infekcja services.exe-proszę o pomoc

[baldys15]

Witam nie dawno instalowałem Windowsa Xp sp3 i złapałem infekcję pewnie przez ściągnięcie jakiegoś fake programu,przy skanie całego Dysku Malwarebytes Antimalware pod koniec program muli system,że nic nie da się zrobić,tak jakby to była zwiecha.
Na skanie MBam zauważyłem dziwny plik o nazwie Antivirus 2009 plus na którym program strasznie muli,zabiera 100% procka i tylko zostaje restart.
Zeskanowałem kompa programem Remove Fake Antivirus i wykrył virusa w procesie services.exe:

Virus process:services.exe is detected.

narazie wrzucę loga z hijackthisa,popołudniu wrzucę z Combofixa:

Kod:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:54:24, on 2009-11-24
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Panda Security\Panda Cloud Antivirus\PSUNMain.exe
C:\Program Files\SRS Labs\Audio Sandbox\SRSSSC.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Documents and Settings\ADMIN\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\ADMIN\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\ADMIN\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\ADMIN\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\ADMIN\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PSUNMain] "C:\Program Files\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" /Traybar
O4 - HKCU\..\Run: [SRS Audio Sandbox] "C:\Program Files\SRS Labs\Audio Sandbox\SRSSSC.exe" /hideme
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ''USŁUGA LOKALNA'')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ''USŁUGA SIECIOWA'')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ''SYSTEM'')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ''Default user'')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ''Tools'' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ''Tools'' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O13 - Gopher Prefix:
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NanoServiceMain - Panda Security, S.L. - C:\Program Files\Panda Security\Panda Cloud Antivirus\PSANHost.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4537 bytes

P.S skanowałem kompa opcję szybką i w pamięci nic nie wykrywa,baza wirusów jest najnowsza,także Panda Cloud Antivirus nic nie wykrywa,skanowałem proces services na virustotal i viruscan jotti i żaden skaner nic w nim nie wykrywa.

[ichito]

Jeśli masz dostęp do sieci z tego lub innego komputera, to może spróbuj ściągnąć jakiś bootowalny antywir działający przed uruchomieniem komputera. Ja tak raz miałem i używałem wtedy skanerów zamontowanych na SARDU

[Aby zobaczyć linki, zarejestruj się tutaj]

[baldys15]

muszę instalować linuxa? na sardu?
Widzę,że programy pobierane przez Sardu mają dość dużą pojemność,np Avira Rescue System,ten program posiada coś takiego jak swoją dystrybucję Linuxa,żeby działać w nim,czy jak,muszę ściągać Linuxa jakiegoś?

P.S ściągnę Kasperskiego,Avirę,F-Secure i Drweb czy zmieszczą się one na pendrivie 1gb?

[polak900]

użyj tego i daj znać:

[Aby zobaczyć linki, zarejestruj się tutaj]

---

[Aby zobaczyć linki, zarejestruj się tutaj]

[baldys15]

@Polak użyłem tego poczytaj post wyżej,może ten program usunął infekcję,wrzucę loga z Combofixa

[polak900]

używałeś ten pierwszy do fake av czy ten drugi do skanowania kompa

[baldys15]

log z Combofixa:

Kod:

ComboFix 09-11-23.05 - ADMIN 2009-11-24 17:17.1.1 - x86
Microsoft Windows XP Professional5.1.2600.3.1250.48.1045.18.511.235 [GMT 1:00]
Uruchomiony z: c:\documents and settings\ADMIN\Pulpit\ComboFix.exe
AV: Panda Cloud Antivirus *On-access scanning disabled* (Updated) {5AD27692-540A-464E-B625-78275FA38393}
.

((((((((((((((((((((((((( Pliki utworzone od 2009-10-24 do 2009-11-24)))))))))))))))))))))))))))))))
.

2009-11-24 05:54 . 2009-11-24 05:54    --------    d-----w-    c:\program files\Trend Micro
2009-11-23 16:16 . 2009-11-23 16:16    --------    d-----w-    c:\program files\Marcos Velasco Security
2009-11-22 19:45 . 2009-11-22 19:45    --------    d-----w-    c:\program files\AnalogX
2009-11-22 19:42 . 2009-11-23 19:55    --------    d-----w-    c:\documents and settings\ADMIN\Dane aplikacji\AIMP
2009-11-22 19:22 . 2009-11-22 19:55    --------    d-----w-    c:\program files\7-Zip
2009-11-22 15:24 . 2005-05-08 16:56    55808    ----a-w-    c:\windows\system32\zlib1.dll
2009-11-22 13:13 . 2008-04-13 21:15    26368    -c--a-w-    c:\windows\system32\dllcache\usbstor.sys
2009-11-22 08:17 . 2009-11-22 08:17    --------    d-----w-    c:\documents and settings\ADMIN\Dane aplikacji\Panda Security
2009-11-22 08:16 . 2009-11-22 08:16    264    ----a-w-    c:\windows\system32\PSUNCpl.dat
2009-11-22 08:16 . 2009-11-22 08:16    --------    d-----w-    c:\program files\Panda Security
2009-11-22 08:16 . 2009-11-22 08:16    --------    d-----w-    c:\documents and settings\All Users\Dane aplikacji\Panda Security
2009-11-21 18:26 . 2009-11-22 19:28    --------    d-----w-    c:\program files\Free Window Registry Repair
2009-11-18 19:57 . 2009-11-18 19:57    --------    d-----w-    c:\documents and settings\ADMIN\Dane aplikacji\Malwarebytes
2009-11-18 19:16 . 2009-11-18 19:25    81984    ----a-w-    c:\windows\system32\bdod.bin
2009-11-17 23:07 . 2009-11-17 23:07    --------    d-----w-    c:\documents and settings\ADMIN\Ustawienia lokalne\Dane aplikacji\Identities
2009-11-17 17:25 . 2008-04-14 19:50    21504    -c--a-w-    c:\windows\system32\dllcache\hidserv.dll
2009-11-17 17:25 . 2008-04-14 19:50    21504    ----a-w-    c:\windows\system32\hidserv.dll
2009-11-17 17:24 . 2008-04-14 18:50    14720    -c--a-w-    c:\windows\system32\dllcache\kbdhid.sys
2009-11-17 17:24 . 2008-04-14 18:50    14720    ----a-w-    c:\windows\system32\drivers\kbdhid.sys
2009-11-17 17:24 . 2008-04-13 21:15    32128    -c--a-w-    c:\windows\system32\dllcache\usbccgp.sys
2009-11-17 17:24 . 2008-04-13 21:15    32128    ----a-w-    c:\windows\system32\drivers\usbccgp.sys
2009-11-17 17:08 . 2009-11-17 17:08    --------    d-----w-    c:\program files\A4Tech
2009-11-17 17:08 . 2007-10-08 01:44    10752    ----a-w-    c:\windows\system32\drivers\Arfumx86.sys
2009-11-17 17:08 . 2007-12-25 16:08    14336    ----a-w-    c:\windows\system32\drivers\Amusbprt.sys
2009-11-17 17:08 . 2007-06-17 00:00    14336    ----a-w-    c:\windows\system32\drivers\Amps2prt.sys
2009-11-17 17:08 . 2007-02-10 21:17    36864    ----a-w-    c:\windows\system32\Amhooker.dll
2009-11-17 17:08 . 2007-01-24 16:46    8704    ----a-w-    c:\windows\system32\drivers\Amfilter.sys
2009-11-17 16:32 . 2009-11-17 16:32    --------    d-----w-    c:\program files\uTorrent
2009-11-17 16:31 . 2009-11-23 19:55    --------    d-----w-    c:\documents and settings\ADMIN\Dane aplikacji\uTorrent
2009-11-17 16:08 . 2009-08-29 07:52    12800    -c----w-    c:\windows\system32\dllcache\xpshims.dll
2009-11-17 16:08 . 2009-08-29 07:52    1986048    -c----w-    c:\windows\system32\dllcache\iertutil.dll
2009-11-17 16:08 . 2009-08-29 07:52    594432    -c----w-    c:\windows\system32\dllcache\msfeeds.dll
2009-11-17 16:08 . 2009-08-29 07:52    55296    -c----w-    c:\windows\system32\dllcache\msfeedsbs.dll
2009-11-17 16:08 . 2009-08-29 07:52    246272    -c----w-    c:\windows\system32\dllcache\ieproxy.dll
2009-11-17 15:33 . 2009-11-17 15:33    --------    d-----w-    c:\windows\system32\KB905474
2009-11-17 15:33 . 2009-03-10 21:26    1436544    ----a-w-    c:\windows\system32\KB905474\wganotifypackageinner.exe
2009-11-17 15:33 . 2009-03-10 21:18    455048    ----a-w-    c:\windows\system32\KB905474\wgasetup.exe
2009-11-17 15:31 . 2009-11-17 15:31    --------    d-----w-    c:\documents and settings\All Users\Dane aplikacji\ipla
2009-11-17 15:28 . 2009-07-16 21:33    221184    ----a-w-    c:\windows\system32\wmpns.dll
2009-11-17 15:06 . 2009-11-17 15:15    --------    d-----w-    c:\documents and settings\ADMIN\Ustawienia lokalne\Dane aplikacji\Google
2009-11-17 14:57 . 2009-08-04 17:23    2146816    -c----w-    c:\windows\system32\dllcache\ntkrnlmp.exe
2009-11-17 14:57 . 2009-08-04 17:23    2190592    -c----w-    c:\windows\system32\dllcache\ntoskrnl.exe
2009-11-17 14:57 . 2009-08-04 17:23    2025472    -c----w-    c:\windows\system32\dllcache\ntkrpamp.exe
2009-11-17 05:39 . 2001-10-26 13:57    12160    -c--a-w-    c:\windows\system32\dllcache\mouhid.sys
2009-11-17 05:39 . 2001-10-26 13:57    12160    ----a-w-    c:\windows\system32\drivers\mouhid.sys
2009-11-17 05:39 . 2008-04-13 21:15    10368    -c--a-w-    c:\windows\system32\dllcache\hidusb.sys
2009-11-17 05:39 . 2008-04-13 21:15    10368    ----a-w-    c:\windows\system32\drivers\hidusb.sys
2009-11-16 20:36 . 2009-11-22 10:01    --------    d-----w-    c:\program files\Valve
2009-11-16 20:30 . 2009-11-16 20:30    --------    d-----w-    c:\documents and settings\ADMIN\Dane aplikacji\KC Softwares
2009-11-16 20:20 . 2009-11-16 20:20    --------    d-----w-    c:\program files\Argente Software
2009-11-16 20:10 . 2009-11-16 20:10    --------    d-----w-    c:\program files\KC Softwares
2009-11-16 20:00 . 2009-11-16 20:00    --------    d-----w-    c:\documents and settings\All Users\Dane aplikacji\SRS Labs
2009-11-16 20:00 . 2009-11-16 20:00    --------    d-----w-    c:\documents and settings\ADMIN\Ustawienia lokalne\Dane aplikacji\SRS Labs

