Witam wszystkich.

Jak wielu użytkowników forum walczę z trojanem Amvo oraz kilkoma innymi niechcianymi “cloaked malware”. To straszne. Ja również mam problem z nim.

Rezultatem przeszukania z Prevx CSI było 6 takich cudów. Zastosowałam się do instrukcji znalezionej w necie odnośnie procedury usuwania. Niestety utknęłam po uzyskaniu pliku log z programu ComboFix. Bardzo proszę o poradę fachowca od analizy takich plików. Doczytałam się, że radzicie innym użytkownikom w podobnych sprawach. Bardzo proszę o pomoc w moim przypadku, wydaje się być bardziej skomplikowany ze względu na ilość infekcji. Oto treść pliku log z ComboFix-a.

pozostaję w oczekiwaniu na odpowiedź

Monia

***************************************

ComboFix 08-07-01.5 - Pracownik 2008-07-03 9:21:42.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.139 [GMT 2:00]

Running from: G:\ComboFix.exe

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\autorun.inf

C:\WINDOWS\system32\amvo.exe

C:\WINDOWS\system32\amvo0.dll

C:\WINDOWS\system32\amvo1.dll

D:\Autorun.inf

E:\Autorun.inf

F:\Autorun.inf

.

((((((((((((((((((((((((( Files Created from 2008-06-03 to 2008-07-03 )))))))))))))))))))))))))))))))

.

2008-07-03 09:18 . 2008-07-03 09:18

2008-07-03 09:07 . 2008-07-03 09:07

2008-07-03 09:07 . 2008-07-03 09:07

2008-07-03 09:07 . 2008-07-03 09:07 17,408 --a------ C:\WINDOWS\system32\drivers\pxark.sys

2008-07-02 15:09 . 2008-07-03 09:11

2008-07-02 15:09 . 2008-07-02 15:09

2008-07-02 15:09 . 2008-06-10 21:22 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys

2008-07-02 15:09 . 2008-06-02 15:19 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys

2008-07-02 15:09 . 2008-06-02 15:19 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys

2008-07-02 15:09 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys

2008-07-02 11:07 . 2008-07-02 11:06 113,731 -r-hs---- C:\xmnm2.cmd

2008-07-02 09:54 . 2008-06-27 08:48 112,070 -r-hs---- C:\r.cmd

2008-06-26 14:52 . 2008-07-03 09:20

2008-06-18 12:07 . 1996-12-02 18:44 251,664 --a------ C:\WINDOWS\system32\msrd2x35.dll

2008-06-18 12:06 . 1997-01-13 00:00 37,136 --a------ C:\WINDOWS\system32\Msjint35.dll

2008-06-18 12:06 . 1996-12-02 18:44 24,336 --a------ C:\WINDOWS\system32\msjter35.dll

2008-06-12 09:27 . 2008-06-12 09:27

2008-06-12 09:27 . 1995-07-21 10:58 26,624 --a------ C:\WINDOWS\system\SV3D32.DLL

2008-06-12 09:27 . 2008-06-25 13:24 56 --a------ C:\WINDOWS\SCI.INI

2008-06-11 08:49 . 2008-06-14 20:01 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys

2008-06-11 08:49 . 2008-06-14 20:01 273,024 -----c— C:\WINDOWS\system32\dllcache\bthport.sys

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-27 13:10 --------- d-----w C:\Documents and Settings\Pracownik\Dane aplikacji\U3

2008-05-20 13:37 --------- d-----w C:\Program Files\EIZO

2008-05-12 13:08 --------- d-----w C:\Documents and Settings\Pracownik\Dane aplikacji\AdobeUM

2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys

2008-05-07 05:16 1,291,264 ----a-w C:\WINDOWS\system32\quartz.dll

2008-04-23 07:20 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44 15360]

“updateMgr”=“C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe” [2006-03-30 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“vptray”=“C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe” [2003-05-21 01:21 90112]

“Adobe Photo Downloader”=“C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe” [2005-06-06 23:46 57344]

“NeroCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2001-07-09 12:50 155648]

“Samsung PanelMgr”=“C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe” [2005-10-31 13:20 503808]

“WrtMon.exe”=“C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe” [2006-09-20 09:35 20480]

“ScreenManager Pro for LCD”=“C:\Program Files\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe” [2007-08-30 05:47 10937640]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 00:44 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“AntiVirusOverride”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“C:\Program Files\Gadu-Gadu\gg.exe”=

“C:\Program Files\ESI Software\PAM-STAMP\2005.0\Binary\SolverManager\solvermanager.exe”=

“C:\flexlm\pam_lmd.exe”=

“C:\flexlm\lmgrd.exe”=

“C:\Program Files\Dassault Systemes\B09D20\intel_a\code\bin\orbixd.exe”=

“C:\Program Files\Dassault Systemes\B09D20\intel_a\code\bin\CNEXT.exe”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-07-03 09:07]

R2 CSIScanner;CSIScanner;“C:\Program Files\PrevxCSI\prevxcsi.exe” /service []

R2 FLEXlm Service 1;FLEXlm Service 1;C:\flexlm\lmgrd.exe [2005-02-18 13:17]

R2 PamSolverManager21;PamSolver Manager v2.1;“C:\Program Files\ESI Software\PAM-STAMP\2005.0\Binary\SolverManager\solvermanager.exe” [2005-01-06 16:40]

S2 BBDemon;Backbone Service;C:\Program Files\Dassault Systemes\B09D20\intel_a\code\bin\CATSysDemon.exe [2002-04-17 21:35]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{34a4c784-ae16-11dc-8077-0040f479c839}]

\Shell\Auto\command - H:\Cn911.exe

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Cn911.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{40d69e7e-f135-11da-bee7-0040f479c839}]

\Shell\AutoRun\command - jdwx.exe

\Shell\explore\Command - jdwx.exe

\Shell\open\Command - jdwx.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{75f30f06-575d-11db-bf42-0040f479c839}]

\Shell\AutoRun\command - H:\r.cmd

\Shell\explore\Command - H:\r.cmd

\Shell\open\Command - H:\r.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{a6fc5fde-7eac-11db-bf62-0040f479c839}]

\Shell\AutoRun\command - H:\r.cmd

\Shell\explore\Command - H:\r.cmd

\Shell\open\Command - H:\r.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{ade4f0d0-46ec-11db-bf32-0040f479c839}]

\Shell\AutoRun\command - H:\jdwx.exe

\Shell\explore\Command - H:\jdwx.exe

\Shell\open\Command - H:\jdwx.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{b7002e76-2184-11dd-80d3-0040f479c839}]

\Shell\AutoRun\command - EXPLORER.EXE

\Shell\explore\Command - EXPLORER.EXE

\Shell\open\Command - EXPLORER.EXE

*Newly Created Service* - CATCHME

*Newly Created Service* - CSISCANNER

*Newly Created Service* - PXARK

.

• • • • ORPHANS REMOVED - - - -

HKLM-Run-IS CfgWiz - C:\Program Files\Common Files\Symantec Shared\cfgwiz.exe

HKLM-Run-URLLSTCK.exe - C:\Program Files\Norton Internet Security Professional\UrlLstCk.exe

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-03 09:28:31

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe

• C:\WINDOWS\system32\NavLogon.dll

.

Completion time: 2008-07-03 9:34:36

ComboFix-quarantined-files.txt 2008-07-03 07:34:31

Pre-Run: 1,559,891,968 bajtów wolnych

Post-Run: 6,129,762,304 bajtów wolnych

133 — E O F — 2008-06-20 13:05:35

Pobierz Combofixale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum

Usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Dziękuję za ekspresową odpowiedź. Bardzo dużo informacji.

Czy ma znaczenie, że skanowałam combofix z lokalizacji na CD-romie?

Pobrałam drugi raz Combofix ze strony którą poleciłeś i zapisałam na pulpicie.

Cytowaną treść wkleiłam do notatnika nazwałam CFScript.txt. Mam plik i program.

