Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Bardzo proszę o sprawdzenie loga (Combofix, Hijackthis)
14 Lis 2008, 19:44
Proszę o pomoc
http://www.wklej.eu/index.php?id=143e235db6 Combofix
http://www.wklej.eu/index.php?id=64c5b382b2 Hijackthis
http://www.wklej.eu/index.php?id=143e235db6 Combofix
http://www.wklej.eu/index.php?id=64c5b382b2 Hijackthis
Re: Bardzo proszę o sprawdzenie loga (Combofix, Hijackthis)
14 Lis 2008, 20:24
W logach nic nie widzę
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
Re: Bardzo proszę o sprawdzenie loga (Combofix, Hijackthis)
14 Lis 2008, 20:52
Za chwilę podam raport z kaspersy'iego. Wydaje mi się, że jeszcze nie jest czysto. Przedtem avast wskazał mi C:\WINDOWS\SYSTEM32\KAMSOFT.EXE oraz E:\LKY.EXE W plikach autorun.inf na dysku C oraz E(pendrive) znajduje się adres strony internetowej.
Re: Bardzo proszę o sprawdzenie loga (Combofix, Hijackthis)
14 Lis 2008, 20:56
daj najpierw raport
Re: Bardzo proszę o sprawdzenie loga (Combofix, Hijackthis)
14 Lis 2008, 22:12
raport z kaspersy'iego komputer i pendrive
http://www.wklej.eu/index.php?id=e24af9de50
http://www.wklej.eu/index.php?id=e24af9de50
Re: Bardzo proszę o sprawdzenie loga (Combofix, Hijackthis)
14 Lis 2008, 22:26
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
Plik
zapisz jako CFScript.txt.
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie. Logu nie dajesz,tylko skanujesz ponownie antywirusem
Wklej do notatnika:
- Kod:
File::
C:\lky.exe
C:\Program Files\Tlen.pl\plugins\DozaKultury.tpl
E:\lky.exe
Folder::
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP5
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP6
Plik
zapisz jako CFScript.txt.Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie. Logu nie dajesz,tylko skanujesz ponownie antywirusem
Re: Bardzo proszę o sprawdzenie loga (Combofix, Hijackthis)
15 Lis 2008, 12:48
Nie wiem czy to wina jakichś pozostałości na komputerze ale Internet zaczął strasznie mulić. Nie mogę przeprowadzić nawet skanowania kasperskym. Po włączeniu komputera, gdy kabel sieciowy jest odłączony pojawia się okienko połącz/pracuj w trybie offline. W plikach autorun.inf na dysku i pendrivie znajduje się coś takiego:
Udało się oto najświeższy raport z antywira:
Nie wiem czy tak być powinno ale wczoraj gdy dodałem CFScript do ComboFix to pojawił się komunikat informujący o nieprawidłowej nazwie.