.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-23 19:55 . 2009-11-16 19:49    --------    d-----w-    c:\program files\MyDefrag v4.2.6
2009-11-22 19:23 . 2009-11-16 19:49    --------    d-----w-    c:\program files\Odkurzacz
2009-11-22 12:33 . 2009-11-16 19:47    --------    d-----w-    c:\documents and settings\ADMIN\Dane aplikacji\ipla
2009-11-19 19:11 . 2009-11-16 19:52    --------    d-----w-    c:\program files\NAPI-PROJEKT
2009-11-16 20:36 . 2009-11-16 19:10    --------    d--h--w-    c:\program files\InstallShield Installation Information
2009-11-16 20:35 . 2009-11-16 19:09    --------    d-----w-    c:\program files\Common Files\InstallShield
2009-11-16 20:23 . 2009-07-16 21:33    49910    ----a-w-    c:\windows\system32\perfc015.dat
2009-11-16 20:23 . 2009-07-16 21:33    356068    ----a-w-    c:\windows\system32\perfh015.dat
2009-11-16 19:59 . 2009-11-16 19:59    --------    d-----w-    c:\program files\SRS Labs
2009-11-16 19:52 . 2009-11-16 19:52    --------    d-----w-    c:\documents and settings\All Users\Dane aplikacji\Martau
2009-11-16 19:52 . 2009-11-16 19:52    --------    d-----w-    c:\program files\Total Uninstall 5
2009-11-16 19:50 . 2009-11-16 19:50    25992    ----a-w-    c:\windows\system32\pgdfgsvc.exe
2009-11-16 19:49 . 2009-11-16 19:48    --------    d-----w-    c:\program files\Malwarebytes'' Anti-Malware
2009-11-16 19:48 . 2009-11-16 19:48    --------    d-----w-    c:\documents and settings\All Users\Dane aplikacji\Malwarebytes
2009-11-16 19:47 . 2009-11-16 19:48    411368    ----a-w-    c:\windows\system32\deploytk.dll
2009-11-16 19:47 . 2009-11-16 19:47    --------    d-----w-    c:\program files\Java
2009-11-16 19:47 . 2009-11-16 19:47    --------    d-----w-    c:\program files\ipla
2009-11-16 19:47 . 2009-11-16 19:47    1700352    ----a-w-    c:\windows\system32\gdiplus.dll
2009-11-16 19:44 . 2009-11-16 19:44    --------    d-----w-    c:\documents and settings\ADMIN\Dane aplikacji\BESTplayer
2009-11-16 19:43 . 2009-11-16 19:43    --------    d-----w-    c:\program files\Codec
2009-11-16 19:42 . 2009-11-16 19:42    --------    d-----w-    c:\program files\CCleaner
2009-11-16 19:36 . 2009-11-16 19:36    --------    d-----w-    c:\program files\VITSOFT
2009-11-16 19:29 . 2009-11-16 19:29    --------    d-----w-    c:\program files\WapSter
2009-11-16 19:28 . 2009-11-16 19:28    --------    d-----w-    c:\program files\AIMP2
2009-11-16 19:19 . 2009-11-16 19:18    --------    d-----w-    c:\program files\ATI Technologies
2009-11-16 19:13 . 2009-11-16 19:13    --------    d-----w-    c:\program files\Analog Devices
2009-11-16 19:12 . 2009-11-16 19:12    12328    ----a-w-    c:\documents and settings\ADMIN\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT
2009-11-16 19:12 . 2009-11-16 19:12    --------    d-----w-    c:\program files\Broadcom
2009-11-16 19:10 . 2009-11-16 19:10    --------    d-----w-    c:\program files\Intel
2009-11-16 19:08 . 2009-11-16 18:45    86327    ----a-w-    c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-11-16 18:47 . 2009-11-16 18:47    --------    d-----w-    c:\program files\microsoft frontpage
2009-11-16 18:44 . 2009-11-16 18:44    --------    d-----w-    c:\program files\Usługi online
2009-11-16 18:42 . 2009-11-16 18:42    21856    ----a-w-    c:\windows\system32\emptyregdb.dat
2009-11-16 18:41 . 2009-11-16 18:41    --------    d-----w-    c:\program files\Windows Media Connect 2
2009-11-14 06:37 . 2009-11-16 19:49    93696    ----a-w-    c:\windows\system32\MyDefragScreenSaver.scr
2009-11-14 06:37 . 2009-11-16 19:49    931328    ----a-w-    c:\windows\system32\MyDefragScreenSaver.exe
2009-10-30 15:18 . 2009-10-30 15:18    146952    ----a-w-    c:\windows\system32\drivers\PSINAflt.sys
2009-10-25 02:18 . 2009-11-16 19:43    198144    ----a-w-    c:\windows\system32\xvidvfw.dll
2009-10-25 02:17 . 2009-11-16 19:43    887296    ----a-w-    c:\windows\system32\xvidcore.dll
2009-10-13 14:50 . 2009-10-13 14:50    101512    ----a-w-    c:\windows\system32\drivers\PSINProc.sys
2009-10-13 14:50 . 2009-10-13 14:50    95880    ----a-w-    c:\windows\system32\drivers\PSINFile.sys
2009-10-13 14:50 . 2009-10-13 14:50    114312    ----a-w-    c:\windows\system32\drivers\PSINKNC.sys
2009-09-25 15:42 . 2009-11-16 19:43    532480    ----a-w-    c:\windows\system32\DivXsm.exe
2009-09-25 15:42 . 2009-11-16 19:43    3596288    ----a-w-    c:\windows\system32\qt-dx331.dll
2009-09-25 15:41 . 2009-11-16 19:43    90112    ----a-w-    c:\windows\system32\dpl100.dll
2009-09-25 15:41 . 2009-11-16 19:43    696320    ----a-w-    c:\windows\system32\divx.dll
2009-09-11 14:15 . 2009-07-16 21:33    136704    ----a-w-    c:\windows\system32\msv1_0.dll
2009-09-10 13:54 . 2009-11-16 19:48    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-10 13:53 . 2009-11-16 19:48    19160    ----a-w-    c:\windows\system32\drivers\mbam.sys
2009-09-04 21:05 . 2009-07-16 21:33    58880    ----a-w-    c:\windows\system32\msasn1.dll
2009-09-04 16:44 . 2009-11-16 19:22    515416    ----a-w-    c:\windows\system32\XAudio2_5.dll
2009-09-04 16:44 . 2009-11-16 19:22    238936    ----a-w-    c:\windows\system32\xactengine3_5.dll
2009-09-04 16:44 . 2009-11-16 19:22    69464    ----a-w-    c:\windows\system32\XAPOFX1_3.dll
2009-09-04 16:29 . 2009-11-16 19:22    235344    ----a-w-    c:\windows\system32\d3dx11_42.dll
2009-09-04 16:29 . 2009-11-16 19:22    453456    ----a-w-    c:\windows\system32\d3dx10_42.dll
2009-09-04 16:29 . 2009-11-16 19:22    1974616    ----a-w-    c:\windows\system32\D3DCompiler_42.dll
2009-09-04 16:29 . 2009-11-16 19:22    5501792    ----a-w-    c:\windows\system32\d3dcsx_42.dll
2009-09-04 16:29 . 2009-11-16 19:22    1892184    ----a-w-    c:\windows\system32\D3DX9_42.dll
2009-08-29 07:52 . 2009-07-16 21:33    916480    ----a-w-    c:\windows\system32\wininet.dll
.

