My spy na kompie!

Dla specjalistów Bezpieczeństwo
#1

Witam!

Odkryłam że mam na kompie my spy. Zainstalowałam HijackThis przeskanowałam i wywaliłam plik w którym był plik svshoot

ale dopiero potem pomyślałam ( jak to ja ) że to pewno jeszcze nie wszystko więc w te pędy do fachowców. Wklejam loga mam nadzieję że zrobię to poprawnie i bardzo proszę o sprawdzenie co jeszcze siedzi u mnie w kompie. Malutka prośba o przystępne tłumaczenie co robić jak dla laika.

http://www.wklej.org/id/6439/

#2

Log ok

Podaj log z Combofix

#3

Proszę oto log

http://wklej.org/id/6631/

#4

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!

#5

oki już się do tego zabieram jak skończę to dołączę swoje wypocinki :smiley:

#6

oto raport z kaspersky online report

KASPERSKY ONLINE SCANNER REPORT

26 wrzesień 2008 14:51:44

System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.1

Ostatnia aktualizacja Kaspersky Anti-Virus26/09/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus1262912

Ustawienia skanowania

Skanowanie przy użyciu następujących baz danych rozszerzone

Skanuj archiwa tak

Skanuj pocztowe bazy danych tak

Obszar skanowania Mój komputer

A:\

C:\

D:\

E:\

Statystyki skanowania

Liczba skanowanych obiektów 15951

Liczba wykrytych wirusów 1

Liczba zainfekowanych obiektów 1

Liczba podejrzanych obiektów 0

Czas trwania skanowania 01:02:03

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie

C:\Documents and Settings\Andzia&MtS\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Dane aplikacji\Mozilla\Firefox\Profiles\grumfbiq.default\cert8.db Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Dane aplikacji\Mozilla\Firefox\Profiles\grumfbiq.default\content-prefs.sqlite Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Dane aplikacji\Mozilla\Firefox\Profiles\grumfbiq.default\cookies.sqlite Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Dane aplikacji\Mozilla\Firefox\Profiles\grumfbiq.default\downloads.sqlite Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Dane aplikacji\Mozilla\Firefox\Profiles\grumfbiq.default\formhistory.sqlite Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Dane aplikacji\Mozilla\Firefox\Profiles\grumfbiq.default\key3.db Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Dane aplikacji\Mozilla\Firefox\Profiles\grumfbiq.default\parent.lock Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Dane aplikacji\Mozilla\Firefox\Profiles\grumfbiq.default\permissions.sqlite Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Dane aplikacji\Mozilla\Firefox\Profiles\grumfbiq.default\places.sqlite Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Dane aplikacji\Mozilla\Firefox\Profiles\grumfbiq.default\places.sqlite-journal Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Dane aplikacji\Mozilla\Firefox\Profiles\grumfbiq.default\search.sqlite Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\NTUSER.DAT.LOG Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\grumfbiq.default\Cache_CACHE_001_ Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\grumfbiq.default\Cache_CACHE_002_ Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\grumfbiq.default\Cache_CACHE_003_ Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\grumfbiq.default\Cache_CACHE_MAP_ Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\grumfbiq.default\urlclassifier3.sqlite Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Ustawienia lokalne\Historia\History.IE5\MSHist012008092620080927\index.dat Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Ustawienia lokalne\temp\etilqs_X2hccJBtGEUTosFmY1mK Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Ustawienia lokalne\temp~DF6DD5.tmp Object is locked pominięty

C:\Documents and Settings\Andzia&MtS\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temp\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temp\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temp\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\aswResp.dat Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\nshield.log Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\log\selfdef.log Object is locked pominięty

C:\Program Files\Alwil Software\Avast4\DATA\report\Osłona rezydentna.txt Object is locked pominięty

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

C:\System Volume Information_restore{B1B813A9-7BAE-4101-AE86-7ED5F9829E6D}\RP57\A0004871.dll Zainfekowanych: Trojan-Spy.Win32.KeyLogger.awk pominięty

C:\System Volume Information_restore{B1B813A9-7BAE-4101-AE86-7ED5F9829E6D}\RP70\change.log Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\Temp\Perflib_Perfdata_4ec.dat Object is locked pominięty

C:\WINDOWS\Temp_avast4_\Webshlock.txt Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

D:\System Volume Information_restore{B1B813A9-7BAE-4101-AE86-7ED5F9829E6D}\RP70\change.log Object is locked pominięty

Proces skanowania został zakończony.

#7

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\System Volume Information\_restore{B1B813A9-7BAE-4101-AE86-7ED5F9829E6D}\RP57\A0004871.dll

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

#8

Proszę uprzejmie oto raporcik. I jedno małe pytanko jeśli można jak ty to wszystko kumasz bo dla mnie to tylko cyferki i literki? :smiley:

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

File “C:\System Volume Information_restore{B1B813A9-7BAE-4101-AE86-7ED5F9829E6D}\RP57\A0004871.dll” deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

#9

usunięte

:slight_smile:

#10

Bije pokłony za nieocenioną pomoc