Kaspersky wykrył wirusa - co z tym zrobić?

iceefka (Ice Efka) 2007-08-03 11:32:56 UTC #1

po formacie miałam problemy z netem - Generic Host Process for Win32 Services wystąpił błąd z aplikacją i zostanei ona zamknięta. ściągnęłam łatkę. pomogło, bo komunikat wyskakiwał, ale dalej był problem - net chodził niby, ale po jakimś czasie chociaż połączenie nie zostało przerwane padało wszystko - strony sie nie wgrywało, GG robiło sie niedostępne. tak więc net był, ale jakby go nie było. pomogło dopiero windows worms doors cleaner. w raporcie z hijack this i combofix niby wszystko okej, ale teraz, po uporaniu sie z problemami z netem w końcu udało mi sie przeskanować komputer skanerem kaspersky online - i, ku zaskoczeniu, wykryty został wirus o.O komputer co jakiś czas resetuje sie z niewiadomych przyczyn i wyskakuje komunikat " system odzyskał sprawnośc po poważnym błędzie" czy jakoś tak. czasem też się bezczelnie wiesza :?

Knopix (Xpecet11) 2007-08-03 12:30:20 UTC #2

Też tak miałem. To pewne Backdorr. O ile wykrywa ci mase wirusów. Ostateczne rozwiązanie: Format i reinstal. Przypominam: Ostateczne.

matnis5 (Matnis5) 2007-08-03 15:56:30 UTC #3

Jaki?Lokalizacja?Co z nim zrobiłaś?

Pokaż BSODa

Co pokazuje podgląd zdarzeń?

START>URUCHOM>eventvwr.msc-podaj błędy krytyczne.

iceefka (Ice Efka) 2007-08-03 17:35:56 UTC #4

yyyyy... no bo tam pisze tylko, ze wykryto 1 wirus i podaje liste zainfekowanych obiektow... o takei cos:

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie

C:\Documents and Settings\efka.TRAMPEK\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\efka.TRAMPEK\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\efka.TRAMPEK\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\efka.TRAMPEK\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\efka.TRAMPEK\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\efka.TRAMPEK\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\efka.TRAMPEK\Ustawienia lokalne\Historia\History.IE5\MSHist012007080320070804\index.dat Object is locked pominięty

C:\Documents and Settings\efka.TRAMPEK\Ustawienia lokalne\Temp\hpodvd09.log Object is locked pominięty

C:\Documents and Settings\efka.TRAMPEK\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\cace2423dfb97c58fe7dd9f120557063PSK_NAMES Object is locked pominięty

C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\cace2423dfb97c58fe7dd9f120557063PSK_NAMES2 Object is locked pominięty

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

C:\System Volume Information\_restore{293AF8D7-77FA-4CD9-B8B1-0308DB61A609}\RP176\A0143769.exe Zainfekowanych: not-virus:Hoax.Win32.Renos.hv pominięty

C:\System Volume Information\_restore{34584535-A049-4677-BF31-FF3A84F57520}\RP36\change.log Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\WINDOWS\Sti_Trace.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\edbtmp.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\wiadebug.log Object is locked pominięty

C:\WINDOWS\wiaservc.log Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

i takie coś:

Liczba skanowanych obiektów 93239

Liczba wykrytych wirusów 1

Liczba zainfekowanych obiektów 1 / 0

Liczba podejrzanych obiektów 0

a nie zrobiłam z tym nic bo nie umiem właśnie

kod błędu podam jak mi sie znów zresetuje, bo, o ile dobrze zrozumialam wtedy mi sie dopiero wyświetli?

a w tym trzecim? system - błąd - system error? jeśli tak to pisze

Kod błędu 1000007f, parametr 1 00000008, parametr 2 80042000, parametr 3 00000000, parametr 4 00000000. chyba wlasnie o tej godzinie komputer sie zresetował, albo zawiesił. jeżeli coś podałam nie tak, to przepraszam ^^

a tego wirusa tylko kaspersky wykrywa. no i jeszcze jednym programem skanowałam kompa, ale teraz widze, ze go wywaliłam o.O w kazdym razie tam pisało, że wykryło trojana, i jakieśtam zainfekowane obiekty, lae potem ten trojan już nie wyskakiwał, tylko te obiekty.

Oblivion (Darek131) 2007-08-03 18:00:00 UTC #5

Jeśli antywirus po przeskanowaniu podaje nazwe wirusa i jego lokalizacje, to podaj ją nam.

