Virus "VBS:Solow" - Pytanie proszę o odpowiedź i w

GALLUS · 22 Listopad 2007 10:01

Witam

od jakiegoś tygodnia mam problem z moim dyskiem PRZENOŚNYM 250 GB

Mianowicie gnieździ się mi na nim ww Virus: VBS:Solow a dokładnie

w

F:\System Volume Information_restore{9BAD6821-05AB-4A3F-9F04-1D9E7BE88766}\RP43\A0006736.vbs

z tego co wiem to nawet jeśli sformatuje jedną partycję to virus i tak zostanie. Trzeba sformatować cały dysk. Ze względu że ponad 75 % jest zapełnione a około 20 % MUSZE zachować.

Moje pytanie do was jak sądzicie

jeśli przekopjiuje te 20% plików przez sieć LAN z jednogo na drugi komputer to czy przekopiuje też tego virusa ???.

Może ktoś ma już doświadczenie z taką kombinacją.

Prubowałem już z programem PRT ale kompletnie nie wiem jak sie nim posługiwać. A Hijackthis według mnie nie pokazuje virusa w LOGU.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:57:37, on 2007-11-22

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Atheros\ACU.exe

C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programy\AQQ\AQQ.exe

C:\Programy\HideOE\HideOE.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\outlook express\msimn.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\acs.exe

C:\WINDOWS\system32\slserv.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Programy\Mozilla Firefox 3 Beta 1\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Programy\HijackThis\HijackThis.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://codecs.r8.org/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [ACU] "C:\Program Files\Atheros\ACU.exe" -nogui

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Programy\Winamp\winampa.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKCU\..\Run: [AQQ] C:\Programy\AQQ\AQQ.exe

O4 - HKCU\..\Run: [HideOE] "C:\Programy\HideOE\HideOE.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe


--

End of file - 4073 bytes

Bardzo proszę o Pomoc i opinie.

Dzięki z góry

sdar · 22 Listopad 2007 10:42

Ścieżka ta wskazuje, że plik ten znajduje się w punkcie przywracania dla tego dysku utworzonym przez system.

Zacznij więc od tego, że usuń wszystkie punkty przywracania tego dysku.

Na analizę logów misisz poczekać do czasu pojawienia się na forum osób, któe się tym zajmują.

GALLUS · 22 Listopad 2007 11:51

Sdar:

Mam rozumieć że mówisz o punktach przywracaniu systemu. ???

Gutek · 22 Listopad 2007 17:37

Prawoklik na Mój Komputer>>Przywracanie systemu>> wyłącz przywracanie systemu na wszystkich dyskach.

Daj log z ComboFix