Neviem napalovat a podozrenie na rootkit

[motji]

ano, něco pomazal.
Zkuste.
Používáte Usb klíče?

[billabong-a]

ano používam USB a aj externí HDD...ako viem aj to otestovat?

[motji]

Zapojte do pc všechny usb klíče, flashky...co používáte


Stáhněte na plochu UsbFix
-spusťte, zvolte jazyk E - potvrdťe enter
-klikněte na volbu 2- enter
- po skenu sem vložte log , pokud na Vás nevyskočí, najdete ho C:\UsbFix.txt

[billabong-a]

ok provedu ...akurat som xel napalovat ale ešte satale neviem

[billabong-a]

G://Autorun.inf/Win32/PSW.OnlineGames.NNU trôjsky kôň
ako som zasunul toto mi hned chytil Eset...ale ešte spravím to čo si mi kázala...

[billabong-a]

a MP4 je ako USB?

[billabong-a]

a volba 2 neni to že zmaže celí obsah???to čo je na externom HDD potrebujem...

[billabong-a]

############################## | UsbFix V6.099 |

User : Gorgo (Administrators) # TARA
Update on 11/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 17:55:20 | 14. 3. 2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual CPU E2160 @ 1.80GHz
Systém Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : ESET Smart Security 4.0 4.0 [ Enabled | Updated ]
FW : ESET personal firewall[ Enabled ]4.0.474.0

C:\ -> Místní pevný disk # 29,29 Go (5,88 Go free) # NTFS
D:\ -> Místní pevný disk # 268,79 Go (92,68 Go free) # NTFS
E:\ -> Disk CD-ROM
F:\ -> Vyměnitelný disk # 963,7 Mo (776,12 Mo free) # FAT
G:\ -> Vyměnitelný disk # 3,72 Go (1,05 Go free) [KINGSTON] # FAT32
H:\ -> Vyměnitelný disk # 1,88 Go (397,59 Mo free) [PHILIPS] # FAT32

################## | Files # Infected Folders |

Deleted ! D:\Recycler\S-1-5-21-1547161642-583907252-1417001333-500
Deleted ! D:\Recycler\S-1-5-21-1715567821-1547161642-725345543-1003
Deleted ! D:\Recycler\S-1-5-21-1715567821-1547161642-725345543-500
Deleted ! D:\Recycler\S-1-5-21-220523388-1637723038-1801674531-1003
Deleted ! F:\Recycled\ctfmon.exe
Deleted ! F:\winamp_cache_0001.xml
(!) Not deleted ! G:\9g86.exe
Deleted ! H:\copy.exe
Deleted ! H:\host.exe
Deleted ! H:\9g86.exe
Deleted ! H:\cold\hott\Desktop.ini
Deleted ! H:\cold\hott\raidhost.exe
Deleted ! H:\cold\hott
Deleted ! H:\cold
Deleted ! H:\r2g20.exe
Deleted ! H:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx
Deleted ! H:\Recycler\S-5-3-42-2819952290-8240758988-879315005-3665

################## | Registry |

Deleted ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
Deleted ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

################## | Mountpoints2 |

Deleted ! HKCU\...\Explorer\MountPoints2\{311504b3-0e6a-11df-bf3c-001c2507b026}\Shell\AutoRun\Command