------- Sigcheck -------

[-] 2009-07-16 . C8BDAD4065118558B3DC360FC96D81DB . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Panda Malware Icon]
@="{F5D1CF73-C196-48F8-AAAC-B9181E22B4E6}"
[HKEY_CLASSES_ROOT\CLSID\{F5D1CF73-C196-48F8-AAAC-B9181E22B4E6}]
2009-11-02 08:00    312576    ----a-w-    c:\program files\Panda Security\Panda Cloud Antivirus\PSUNShell.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Panda Pending Delete Icon]
@="{0847B599-9191-4A27-BD61-DE11598D3B1B}"
[HKEY_CLASSES_ROOT\CLSID\{0847B599-9191-4A27-BD61-DE11598D3B1B}]
2009-11-02 08:00    312576    ----a-w-    c:\program files\Panda Security\Panda Cloud Antivirus\PSUNShell.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Panda Suspect Icon]
@="{9AE343CB-BA45-4618-AF6A-0230EE6FC793}"
[HKEY_CLASSES_ROOT\CLSID\{9AE343CB-BA45-4618-AF6A-0230EE6FC793}]
2009-11-02 08:00    312576    ----a-w-    c:\program files\Panda Security\Panda Cloud Antivirus\PSUNShell.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SRS Audio Sandbox"="c:\program files\SRS Labs\Audio Sandbox\SRSSSC.exe" [2008-09-30 4354048]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-07 344064]
"PSUNMain"="c:\program files\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" [2009-10-30 361728]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2009-07-16 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute    REG_MULTI_SZ     autocheck autochk *\0pgdfgsvc C 1
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Valve\\hl.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\WapSter\\WapSter AQQ\\AQQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:DCOM(135)

R0 Si3124;Si3124;c:\windows\system32\drivers\si3124.sys [2009-07-16 69248]
R0 Si3531;Si3531;c:\windows\system32\drivers\Si3531.sys [2009-07-16 212520]
R0 ulsata2;ulsata2;c:\windows\system32\drivers\ulsata2.sys [2009-07-16 125952]
R1 PSINKNC;PSINKNC;c:\windows\system32\drivers\PSINKNC.sys [2009-10-13 114312]
R2 NanoServiceMain;NanoServiceMain;c:\program files\Panda Security\Panda Cloud Antivirus\PSANHost.exe [2009-10-30 136448]
R2 PSINAflt;PSINAflt;c:\windows\system32\drivers\PSINAflt.sys [2009-10-30 146952]
R2 PSINFile;PSINFile;c:\windows\system32\drivers\PSINFile.sys [2009-10-13 95880]
R2 PSINProc;PSINProc;c:\windows\system32\drivers\PSINProc.sys [2009-10-13 101512]
.
Zawartość folderu ''Zaplanowane zadania''

