pomocy,jak usunąć WIN 32 /DREFIR.E ROBAK?

pomocy,jak usunąć WIN 32 /DREFIR.E ROBAK?

---

jannaszek - 11 Lis 2007 01:10
witam,nie wiem czy jeszcze coś zostanie ocalone,przyszłem z pracy i w zasadzie wszystkie archiwa skompresowne są zainfekowane ,i to narasta lawinowo -standardowe działania nie dają nic..
dla niektórych to pestka więc proszę o pomoc

---

---

zyzioo - 11 Lis 2007 01:16
http://forum.dobreprogramy.pl/viewtopic.php?t=152196&highlight=

---

Kolobos - 11 Lis 2007 01:33
Przeciez ten robak niczego nie infekuje..
Daj w zalaczniku log z combofix oraz hijackthis.

---

jannaszek - 11 Lis 2007 01:42
wszyskie archiwa są zarażone takimi plikami:
niestety muszę iść spać -jutro dalsza część
Deckard's System Scanner v20071014.68
Run by tata on 2007-11-11 09:38:12
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

System Restore is disabled; attempting to re-enable...success.

-- Last 1 Restore Point(s) --
1: 2007-11-11 08:38:15 UTC - RP1 - Punkt kontrolny systemu

Backed up registry hives.
Performed disk cleanup.

System Drive C: has 2.28 GiB (less than 15%) free.

-- HijackThis (run as tata.exe) ------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:39:36, on 2007-11-11
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Common Files\Roxio Shared\SharedCOM8\RoxWatch.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
D:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
D:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
D:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\Opera\Opera.exe
C:\Documents and Settings\tata\Pulpit\PREZENTACJA NA GEJCE\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\tata.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] G:\dvd kopia progsy\internet\eMule0.45b.[content.emule-project.net]\eMule\emule.exe -AutoStart
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\SharedCOM8\RoxWatch.exe

--
End of file - 2426 bytes

-- HijackThis Fixed Entries (C:\PROGRA~1\TRENDM~1\HIJACK~1\backups\) -----------

backup-20071009-193146-119 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
backup-20071009-193146-202 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
backup-20071009-193146-294 O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing)
backup-20071009-193146-702 O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing)
backup-20071009-193146-899 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
backup-20071009-193228-148 O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
backup-20071009-193228-231 O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
backup-20071009-193228-927 O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
backup-20071014-103552-908 O8 - Extra context menu item: Pobierz z &BitSpirit - C:\Program Files\BitSpirit\bsurl.htm
backup-20071014-103606-932 O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing)
backup-20071014-103606-961 O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing)
backup-20071018-232603-333 O2 - BHO: (no name) - {384289A9-C8C5-444B-8218-512FB2E2380C} - C:\WINDOWS\system32\wuausfrv.dll
backup-20071018-232603-436 O4 - HKUS\S-1-5-21-1935655697-1606980848-839522115-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'pawel')
backup-20071018-232603-468 O4 - HKUS\S-1-5-21-1935655697-1606980848-839522115-1004\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe" (User 'pawel')
backup-20071018-232603-646 O4 - HKUS\S-1-5-21-1935655697-1606980848-839522115-1004\..\Run: [Uniblue Registry Booster2] C:\Program Files\Uniblue\RegistryBooster2\RegistryBooster.exe /S (User 'pawel')
backup-20071018-232603-656 O4 - HKLM\..\Run: [CBitSpirit] "C:\Program Files\BitSpirit\BitSpirit.exe" /start
backup-20071018-232603-831 O4 - HKUS\S-1-5-21-1935655697-1606980848-839522115-1004\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background (User 'pawel')
backup-20071024-200555-154 O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
backup-20071024-200555-331 O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
backup-20071024-200555-421 O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.9.24.dll
backup-20071024-200555-475 O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing)
backup-20071024-200555-517 O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
backup-20071024-200555-590 O2 - BHO: (no name) - {B658E745-E4D7-459A-B903-C95189231978} - C:\WINDOWS\system32\dpvacm32.dll
backup-20071024-200555-869 O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.0.22\ShoppingReport.dll (file missing)
backup-20071024-200555-873 O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.9.24.dll
backup-20071102-221637-401 O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
backup-20071102-221637-420 O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
backup-20071102-221637-464 O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
backup-20071102-221637-546 O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\tata\USTAWI~1\Temp\svchost.exe 1
backup-20071102-221637-733 O9 - Extra 'Tools' menuitem: Utwórz Ulubione dla urządzenia przenośnego... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
backup-20071102-223314-212 O4 - HKCU\..\Run: [DrefIW] C:\WINDOWS\system32\SysDrefIWv2.exe
backup-20071102-223314-826 O4 - HKLM\..\Run: [DrefIW] C:\WINDOWS\system32\SysDrefIWv2.exe
backup-20071103-082037-512 O4 - HKLM\..\Run: [HP Software Update] D:\Program Files\HP\HP Software Update\HPWuSchd2.exe
backup-20071104-200030-577 O4 - HKUS\S-1-5-21-1935655697-1606980848-839522115-1004\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe" (User 'pawel')
backup-20071104-200030-722 O4 - HKLM\..\Run: [PowerDVD] C:\Program Files\CyberLink\PowerDVD\PowerDVD.exe /autostart
backup-20071104-200030-888 O4 - HKUS\S-1-5-21-1935655697-1606980848-839522115-1004\..\Run: [eMuleAutoStart] G:\dvd kopia progsy\internet\eMule0.45b.[content.emule-project.net]\eMule\emule.exe -AutoStart (User 'pawel')
backup-20071110-231300-208 O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
backup-20071110-231300-428 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
backup-20071110-231300-603 O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\SharedCOM8\RoxLiveShare.exe
backup-20071110-231300-709 O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
backup-20071110-231300-886 O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\SharedCOM8\RoxWatch.exe
backup-20071110-231300-917 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
backup-20071110-231300-976 O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
backup-20071111-002941-170 O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\SharedCOM8\RoxLiveShare.exe
backup-20071111-002941-345 O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
backup-20071111-002941-733 O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
backup-20071111-002941-910 O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe
backup-20071111-002941-950 O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\SharedCOM8\RoxWatch.exe

