 <DIR> d-------- c:\documents and
        settings\All Users\Dane aplikacji\WEBREG
        2009-01-20 15:42 . 2009-01-20 15:42 <DIR> d-------- c:\documents and
        settings\All Users\Dane aplikacji\Hewlett-Packard
        2009-01-20 14:34 . 2009-01-20 16:30 108,869 -r-hs---- C:\gy.exe
        2009-01-19 18:42 . 2009-01-19 18:42 <DIR> d-------- c:\program files\EA Sports

        .
        (((((((((((((((((((((((((((((((((((((((( Sekcja Find3M
        ))))))))))))))))))))))))))))))))))))))))))))))))))))
        .
        2009-01-19 15:55 --------- d-----w c:\program files\VDOTool
        2009-01-19 15:34 --------- d-----w c:\documents and settings\Mateusz\Dane
        aplikacji\Nowe Gadu-Gadu
        2009-01-19 15:31 --------- d-----w c:\program files\Counter-Strike
        2009-01-19 15:30 --------- d-----w c:\program files\Nowe Gadu-Gadu
        2009-01-19 15:28 --------- d-----w c:\program files\HP
        2009-01-19 15:28 --------- d-----w c:\program files\Hewlett-Packard
        2009-01-19 15:28 --------- d-----w c:\program files\Common Files\Hewlett-Packard
        2009-01-19 15:28 --------- d-----w c:\program files\Alwil Software
        2009-01-19 15:28 --------- d-----w c:\documents and settings\All Users\Dane
        aplikacji\HP Product Assistant
        2009-01-19 15:28 --------- d-----w c:\documents and settings\All Users\Dane
        aplikacji\HP
        2009-01-19 15:27 --------- d-----w c:\program files\Common Files\HP
        2009-01-19 15:24 15,600 ----a-w c:\windows\gdrv.sys
        2009-01-19 15:22 315,392 ----a-w c:\windows\HideWin.exe
        2009-01-19 15:22 --------- d--h--w c:\program files\InstallShield Installation
        Information
        2009-01-19 15:22 --------- d-----w c:\program files\SAGEM
        2009-01-19 15:22 --------- d-----w c:\program files\Realtek
        2009-01-19 15:22 --------- d-----w c:\program files\DIFX
        2009-01-19 15:22 --------- d-----w c:\program files\Common Files\InstallShield
        2009-01-19 15:21 --------- d-----w c:\program files\Yahoo!
        2009-01-19 15:21 --------- d-----w c:\documents and settings\Mateusz\Dane
        aplikacji\InstallShield
        2009-01-19 15:16 --------- d-----w c:\program files\microsoft frontpage
        2009-01-19 15:15 --------- d-----w c:\program files\Usługi online
        2008-12-08 17:47 107,045 --sh--r C:\m9ma.exe
        .

        ((((((((((((((((((((((((((((( snapshot@2009-01-20_15.52.15.31
        )))))))))))))))))))))))))))))))))))))))))
        .
        + 2009-01-20 15:23:00 262,144 ----a-w
        c:\windows\system32\config\systemprofile\NtUser.dat
        .
        ((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru
        ))))))))))))))))))))))))))))))))))))))))))))))))))
        .
        .
        *Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
        REGEDIT4

        [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
        "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
        "Nowe Gadu-Gadu"="c:\program files\Nowe Gadu-Gadu\gg.exe" [2008-11-14 6885376]

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
        "TBPanel"="c:\program files\VDOTool\TBPanel.exe" [2008-01-29 2157096]
        "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe"
        [2007-10-14 49152]
        "hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]
        "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-08 8523776]
        "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-08 81920]
        "RTHDCPL"="RTHDCPL.EXE" [2007-09-03 c:\windows\RTHDCPL.exe]
        "nwiz"="nwiz.exe" [2008-01-08 c:\windows\system32\nwiz.exe]

        [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
        "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

        c:\documents and settings\All Users\Menu Start\Programy\Autostart\
        HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital
        Imaging\bin\hpqtra08.exe [2007-10-14 214360]

        [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
        "%windir%\\system32\\sessmgr.exe"=
        "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
        "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
        "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
        "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
        "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
        "c:\\Program Files\\Counter-Strike\\hl.exe"=


        [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
        HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
        hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
        .
        Zawartość folderu 'Zaplanowane zadania'

        2009-01-20 c:\windows\Tasks\WebReg HP Deskjet F2200 series.job
        - c:\program files\HP\Digital Imaging\bin\hpqwrg.exe [2007-10-14 20:40]
        .
        .
        -----
        • Gość: Paweł Re: wirus m9ma IP: *.neoplus.adsl.tpnet.pl 20.01.09, 16:57
          Przeczytaj jeszcze raz dokładnie mój poprzedni post. Co miało być podstawione za
          x: ? Litery, którymi są oznaczana kolejne partycje na dysku twardym. Proszę
          zrobić to teraz - ponownie Combofix z poprzednim skryptem, ale tym razem
          poprawnym. Logi wklejamy na www.wklejto.pl i tym podobne serwery.
Pełna wersja