Witam.
Symantec wykrył mi W32.Gammina.AG i chyba nie usunął - brak dostępu.
Proszę o sprawdzenie loga i ew. instruktaz co z tym fantem zrobić - komputer troche przymulił
Serdeczne dzieki
Log HJT OK
W jakiej lokalizacji wykrył?
Pobierz Combofix przeskanuj system i daj log na forum.
Loga wklej na http://www.wklejto.pl a w poście daj tylko linka
Combofix zawiesił sie na etapie 30. Ni wiem czy dodatkowo cos nie zamieszał bo musiałem kompa zresetowac na twardo.
Wejdź w tryb awaryjny windows opis http://forum.pcformat.pl/showthread.php?tid=13358
Uruchom Combofix dwuklikiem i czekaj aż zakończy skanowanie
wklej do notatnika:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka
Log wygląda na czysty.
usuń folder C: \Qoobox oraz instalkę Combofix z dysku.
Przeczyść system oraz rejestr CCleaner
Wykonaj optymalizacje Autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum
lub Dr.WEB CureIt!
KASPERSKY ONLINE SCANNER REPORT
23 wrzesień 2008 14:17:44
System operacyjny: Microsoft Windows XP Home Edition, Dodatek Service Pack 2 (Build 2600)
Kaspersky Online Scanner wersja: 5.0.98.1
Ostatnia aktualizacja Kaspersky Anti-Virus23/09/2008
Liczba wpisów w bazie danych Kaspersky Anti-Virus1250823
Ustawienia skanowania
Skanowanie przy użyciu następujących baz danych rozszerzone
Skanuj archiwa tak
Skanuj pocztowe bazy danych tak
Obszar skanowania Mój komputer
C:\
D:\
E:\
Statystyki skanowania
Liczba skanowanych obiektów 66451
Liczba wykrytych wirusów 8
Liczba zainfekowanych obiektów 16
Liczba podejrzanych obiektów 0
Czas trwania skanowania 02:02:20
Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Common Client\settings.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\Paweł\Cookies\index.dat Object is locked pominięty
C:\Documents and Settings\Paweł\NTUSER.DAT Object is locked pominięty
C:\Documents and Settings\Paweł\ntuser.dat.LOG Object is locked pominięty
C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Microsoft\Feeds Cache\index.dat Object is locked pominięty
C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty
C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty
C:\Documents and Settings\Paweł\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty
C:\Documents and Settings\Paweł\Ustawienia lokalne\Historia\History.IE5\MSHist012008092320080924\index.dat Object is locked pominięty
C:\Documents and Settings\Paweł\Ustawienia lokalne\temp\IMG53.tmp Object is locked pominięty
C:\Documents and Settings\Paweł\Ustawienia lokalne\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked pominięty
C:\Documents and Settings\Paweł\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty
C:\Program Files\Norton SystemWorks\Norton Antivirus\AVApp.log Object is locked pominięty
C:\Program Files\Norton SystemWorks\Norton Antivirus\AVError.log Object is locked pominięty
C:\Program Files\Norton SystemWorks\Norton Antivirus\AVVirus.log Object is locked pominięty
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\168D4A8B.cmd Zainfekowanych: Trojan-PSW.Win32.OnLineGames.uyy pominięty
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\4BCC0E7C.com Zainfekowanych: Trojan-PSW.Win32.OnLineGames.tot pominięty
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
C:\System Volume Information_restore{6665763A-B5D2-448D-BD1C-1B6F94F28DAA}\RP114\change.log Object is locked pominięty
C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty
C:\WINDOWS\SchedLgU.Txt Object is locked pominięty
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\default Object is locked pominięty
C:\WINDOWS\system32\config\default.LOG Object is locked pominięty
C:\WINDOWS\system32\config\Internet.evt Object is locked pominięty
C:\WINDOWS\system32\config\ODiag.evt Object is locked pominięty
C:\WINDOWS\system32\config\OSession.evt Object is locked pominięty
C:\WINDOWS\system32\config\SAM Object is locked pominięty
C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY Object is locked pominięty
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty
C:\WINDOWS\system32\config\software Object is locked pominięty
C:\WINDOWS\system32\config\software.LOG Object is locked pominięty
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty
C:\WINDOWS\system32\config\system Object is locked pominięty
C:\WINDOWS\system32\config\system.LOG Object is locked pominięty
C:\WINDOWS\system32\h323log.txt Object is locked pominięty
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked pominięty
C:\WINDOWS\system32\spool\PRINTERS\FP00001.SHD Object is locked pominięty
C:\WINDOWS\system32\spool\PRINTERS\FP00001.SPL Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty
C:\WINDOWS\WindowsUpdate.log Object is locked pominięty
D:\Instalki\Divix\DivX Audio Codec.ace/DivX Audio Codec\Install.exe Zainfekowanych: Virus.Win9x.CIH pominięty
D:\Instalki\Divix\DivX Audio Codec.ace ACE: zainfekowany - 1 pominięty
D:\Instalki\Divix\DivXPack_5_02-006.exe/data0010 Zainfekowanych: not-a-virus:AdWare.Win32.Gator.3102 pominięty
D:\Instalki\Divix\DivXPack_5_02-006.exe NSIS: zainfekowany - 1 pominięty
D:\Instalki\Divix\DivXPack_5_02-006.exe UPX: zainfekowany - 1 pominięty
D:\Instalki\Divix\DivXPro501.exe/Gain_Trickler.exe Zainfekowanych: not-a-virus:AdWare.Win32.Gator.3102 pominięty
D:\Instalki\Divix\DivXPro501.exe Vise: zainfekowany - 1 pominięty
D:\Instalki\Divix\DivXPro503GAINBundle.exe/Gain_Trickler.exe Zainfekowanych: not-a-virus:AdWare.Win32.Gator.3202 pominięty
D:\Instalki\Divix\DivXPro503GAINBundle.exe Vise: zainfekowany - 1 pominięty
D:\Instalki\Divix\gdivx_190.exe/data0007 Zainfekowanych: not-a-virus:AdWare.Win32.NewDotNet pominięty
D:\Instalki\Divix\gdivx_190.exe/data0008/SaveNow.exe Zainfekowanych: not-a-virus:AdWare.Win32.SaveNow.aa pominięty
D:\Instalki\Divix\gdivx_190.exe/data0008/Uninst.exe Zainfekowanych: not-a-virus:AdWare.Win32.SaveNow.au pominięty
D:\Instalki\Divix\gdivx_190.exe/data0008 Zainfekowanych: not-a-virus:AdWare.Win32.SaveNow.au pominięty
D:\Instalki\Divix\gdivx_190.exe NSIS: zainfekowany - 4 pominięty
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty
Proces skanowania został zakończony.
I co począć z tymi zainfekowanymi plikami.
Dodatkowo nie moge włączyć funkcji auto protect w NSW
Pozdro
Pobierz The Avenger zaznacz poniższy tekst
kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt
Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html
Katalog D:\Instalki\Divx- wogole wykasowalem .
Czy pominąc linijki odnoszace sie do niego?
To opróżnij jeszcze kwarantanne Nortona i system będzie czysty.
Raport wyglada tak:
Logfile of The Avenger Version 2.0, © by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File “C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\168D4A8B.cmd” deleted successfully.
File “C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\4BCC0E7C.com” deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Pliki usunięte powinno być OK Usuń Avengera, opróżnij kosz. Dla pewności możesz przeskanować ponownie.
Serdeczne Dzięki.