Wirusy- log kaspersky


(system) #1

Witam. walczyłem ostatnio z robactwem. po wyczyszczeniu logów hijacka i combofixa oraz wykonaniu kolejnych zalecanych czynności przeskanowalem jeszcze raz kasperskym.

Dalej nie jest czysty. Poniżej zamieszczam raport:

KASPERSKY ONLINE SCANNER REPORT

24 wrzesień 2008 16:33:43

System operacyjny: Microsoft Windows XP Home Edition, Dodatek Service Pack 2 (Build 2600)

Kaspersky Online Scanner wersja: 5.0.98.1

Ostatnia aktualizacja Kaspersky Anti-Virus24/09/2008

Liczba wpisów w bazie danych Kaspersky Anti-Virus1253077

Ustawienia skanowania

Skanowanie przy użyciu następujących baz danych rozszerzone

Skanuj archiwa tak

Skanuj pocztowe bazy danych tak

Obszar skanowania Mój komputer

C:\

D:\

E:\

Statystyki skanowania

Liczba skanowanych obiektów 65839

Liczba wykrytych wirusów 8

Liczba zainfekowanych obiektów 15

Liczba podejrzanych obiektów 0

Czas trwania skanowania 01:57:09

Nazwa zainfekowanego obiektu Nazwa wirusa Ostatnie działanie

C:\Documents and Settings\All Users\Dane aplikacji\Symantec\Common Client\settings.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\Paweł\Cookies\index.dat Object is locked pominięty

C:\Documents and Settings\Paweł\NTUSER.DAT Object is locked pominięty

C:\Documents and Settings\Paweł\ntuser.dat.LOG Object is locked pominięty

C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Microsoft\Feeds Cache\index.dat Object is locked pominięty

C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat Object is locked pominięty

C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat.LOG Object is locked pominięty

C:\Documents and Settings\Paweł\Ustawienia lokalne\Historia\History.IE5\index.dat Object is locked pominięty

C:\Documents and Settings\Paweł\Ustawienia lokalne\temp\IMG3.tmp Object is locked pominięty

C:\Documents and Settings\Paweł\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat Object is locked pominięty

C:\Program Files\Norton SystemWorks\Norton Antivirus\AVApp.log Object is locked pominięty

C:\Program Files\Norton SystemWorks\Norton Antivirus\AVError.log Object is locked pominięty

C:\Program Files\Norton SystemWorks\Norton Antivirus\AVVirus.log Object is locked pominięty

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

C:\System Volume Information_restore{6665763A-B5D2-448D-BD1C-1B6F94F28DAA}\RP114\A0010882.sys Zainfekowanych: Hoax.Win32.Agent.fu pominięty

C:\System Volume Information_restore{6665763A-B5D2-448D-BD1C-1B6F94F28DAA}\RP114\A0010886.cmd Zainfekowanych: Trojan-PSW.Win32.OnLineGames.uyy pominięty

C:\System Volume Information_restore{6665763A-B5D2-448D-BD1C-1B6F94F28DAA}\RP114\A0010887.com Zainfekowanych: Trojan-PSW.Win32.OnLineGames.tot pominięty

C:\System Volume Information_restore{6665763A-B5D2-448D-BD1C-1B6F94F28DAA}\RP114\change.log Object is locked pominięty

C:\WINDOWS\Debug\PASSWD.LOG Object is locked pominięty

C:\WINDOWS\SchedLgU.Txt Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb Object is locked pominięty

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked pominięty

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\default Object is locked pominięty

C:\WINDOWS\system32\config\default.LOG Object is locked pominięty

C:\WINDOWS\system32\config\Internet.evt Object is locked pominięty

C:\WINDOWS\system32\config\ODiag.evt Object is locked pominięty

C:\WINDOWS\system32\config\OSession.evt Object is locked pominięty

C:\WINDOWS\system32\config\SAM Object is locked pominięty

C:\WINDOWS\system32\config\SAM.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY Object is locked pominięty

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked pominięty

C:\WINDOWS\system32\config\software Object is locked pominięty

C:\WINDOWS\system32\config\software.LOG Object is locked pominięty

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked pominięty

C:\WINDOWS\system32\config\system Object is locked pominięty

C:\WINDOWS\system32\config\system.LOG Object is locked pominięty

C:\WINDOWS\system32\h323log.txt Object is locked pominięty

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked pominięty

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked pominięty

C:\WINDOWS\WindowsUpdate.log Object is locked pominięty

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked pominięty

D:\System Volume Information_restore{6665763A-B5D2-448D-BD1C-1B6F94F28DAA}\RP114\A0010746.exe/data0010 Zainfekowanych: not-a-virus:AdWare.Win32.Gator.3102 pominięty

D:\System Volume Information_restore{6665763A-B5D2-448D-BD1C-1B6F94F28DAA}\RP114\A0010746.exe NSIS: zainfekowany - 1 pominięty

D:\System Volume Information_restore{6665763A-B5D2-448D-BD1C-1B6F94F28DAA}\RP114\A0010746.exe UPX: zainfekowany - 1 pominięty

D:\System Volume Information_restore{6665763A-B5D2-448D-BD1C-1B6F94F28DAA}\RP114\A0010748.exe/Gain_Trickler.exe Zainfekowanych: not-a-virus:AdWare.Win32.Gator.3102 pominięty

D:\System Volume Information_restore{6665763A-B5D2-448D-BD1C-1B6F94F28DAA}\RP114\A0010748.exe Vise: zainfekowany - 1 pominięty

D:\System Volume Information_restore{6665763A-B5D2-448D-BD1C-1B6F94F28DAA}\RP114\A0010749.exe/Gain_Trickler.exe Zainfekowanych: not-a-virus:AdWare.Win32.Gator.3202 pominięty

D:\System Volume Information_restore{6665763A-B5D2-448D-BD1C-1B6F94F28DAA}\RP114\A0010749.exe Vise: zainfekowany - 1 pominięty

D:\System Volume Information_restore{6665763A-B5D2-448D-BD1C-1B6F94F28DAA}\RP114\A0010756.exe/data0007 Zainfekowanych: not-a-virus:AdWare.Win32.NewDotNet pominięty

D:\System Volume Information_restore{6665763A-B5D2-448D-BD1C-1B6F94F28DAA}\RP114\A0010756.exe/data0008/SaveNow.exe Zainfekowanych: not-a-virus:AdWare.Win32.SaveNow.aa pominięty

D:\System Volume Information_restore{6665763A-B5D2-448D-BD1C-1B6F94F28DAA}\RP114\A0010756.exe/data0008/Uninst.exe Zainfekowanych: not-a-virus:AdWare.Win32.SaveNow.au pominięty

D:\System Volume Information_restore{6665763A-B5D2-448D-BD1C-1B6F94F28DAA}\RP114\A0010756.exe/data0008 Zainfekowanych: not-a-virus:AdWare.Win32.SaveNow.au pominięty

D:\System Volume Information_restore{6665763A-B5D2-448D-BD1C-1B6F94F28DAA}\RP114\A0010756.exe NSIS: zainfekowany - 4 pominięty

Proces skanowania został zakończony.

Co z tym dziadostwem dalej zrobić?

Moj poprzedni wątek to : "Sprawdzenie loga - W32.Gammina.AG"

Za pomoc bede b. wdzieczny.


(huber2t) #2

Pobierz ComboFix, ale nie uruchamiaj

Otwórz notatnik i wklej do niego:

Folder::

C:\System Volume Information\_restore{6665763A-B5D2-448D-BD1C-1B6F94F28DAA}\RP114

D:\System Volume Information\_restore{6665763A-B5D2-448D-BD1C-1B6F94F28DAA}\RP114

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(system) #3

Teraz wygląda to tak

http://wklej.org/id/6295/


(huber2t) #4

W logu nic nie widzę

Pliki usunięte

Powinno być ok

:slight_smile:


(system) #5

Serdeczne dzieki