Witam po wizycie trojana amvo.exe i amv1.exe komp mi zamulił. Podobnie mam problemy z drógim kompem. Uruchomiłem ComboFix-a, sytuacja po tym sie troche poprawiła i otrzymałem następujące logi:
1 KOMP:
ComboFix 08-02-18.1 - Soloo 2008-02-18 18:10:29.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1033.18.125 [GMT 1:00]
Running from: H:\ComboFix.exe
* Created a new restore point
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
.
((((((((((((((((((((((((( Files Created from 2008-01-18 to 2008-02-18 )))))))))))))))))))))))))))))))
.
2008-02-16 14:36 . 2008-02-18 18:10 103,461 -r-hs---- C:\d6fagcs8.cmd
2008-02-13 12:34 . 2008-02-12 20:27 104,140 -r-hs---- C:\[u]0[/u]hct8ybw.bat
2008-02-08 11:49 . 2008-02-09 13:44 105,062 -r-hs---- C:\3wcxx91.cmd
2008-02-07 09:41 . 2008-02-14 00:03 102,211 -r-hs---- C:\x.com
2008-02-03 10:33 . 2008-02-04 16:44 103,367 -r-hs---- C:\2ifetri.cmd
2008-02-02 19:14 . 2008-02-02 19:13 104,644 -r-hs---- C:\i.cmd
2008-01-30 10:31 . 2008-01-31 16:52 104,080 -r-hs---- C:\h.cmd
2008-01-29 15:53 . 2008-01-29 15:53 103,894 -r-hs---- C:\ylr.exe
2008-01-27 12:40 . 2008-02-08 19:08
2 KOMP:
[code]ComboFix 08-02-18.1 - Athlon Xp 2008-02-18 18:19:56.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.62 [GMT 1:00] Running from: C:\Documents and Settings\Athlon Xp\Pulpit\ComboFix.exe * Created a new restore point [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED
Prosił bym was o sprawdzenie ich. Wielkie dzieki z góry.
Uwaga: Po wklejeniu do Notatnika usuń * gwiazdki z tekstu! Pod X podstaw literę pod jaką aktualnie będzie widziany pen (to się oczywiście zmienia przy podpinaniu). >>Plik>>Zapisz jako… >>>CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe – podobnie jak na tym obrazku –>
Komputer 1 jest strasznie zamulony od jakiegoś czasu i nie wiem czemu.
Logi po dykonianiu powyrzszej operacji:
1 komputer:
ComboFix 08-02-19.2 - Soloo 2008-02-19 16:59:40.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1033.18.130 [GMT 1:00]
Running from: C:\Documents and Settings\Soloo\Desktop\ComboFix.exe
Command switches used :: C:\Documents and Settings\Soloo\Desktop\CFScript.txt
* Created a new restore point
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]
FILE ::
C:\2ifetri.cmd
C:\3wcxx91.cmd
C:\awda2.exe
C:\d.com
C:\d6fagcs8.cmd
C:\h.cmd
C:\i.cmd
C:\juok3st.bat
C:\qd.cmd
C:\x.com
C:\xn1i9x.com
C:\xo8wr9.exe
C:\ylr.exe
H:\3wcxx91.cmd
H:\juok3st.bat
X:\2ifetri.cmd
X:\3wcxx91.cmd
X:\amvo.exe
X:\amvo0.dll
X:\Autorun.inf
X:\awda2.exe
X:\d.com
X:\d6fagcs8.cmd
X:\h.cmd
X:\i.cmd
X:\juok3st.bat
X:\qd.cmd
X:\x.com
X:\xn1i9x.com
X:\xo8wr9.exe
X:\ylr.exe
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\2ifetri.cmd
C:\3wcxx91.cmd
C:\Autorun.inf
C:\awda2.exe
C:\d.com
C:\d6fagcs8.cmd
C:\h.cmd
C:\i.cmd
C:\juok3st.bat
C:\qd.cmd
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\x.com
C:\xn1i9x.com
C:\xo8wr9.exe
C:\ylr.exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\axsaki
-------\axskbus
-------\DK12DRV
((((((((((((((((((((((((( Files Created from 2008-01-19 to 2008-02-19 )))))))))))))))))))))))))))))))
.
2008-02-13 12:34 . 2008-02-12 20:27 104,140 -r-hs---- C:\[u]0[/u]hct8ybw.bat
2008-01-27 12:40 . 2008-02-08 19:08
2 komputer:
[code]ComboFix 08-02-19.2 - Athlon Xp 2008-02-19 17:39:03.2 - NTFSx86 Running from: C:\Documents and Settings\Athlon Xp\Pulpit\ComboFix.exe Command switches used :: C:\Documents and Settings\Athlon Xp\Pulpit\CFScript.txt * Created a new restore point [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED
Uwaga: Po wklejeniu do Notatnika usuń * gwiazdki z tekstu! >>Plik>>Zapisz jako… >>>CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe ( – podobnie jak na tym obrazku –>
ComboFix 08-02-20.2 - Soloo 2008-02-19 22:26:45.4 - NTFSx86
Running from: C:\Documents and Settings\Soloo\Desktop\ComboFix.exe
Command switches used :: C:\Documents and Settings\Soloo\Desktop\CFScript.txt
* Created a new restore point
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]
FILE ::
H:\d6fagcs8.cmd
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo1.dll
.
((((((((((((((((((((((((( Files Created from 2008-01-20 to 2008-02-20 )))))))))))))))))))))))))))))))
.
2008-02-19 17:56 . 2008-02-19 17:56 107,052 -r-hs---- C:\gumkrhf.bat
2008-02-13 12:34 . 2008-02-12 20:27 104,140 -r-hs---- C:\[u]0[/u]hct8ybw.bat
2008-01-27 12:40 . 2008-02-08 19:08
2 komputer:
[code]ComboFix 08-02-20.2 - Athlon Xp 2008-02-19 22:35:43.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.71 [GMT 1:00] Running from: C:\Documents and Settings\Athlon Xp\Pulpit\ComboFix.exe Command switches used :: C:\Documents and Settings\Athlon Xp\Pulpit\CFScript.txt * Created a new restore point [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED
Uwaga: Po wklejeniu do Notatnika usuń * gwiazdki z tekstu! Pod X podstaw literę pod jaką aktualnie będzie widziany pen (to się oczywiście zmienia przy podpinaniu). >>Plik>>Zapisz jako… >>>CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe – podobnie jak na tym obrazku –>
ComboFix 08-02-20.2 - Soloo 2008-02-21 0:18:32.5 - NTFSx86
Running from: C:\Documents and Settings\Soloo\Desktop\ComboFix.exe
Command switches used :: C:\Documents and Settings\Soloo\Desktop\CFScript.txt
* Created a new restore point
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]
FILE ::
C:\gumkrhf.bat
H:\gumkrhf.bat
X:\Autorun.inf
X:\gumkrhf.bat
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
C:\gumkrhf.bat
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
.
((((((((((((((((((((((((( Files Created from 2008-01-20 to 2008-02-20 )))))))))))))))))))))))))))))))
.
2008-02-13 12:34 . 2008-02-12 20:27 104,140 -r-hs---- C:\[u]0[/u]hct8ybw.bat
2008-01-27 12:40 . 2008-02-08 19:08
2 komputer
[code]ComboFix 08-02-20.2 - Athlon Xp 2008-02-21 0:26:45.4 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1250.48.1045.18.79 [GMT 1:00] Running from: C:\Documents and Settings\Athlon Xp\Pulpit\ComboFix.exe Command switches used :: C:\Documents and Settings\Athlon Xp\Pulpit\CFScript.txt * Created a new restore point [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED
Uwaga: Po wklejeniu do Notatnika usuń * gwiazdki z tekstu! Pod X podstaw literę pod jaką aktualnie będzie widziany pen (to się oczywiście zmienia przy podpinaniu). >>Plik>>Zapisz jako… >>>CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe – podobnie jak na tym obrazku –>
Czyszczenia dokonałem w trybie awaryjnym. Przed wyczyszczeniem kompów sformatowałem pendrivy i jeszcze ich nie wkładałem do komputera. Urzywam Avasta, jaką ochrone byś mi polecił?