-- File Associations -----------------------------------------------------------

.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 atitray - c:\program files\radeon omega drivers\v3.8.330\ati tray tools\atitray.sys
R1 PQNTDrv - c:\windows\system32\drivers\pqntdrv.sys <Not Verified; PowerQuest Corporation; PowerQuest product>
R1 SCDEmu - c:\windows\system32\drivers\scdemu.sys <Not Verified; PowerISO Computing, Inc.; scdemu>
R2 AMON - c:\windows\system32\drivers\amon.sys <Not Verified; Eset; NOD32 Antivirus System>
R2 atksgt - c:\windows\system32\drivers\atksgt.sys
R2 CX23880 (AVerMedia, AVerTV 303/403 Video Capture) - c:\windows\system32\drivers\cx88vid.sys <Not Verified; AVerMedia Technologies, Inc.; AVerMedia A88xVCap>
R2 CX88XBAR (AVerMedia, AVerTV 303/403 Crossbar) - c:\windows\system32\drivers\cx88xbar.sys <Not Verified; AVerMedia Technologies, Inc.; AVerMedia A88xXBar>
R2 CXTUNE (AVerMedia, AVerTV 303/403 Tuner) - c:\windows\system32\drivers\cx88tune.sys <Not Verified; AVerMedia Technologies, Inc.; AVerMedia A88xTuner>
R2 lirsgt - c:\windows\system32\drivers\lirsgt.sys

S1 InCDPass - c:\windows\system32\drivers\incdpass.sys (file missing)
S1 InCDRm (InCD Reader) - c:\windows\system32\drivers\incdrm.sys (file missing)
S3 catchme - c:\docume~1\tata\ustawi~1\temp\catchme.sys (file missing)
S3 SecBulk (SECBULK.sys, SEC SOC USBD Driver) - c:\windows\system32\drivers\secbulk.sys <Not Verified; Windows (R) 2000 DDK provider; Windows (R) 2000 DDK driver>
S4 InCDFs (InCD File System) - c:\windows\system32\drivers\incdfs.sys (file missing)

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

All services whitelisted.