################## | Listing of the present files |

[30. 01. 2010 16:34|--a------|0] C:\AUTOEXEC.BAT
[30. 01. 2010 16:24|--a------|211] C:\Boot.bak
[11. 03. 2010 17:45|-rahs----|281] C:\boot.ini
[25. 10. 2001 12:00|-rahs----|4952] C:\Bootfont.bin
[03. 08. 2004 23:00|--a------|260272] C:\cmldr
[11. 03. 2010 17:50|--a------|33042] C:\ComboFix.txt
[30. 01. 2010 16:34|--a------|0] C:\CONFIG.SYS
[30. 01. 2010 16:34|-rahs----|0] C:\IO.SYS
[30. 01. 2010 16:34|-rahs----|0] C:\MSDOS.SYS
[13. 04. 2008 21:13|-rahs----|47564] C:\NTDETECT.COM
[13. 04. 2008 23:01|-rahs----|250576] C:\ntldr
[?|?|?] C:\pagefile.sys
[14. 03. 2010 17:57|--a------|2727] C:\UsbFix.txt
[30. 11. 2009 15:13|--ah-----|12468282] D:\30112009.mp4
[13. 01. 2010 19:41|--a------|40960] D:\filmek_lista.xls
[11. 12. 2009 01:33|--a------|741526874] D:\Papˇrrepl‹k.avi
[21. 11. 2009 22:47|--a------|41] F:\pmp_usb.ini
[29. 12. 2009 16:08|--a------|181109044] F:\hdtv-madagaszkaracsony.avi
[30. 01. 2010 22:29|--a------|15442876] F:\K-Lite_Codec_Pack_561_Full.exe
[06. 03. 2010 21:36|--a------|25532] G:\parti nagy lajos.rtf
[07. 07. 2000 09:00|---hs----|4194304] H:\MUSIC.LIB
[07. 07. 2000 00:00|---hs----|50176] H:\MUSIC.SEC
[27. 12. 2002 18:44|---hs----|270] H:\PHOTO.LIB
[27. 12. 2002 18:44|---hs----|270] H:\MOVIE.LIB
[27. 12. 2002 18:44|-rahs----|822] H:\SETTINGS.DAT
[15. 02. 2010 21:25|--a------|425754] H:\avatar.docx
[11. 11. 2009 20:50|--a------|1373] H:\umb-root-ca.crt

################## | Vaccination |

# C:\autorun.inf -> Autorun.inf created by UsbFix (El Desaparecido).
# D:\autorun.inf -> Autorun.inf created by UsbFix (El Desaparecido).
# F:\autorun.inf -> Autorun.inf created by UsbFix (El Desaparecido).
# G:\autorun.inf -> Autorun.inf created by UsbFix (El Desaparecido).
# H:\autorun.inf -> Autorun.inf created by UsbFix (El Desaparecido).

################## | Upload |

Please send the file : C:\UsbFix_Upload_Me_TARA.zip : http://chiquitine.changelog.fr/Sample/Upload.php
Thank you for your contribution .

[billabong-a]

ale som odpojil externí HDD lebo sa on velmi bojím a fakt si musím byt istí že sa mu nič nestane

[motji]

Maže pouze šmejdy, na které je naprogramovaný. Pokud je tam mrška, rozšíří se znovu na ostatní. A že Vám toho smazal .
Jednotka G je ten externí disk?
Zapojte ho znovu a dejte na USBfixu volbu 1.

[billabong-a]

G je običajní USB 4GB...tak ok idem nato ešte raz

[billabong-a]

############################## | UsbFix V6.099 |

User : Gorgo (Administrators) # TARA
Update on 11/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 8:37:10 | 15. 3. 2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual CPU E2160 @ 1.80GHz
Systém Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : ESET Smart Security 4.0 4.0 [ Enabled | Updated ]
FW : ESET personal firewall[ Enabled ]4.0.474.0

C:\ -> Místní pevný disk # 29,29 Go (6,13 Go free) # NTFS
D:\ -> Místní pevný disk # 268,79 Go (92,68 Go free) # NTFS
E:\ -> Disk CD-ROM
F:\ -> Vyměnitelný disk # 963,7 Mo (776,16 Mo free) # FAT
G:\ -> Vyměnitelný disk # 3,72 Go (1,05 Go free) [KINGSTON] # FAT32
H:\ -> Vyměnitelný disk # 1,88 Go (398,42 Mo free) [PHILIPS] # FAT32
I:\ -> Disk CD-ROM # 614,91 Mo (0 Mo free) [WD SmartWare] # UDF
J:\ -> Místní pevný disk # 930,86 Go (577,56 Go free) [My Book] # NTFS

################## | Files # Infected Folders |

I:\autorun.inf

################## | Registry |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{311504b3-0e6a-11df-bf3c-001c2507b026}
Shell\AutoRun\command ="I:\WD SmartWare.exe" autoplay=true

################## | Vaccin |

# C:\autorun.inf -> Autorun.inf created by UsbFix (El Desaparecido).
# D:\autorun.inf -> Autorun.inf created by UsbFix (El Desaparecido).
# F:\autorun.inf -> Autorun.inf created by UsbFix (El Desaparecido).
# G:\autorun.inf -> Autorun.inf created by UsbFix (El Desaparecido).
# H:\autorun.inf -> Autorun.inf created by UsbFix (El Desaparecido).

################## | ! End of report # UsbFix V6.099 ! |

[billabong-a]

jednotky I a J je externé HDD...a ako som dal ten skan s 1 mám spomalení PC a aj net

[motji]

Zapojte opět všechny flešky a pod do pc a nechejte po všechny skeny

Pokud nemáte, přesuňte Combofix na plochu
-otevřete si Poznámkový blok
-Do něj zkopírujte text z tohoto okénka

Kód: Vybrat vše

Restore::
c:\windows\system32\drivers\tcpip.sys

Collect::
G:\9g86.exe 
I:\autorun.inf 
J:\autorun.inf 

DDS::
uDefault_Search_URL = hxxp://search.qip.ru
uSearchAssistant = hxxp://search.qip.ru/ie
uSearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip

Firefox::
FF - prefs.js: keyword.URL - hxxp://search.qip.ru/search?from=FF&query=

-uložte Vámi vytvořený TXT soubor jako CFScript.txt na plochu
-po uložení uchopte vámi vytvořený skript levým myšítkem a -přesuňte ho nad ikonu Combofixu, kde ho upustíte:




-po aplikaci na Vás vypadne další log,vložte ho sem

Upozornění : může se stát, že po aplikaci skriptu a restartu Windows nenaběhnou, v tom případě znovu restartujte a přitom mačkejte F8, pak zvolte Poslední známou funkční konfiguraci


Klikněte mi do podpisu na SVI a podle návodu zapněte a vypněte obnovu systému,


Stáhněte ftp://ftp.f-secure.com/anti-virus/tools ... wnadup.zip
- v nouzovém režimu spustte (po restartu mačkejte F8 - nouzový režim)



Stahněte z mého podpisu AVPTOOl http://www.viry.cz/forum/viewtopic.php?f=29&t=58179

-Podle návodu nainstalujte a proveďte sken
-co najde nechejte léčit, mazat
-sken může trvat několik hodin
-vložte zde log z výsledky

[billabong-a]

############################## | UsbFix V6.099 |

User : Gorgo (Administrators) # TARA
Update on 11/03/2010 by El Desaparecido , C_XX & Chimay8
Start at: 12:48:55 | 15. 3. 2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Pentium(R) Dual CPU E2160 @ 1.80GHz
Systém Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : ESET Smart Security 4.0 4.0 [ Enabled | Updated ]
FW : ESET personal firewall[ Enabled ]4.0.474.0

C:\ -> Místní pevný disk # 29,29 Go (6,08 Go free) # NTFS
D:\ -> Místní pevný disk # 268,79 Go (92,68 Go free) # NTFS
E:\ -> Disk CD-ROM
F:\ -> Vyměnitelný disk # 963,7 Mo (776,16 Mo free) # FAT
G:\ -> Vyměnitelný disk # 3,72 Go (1,05 Go free) [KINGSTON] # FAT32
H:\ -> Vyměnitelný disk # 1,88 Go (398,42 Mo free) [PHILIPS] # FAT32
I:\ -> Disk CD-ROM # 614,91 Mo (0 Mo free) [WD SmartWare] # UDF
J:\ -> Místní pevný disk # 930,86 Go (577,56 Go free) [My Book] # NTFS

################## | Files # Infected Folders |

Deleted ! C:\Recycler\S-1-5-21-220523388-1637723038-1801674531-1003
Deleted ! D:\Recycler\S-1-5-21-220523388-1637723038-1801674531-1003
(!) Not deleted ! I:\autorun.inf
Deleted ! J:\$Recycle.Bin\S-1-5-21-3709661196-2359717673-1263202334-1004
Deleted ! J:\Recycler\S-1-5-21-1229272821-1644491937-1801674531-1004
Deleted ! J:\Recycler\S-1-5-21-220523388-1637723038-1801674531-1003
Deleted ! J:\Recycler\S-1-5-21-343818398-879983540-725345543-1003
Deleted ! J:\Recycler\S-1-5-21-682003330-1383384898-1801674531-1003

################## | Registry |


################## | Mountpoints2 |


################## | Listing of the present files |

[30. 01. 2010 16:34|--a------|0] C:\AUTOEXEC.BAT
[30. 01. 2010 16:24|--a------|211] C:\Boot.bak
[11. 03. 2010 17:45|-rahs----|281] C:\boot.ini
[25. 10. 2001 12:00|-rahs----|4952] C:\Bootfont.bin
[03. 08. 2004 23:00|--a------|260272] C:\cmldr
[11. 03. 2010 17:50|--a------|33042] C:\ComboFix.txt
[30. 01. 2010 16:34|--a------|0] C:\CONFIG.SYS
[30. 01. 2010 16:34|-rahs----|0] C:\IO.SYS
[30. 01. 2010 16:34|-rahs----|0] C:\MSDOS.SYS
[13. 04. 2008 21:13|-rahs----|47564] C:\NTDETECT.COM
[13. 04. 2008 23:01|-rahs----|250576] C:\ntldr
[?|?|?] C:\pagefile.sys
[15. 03. 2010 12:51|--a------|2354] C:\UsbFix.txt
[14. 03. 2010 17:57|--a------|2855] C:\UsbFix_Upload_Me_TARA.zip
[30. 11. 2009 15:13|--ah-----|12468282] D:\30112009.mp4
[13. 01. 2010 19:41|--a------|40960] D:\filmek_lista.xls
[11. 12. 2009 01:33|--a------|741526874] D:\Papˇrrepl‹k.avi
[21. 11. 2009 22:47|--a------|41] F:\pmp_usb.ini
[29. 12. 2009 16:08|--a------|181109044] F:\hdtv-madagaszkaracsony.avi
[30. 01. 2010 22:29|--a------|15442876] F:\K-Lite_Codec_Pack_561_Full.exe
[06. 03. 2010 21:36|--a------|25532] G:\parti nagy lajos.rtf
[07. 07. 2000 09:00|---hs----|4194304] H:\MUSIC.LIB
[07. 07. 2000 00:00|---hs----|50176] H:\MUSIC.SEC
[27. 12. 2002 18:44|---hs----|270] H:\PHOTO.LIB
[27. 12. 2002 18:44|---hs----|270] H:\MOVIE.LIB
[27. 12. 2002 18:44|-rahs----|822] H:\SETTINGS.DAT
[15. 02. 2010 21:25|--a------|425754] H:\avatar.docx
[11. 11. 2009 20:50|--a------|1373] H:\umb-root-ca.crt
[18. 06. 2009 22:12|-r-------|88] I:\autorun.inf
[13. 11. 2009 20:25|-r-------|3687200] I:\Unlock.exe
[14. 11. 2009 01:30|-r-------|1456475] I:\Virtual CD Manager.exe
[13. 11. 2009 20:25|-r-------|3280672] I:\WD SmartWare.exe
[18. 06. 2009 18:06|-r-------|695] I:\What is this.html
[25. 02. 2010 18:16|--a------|517699] J:\daemon341.exe
[14. 02. 2010 19:42|--ahs----|98816] J:\Thumbs.db

################## | Vaccination |

# C:\autorun.inf -> Autorun.inf created by UsbFix (El Desaparecido).
# D:\autorun.inf -> Autorun.inf created by UsbFix (El Desaparecido).
# F:\autorun.inf -> Autorun.inf created by UsbFix (El Desaparecido).
# G:\autorun.inf -> Autorun.inf created by UsbFix (El Desaparecido).
# H:\autorun.inf -> Autorun.inf created by UsbFix (El Desaparecido).
# J:\autorun.inf -> Autorun.inf created by UsbFix (El Desaparecido).

################## | Upload |

Please send the file : C:\UsbFix_Upload_Me_TARA.zip : http://chiquitine.changelog.fr/Sample/Upload.php
Thank you for your contribution .

################## | ! End of report # UsbFix V6.099 ! |