I co teraz upuścić do skopiowanego na pulpicie Combofix-a, czy tego który używałam z lokalizacji na CD-romie.

No i naczytałam się o tworzeniu kopii systemu, pomijamy tą opcję. Czy tak?

Upuść ikonkę pliku CFScript.txt na tę ikonke Combofix którą masz na pulpicie.

Możesz pominąć ale dla bezpieczeństwa powinieneś nacisnąc tak

Dziekuję za odp, podejmuję zalecona działania.

W dniu 03.07.2008 , o godzinie 11:43 został dopisany post przez Monia33

Donoszę, iż skanowanie zakończone z plikiem combofixa o takiej treści:

*******************

ComboFix 08-07-02.3 - Pracownik 2008-07-03 11:35:46.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.199 [GMT 2:00]

Running from: C:\Documents and Settings\Pracownik\Pulpit\ComboFix.exe

Command switches used :: C:\Documents and Settings\Pracownik\Pulpit\CFScript.txt

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED

****************************************

I co mam zrobić dalej. Zrestartować kompa i zobaczyc czy wstanie, tak?

Dopiero potem usunąć pliki ręcznie z dysku C oraz instalkę Combofixa??

Jak usunąć ręcznie pliki z dysku C, bardzo dawno tego nie robiłam i już zapomniałam jak to się robi?

FILE ::

C:\r.cmd

C:\xmnm2.cmd

H:\Cn911.exe

H:\jdwx.exe

H:\r.cmd

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\r.cmd

C:\xmnm2.cmd

.

((((((((((((((((((((((((( Files Created from 2008-06-03 to 2008-07-03 )))))))))))))))))))))))))))))))

.

2008-07-03 11:12 . 2008-07-03 11:12

2008-07-03 09:07 . 2008-07-03 09:07

2008-07-03 09:07 . 2008-07-03 10:02

2008-07-03 09:07 . 2008-07-03 09:07 17,408 --a------ C:\WINDOWS\system32\drivers\pxark.sys

2008-07-02 15:09 . 2008-07-03 09:11

2008-07-02 15:09 . 2008-07-02 15:09

2008-07-02 15:09 . 2008-06-10 21:22 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys

2008-07-02 15:09 . 2008-06-02 15:19 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys

2008-07-02 15:09 . 2008-06-02 15:19 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys

2008-07-02 15:09 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys

2008-06-26 14:52 . 2008-07-03 09:20

2008-06-18 12:07 . 1996-12-02 18:44 251,664 --a------ C:\WINDOWS\system32\msrd2x35.dll

2008-06-18 12:06 . 1997-01-13 00:00 37,136 --a------ C:\WINDOWS\system32\Msjint35.dll

2008-06-18 12:06 . 1996-12-02 18:44 24,336 --a------ C:\WINDOWS\system32\msjter35.dll

2008-06-12 09:27 . 2008-06-12 09:27

2008-06-12 09:27 . 1995-07-21 10:58 26,624 --a------ C:\WINDOWS\system\SV3D32.DLL

2008-06-12 09:27 . 2008-06-25 13:24 56 --a------ C:\WINDOWS\SCI.INI

2008-06-11 08:49 . 2008-06-14 20:01 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys

2008-06-11 08:49 . 2008-06-14 20:01 273,024 -----c— C:\WINDOWS\system32\dllcache\bthport.sys

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-06-27 13:10 --------- d-----w C:\Documents and Settings\Pracownik\Dane aplikacji\U3

2008-05-20 13:37 --------- d-----w C:\Program Files\EIZO

2008-05-12 13:08 --------- d-----w C:\Documents and Settings\Pracownik\Dane aplikacji\AdobeUM

2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys

2008-05-07 05:16 1,291,264 ----a-w C:\WINDOWS\system32\quartz.dll

2008-04-23 07:20 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\ctfmon.exe” [2004-08-04 00:44 15360]

“updateMgr”=“C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe” [2006-03-30 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

“vptray”=“C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe” [2003-05-21 01:21 90112]

“Adobe Photo Downloader”=“C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe” [2005-06-06 23:46 57344]

“NeroCheck”=“C:\WINDOWS\system32\NeroCheck.exe” [2001-07-09 12:50 155648]

“Samsung PanelMgr”=“C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe” [2005-10-31 13:20 503808]

“WrtMon.exe”=“C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe” [2006-09-20 09:35 20480]

“ScreenManager Pro for LCD”=“C:\Program Files\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe” [2007-08-30 05:47 10937640]

[HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

“CTFMON.EXE”=“C:\WINDOWS\system32\CTFMON.EXE” [2004-08-04 00:44 15360]

C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\

Adobe Reader Speed Launch.lnk - C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

“AntiVirusOverride”=dword:00000001

[HKLM~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

“%windir%\system32\sessmgr.exe”=

“C:\Program Files\Gadu-Gadu\gg.exe”=

“C:\Program Files\ESI Software\PAM-STAMP\2005.0\Binary\SolverManager\solvermanager.exe”=

“C:\flexlm\pam_lmd.exe”=

“C:\flexlm\lmgrd.exe”=

“C:\Program Files\Dassault Systemes\B09D20\intel_a\code\bin\orbixd.exe”=

“C:\Program Files\Dassault Systemes\B09D20\intel_a\code\bin\CNEXT.exe”=

“%windir%\Network Diagnostic\xpnetdiag.exe”=

R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-07-03 09:07]

R2 CSIScanner;CSIScanner;“C:\Program Files\PrevxCSI\prevxcsi.exe” /service []

R2 FLEXlm Service 1;FLEXlm Service 1;C:\flexlm\lmgrd.exe [2005-02-18 13:17]

R2 PamSolverManager21;PamSolver Manager v2.1;“C:\Program Files\ESI Software\PAM-STAMP\2005.0\Binary\SolverManager\solvermanager.exe” [2005-01-06 16:40]

S2 BBDemon;Backbone Service;C:\Program Files\Dassault Systemes\B09D20\intel_a\code\bin\CATSysDemon.exe [2002-04-17 21:35]

*Newly Created Service* - CATCHME

*Newly Created Service* - CSISCANNER

*Newly Created Service* - PXARK

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-07-03 11:40:34

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

scanning hidden processes …

scanning hidden autostart entries …

scanning hidden files …

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe

• C:\WINDOWS\system32\NavLogon.dll

.

Completion time: 2008-07-03 11:43:20

ComboFix-quarantined-files.txt 2008-07-03 09:43:04

ComboFix2.txt 2008-07-03 07:34:38

Pre-Run: 6,086,918,144 bajtów wolnych

Post-Run: 6,087,237,632 bajtów wolnych

108 — E O F — 2008-06-20 13:05:35

Log wydaje się czysty

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

lub format

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj tym Kaspersky Online Scanner Uruchom pod IE daj raport na forum

Oj namieszałam, widzę - wpisałam treść wiadomości

"…I co mam zrobić dalej. Zrestartować kompa i zobaczyc czy wstanie, tak?

Dopiero potem usunąć pliki ręcznie z dysku C oraz instalkę Combofixa??

Jak usunąć ręcznie pliki z dysku C, bardzo dawno tego nie robiłam i już zapomniałam jak to się robi?"

w cytacji pliku loga po skanowaniu, ale chyba się zorientowaliście.

Sorki

W dniu 03.07.2008 , o godzinie 11:50 został dopisany post przez Monia33

Dziękuję za dalsze instrukcje.

Czyli jeszcze nie wywalać combofixa z załącznikami?

Tylko podziałać z systemem.

Usuń. Żeby usunąć folder C: \Qoobox Wchodzisz Start - Mój komputer - Dysk C klikasz na ten folder prawym przyciskiem myszy w oknie powinna pojawić się opcja usuń

Przeprowadzone wyłączenie i włączenie przywracania systemu na wszystkich dyskach. Komp działa.