-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.

-- Scheduled Tasks -------------------------------------------------------------

2007-11-11 09:00:00 262 --ah----- C:\WINDOWS\Tasks\AB7B38DD91B4AEA5.job

-- Files created between 2007-10-11 and 2007-11-11 -----------------------------

2007-11-10 19:20:46 274432 --a------ C:\WINDOWS\system32\imon.dll <Not Verified; Eset; NOD32 Antivirus System>
2007-11-10 19:20:46 502368 --a------ C:\WINDOWS\system32\drivers\amon.sys <Not Verified; Eset; NOD32 Antivirus System>
2007-11-10 19:01:12 0 d-------- C:\WINDOWS\exefld
2007-11-10 18:30:11 0 d-------- C:\Program Files\AutoMapa EU
2007-11-10 14:04:05 0 d-------- C:\WINDOWS\system32\DLA
2007-11-10 14:03:03 0 d-------- C:\Program Files\Roxio
2007-11-10 14:03:03 0 d-------- C:\Program Files\Common Files\Roxio Shared
2007-11-10 14:02:55 0 d-------- C:\Program Files\illiminable
2007-11-10 14:02:36 0 d-------- C:\Program Files\Yahoo!
2007-11-05 15:23:06 0 d-------- C:\Program Files\Platypus II
2007-11-04 12:12:20 0 d-------- C:\Program Files\Platypus Free Trial
2007-11-03 20:00:01 0 d-------- C:\Program Files\SubEdit-Player
2007-11-03 17:16:32 0 d-------- C:\Program Files\Platypus
2007-11-03 17:16:16 0 d-------- C:\Program Files\ReflexiveArcade
2007-10-30 19:35:40 0 d-------- C:\WINDOWS\Prefetch
2007-10-30 18:47:54 21124 --a------ C:\WINDOWS\hpomdl07.dat
2007-10-30 18:47:54 112967 --a------ C:\WINDOWS\hpoins07.dat
2007-10-29 19:26:06 0 d-------- C:\Program Files\Hewlett-Packard
2007-10-29 19:24:29 71786 --a------ C:\WINDOWS\hpqins05.dat
2007-10-29 18:46:26 0 d-------- C:\Program Files\Common Files\Sonic Shared
2007-10-29 18:41:24 71426 --a------ C:\WINDOWS\hpqins04.dat
2007-10-29 18:41:10 71807 --a------ C:\WINDOWS\hpqins09.dat
2007-10-29 18:39:30 71718 --a------ C:\WINDOWS\hpqins01.dat
2007-10-29 18:39:06 71366 --a------ C:\WINDOWS\hpqins06.dat
2007-10-28 19:56:21 102767 --a------ C:\WINDOWS\hpoins05.dat
2007-10-28 17:47:31 0 d-------- C:\Program Files\HP
2007-10-28 09:16:50 0 d-------- C:\Program Files\BitDownload
2007-10-27 22:46:39 0 d-------- C:\Program Files\BitComet
2007-10-27 07:48:19 0 d-------- C:\Program Files\Opera
2007-10-22 19:27:37 36864 --a------ C:\WINDOWS\system32\SDDEVMGR.dll <Not Verified; TOSHIBA/MEI; Toshiba/MEI SD Card Manager API Library>
2007-10-22 19:27:36 0 d-------- C:\Program Files\Panasonic
2007-10-22 18:05:53 952 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2007-10-21 11:45:25 10430 --a------ C:\WINDOWS\system32\drivers\SECBULK.sys <Not Verified; Windows (R) 2000 DDK provider; Windows (R) 2000 DDK driver>
2007-10-19 19:29:41 2560 --a------ C:\WINDOWS\system32\bitcometres.dll <Not Verified; BitComet; BitComet BCTP Helper>
2007-10-19 16:43:22 0 d-------- C:\Program Files\SUPERAntiSpyware
2007-10-18 20:06:27 0 d-------- C:\Program Files\Duplicate Finder
2007-10-15 15:51:59 0 d-------- C:\Program Files\Gadu-Gadu
2007-10-14 16:03:39 299520 --a------ C:\WINDOWS\system32\uninst.exe <Not Verified; InstallShield Corporation, Inc.; InstallShield unInstaller>
2007-10-14 16:03:39 0 d-------- C:\WINDOWS\APPLOG
2007-10-14 16:03:39 0 d-------- C:\Program Files\Bin-2-ISO
2007-10-12 19:51:16 0 d-------- C:\Program Files\Audacity

