Sprawdzenie loga - W32.Gammina.AG


(system) #1

Witam.

Symantec wykrył mi W32.Gammina.AG i chyba nie usunął - brak dostępu.

Proszę o sprawdzenie loga i ew. instruktaz co z tym fantem zrobić - komputer troche przymulił

http://wklejto.pl/10627

Serdeczne dzieki


(Spandau) #2

Log HJT OK

W jakiej lokalizacji wykrył?

Pobierz Combofix przeskanuj system i daj log na forum.

Loga wklej na http://www.wklejto.pl a w poście daj tylko linka


(system) #3

Combofix zawiesił sie na etapie 30. Ni wiem czy dodatkowo cos nie zamieszał bo musiałem kompa zresetowac na twardo.


(Spandau) #4

Wejdź w tryb awaryjny windows opis http://forum.pcformat.pl/showthread.php?tid=13358

Uruchom Combofix dwuklikiem i czekaj aż zakończy skanowanie


(system) #5

OK . Log z Combo Fixa http://wklejto.pl/10637


(Spandau) #6

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka


(system) #7

Zrobilem co radzisz . Teraz log wyglada tak http://www.wklej.org/id/5850/


(Spandau) #8

Log wygląda na czysty.

usuń folder C: \Qoobox oraz instalkę Combofix z dysku.

Przeczyść system oraz rejestr CCleaner

Wykonaj optymalizacje Autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum

lub Dr.WEB CureIt!


(system) #9

KASPERSKY ONLINE SCANNER REPORT

23 wrzesień 2008 14:17:44

System operacyjny: Microsoft Windows XP Home Edition, Dodatek Service Pack 2 (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.1

Ostatnia aktualizacja Kaspersky Anti-Virus23/09/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus1250823

Ustawienia skanowania

Skanowanie przy użyciu następujących baz danych rozszerzone

Skanuj archiwa tak

Skanuj pocztowe bazy danych tak

Obszar skanowania Mój komputer

C:\

D:\

E:\

Statystyki skanowania

Liczba skanowanych obiektów 66451

Liczba wykrytych wirusów 8

Liczba zainfekowanych obiektów 16

Liczba podejrzanych obiektów 0

Czas trwania skanowania 02:02:20

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Common Client\settings.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\Paweł\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\Paweł\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\Paweł\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Microsoft\Feeds Cache\index.dat Object is locked pominięty

C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\Paweł\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\Paweł\Ustawienia lokalne\Historia\History.IE5\MSHist012008092320080924\index.dat Object is locked pominięty

C:\Documents and Settings\Paweł\Ustawienia lokalne\temp\IMG53.tmp Object is locked pominięty

C:\Documents and Settings\Paweł\Ustawienia lokalne\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked pominięty

C:\Documents and Settings\Paweł\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Program Files\Norton SystemWorks\Norton Antivirus\AVApp.log Object is locked pominięty

C:\Program Files\Norton SystemWorks\Norton Antivirus\AVError.log Object is locked pominięty

C:\Program Files\Norton SystemWorks\Norton Antivirus\AVVirus.log Object is locked pominięty

C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\168D4A8B.cmd Zainfekowanych: Trojan-PSW.Win32.OnLineGames.uyy pominięty

C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\4BCC0E7C.com Zainfekowanych: Trojan-PSW.Win32.OnLineGames.tot pominięty

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

C:\System Volume Information_restore{6665763A-B5D2-448D-BD1C-1B6F94F28DAA}\RP114\change.log Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\Internet.evt Object is locked pominięty

C:\WINDOWS\system32\config\ODiag.evt Object is locked pominięty

C:\WINDOWS\system32\config\OSession.evt Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked pominięty

C:\WINDOWS\system32\spool\PRINTERS\FP00001.SHD Object is locked pominięty

C:\WINDOWS\system32\spool\PRINTERS\FP00001.SPL Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

D:\Instalki\Divix\DivX Audio Codec.ace/DivX Audio Codec\Install.exe Zainfekowanych: Virus.Win9x.CIH pominięty

D:\Instalki\Divix\DivX Audio Codec.ace ACE: zainfekowany - 1 pominięty

D:\Instalki\Divix\DivXPack_5_02-006.exe/data0010 Zainfekowanych: not-a-virus:AdWare.Win32.Gator.3102 pominięty

D:\Instalki\Divix\DivXPack_5_02-006.exe NSIS: zainfekowany - 1 pominięty

D:\Instalki\Divix\DivXPack_5_02-006.exe UPX: zainfekowany - 1 pominięty

D:\Instalki\Divix\DivXPro501.exe/Gain_Trickler.exe Zainfekowanych: not-a-virus:AdWare.Win32.Gator.3102 pominięty

D:\Instalki\Divix\DivXPro501.exe Vise: zainfekowany - 1 pominięty

D:\Instalki\Divix\DivXPro503GAINBundle.exe/Gain_Trickler.exe Zainfekowanych: not-a-virus:AdWare.Win32.Gator.3202 pominięty

D:\Instalki\Divix\DivXPro503GAINBundle.exe Vise: zainfekowany - 1 pominięty

D:\Instalki\Divix\gdivx_190.exe/data0007 Zainfekowanych: not-a-virus:AdWare.Win32.NewDotNet pominięty

D:\Instalki\Divix\gdivx_190.exe/data0008/SaveNow.exe Zainfekowanych: not-a-virus:AdWare.Win32.SaveNow.aa pominięty

D:\Instalki\Divix\gdivx_190.exe/data0008/Uninst.exe Zainfekowanych: not-a-virus:AdWare.Win32.SaveNow.au pominięty

D:\Instalki\Divix\gdivx_190.exe/data0008 Zainfekowanych: not-a-virus:AdWare.Win32.SaveNow.au pominięty

D:\Instalki\Divix\gdivx_190.exe NSIS: zainfekowany - 4 pominięty

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

Proces skanowania został zakończony.


(system) #10

I co począć z tymi zainfekowanymi plikami.

Dodatkowo nie moge włączyć funkcji auto protect w NSW

Pozdro


(Spandau) #11

Pobierz The Avenger zaznacz poniższy tekst

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html


(system) #12

Katalog D:\Instalki\Divx- wogole wykasowalem .

Czy pominąc linijki odnoszace sie do niego?


(Spandau) #13

To opróżnij jeszcze kwarantanne Nortona i system będzie czysty.


(system) #14

Raport wyglada tak:

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

File "C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\168D4A8B.cmd" deleted successfully.

File "C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\4BCC0E7C.com" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


(Spandau) #15

Pliki usunięte powinno być OK Usuń Avengera, opróżnij kosz. Dla pewności możesz przeskanować ponownie.


(system) #16

Serdeczne Dzięki.