W dniu 03.07.2008 , o godzinie 13:50 został dopisany post przez Monia33

Raport z Kasperskiego:

*******************************************

3 lipiec 2008 13:52:22

System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.0

Ostatnia aktualizacja Kaspersky Anti-Virus 3/07/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus909933

Ustawienia skanowania

Skanowanie przy użyciu następujących baz danych rozszerzone

Skanuj archiwa tak

Skanuj pocztowe bazy danych tak

Obszar skanowania Obszary krytyczne

C:\WINDOWS

C:\DOCUME~1\PRACOW~1\USTAWI~1\Temp\

Statystyki skanowania

Liczba skanowanych obiektów 16920

Liczba wykrytych wirusów 0

Liczba zainfekowanych obiektów 0

Liczba podejrzanych obiektów 0

Czas trwania skanowania 00:21:59

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\WINDOWS\Sti_Trace.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\Internet.evt Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\wiadebug.log Object is locked pominięty

C:\WINDOWS\wiaservc.log Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

Proces skanowania został zakończony.

**************************

Wychodzi, że nic nie znalazł. Są tylko pewne pliki do których się nie dobrał. Nie wiem, czy wystarczyło wybrać “skanowanie krytycznych obszarów”, więc przepuszczam jeszcze “skanuj mój komputer”.

W raporcie czysto

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052

Witam po kolejnym dniu walki z paskudztwami.

Nie rozumiem, czy w końcu mamy umieszczać logi na http://wklejto.pl/, czy nie?? Z wypowiedzi Admina wnioskuję, że tak.

Łatwiej zrozumieć przekaz, gdyby powiedziano wprost “pomimo takiego komunikatu korzystajcie z …”

Pozbyłam się Amvro, ale pozostało jeszcze kilka innych utrudniaczy (9 różnych), które znalazł Kasperski. Oto raport z niego. I co z tym robić?

Poziadam Symantec Antywirus, ale on sobie z tym nie radzi tak do końca.

*******************************************************************************************************************************************************

4 lipiec 2008 07:57:11

System operacyjny: Microsoft Windows XP Professional, Dodatek Service Pack 2 (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.0

Ostatnia aktualizacja Kaspersky Anti-Virus 3/07/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus909933

Ustawienia skanowania

Skanowanie przy użyciu następujących baz danych rozszerzone

Skanuj archiwa tak

Skanuj pocztowe bazy danych tak

Obszar skanowania Mój komputer

A:\

C:\

D:\

E:\

F:\

G:\

Statystyki skanowania

Liczba skanowanych obiektów 130749

Liczba wykrytych wirusów 9

Liczba zainfekowanych obiektów 28

Liczba podejrzanych obiektów 0

Czas trwania skanowania 02:05:01

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie

C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Dr Watson\user.dmp Object is locked pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0C900000.VBN Zainfekowanych: Trojan-PSW.Win32.OnLineGames.tot pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0C900002.VBN Zainfekowanych: Trojan.Win32.VB.aqt pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0C900004.VBN Zainfekowanych: Worm.Win32.Perlovga.a pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0C900006.VBN Zainfekowanych: Trojan-Dropper.Win32.Small.apl pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0C900008.VBN Zainfekowanych: Worm.VBS.Solow.b pominięty

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0C90000A.VBN Zainfekowanych: Worm.VBS.Solow.b pominięty

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\pamservice.HYRCZA-130-4229\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\pamservice.HYRCZA-130-4229\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\pamservice.HYRCZA-130-4229\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\pamservice.HYRCZA-130-4229\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\Pracownik\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\Pracownik\Moje dokumenty\programy\s_sinstallerandtoolbar1.exe/data0002/data0011 Zainfekowanych: not-a-virus:AdWare.Win32.Comet.bb pominięty

C:\Documents and Settings\Pracownik\Moje dokumenty\programy\s_sinstallerandtoolbar1.exe/data0002/data0012 Zainfekowanych: not-a-virus:AdWare.Win32.Comet.be pominięty