2009-11-17 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1757981266-507921405-1343024091-500Core.job
- c:\documents and settings\ADMIN\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2009-11-17 15:06]

2009-11-23 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-11-17 21:18]
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-24 17:21
Windows 5.1.2600 Dodatek Service Pack 3 NTFS

skanowanie ukrytych procesów ...

skanowanie ukrytych wpisów autostartu ...

skanowanie ukrytych plików ...

skanowanie pomyślnie ukończone
ukryte pliki: 0

**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------

- - - - - - - > ''winlogon.exe''(944)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > ''explorer.exe''(2396)
c:\windows\system32\WININET.dll
c:\program files\Panda Security\Panda Cloud Antivirus\PSUNShell.DLL
c:\program files\Panda Security\Panda Cloud Antivirus\PSNCIPC.dll
c:\program files\Panda Security\Panda Cloud Antivirus\PSNCGP.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
Czas ukończenia: 2009-11-24 17:22
ComboFix-quarantined-files.txt2009-11-24 16:22

Przed: 11 763 490 816 bajtów wolnych
Po: 11 735 371 776 bajtów wolnych

WindowsXP-KB310994-SP2-Pro-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - D08C3766B1B5EB4E06944E8C4F14F306

log z SMITHFRAUDFIX------

Kod:

SmitFraudFix v2.424

Scan done at 18:38:28,76, 2009-11-24
Run from C:\Documents and Settings\ADMIN\Pulpit\SmitfraudFix
OS: Microsoft Windows XP [Wersja 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler''s .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri''s WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{29734445-6606-4F64-9BD9-6E576C6EDCA9}: DhcpNameServer=193.58.232.250
HKLM\SYSTEM\CS1\Services\Tcpip\..\{29734445-6606-4F64-9BD9-6E576C6EDCA9}: DhcpNameServer=193.58.232.250
HKLM\SYSTEM\CS2\Services\Tcpip\..\{29734445-6606-4F64-9BD9-6E576C6EDCA9}: DhcpNameServer=193.58.232.250
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=193.58.232.250
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=193.58.232.250
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=193.58.232.250


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler''s .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

[tommyklab]

Trzebabyło wcześniej wyłuskać tego services.exe i spakowac na hasło i wrzuć do oblookania.

Combofixa nie stosuj bez rozpoznania sytuacji przez expertów od tego!!!

[baldys15]

proces services.exe skanowałem wcześniej na virustotal.com i virusscan jotti i żaden skaner nic nie wykrył,zainstalowałem Avirę i przeskanowałem system,Avira wykryła 2 pliki zainfekowane SPR.Tool,jeden usunąłem 2 plik był zablokowany i Avira usunęła go po restarcie.
Proszę o analizę logów z Combofixa i SmithfraudFix.

[ichito]

Do SARDU nie musisz mieć Linuxa. Avira Rescue jest do ściągnięcia i zamontowania przez SARDU podobnie jak właściwie wszystkie linkowane skanery. U mnie pendrak bootowalny z 6 skanerami i 3 lub 4 narzędziami zajął ok. 1,2 giga.
Remove Fake Antivirus ma już wersję 1.53

[Aby zobaczyć linki, zarejestruj się tutaj]

[baldys15]

wrzuciłem loga z Combofixa i Smithfraudfix,możesz zobaczyć czy oby napewno jest już czystko,nie ma śladów po infekcji?

[Serafin]

baldys15
Logi są czyste, ale mam do Ciebie kilka uwag.
- logi dajemy w tagach code
- logi wstawiamy w nowych postach
- log z combofixa dajemy wtedy gdy jesteśmy o niego poproszeni.

[baldys15]

spoko Serafin,temat do zamknięcia