-- Find3M Report ---------------------------------------------------------------

2007-11-10 22:06:20 457678 --a------ C:\WINDOWS\system32\perfh015.dat
2007-11-10 22:06:20 79188 --a------ C:\WINDOWS\system32\perfc015.dat
2007-11-10 20:20:18 0 d-------- C:\Documents and Settings\tata\Dane aplikacji\Tlen.pl
2007-11-10 16:57:55 0 d-------- C:\Documents and Settings\tata\Dane aplikacji\DivX
2007-11-10 14:06:21 0 d-------- C:\Documents and Settings\tata\Dane aplikacji\Roxio
2007-11-10 14:03:34 0 d-------- C:\Program Files\Common Files\InstallShield
2007-11-10 14:03:03 0 d-------- C:\Program Files\Common Files
2007-11-09 15:40:01 0 d-------- C:\Program Files\foobar2000
2007-11-06 21:29:27 37872 --a------ C:\Documents and Settings\tata\Dane aplikacji\GDIPFONTCACHEV1.DAT
2007-11-06 17:06:29 0 d--h----- C:\Program Files\InstallShield Installation Information
2007-11-03 15:06:42 0 d-------- C:\Program Files\Tlen.pl
2007-11-01 10:32:37 0 d-------- C:\Program Files\Microsoft ActiveSync
2007-10-30 19:28:42 0 d-------- C:\Program Files\Movie Maker
2007-10-30 19:27:53 23640 --a------ C:\WINDOWS\system32\emptyregdb.dat
2007-10-30 19:27:28 0 d-------- C:\Program Files\Messenger
2007-10-30 18:53:05 569 --a------ C:\Documents and Settings\tata\Dane aplikacji\Hewlett-PackardHP PSC 1400 series1193766659_UI.log
2007-10-30 18:53:05 106 --a------ C:\Documents and Settings\tata\Dane aplikacji\Hewlett-PackardHP PSC 1400 series1193766659_API.log
2007-10-30 18:53:04 2023 --a------ C:\Documents and Settings\tata\Dane aplikacji\Hewlett-PackardHP PSC 1400 series1193766659_PROTOCOL.log
2007-10-29 19:32:46 2290 --a------ C:\Documents and Settings\tata\Dane aplikacji\Hewlett-PackardHP PSC 1400 series1193682181_UI.log
2007-10-29 19:32:42 8107 --a------ C:\Documents and Settings\tata\Dane aplikacji\Hewlett-PackardHP PSC 1400 series1193682181_PROTOCOL.log
2007-10-29 19:32:42 425 --a------ C:\Documents and Settings\tata\Dane aplikacji\Hewlett-PackardHP PSC 1400 series1193682181_API.log
2007-10-29 19:26:53 0 d-------- C:\Documents and Settings\tata\Dane aplikacji\HP
2007-10-29 18:46:07 0 d-------- C:\Program Files\Common Files\HP
2007-10-27 07:16:58 0 d-------- C:\Documents and Settings\tata\Dane aplikacji\SUPERAntiSpyware.com
2007-10-27 07:15:38 0 d-------- C:\Program Files\POI-Warner MN6 Edition
2007-10-27 07:15:20 0 d-------- C:\Program Files\POI-Warner MioMap Edition
2007-10-24 18:59:40 0 d-------- C:\Documents and Settings\tata\Dane aplikacji\Skype
2007-10-21 10:21:45 616 --a------ C:\WINDOWS\eReg.dat
2007-10-09 18:27:03 0 d-------- C:\Program Files\Trend Micro
2007-10-05 10:22:13 0 d-------- C:\Documents and Settings\tata\Dane aplikacji\AdobeUM
2007-10-03 12:11:51 0 d-------- C:\Program Files\AVerTV
2007-09-30 15:12:10 372736 --a------ C:\WINDOWS\suinsta4001.exe <Not Verified; Marcelo Bona Boff; e-VisualSetup 4 & e-PocketSetup 4>
2007-09-29 18:25:35 0 d-------- C:\Program Files\DivX
2007-09-29 06:53:10 0 d-------- C:\Program Files\Electronic Arts
2007-09-28 14:04:20 0 d-------- C:\Program Files\Object Software (Beijing) Co., Ltd
2007-09-19 21:10:33 0 d-------- C:\Program Files\Torrent Search Expert
2007-09-19 20:56:22 34 --a------ C:\WINDOWS\tse.bin
2007-09-18 20:06:34 0 d-------- C:\Program Files\Secured eMule
2007-09-17 19:23:00 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll <Not Verified; DivX, Inc.; DivX®>
2007-09-17 19:23:00 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll <Not Verified; DivX, Inc.; DivX®>
2007-09-17 19:22:58 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll <Not Verified; DivX, Inc.; DivX?>
2007-09-17 19:22:58 739840 --a------ C:\WINDOWS\system32\DivX.dll <Not Verified; DivX, Inc.; DivX®>
2007-09-16 13:05:00 4096 --a------ C:\WINDOWS\d3dx.dat
2007-09-15 21:54:47 0 d-------- C:\Program Files\ScanSpyware v3.7
2007-08-21 01:26:52 196608 --a------ C:\WINDOWS\system32\dtu100.dll <Not Verified; DivX, Inc.; DivX, Inc. dtu100>
2007-08-21 01:26:52 81920 --a------ C:\WINDOWS\system32\dpl100.dll <Not Verified; DivX, Inc.; DivX, Inc. dpl100>
2007-08-15 23:33:14 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-08-15 23:30:26 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll

-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"="" []
"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2007-11-10 19:20]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Komunikator"="C:\Program Files\Tlen.pl\tlen.exe" [2007-02-12 11:01]
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 15:57]
"eMuleAutoStart"="G:\dvd kopia progsy\internet\eMule0.45b.[content.emule-project.net]\eMule\emule.exe" [2007-05-13 15:57]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\
HP Digital Imaging Monitor.lnk - D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 23:23:26]
HP Image Zone - szybkie uruchamianie.lnk - D:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 00:49:24]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoCloseDragDropBands"=1 (0x1)
"NoSimpleStartMenu"=1 (0x1)
"NoToolbarsOnTaskbar"=1 (0x1)
"NoPublishingWizard"=0 (0x0)
"NoWebServices"=0 (0x0)
"NoOnlinePrintsWizard"=0 (0x0)

SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eMuleAutoStart]

G:\dvd kopia progsy\internet\eMule0.45b.[content.emule-project.net]\eMule\emule.exe -AutoStart

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H/PC Connection Agent]
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hldrrr]
C:\WINDOWS\system32\hldrrr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Komunikator]
C:\Program Files\Tlen.pl\tlen.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsServicesStartup]
C:\DOCUME~1\tata\USTAWI~1\Temp\svchost.exe 1

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"NOD32krn"=2 (0x2)
"usnjsvc"=3 (0x3)
"Ati HotKey Poller"=2 (0x2)
"IDriverT"=3 (0x3)
"ewido security suite guard"=2 (0x2)
"ewido security suite control"=2 (0x2)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K]
AutoRun\command- K:\Setup.EXE

-- End of Deckard's System Scanner: finished at 2007-11-11 09:40:06 ------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:10:33, on 2007-11-11
Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Eset\nod32krn.exe
C:\Program Files\Common Files\Roxio Shared\SharedCOM8\RoxWatch.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
D:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
D:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
D:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] G:\dvd kopia progsy\internet\eMule0.45b.[content.emule-project.net]\eMule\emule.exe -AutoStart
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone - szybkie uruchamianie.lnk = D:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\SharedCOM8\RoxWatch.exe

--
End of file - 2374 bytes

---

---

jannaszek - 11 Lis 2007 17:04


nie wiem jak ,ale rozprzestrzenia się po archiwach ,na wszystkich dyskach -usunąłem już setki plików ,i ciągle się pojawiaja.
usunąłem co mogłem ,dałem fix.reg ,no i nie wiem co dalej.
wirysek rozprzestrzenia się w momencie próby kasowania wewnątrz archiwów

---

Kolobos - 11 Lis 2007 18:02
Miales dac logi z COMBOFIX oraz hijackthis w ZALACZNIKU, a dales dss + hijackthis w tresci.
Masz pelno infekcji, rootkit beagle, lop itd.
Ktory to juz raz zainfekowales sobie system? Moze juz czas zebys nauczyl sie obslugi komputera..