C:\Documents and Settings\Pracownik\Moje dokumenty\programy\s_sinstallerandtoolbar1.exe/data0002 Zainfekowanych: not-a-virus:AdWare.Win32.Comet.be pominięty

C:\Documents and Settings\Pracownik\Moje dokumenty\programy\s_sinstallerandtoolbar1.exe/data0003/data0002 Zainfekowanych: not-a-virus:AdWare.Win32.Comet.bl pominięty

C:\Documents and Settings\Pracownik\Moje dokumenty\programy\s_sinstallerandtoolbar1.exe/data0003 Zainfekowanych: not-a-virus:AdWare.Win32.Comet.bl pominięty

C:\Documents and Settings\Pracownik\Moje dokumenty\programy\s_sinstallerandtoolbar1.exe NSIS: zainfekowany - 5 pominięty

C:\Documents and Settings\Pracownik\Moje dokumenty\programy\s_sinstallerandtoolbar2.exe/data0002/data0011 Zainfekowanych: not-a-virus:AdWare.Win32.Comet.bb pominięty

C:\Documents and Settings\Pracownik\Moje dokumenty\programy\s_sinstallerandtoolbar2.exe/data0002/data0012 Zainfekowanych: not-a-virus:AdWare.Win32.Comet.be pominięty

C:\Documents and Settings\Pracownik\Moje dokumenty\programy\s_sinstallerandtoolbar2.exe/data0002 Zainfekowanych: not-a-virus:AdWare.Win32.Comet.be pominięty

C:\Documents and Settings\Pracownik\Moje dokumenty\programy\s_sinstallerandtoolbar2.exe/data0003/data0002 Zainfekowanych: not-a-virus:AdWare.Win32.Comet.bl pominięty

C:\Documents and Settings\Pracownik\Moje dokumenty\programy\s_sinstallerandtoolbar2.exe/data0003 Zainfekowanych: not-a-virus:AdWare.Win32.Comet.bl pominięty

C:\Documents and Settings\Pracownik\Moje dokumenty\programy\s_sinstallerandtoolbar2.exe NSIS: zainfekowany - 5 pominięty

C:\Documents and Settings\Pracownik\Moje dokumenty\programy\s_sinstallerandtoolbar3.exe/data0002/data0011 Zainfekowanych: not-a-virus:AdWare.Win32.Comet.bb pominięty

C:\Documents and Settings\Pracownik\Moje dokumenty\programy\s_sinstallerandtoolbar3.exe/data0002/data0012 Zainfekowanych: not-a-virus:AdWare.Win32.Comet.be pominięty

C:\Documents and Settings\Pracownik\Moje dokumenty\programy\s_sinstallerandtoolbar3.exe/data0002 Zainfekowanych: not-a-virus:AdWare.Win32.Comet.be pominięty

C:\Documents and Settings\Pracownik\Moje dokumenty\programy\s_sinstallerandtoolbar3.exe/data0003/data0002 Zainfekowanych: not-a-virus:AdWare.Win32.Comet.bl pominięty

C:\Documents and Settings\Pracownik\Moje dokumenty\programy\s_sinstallerandtoolbar3.exe/data0003 Zainfekowanych: not-a-virus:AdWare.Win32.Comet.bl pominięty

C:\Documents and Settings\Pracownik\Moje dokumenty\programy\s_sinstallerandtoolbar3.exe NSIS: zainfekowany - 5 pominięty

C:\Documents and Settings\Pracownik\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\Pracownik\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\Pracownik\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\Pracownik\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\Pracownik\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\Pracownik\Ustawienia lokalne\Historia\History.IE5\MSHist012008070320080704\index.dat Object is locked pominięty

C:\Documents and Settings\Pracownik\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\flexlm\pamlicense.log Object is locked pominięty

C:\RECYCLER\S-1-5-21-583907252-1682526488-839522115-1005\Dc1\Quarantine\C\r.cmd.vir Zainfekowanych: Trojan.Win32.Vaklik.bct pominięty

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

C:\System Volume Information_restore{488D2D05-8C0C-4CD8-B624-9ECBB5D52C6C}\RP474\change.log Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\WINDOWS\Sti_Trace.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked pominięty