;kKAklS2A4oqLa23d4q3kajsApOLask52sas4aim5jeicKoLaw6l3ps2w3krLa0Ke9Ksk543lrq41isKa8qww1sSwr4rjDiwj4Doae3A
[AutoRun]
;Ar4saZwkmLokw2I13aKrloL0asd42K0i9fli24c0KwSjdSwcLoD3ikeskk3D230oo4fqswsA
open=0w.com
;kddd2idqLrD52dkwS59osla2Ilo2Sew3o3sKwoAsKk4OiJ02K4SaDa1k3lA0i43Lr4w5kdJK4sjsjo4
shell\open\Command=0w.com
;s3aKAi9L4S22ej2rd90O8k2qCls8ArowSiLkiaflKeJDq4i32IAess5aKDjnw3lk3Df
shell\open\Default=1
;d3qAoAkLpakr6jdoLwArpkocw2d34r7Zlw4s21Ds4aqd3w4w23Dlasi1Ka3DK1S7oL2l1iLsIKKsKl9fLZLsa
shell\explore\Command=0w.com
;m3w4LoisZaK28jSaJisllS2LqerDHnKUK1dS8s4qaow05rdLssrA5kaw4lD1Llkws43jLD5co59wDl03Ck
Udało się oto najświeższy raport z antywira:
--------------------------------------------------------------------------------
RAPORT KASPERSKY ONLINE SCANNER 7.0
sobota, 15 listopad 2008
System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600)
Wersja Kaspersky Online Scanner: 7.0.26.12
Data ostatniej aktualizacji bazy danych: Friday, November 14, 2008 21:21:13
Liczba wpisów: 1385194
--------------------------------------------------------------------------------
Ustawienia skanowania:
Typ bazy danych użytej do skanowania: rozszerzona
Skanuj archiwa: tak
Skanuj pocztowe bazy danych: tak
Obszar skanowania - Mój komputer:
C:\
E:\
Statystyki skanowania:
Przeskanowanych plików: 19104
Nazwa zagrożenia: 2
Zainfekowanych obiektów: 3
Podejrzanych obiektów: 0
Czas skanowania: 00:39:10
Nazwa pliku / Nazwa zagrożenia / Liczba zagrożeń
C:\lky.exe Zainfekowany: Trojan-GameThief.Win32.Magania.akfj 1
C:\Program Files\Tlen.pl\plugins\DozaKultury.tpl Zainfekowany: not-a-virus:AdWare.Win32.Doza.a 1
E:\lky.exe Zainfekowany: Trojan-GameThief.Win32.Magania.akfj 1
Wybrany obszar został przeskanowany.
Nie wiem czy tak być powinno ale wczoraj gdy dodałem CFScript do ComboFix to pojawił się komunikat informujący o nieprawidłowej nazwie.
Re: Bardzo proszę o sprawdzenie loga (Combofix, Hijackthis)
15 Lis 2008, 15:04
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
Plik zapisz jako CFScript.txt.
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie.
Wklej do notatnika:
- Kod:
File::
C:\lky.exe
C:\Program Files\Tlen.pl\plugins\DozaKultury.tpl
E:\lky.exe
Plik
zapisz jako CFScript.txt.Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie.
Re: Bardzo proszę o sprawdzenie loga (Combofix, Hijackthis)
15 Lis 2008, 18:23
Do tej pory popełniałem chyba błąd ponieważ nie usuwałem z dysku instalki. Dlatego wyskakiwał błąd w Combofixie że nazwa CfScript jest niepoprawna. Oto najnowszy raport z kasperskiego.
Mam nadzieje, że teraz się uda. Co z tymi plikami autorun.inf?
--------------------------------------------------------------------------------
RAPORT KASPERSKY ONLINE SCANNER 7.0
sobota, 15 listopad 2008
System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600)
Wersja Kaspersky Online Scanner: 7.0.26.12
Data ostatniej aktualizacji bazy danych: Saturday, November 15, 2008 14:00:08
Liczba wpisów: 1385907
--------------------------------------------------------------------------------
Ustawienia skanowania:
Typ bazy danych użytej do skanowania: rozszerzona
Skanuj archiwa: tak
Skanuj pocztowe bazy danych: tak
Obszar skanowania - Mój komputer:
C:\
E:\
Statystyki skanowania:
Przeskanowanych plików: 19146
Nazwa zagrożenia: 3
Zainfekowanych obiektów: 14
Podejrzanych obiektów: 0
Czas skanowania: 00:40:32
Nazwa pliku / Nazwa zagrożenia / Liczba zagrożeń
C:\lky.exe Zainfekowany: Trojan-GameThief.Win32.Magania.akfj 1
C:\WINDOWS\system32\kamsoft.exe Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
C:\0w.com Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
C:\Program Files\Tlen.pl\plugins\DozaKultury.tpl Zainfekowany: not-a-virus:AdWare.Win32.Doza.a 1
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP8\A0003089.exe Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP8\A0003091.com Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP8\A0003108.com Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP8\A0004109.com Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP8\A0004195.com Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP8\A0005195.com Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP8\A0005214.COM Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP8\A0006214.COM Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
E:\lky.exe Zainfekowany: Trojan-GameThief.Win32.Magania.akfj 1
E:\0w.com Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
Wybrany obszar został przeskanowany.
Mam nadzieje, że teraz się uda. Co z tymi plikami autorun.inf?
Re: Bardzo proszę o sprawdzenie loga (Combofix, Hijackthis)
15 Lis 2008, 19:04
Pobierz The Avenger
wklej do niego ten tekst:
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
wklej do niego ten tekst:
- Kod:
Files to delete:
C:\lky.exe
C:\WINDOWS\system32\kamsoft.exe
C:\0w.com
C:\Program Files\Tlen.pl\plugins\DozaKultury.tpl
E:\lky.exe
E:\0w.com
Folders to delete:
C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP8
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Re: Bardzo proszę o sprawdzenie loga (Combofix, Hijackthis)
15 Lis 2008, 20:29
raport z avengera:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File "C:\lky.exe" deleted successfully.
File "C:\WINDOWS\system32\kamsoft.exe" deleted successfully.
File "C:\0w.com" deleted successfully.
File "C:\Program Files\Tlen.pl\plugins\DozaKultury.tpl" deleted successfully.
Error: could not open file "E:\lky.exe"
Deletion of file "E:\lky.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist
Error: could not open file "E:\0w.com"
Deletion of file "E:\0w.com" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist
Folder "C:\System Volume Information\_restore{1E5269AD-D30F-407C-A293-34B28FCF0B9B}\RP8" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Re: Bardzo proszę o sprawdzenie loga (Combofix, Hijackthis)
15 Lis 2008, 20:44
Ok, czy już jest ok?
Re: Bardzo proszę o sprawdzenie loga (Combofix, Hijackthis)
15 Lis 2008, 23:16
Niestety pendrive nie jest czysty. Wydaje mi się, że winę mają tutaj pliki autorun.inf bowiem w nich jest 0w.com i ciągle ściąga się na nowo. Do tego nie można włączyć pokazywania plików ukrytych.
--------------------------------------------------------------------------------
RAPORT KASPERSKY ONLINE SCANNER 7.0
sobota, 15 listopad 2008
System operacyjny: Microsoft Windows XP Professional Dodatek Service Pack 2 (build 2600)
Wersja Kaspersky Online Scanner: 7.0.26.12
Data ostatniej aktualizacji bazy danych: Saturday, November 15, 2008 17:00:04
Liczba wpisów: 1386089
--------------------------------------------------------------------------------
Ustawienia skanowania:
Typ bazy danych użytej do skanowania: rozszerzona
Skanuj archiwa: tak
Skanuj pocztowe bazy danych: tak
Obszar skanowania - Mój komputer:
C:\
E:\
Statystyki skanowania:
Przeskanowanych plików: 18861
Nazwa zagrożenia: 2
Zainfekowanych obiektów: 2
Podejrzanych obiektów: 0
Czas skanowania: 00:39:30
Nazwa pliku / Nazwa zagrożenia / Liczba zagrożeń
E:\lky.exe Zainfekowany: Trojan-GameThief.Win32.Magania.akfj 1
E:\0w.com Zainfekowany: Trojan-GameThief.Win32.Magania.akhq 1
Wybrany obszar został przeskanowany.
Re: Bardzo proszę o sprawdzenie loga (Combofix, Hijackthis)
16 Lis 2008, 07:39
Dysk E:\ musi być podłączony!
Pobierz The Avenger
wklej do niego ten tekst:
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Pobierz The Avenger
wklej do niego ten tekst:
- Kod:
Files to delete:
E:\lky.exe
E:\0w.com
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Re: Bardzo proszę o sprawdzenie loga (Combofix, Hijackthis)
16 Lis 2008, 14:09
Niestety ale to nie pomaga 
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: could not open file "E:\lky.exe"
Deletion of file "E:\lky.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist
Error: could not open file "E:\0w.com"
Deletion of file "E:\0w.com" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist
Completed script processing.
*******************
Finished! Terminate.