Przeskanuj system przy pomocy SuperAntiSpyware, nastepnie combofix, naprawa trybu awaryjnego:
http://download.bleepingcomputer.com/sUBs/SafeBootKeyRepair.exe
W trybie awaryjnym uzyj SDFix, nastepnie daj w ZALACZNIKU! log z combofix oraz sdfix.

---

pidar - 11 Lis 2007 18:05
A może to go usunie RegRun Reanimator z http://www.greatis.com/security/download.htm i usuń tego wirusa jeśli go znajdzie. Inne podejrzane procesy na razie zostaw. Reanimatora zastosuj w ostateczności, gdy inne środki zawiodą(ręczne usuwanie).

---

jannaszek - 11 Lis 2007 18:48
cyt: Moze juz czas zebys nauczyl sie obslugi komputera.. kon.cyt.
no pewnie,tyle że ja teraz żyję z jazdy po europie ,więc dzieci mają tydzień na położenie komputera,a ja 2 godż ,na postawienie -bo wypada jeszcze ukłuć żonę..
-więc kożystam z gotowych rozwiązań i pomocy, bo w moim życu nie najważniejsze jest to blaszane draństwo[choć tak było]

dziękuję za pomoć ,zobaczę co to da i odezwę się. nie wiem tylko czy zadziała ,bo nie mogę uruchomić tryb. awar. ,jedynie safe boot w msconfig

---

Kolobos - 11 Lis 2007 20:24
> ja 2 godż ,na postawienie

Zrob obraz partycji systemowej lub lepiej calego dysku i przywracaj po infekcji, tak bedzie szybciej. Ewentualnie zabezpiecz system (konto z ograniczeniami + blokady) albo tez kup karte przywracajaca po resecie system do poprzedniego stanu (dostepne na allegro).

Dalem Ci program do naprawy trybu awaryjnego, wiec juz powinien dzialac.

Wklej do notatnika to:

File::
C:\DOCUME~1\tata\USTAWI~1\Temp\svchost.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\Tasks\AB7B38DD91B4AEA5.job

Folder::
C:\WINDOWS\exefld
c:\docume~1\tata\daneap~1\idleus~1\

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"@"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hldrrr]

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsServicesStartup]

Plik zapisz w katalogu z combofix pod nazwa CFScript.txt, nastepnie przeciagnij plik CFScript.txt na ikone combofix.exe (tak jak to masz pokazane tutaj i12.tinypic.com/4l761r5.gif ).

PS. Czekam na log z SDFix.

---

milakowie - 11 Lis 2007 20:59
OPIS WIRUSA

Przeskanuj kompa - http://www.eset.pl/onlinescan

1 ) Pytanie jakiego masz zainstalowanego antywirusa czy wogóle go masz.

Kiedy plik wirusa zostanie zainstalowany, wykonywane są następujące operacje:

1. W katalogu systemowym tworzy plik o nazwie SysDrefIWv2.exe

2. Aby być uruchamianym z każdym startem systemu operacyjnego, w rejestrze tworzy wpis:
"DrefIW= "SysDrefIWv2.exe"
w lokalizacji: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run.

3. Modyfikuje w rejestrze wpis "Start" ustawiając go na wartość "4" w lokalizacji: HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess powodując, że usługa Shared Access (Zapora systemu Windows/Udostępnianie połączenia internetowego) nie będzie uruchamiana ze startem systemu. Robak kontroluje wartość tego wpisu i jeśli ulegnie zmianie, przywraca na wartość "4".

Uruchom tryb awaryjny

usuń wartość rejestru opisaną wyżej czyli (DrefIW= "SysDrefIWv2.exe )znajduje sie w rejestrze tu - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run.

2 ) Wyłącz na czas usuwania wirusa proces SVchost w procesach sysytemowych lub uwaga proces o nazwie zblizonej do nazwy wirusa jest zmienna .

3) Usun wpis w rejestrze HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess a dokladnie chodzi o wartosc nr 4 bo ten wirus modyfikuje ja sam i uruchamia sie podczas startu za kazdym razem.

4) Wszystkie programy antywirusowe spokojnie daja sobie rade z tym wirusem takie jak NOD32, SYMANTEC ,PANDA,TREND MICRO itp : .
Robak rozrzestrzeniający się przez kanały IRC oraz dołączając się do wychodzących wiadomości e-mail. Robak napisany został w Visual C++ 6, skompresowany za pomocą PECompact i ma wielkość 30 720 bajtów.

5) Po usuniecu wpisow w rejestrach i usunieciu wpisu w katalogu systemowym SysDrefIWv2.exe .

6) Pozostaje pelny skan komputera za pomoca antywirusa polecam NOD32 dobrze sobie radzi z wirusami tworzonymi za pomocą C++ .

pozdrawiam www.haker.magma-net.pl

---

Kolobos - 11 Lis 2007 21:20
milakowie
Autor ma Nod32 (co widac w logu) i nie ma u siebie nic z tego co wystepuje w opisie tego robaka.

---

jannaszek - 11 Lis 2007 23:45
milakowie,znam tą stronę,i jest jak pisze kolobos.
podanych wpisów nie znalazłem w rejestrze. eset nod 32-jedynie potrafi wykryć owe pliki exe.
całość działań przyniosła jekieś efekty,bo zdaje się nie rozprzestrzenia sie,co widzę po kolejnych skanach.mnóstwo roboty,bo muszę wypakować archiwa,potem ręcznie wywalać to robactwo do kosza-przy okazji robię remanent..
tzn. nawet na pewno -dysk c jest już czysty.
powłączałem wszelkie ochrony ,zobaczymy
dziękuję jeszcze raz

Dodano po 42 [minuty]:

nie mogę ściągnąć sdfix-błąd.
jutro będę działał ,bo zdaje się jeszcze są problemy.dzięki kolobos za cierpliwość.
mam nawet 2 obrazy ,ale stare ,a trochę pozmieniało mi się w komputerze i szkoda mi czasu na konfigurowanie i tp.-nie mniej tak zrobię

---

jannaszek - 12 Lis 2007 19:57
witam ponownie.udało się ściągnąć sdfix[nie pozwalał nod 32]
proszę , oto raport

SDFix: Version 1.90

Run by tata on 2007-11-12 at 18:37

Microsoft Windows XP [Wersja 5.1.2600]

Running From: C:\SDFix\SDFix

Safe Mode:
Checking Services:

Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service
Restoring Missing SharedAccess Service

Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.

Final Check:

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Program Files\\Tlen.pl\\tlen.exe"="C:\\Program Files\\Tlen.pl\\tlen.exe:*:Enabled:Komunikator Tlen.pl"
"G:\\dvd kopia progsy\\internet\\eMule0.45b.[content.emule-project.net]\\eMule\\emule.exe"="G:\\dvd kopia progsy\\internet\\eMule0.45b.[content.emule-project.net]\\eMule\\emule.exe:*:Enabled:eMule"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:
---------------

Files with Hidden Attributes:

C:\Documents and Settings\tata\Dane aplikacji\Microsoft\Emulator for Windows CE\VPCKeyboard.dll
C:\WINDOWS\system32\calcsci.exe
C:\System Volume Information\_restore{9D8BF2CE-497D-45ED-82B9-63E28155C0A2}\RP2\A0000172.sys
C:\WINDOWS\system32\KGyGaAvL.sys
C:\WINDOWS\system32\config\default.tmp.LOG
C:\WINDOWS\system32\config\software.tmp.LOG
C:\WINDOWS\system32\config\system.tmp.LOG

Finished
wydaje się że pliki nie rozprzestrzeniają się,-system chodzi żwawo.uważam że jest ok,chyba że coś wyjdzie w tym raporcie
pozdrawiam wszystkich