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\Internet.evt Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\wiadebug.log Object is locked pominięty

C:\WINDOWS\wiaservc.log Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

D:\r.cmd Zainfekowanych: Trojan.Win32.Vaklik.bct pominięty

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

E:\r.cmd Zainfekowanych: Trojan.Win32.Vaklik.bct pominięty

E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

F:\r.cmd Zainfekowanych: Trojan.Win32.Vaklik.bct pominięty

F:\System Volume Information\catalog.wci\00000002.ps1 Object is locked pominięty

F:\System Volume Information\catalog.wci\00000002.ps2 Object is locked pominięty

F:\System Volume Information\catalog.wci\00010006.ci Object is locked pominięty

F:\System Volume Information\catalog.wci\cicat.fid Object is locked pominięty

F:\System Volume Information\catalog.wci\cicat.hsh Object is locked pominięty

F:\System Volume Information\catalog.wci\CiCL0001.000 Object is locked pominięty

F:\System Volume Information\catalog.wci\CiP10000.000 Object is locked pominięty

F:\System Volume Information\catalog.wci\CiP20000.000 Object is locked pominięty

F:\System Volume Information\catalog.wci\CiPT0000.000 Object is locked pominięty

F:\System Volume Information\catalog.wci\CiSL0001.000 Object is locked pominięty

F:\System Volume Information\catalog.wci\CiSP0000.000 Object is locked pominięty

F:\System Volume Information\catalog.wci\CiST0000.000 Object is locked pominięty

F:\System Volume Information\catalog.wci\CiVP0000.000 Object is locked pominięty

F:\System Volume Information\catalog.wci\INDEX.000 Object is locked pominięty

F:\System Volume Information\catalog.wci\propstor.bk1 Object is locked pominięty

F:\System Volume Information\catalog.wci\propstor.bk2 Object is locked pominięty

F:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

Proces skanowania został zakończony.

*************************************************************************************************************************************

Usuń te pliki:

Opróżnij kwarantanne Norton AntiVirus

Opróżnij kosz

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml

Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

lub format

Pobierz Combofixale nie uruchamiaj wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum

Usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Po tym przeskanuj tym http://dobreprogramy.pl/index.php?dz=2& … It!+4.44.5

Logi dajemy na http://wklejto.pl/

Monia33 jak o cos prosze stosuj się od zasad.

Do Gutek2222 - Dobrze, będę się stosowała, mimo wszystko komunikaty Admina nie powinny budzić wątpliwości. Ja Cię nie zrozumiałam. Bez urazy. Teraz już wiem. Jestem nowicjuszem na tym forum. Potraktuj mnie, jak kierowcę, który jeździ z zielonym listkiem.

Bardzo dziękuję za wszystkie porady, pousuwałam co poleciłeś- dziękuję Ci bardzo Spandaupol. Czyli mam powtórzyć pracę z Combofixem jeszcze raz po usunięciu plików. Tak? Jak przepracuję probelem, to się odezwę i zastosuję do zasad.

Dziękuję również Huber2t za pomocne uwagi.

W dniu 10.07.2008 , o godzinie 13:23 został dopisany post przez Monia33

Problem przepracowałam, przeskanowałam Kasperskim (raport zamieściłam na http://wklejto.pl/5390 ), mam na dyskach D,E, F robala Worm,Win32.Autorun.ehx i co znowu combofix??

Podłącz wszsytkie pendrive i wykonaj to:

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

D:\xmnm2.cmd

E:\xmnm2.cmd

F:\xmnm2.cmd

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklejto.pl a w poście dajesz tylko link

Combofix zakończył pracę, oto log z niego http://wklejto.pl/5396

Co mam zrobić dalej?

W dniu 10.07.2008 , o godzinie 13:43 został dopisany post przez Monia33

Czy mam tam jakieś cuda jeszcze?

Nie, już powinno być czysto

Log wydaje się czysty!

Możesz kontrolnie przeskanować raz jeszcze komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum