okoz
(Okoz)
12 Maj 2008 11:42
#1
Po przejściach w domu przeczesałem kompa w pracy i się za głowę złapałem. Szczerze mówiąc myślałem że regularny scan + update baz antyvira wystarczy…
raport z combofix
http://wklej.org/id/aec9738db9
raporta z Hijack
http://wklej.org/id/30737ce53b
proszę o sprawdzenie.
rokko
(Kolmar)
12 Maj 2008 11:48
#2
W pracy to się dopiero dba o komputery, aby tylko dniówka zleciała :lol:
Log z HJ jest czysty.
huber2t
(huber2t)
12 Maj 2008 11:50
#3
Do wyleczenia pendrive z wirusów użyj tego lub format
Pobierz ComboFix , ale nie uruchamiaj
Wklej do notatnika:
File::
C:\adb.com
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->
Rozpocznie się usuwanie i powstanie log, daj ten log na forum.
okoz
(Okoz)
12 Maj 2008 12:22
#4
Leon1
(Leon$)
12 Maj 2008 13:18
#5
start >> uruchom >> cmd
sc stop FXDRV >> Enter
sc stop FXDrv32 >> Enter
sc delete FXDRV >> Enter
sc delete FXDrv32 >> Enter
Log wygląda na czysty
zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html
usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.
Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl
Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml lub format
Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724
przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE
okoz
(Okoz)
14 Maj 2008 09:05
#6
hm, skan kasperskiego trochę potrwa więc pewnie podrzucę go jutro.
Huber2t, Leon$ dziękuję za poświęcony czas i wskazówki.
W dniu 14.05.2008 , o godzinie 11:05 został dopisany post przez okoz
Hm, na moim kompie jest archiwum sprzed kilku lat stąd trochę się tego nagromadziło. Nie ma sensu wklejać całego raportu z kasperskiego. Wolałbym pokasować najpierw to co mogę.
------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER REPORT 14 maj 2008 09:16:40 System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600) Kaspersky Online Scanner wersja: 5.0.98.0 Ostatnia aktualizacja Kaspersky Anti-Virus13/05/2008 Liczba wpisów w bazie danych Kaspersky Anti-Virus768228 ------------------------------------------------------------------------------- Ustawienia skanowania: Skanowanie przy użyciu następujących baz danych: rozszerzone Skanuj archiwa: tak Skanuj pocztowe bazy danych: tak Obszar skanowania - Mój komputer: C:\ D:\ F:\ G:\ H:\ I:\ Statystyki skanowania: Liczba skanowanych obiektów: 190950 Liczba wykrytych wirusów: 7 Liczba zainfekowanych obiektów: 475 Liczba podejrzanych obiektów: 272 Czas trwania skanowania: 07:33:37
Jak się pozbyć syfu z programu pocztowego? Np czegoś takiego (xxx - moje):
C:\Documents and Settings\Administrator\Dane aplikacji\Thunderbird\Profiles\5jvmtofl.default\Mail\Local Folders\Inbox/[From =?iso-8859-2?Q?Olbrot-Brzezi=F1ska_Arleta?=][Date Tue, 1 Aug 2006 11:04:51 +0200]/UNNAMED/[From =?iso-8859-2?Q?Mxxx_Szczud=B3o?=][Date Wed, 2 Aug 2006 13:22:59 +0200]/UNNAMED/[From Pxxx Antoniewicz][Date Mon, 13 Nov 2006 16:28:53 +0100]/text/[From “Kayla Dennis”][Date Wed, 28 Feb 2007 01:45:17 +0100 (CET)]/UNNAMED Zainfekowanych: Trojan-Spy.HTML.Bankfraud.ri pominięty
a tu kaspersky bez wiadomości pocztowych typu wyżej:
http://wklej.org/id/ca2d8606c0
Leon1
(Leon$)
14 Maj 2008 15:05
#7
pokazałeś raport bez wirusów choć jest ta ponad 470 pozycji i wszystkie dotyczą tylko programu pocztowego?
system
(system)
14 Maj 2008 15:40
#8
Zastosuj Kaspersky Virus Removal Tool , on nie tylko wykrywa zainfekowane obiekty, jak skaner online, ale również je dezynfekuje.
okoz
(Okoz)
16 Maj 2008 07:24
#9
Mniej więcej. 90% obiektów z infekcją to skrzynki pocztowe ludzi którzy korzystali z kompa przede mną.
wszystkie to albo Trojan-Spy.HTML.Bankfraud.ri albo Email-Worm.Win32.Klez.h
pliki z raportu które nie są wiadomościami pocztowymi wkleiłem http://wklej.org/id/ca2d8606c0 .
zgodnie z radą Barnaby ściągam KVRT
pzdr
huber2t
(huber2t)
16 Maj 2008 07:27
#10
Przeskanuj ponownie i daj nowy log z Kasperskiego