Komputer 1:
ComboFix 08-02-20.2 - Administrator 2008-02-21 10:35:07.6 - NTFSx86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.2.1250.48.1033.18.330 [GMT 1:00]
Running from: C:\Documents and Settings\Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Documents and Settings\Administrator\Desktop\CFScript.txt
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]
FILE ::
H:\gumkrhf.bat
X:\amvo.exe
X:\amvo0.dll
X:\amvo1.dll
X:\autorun.inf
X:\gumkrhf.bat
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Autorun.inf
C:\Program Files\Sony
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
.
((((((((((((((((((((((((( Files Created from 2008-01-21 to 2008-02-21 )))))))))))))))))))))))))))))))
.
2008-02-21 10:29 . 2007-10-07 21:14
Komputer 2
[code]ComboFix 08-02-20.2 - Athlon Xp 2008-02-21 10:59:15.5 - NTFSx86 NETWORK Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.118 [GMT 1:00] Running from: C:\Documents and Settings\Athlon Xp\Pulpit\ComboFix.exe Command switches used :: C:\Documents and Settings\Athlon Xp\Pulpit\CFScript.txt [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED
To tak wygląda, jakby oba komputery były ze sobą połączone w domu i infekcja przedostaje się z jednego na drugi i potem odwrotnie.
Jest w poście tylko log z jednego komputera.
Wklej do Notatnika :
File::
C:\*hct8ybw.bat
C:\gumkrhf.bat
Uwaga: Po wklejeniu do Notatnika usuń * gwiazdki z tekstu! >>Plik>>Zapisz jako… >>>CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe – podobnie jak na tym obrazku –>
Tym razem komputery nie miały szans się spotkać. ComboFix odpalałem w trybach awaryjnych a teraz tylko jeden komputer na raz jest podpięty do sieci. Logi umieszczam dlatego na 2 tury bo nie chce używać pendriv-ów.
Komputer 1:
ComboFix 08-02-20.2 - Soloo 2008-02-21 12:00:17.6 - NTFSx86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.2.1250.1.1033.18.329 [GMT 1:00]
Running from: C:\Documents and Settings\Soloo\Desktop\ComboFix.exe
Command switches used :: C:\Documents and Settings\Soloo\Desktop\CFScript.txt
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED [/b][/color]
FILE ::
C:\gumkrhf.bat
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\gumkrhf.bat
.
((((((((((((((((((((((((( Files Created from 2008-01-21 to 2008-02-21 )))))))))))))))))))))))))))))))
.
2008-02-13 12:34 . 2008-02-12 20:27 104,140 -r-hs---- C:\[u]0[/u]hct8ybw.bat
2008-01-27 12:40 . 2008-02-08 19:08
Komputer 2:
[code]ComboFix 08-02-20.2 - Athlon Xp 2008-02-21 12:05:11.6 - NTFSx86 MINIMAL Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.134 [GMT 1:00] Running from: C:\Documents and Settings\Athlon Xp\Pulpit\ComboFix.exe Command switches used :: C:\Documents and Settings\Athlon Xp\Pulpit\CFScript.txt [color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED
" :\WINDOWS\syst" - takiego wpisu nie powinno tam być, ale nie wiem, jaki powinien być akurat u Ciebie, bo u każdego może być inny (ale na pewno nie taki!).
Mam nadzieje że troche pochodzi system. Tak na boku to mam 3 partcje i cCombofix strawdza je wszystkie? W każdym razie dzięki ci za czas mi poświęcony. Niech ci bozia w dzieciach wynagrodzi