Pendrive>Win32.Virut.56>Dramat
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
27 posty(ów)
• Strona 2 z 2 • 1, 2
Re: Pendrive>Win32.Virut.56>Dramat
przez Mateusz77771986 » 24 Cze 2009, 18:58
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Zrobić pełne skanowanie?
Procek: Pentium 4, 2,4Ghz, Płyta: MSI 845PE MAX2 (MS-6704 v1.0), 2GB RAM, Windows: XP PRO SP3, Grafika: Radeon HD 2600 XT AGP 512MB, Monitor: CTX PR705F Series [17" CRT], Dzwięk: Creative SB Audigy, HD: Segate Barracuda ATA 60GB + 160GB, DVD: LG HL-DT-ST GH22LP2, Internet: UPC Ultra 30 Mb/s
-----------------------------
Gram w: Perfect World, Malaysia-English, EP LVL 100
-----------------------------
Gram w: Perfect World, Malaysia-English, EP LVL 100
-
Mateusz77771986 - Forumowicz
- Posty: 46
- Dołączenie: 14 Cze 2009, 14:37
Re: Pendrive>Win32.Virut.56>Dramat
przez Michael Parker » 24 Cze 2009, 19:02
UA: Mozilla/5.0 (Windows; U; Windows NT 6.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11 (.NET CLR 3.5.30729)
Tak.
Pozdrawiam, Michael Parker
Jeśli pomogłem daj +
Jeśli pomogłem daj +
- Michael Parker
- Postujący
- Posty: 400
- Dołączenie: 29 Gru 2008, 00:03
- Pochwały: 52
Re: Pendrive>Win32.Virut.56>Dramat
przez Mateusz77771986 » 24 Cze 2009, 19:24
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Ściągnałem pod inna nazwą i zainstalowałem go na dysku, gdzie nie było Viruta. Skanuje i program wykrywa go w różnych plikach. Czy powinienem wkleić log z przed, czy po neutralizacji tych obiektów? Czy bez odłączania się od internetu mogę wyłączyć Avasta? Męczy mnie kilkanie co chwilę "Nie podejmuj żadnej akcji"
Procek: Pentium 4, 2,4Ghz, Płyta: MSI 845PE MAX2 (MS-6704 v1.0), 2GB RAM, Windows: XP PRO SP3, Grafika: Radeon HD 2600 XT AGP 512MB, Monitor: CTX PR705F Series [17" CRT], Dzwięk: Creative SB Audigy, HD: Segate Barracuda ATA 60GB + 160GB, DVD: LG HL-DT-ST GH22LP2, Internet: UPC Ultra 30 Mb/s
-----------------------------
Gram w: Perfect World, Malaysia-English, EP LVL 100
-----------------------------
Gram w: Perfect World, Malaysia-English, EP LVL 100
-
Mateusz77771986 - Forumowicz
- Posty: 46
- Dołączenie: 14 Cze 2009, 14:37
Re: Pendrive>Win32.Virut.56>Dramat
przez AJAN » 24 Cze 2009, 19:47
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
wklej log po skanowaniu:!:
Co nam po logu z części skanu:?:
Tak możesz wyłączyć Avast
Co nam po logu z części skanu:?:
Tak możesz wyłączyć Avast
Desktop: AMD 1,8ghz, 1GB RAM, graf: Gforce2 FX5200
PG K8-755-A2/ESC WINDOWS XP Pro 5.1.2600 SP 3, 80GB, DVD SH-S182D
Laptop: Toshiba Portege M300
net: 3Mb/1,5Mb
KLIK Pomogłem? Daj +
PG K8-755-A2/ESC WINDOWS XP Pro 5.1.2600 SP 3, 80GB, DVD SH-S182D
Laptop: Toshiba Portege M300
net: 3Mb/1,5Mb
KLIK Pomogłem? Daj +
-
AJAN - Aktywny w piśmie
- Posty: 810
- Dołączenie: 07 Lis 2008, 00:10
- Miejscowość: 49°37'30.12"N, 20°41'44.13"E
- Pochwały: 62
Re: Pendrive>Win32.Virut.56>Dramat
przez Mateusz77771986 » 25 Cze 2009, 15:03
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Trochę to trwało, a oto log: http://wklej.eu/index.php?id=02fb51a924
Edited: Po kilku godzinach od skanowania Avast wyrzucił komunikat, że wykrył Viruta tutaj:
C:\Program Files\OpenOffice.org 2.4\program\swriter.exe
Edited 2: Przeskanowałem ten folder C:\Program Files\OpenOffice.org 2.4 Avastem i pokazał że tu jest Virut:
Przeskanowałem go potem Malwarebyte's, który nic tam nie znalazł. Potem podczas uruchamiania Dr.WEB wyskoczyło to z firewalla:
Zaprzeczyłem i przeskanowałem folder. Nic nie wykrył.
Ściągnałem AVPTool pod inną nazwą bez rozszerzenia. Potem zmieniłem nazwę dodając ".exe" na koniec i uruchomiłem, zainstalowałem. Podczas instalacji wyskoczyło okno w tle "Postęp pracy z plikiem", wcześniej przy pierwszym skanowaniu tego nie było. A zaraz potem Avast wyrzucił, że wykrył Viruta tutaj: C:\WINDOWS\system32\tourstart.exe
Więc zrezygnowałem za skanowania.
Edited 3: Próbowałem wysłać niektóre z tych plików na http://www.virustotal.com do przeskanowania, lecz strona podaje, że plik ma "0 bytes", chociaż w rzeczywistości pliki mają jakiś rozmiar.
Edited 4: Spróbuję może KAV Rescue Disk
Edited: Po kilku godzinach od skanowania Avast wyrzucił komunikat, że wykrył Viruta tutaj:
C:\Program Files\OpenOffice.org 2.4\program\swriter.exe
Edited 2: Przeskanowałem ten folder C:\Program Files\OpenOffice.org 2.4 Avastem i pokazał że tu jest Virut:
C:\Program Files\OpenOffice.org 2.4\program\sbase.exe
C:\Program Files\OpenOffice.org 2.4\program\scalc.exe
C:\Program Files\OpenOffice.org 2.4\program\sdraw.exe
C:\Program Files\OpenOffice.org 2.4\program\simpress.exe
C:\Program Files\OpenOffice.org 2.4\program\smath.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\swriter.exe
Przeskanowałem go potem Malwarebyte's, który nic tam nie znalazł. Potem podczas uruchamiania Dr.WEB wyskoczyło to z firewalla:
'Eksplorator Windows' from your computer wants to connect to CRL.VERISIGN.NET [199.7.51.190], port 80
c:\windows\explorer.exe
Remote:CRL.VERISIGN.NET [199.7.51.190], port 80 - TCP
Zaprzeczyłem i przeskanowałem folder. Nic nie wykrył.
Ściągnałem AVPTool pod inną nazwą bez rozszerzenia. Potem zmieniłem nazwę dodając ".exe" na koniec i uruchomiłem, zainstalowałem. Podczas instalacji wyskoczyło okno w tle "Postęp pracy z plikiem", wcześniej przy pierwszym skanowaniu tego nie było. A zaraz potem Avast wyrzucił, że wykrył Viruta tutaj: C:\WINDOWS\system32\tourstart.exe
Więc zrezygnowałem za skanowania.
Edited 3: Próbowałem wysłać niektóre z tych plików na http://www.virustotal.com do przeskanowania, lecz strona podaje, że plik ma "0 bytes", chociaż w rzeczywistości pliki mają jakiś rozmiar.
Edited 4: Spróbuję może KAV Rescue Disk
Procek: Pentium 4, 2,4Ghz, Płyta: MSI 845PE MAX2 (MS-6704 v1.0), 2GB RAM, Windows: XP PRO SP3, Grafika: Radeon HD 2600 XT AGP 512MB, Monitor: CTX PR705F Series [17" CRT], Dzwięk: Creative SB Audigy, HD: Segate Barracuda ATA 60GB + 160GB, DVD: LG HL-DT-ST GH22LP2, Internet: UPC Ultra 30 Mb/s
-----------------------------
Gram w: Perfect World, Malaysia-English, EP LVL 100
-----------------------------
Gram w: Perfect World, Malaysia-English, EP LVL 100
-
Mateusz77771986 - Forumowicz
- Posty: 46
- Dołączenie: 14 Cze 2009, 14:37
Re: Pendrive>Win32.Virut.56>Dramat
przez Mateusz77771986 » 26 Cze 2009, 04:07
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Przeskanowałem przy użyciu KAV Rescue Disk i znalazł jeszcze to: http://wklej.eu/index.php?id=c49fbcb161
Tak w ogólnie są Panowie w stanie powiedzieć jak sprawa się kształtuje?
Tak w ogólnie są Panowie w stanie powiedzieć jak sprawa się kształtuje?
Procek: Pentium 4, 2,4Ghz, Płyta: MSI 845PE MAX2 (MS-6704 v1.0), 2GB RAM, Windows: XP PRO SP3, Grafika: Radeon HD 2600 XT AGP 512MB, Monitor: CTX PR705F Series [17" CRT], Dzwięk: Creative SB Audigy, HD: Segate Barracuda ATA 60GB + 160GB, DVD: LG HL-DT-ST GH22LP2, Internet: UPC Ultra 30 Mb/s
-----------------------------
Gram w: Perfect World, Malaysia-English, EP LVL 100
-----------------------------
Gram w: Perfect World, Malaysia-English, EP LVL 100
-
Mateusz77771986 - Forumowicz
- Posty: 46
- Dołączenie: 14 Cze 2009, 14:37
Re: Pendrive>Win32.Virut.56>Dramat
przez Michael Parker » 26 Cze 2009, 09:57
UA: Mozilla/5.0 (Windows; U; Windows NT 6.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11 (.NET CLR 3.5.30729)
Są to wirusy znajdujące się w plikach przywracania systemu.
Wyłącz i włącz przywracanie systemu
http://support.microsoft.com/kb/310405/pll
Daj nowy log z Combofixa.
Wyłącz i włącz przywracanie systemu
http://support.microsoft.com/kb/310405/pllDaj nowy log z Combofixa.
Pozdrawiam, Michael Parker
Jeśli pomogłem daj +
Jeśli pomogłem daj +
- Michael Parker
- Postujący
- Posty: 400
- Dołączenie: 29 Gru 2008, 00:03
- Pochwały: 52
Re: Pendrive>Win32.Virut.56>Dramat
przez Mateusz77771986 » 27 Cze 2009, 04:51
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Proszę bardzo, log z combofix: http://wklej.eu/index.php?id=d3554a4897
Jestem zmartwiony ponieważ komputer coś robi w tle, jest więcej procesów niż zawsze, i zajmują one pamięć. Przy wykonywaniu tych czynności co zawsze wykonywałem na komputerze, wykakuje mi komunikat, że komputer ma za mało pamięci wirtualnej, i że zwiększa rozmiar pliku stronicowania. Czytałem, że ten wirus wykrywa łacze, coś tam ustawia po swojemu i łączy się ze swoją wylęgarnią. Czy mógłby Pan sprawdzić pod tym kątem?
Jestem zmartwiony ponieważ komputer coś robi w tle, jest więcej procesów niż zawsze, i zajmują one pamięć. Przy wykonywaniu tych czynności co zawsze wykonywałem na komputerze, wykakuje mi komunikat, że komputer ma za mało pamięci wirtualnej, i że zwiększa rozmiar pliku stronicowania. Czytałem, że ten wirus wykrywa łacze, coś tam ustawia po swojemu i łączy się ze swoją wylęgarnią. Czy mógłby Pan sprawdzić pod tym kątem?
Procek: Pentium 4, 2,4Ghz, Płyta: MSI 845PE MAX2 (MS-6704 v1.0), 2GB RAM, Windows: XP PRO SP3, Grafika: Radeon HD 2600 XT AGP 512MB, Monitor: CTX PR705F Series [17" CRT], Dzwięk: Creative SB Audigy, HD: Segate Barracuda ATA 60GB + 160GB, DVD: LG HL-DT-ST GH22LP2, Internet: UPC Ultra 30 Mb/s
-----------------------------
Gram w: Perfect World, Malaysia-English, EP LVL 100
-----------------------------
Gram w: Perfect World, Malaysia-English, EP LVL 100
-
Mateusz77771986 - Forumowicz
- Posty: 46
- Dołączenie: 14 Cze 2009, 14:37
Re: Pendrive>Win32.Virut.56>Dramat
przez Mateusz77771986 » 01 Lip 2009, 17:20
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Cierpliwie czekam na komentarz ostatniego loga z combofix i czy da się coś jeszcze zrobić.
Procek: Pentium 4, 2,4Ghz, Płyta: MSI 845PE MAX2 (MS-6704 v1.0), 2GB RAM, Windows: XP PRO SP3, Grafika: Radeon HD 2600 XT AGP 512MB, Monitor: CTX PR705F Series [17" CRT], Dzwięk: Creative SB Audigy, HD: Segate Barracuda ATA 60GB + 160GB, DVD: LG HL-DT-ST GH22LP2, Internet: UPC Ultra 30 Mb/s
-----------------------------
Gram w: Perfect World, Malaysia-English, EP LVL 100
-----------------------------
Gram w: Perfect World, Malaysia-English, EP LVL 100
-
Mateusz77771986 - Forumowicz
- Posty: 46
- Dołączenie: 14 Cze 2009, 14:37
Re: Pendrive>Win32.Virut.56>Dramat
przez Michael Parker » 01 Lip 2009, 18:01
UA: Mozilla/5.0 (Windows; U; Windows NT 6.1; pl; rv:1.9.1) Gecko/20090624 Firefox/3.5 (.NET CLR 3.5.30729)
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
Z menu notatnika wybierz Plik Zapisz jako CFScript.txt.
Przeciągnij i upuść zapisany plik (CFScript.txt) na ikonę ComboFix.exe.
Rozpocznie się usuwanie, program wygeneruje log, dasz go na forum.
Na czas skanowania Combofixem wyłącz wszystkie antywirusy i firewalle.
Logi dajesz na wklej.org, a w poście podajesz tylko link.
Wygląda na to, że wirus infekuje niektóre pliki systemowe, więc nie wiadomo, czy system wyjdzie z tego cało.
Przeskanuj system programem SmitFraudFix (druga opcja) viewtopic.php?f=22&t=13967#p88593
Wklej do notatnika:
- Kod: Zaznacz wszystko
File::
c:\windows\system32\DVCStateBkp-{00000002-00000000-00000002-00001102-00000004-00531102}.dat
c:\windows\system32\DVCState-{00000002-00000000-00000002-00001102-00000004-00531102}.dat
C:\cleanup.bat
C:\avexport.bat
C:\zip.exe
Z menu notatnika wybierz Plik
Zapisz jako CFScript.txt.Przeciągnij i upuść zapisany plik (CFScript.txt) na ikonę ComboFix.exe.
Rozpocznie się usuwanie, program wygeneruje log, dasz go na forum.
Na czas skanowania Combofixem wyłącz wszystkie antywirusy i firewalle.
Logi dajesz na wklej.org, a w poście podajesz tylko link.
Wygląda na to, że wirus infekuje niektóre pliki systemowe, więc nie wiadomo, czy system wyjdzie z tego cało.
Przeskanuj system programem SmitFraudFix (druga opcja)
viewtopic.php?f=22&t=13967#p88593Autor postu otrzymał pochwałę
Pozdrawiam, Michael Parker
Jeśli pomogłem daj +
Jeśli pomogłem daj +
- Michael Parker
- Postujący
- Posty: 400
- Dołączenie: 29 Gru 2008, 00:03
- Pochwały: 52
Re: Pendrive>Win32.Virut.56>Dramat
przez Mateusz77771986 » 02 Lip 2009, 03:54
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Dziękuję za odpowiedź, a oto logi:
z ComboFix: http://wklej.eu/index.php?id=d64bb54f02
z SmithfraudFix: http://wklej.eu/index.php?id=7d7db9ef6e
Czy będę mógł zastąpić te pliki: cmd.exe i tourstart.exe nowymi? Może zostały uszkodzone, dlatego Avast rozpoznaje je jako zainfekowane, inne programy nic w nich nie znajdują. Jeśli te pliki nie zawierają żadnej konfiguracji to może skopiuję je od kogoś znajomego i zastąpię?
z ComboFix: http://wklej.eu/index.php?id=d64bb54f02
z SmithfraudFix: http://wklej.eu/index.php?id=7d7db9ef6e
Czy będę mógł zastąpić te pliki: cmd.exe i tourstart.exe nowymi? Może zostały uszkodzone, dlatego Avast rozpoznaje je jako zainfekowane, inne programy nic w nich nie znajdują. Jeśli te pliki nie zawierają żadnej konfiguracji to może skopiuję je od kogoś znajomego i zastąpię?
Procek: Pentium 4, 2,4Ghz, Płyta: MSI 845PE MAX2 (MS-6704 v1.0), 2GB RAM, Windows: XP PRO SP3, Grafika: Radeon HD 2600 XT AGP 512MB, Monitor: CTX PR705F Series [17" CRT], Dzwięk: Creative SB Audigy, HD: Segate Barracuda ATA 60GB + 160GB, DVD: LG HL-DT-ST GH22LP2, Internet: UPC Ultra 30 Mb/s
-----------------------------
Gram w: Perfect World, Malaysia-English, EP LVL 100
-----------------------------
Gram w: Perfect World, Malaysia-English, EP LVL 100
-
Mateusz77771986 - Forumowicz
- Posty: 46
- Dołączenie: 14 Cze 2009, 14:37
Re: Pendrive>Win32.Virut.56>Dramat
przez Mateusz77771986 » 20 Lip 2009, 22:56
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11
Chyba wszystko jest w porządku, proszę jednak o komentarz tych dwóch ostatnich logów z poprzedniego posta. Z góry bardzo dziękuję.
Procek: Pentium 4, 2,4Ghz, Płyta: MSI 845PE MAX2 (MS-6704 v1.0), 2GB RAM, Windows: XP PRO SP3, Grafika: Radeon HD 2600 XT AGP 512MB, Monitor: CTX PR705F Series [17" CRT], Dzwięk: Creative SB Audigy, HD: Segate Barracuda ATA 60GB + 160GB, DVD: LG HL-DT-ST GH22LP2, Internet: UPC Ultra 30 Mb/s
-----------------------------
Gram w: Perfect World, Malaysia-English, EP LVL 100
-----------------------------
Gram w: Perfect World, Malaysia-English, EP LVL 100
-
Mateusz77771986 - Forumowicz
- Posty: 46
- Dołączenie: 14 Cze 2009, 14:37
27 posty(ów)
• Strona 2 z 2 • 1, 2
Kto jest na forum
Zarejestrowani użytkownicy: Bing [Bot]