zbenioz
(Zzebrucki)
24 Wrzesień 2008 22:54
#1
Witam
Złapałem trojana, prawdopodonie Amvo - z opisów na forum i z objawów na kompie to wywnioskowałem. Poproszę o sprawdzenie logów i wskazówki jak wyczyścić komputer. Wirusa przyciągnąłęm pewnie z uczelni bądź z komputerów w pracy na pendraivach.
Log z combofix: http://wklejto.pl/10827
Log z hijackthis: http://wklejto.pl/10828
Pozdrawiam i z góry dzięki za pomoc
Zbyszek
huber2t
(huber2t)
25 Wrzesień 2008 03:48
#2
Pobierz ComboFix , ale nie uruchamiaj
Otwórz notatnik i wklej do niego:
File::
C:\WINDOWS\Internet Logs\xDB34.tmp
C:\WINDOWS\Internet Logs\xDB35.tmp
C:\WINDOWS\Internet Logs\xDB45.tmp
C:\WINDOWS\Internet Logs\xDB46.tmp
C:\WINDOWS\Internet Logs\xDB32.tmp
C:\WINDOWS\Internet Logs\xDB33.tmp
C:\WINDOWS\Internet Logs\xDB30.tmp
C:\WINDOWS\Internet Logs\xDB31.tmp
C:\WINDOWS\Internet Logs\xDB2F.tmp
C:\WINDOWS\Internet Logs\xDB2E.tmp
C:\WINDOWS\Internet Logs\xDB2D.tmp
C:\WINDOWS\Internet Logs\xDB2B.tmp
C:\WINDOWS\Internet Logs\xDB2C.tmp
C:\WINDOWS\Internet Logs\xDB2A.tmp
C:\WINDOWS\Internet Logs\xDB29.tmp
C:\WINDOWS\Internet Logs\xDB27.tmp
C:\WINDOWS\Internet Logs\xDB28.tmp
C:\WINDOWS\Internet Logs\xDB20.tmp
C:\WINDOWS\Internet Logs\xDB25.tmp
C:\WINDOWS\Internet Logs\xDB1C.tmp
C:\WINDOWS\Internet Logs\xDB18.tmp
C:\WINDOWS\Internet Logs\xDB10.tmp
C:\WINDOWS\Internet Logs\xDB14.tmp
C:\WINDOWS\Internet Logs\xDB7.tmp
C:\WINDOWS\Internet Logs\xDBD.tmp
C:\WINDOWS\Internet Logs\xDB26.tmp
C:\WINDOWS\Internet Logs\xDB24.tmp
C:\WINDOWS\Internet Logs\xDB22.tmp
C:\WINDOWS\Internet Logs\xDB1E.tmp
C:\WINDOWS\Internet Logs\xDB1A.tmp
C:\WINDOWS\Internet Logs\xDB16.tmp
C:\WINDOWS\Internet Logs\xDB12.tmp
C:\WINDOWS\Internet Logs\xDBE.tmp
C:\WINDOWS\Internet Logs\xDBA.tmp
C:\WINDOWS\Internet Logs\xDB4.tmp
Driver::
MEMSWEEP2
VNUSB
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
zbenioz
(Zzebrucki)
25 Wrzesień 2008 07:34
#3
Witam
Postąpiłem zgodnie ze wskazówkami
Nowy log: http://wklej.eu/index.php?id=cfc204b25e
Pozdrawiam
huber2t
(huber2t)
25 Wrzesień 2008 11:58
#4
Log wyglada na czysty
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
zbenioz
(Zzebrucki)
25 Wrzesień 2008 16:45
#5
Wykonałem wszystkie wskazane zadania.
Nowy log po skanowaniu (Kaspersky) - opcja obszary krytyczne: http://www.wklej.eu/index.php?id=3e1d5ed280
Zostały chyba tylko “stare wirusy” ukryte w kwarantannie czy w kopii listów e-mail, no chyba, że jeszcze w tych obiektach zamkniętych??
Sprawdziłem także komputer stacjonarny, było na nim trochę świństwa, po ich usunięciu otrzymałem taki log z combofix: http://www.wklej.eu/index.php?id=8a5676e7ea
proszę o jego sprawdzenie, jeżeli to możliwe.
Dziękuje bardzo za pomoc:)
Pozdrowienia
huber2t
(huber2t)
25 Wrzesień 2008 17:10
#6
komp pierwszy:
Pobierz The Avenger
wklej do niego ten tekst:
Files to delete:
C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\043C0000\4CFEB4B4.VBN
D:\Moje ze starego kompa\Zbyszek\po formacie\Outlook Express\Zbychu.dbx/[From =?iso-8859-2?Q?=AFebrucki_Zbigniew?=][Date Sat, 19 Jan 2008 09:24:18 +0100]/UNNAMED
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK. Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt drugi komp: ** Pobierz** ComboFix , ale nie uruchamiaj Otwórz notatnik i wklej do niego:
Folder::
C:\FOUND.000
Driver::
SBAPIFS
sbpcint4
MEMSWEEP2
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{34d7abc0-7a6d-11dc-8137-0000c06ddbd3}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6632e860-2c81-11dc-8038-0000c06ddbd3}]
Plik -> zapisz jako -> CFScript.txt .
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
zbenioz
(Zzebrucki)
25 Wrzesień 2008 18:56
#7
Po zrealizowaniu wskazówek otrzymałem następujące logi:
laptop log z avenger’a: http://www.wklej.eu/index.php?id=7732b68edc
pc stacjonarny log z combofix’a: http://www.wklej.eu/index.php?id=7a0fb860f9
Widzę że niezły syf pościągałem z uczelni, pracy…
Wielkie dzięki, nie ma jak fachowa i szybka pomoc:)
zbenioz
(Zzebrucki)
26 Wrzesień 2008 11:25
#8
Udało się już pozbyć tego świnstawa na 2 komputerach? Powinienem coś jeszcze zrobić?
Pozdrawiam
Zbyszek
huber2t
(huber2t)
26 Wrzesień 2008 11:37
#9
Komp pierwszy:
Powinno być juz ok
Komp drugi:
Log wyglada na czysty
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
zbenioz
(Zzebrucki)
26 Wrzesień 2008 15:26
#10
Skan Kasperskim na 2 kompie wykonany:
Log (skan dysków): http://www.wklej.eu/index.php?id=0173c1455e
Log (skan obszarów): http://www.wklej.eu/index.php?id=1a619bc925
Z poczty wyrzuciłem zawirusowaną pocztę, czy coś jeszcze trzeba by zrobić?
pozdrawiam
huber2t
(huber2t)
26 Wrzesień 2008 15:30
#11
Jeśli to zrobiłeś to powinno być ok
sowa180
(Sowa F)
29 Październik 2008 12:36
#13
Witam, mam ten sam problem. przy każdej próbie otworzenia jakiegokolwiek katalogu pojawia się komunikat “some dangerous viruses detected in your system…” poniżej daję link do loga z Combofix’a. proszę o pomoc. dziekuje i pozdrawiam.
http://www.wklejto.pl/13461