Dreambrain (Kpr2877) 2007-08-03 18:13:32 UTC #6

Dla bezpieczeństwa podaj logi z HijackThis oraz Silent Runners

iceefka (Ice Efka) 2007-08-03 19:05:59 UTC #7

juz podawalam wczoraj chyba, i podobno nie bylo tam nic no to tak: panda mi pisze, ze "wykryto potencjalnie niepożądany program

nazwa: Application/NirCmd.A

Lokalizacja: C:\Documents...\ComboFix.exe[nircmd.exe]"

usunąć? o.O

Hijack This:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:54:43, on 2007-08-03

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe

C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\AVENGINE.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe

C:\Program Files\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PsCtrls.exe

C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe

C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

c:\program files\panda software\panda antivirus + firewall 2007\firewall\PSHOST.EXE

C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\Program Files\Ahead\InCD\InCD.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe

C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe

C:\Program Files\Winamp\winampa.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\WebProxy.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\avciman.exe

C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\AvltMain.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\efka.TRAMPEK\Pulpit\aswclnr.exe

C:\Documents and Settings\efka.TRAMPEK\Pulpit\aswclnr.tmp

C:\Program Files\Gadu-Gadu\gg.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Program Files\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.pl/resources/virusscanner/kavwebscan_unicode.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1185973298593

O17 - HKLM\System\CCS\Services\Tcpip\..\{5BCF3493-85D0-469F-A744-70E0B534175E}: NameServer = 194.204.152.34 217.98.63.164

O17 - HKLM\System\CS1\Services\Tcpip\..\{5BCF3493-85D0-469F-A744-70E0B534175E}: NameServer = 194.204.152.34 217.98.63.164

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PsCtrls.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software International - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\program files\panda software\panda antivirus + firewall 2007\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe


--

End of file - 7333 bytes

hmmm... silent runners sciągnęłam, ale przy dwukliku panda informuje, że 'zablokowano skrypt'

zaczekam aż skończy skanować. skanuje jeszcze avastem. jak skoncze, to przeskanuje jeszcze raz kasperskym, zobaczymy czy znow cos pokaze.

cos jeszcze mam sprobowac?

ktorys program wykryl jeszcze trojana, zaraz sprobuje to wygrzebac.

Złączono Posta : 03.08.2007 (Pią) 21:07

a skanerkaspersky online nie podaje nazwy, tylka ta liste ktora podalam wczesniej.

system (system) 2007-08-03 19:44:21 UTC #8

W logu Kasperskiego nic nie ma.

Wyłącz przywracanie systemu i włącz ponownie, a ten problem zostanie rozwiązany. Pozostałe wpisy z Kasperskiego informują, że program nie mógł uzyskać dostępu do obiektu, aby go przeskanować.(normalne)

Panda wskazuje plik ComboFix, a przecież wiesz, że to pożyteczny program. Log z Silent runners nie wykonasz bo Panda zablokowała wykonywanie skryptu.

Twoim problemem jest używanie 2 firewalli.

iceefka (Ice Efka) 2007-08-03 20:07:37 UTC #9

jak ja przeoczylam te dwa firewalle? :shock:

a to przywracanie systemu to gdzie sie wyłącza?

no właśnie informacja nt ComboFixa od pandy mnie zaskoczyła i to już wszystko? a co z tymi resetami?

system (system) 2007-08-03 20:25:49 UTC #10

Panel sterowania >>> System >>> Zakładka -> Przywracanie systemu -> zaznacz: Wyłącz Przywracanie systemu na wszystkich dyskach >>> Zastosuj >>> OK

Zobaczysz czy będą występować po odinstalowaniu firewalla - proponuję odinstalować Ashampoo.

iceefka (Ice Efka) 2007-08-03 20:45:32 UTC #11

odinstalowałam mam nadzieje, że pomoże

czyli co z tymiinformacjaki z kaspersky skaner online o wirusie? nie przejmowac sie?

a combofixa pomimo ostrzeżeń pandy nie ruszać?

system (system) 2007-08-03 21:25:54 UTC #12

Nie ma żadnych podstaw do obaw ponieważ:

plik znajdował się w System Volume Information

Oczywiście, że nie - poczytaj.

iceefka (Ice Efka) 2007-08-07 10:11:52 UTC #13

odnosnie tego resetowania sie komputera, w komunikacie o bledzie wyskoczylo cos takeigo: driver_irql_not_less_or_equal ??

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem