Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Re: Pendrive>Win32.Virut.56>Dramat
24 Cze 2009, 18:58
Zrobić pełne skanowanie?
Re: Pendrive>Win32.Virut.56>Dramat
24 Cze 2009, 19:02
Tak.
Re: Pendrive>Win32.Virut.56>Dramat
24 Cze 2009, 19:24
Ściągnałem pod inna nazwą i zainstalowałem go na dysku, gdzie nie było Viruta. Skanuje i program wykrywa go w różnych plikach. Czy powinienem wkleić log z przed, czy po neutralizacji tych obiektów? Czy bez odłączania się od internetu mogę wyłączyć Avasta? Męczy mnie kilkanie co chwilę "Nie podejmuj żadnej akcji"
Re: Pendrive>Win32.Virut.56>Dramat
24 Cze 2009, 19:47
wklej log po skanowaniu:!:
Co nam po logu z części skanu:?:
Tak możesz wyłączyć Avast
Co nam po logu z części skanu:?:
Tak możesz wyłączyć Avast
Re: Pendrive>Win32.Virut.56>Dramat
25 Cze 2009, 15:03
Trochę to trwało, a oto log: http://wklej.eu/index.php?id=02fb51a924
Edited: Po kilku godzinach od skanowania Avast wyrzucił komunikat, że wykrył Viruta tutaj:
C:\Program Files\OpenOffice.org 2.4\program\swriter.exe
Edited 2: Przeskanowałem ten folder C:\Program Files\OpenOffice.org 2.4 Avastem i pokazał że tu jest Virut:
Przeskanowałem go potem Malwarebyte's, który nic tam nie znalazł. Potem podczas uruchamiania Dr.WEB wyskoczyło to z firewalla:
Zaprzeczyłem i przeskanowałem folder. Nic nie wykrył.
Ściągnałem AVPTool pod inną nazwą bez rozszerzenia. Potem zmieniłem nazwę dodając ".exe" na koniec i uruchomiłem, zainstalowałem. Podczas instalacji wyskoczyło okno w tle "Postęp pracy z plikiem", wcześniej przy pierwszym skanowaniu tego nie było. A zaraz potem Avast wyrzucił, że wykrył Viruta tutaj: C:\WINDOWS\system32\tourstart.exe
Więc zrezygnowałem za skanowania.
Edited 3: Próbowałem wysłać niektóre z tych plików na http://www.virustotal.com do przeskanowania, lecz strona podaje, że plik ma "0 bytes", chociaż w rzeczywistości pliki mają jakiś rozmiar.
Edited 4: Spróbuję może KAV Rescue Disk
Edited: Po kilku godzinach od skanowania Avast wyrzucił komunikat, że wykrył Viruta tutaj:
C:\Program Files\OpenOffice.org 2.4\program\swriter.exe
Edited 2: Przeskanowałem ten folder C:\Program Files\OpenOffice.org 2.4 Avastem i pokazał że tu jest Virut:
C:\Program Files\OpenOffice.org 2.4\program\sbase.exe
C:\Program Files\OpenOffice.org 2.4\program\scalc.exe
C:\Program Files\OpenOffice.org 2.4\program\sdraw.exe
C:\Program Files\OpenOffice.org 2.4\program\simpress.exe
C:\Program Files\OpenOffice.org 2.4\program\smath.exe
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\OpenOffice.org 2.4\program\swriter.exe
Przeskanowałem go potem Malwarebyte's, który nic tam nie znalazł. Potem podczas uruchamiania Dr.WEB wyskoczyło to z firewalla:
'Eksplorator Windows' from your computer wants to connect to CRL.VERISIGN.NET [199.7.51.190], port 80
c:\windows\explorer.exe
Remote:CRL.VERISIGN.NET [199.7.51.190], port 80 - TCP
Zaprzeczyłem i przeskanowałem folder. Nic nie wykrył.
Ściągnałem AVPTool pod inną nazwą bez rozszerzenia. Potem zmieniłem nazwę dodając ".exe" na koniec i uruchomiłem, zainstalowałem. Podczas instalacji wyskoczyło okno w tle "Postęp pracy z plikiem", wcześniej przy pierwszym skanowaniu tego nie było. A zaraz potem Avast wyrzucił, że wykrył Viruta tutaj: C:\WINDOWS\system32\tourstart.exe
Więc zrezygnowałem za skanowania.
Edited 3: Próbowałem wysłać niektóre z tych plików na http://www.virustotal.com do przeskanowania, lecz strona podaje, że plik ma "0 bytes", chociaż w rzeczywistości pliki mają jakiś rozmiar.
Edited 4: Spróbuję może KAV Rescue Disk
Re: Pendrive>Win32.Virut.56>Dramat
26 Cze 2009, 04:07
Przeskanowałem przy użyciu KAV Rescue Disk i znalazł jeszcze to: http://wklej.eu/index.php?id=c49fbcb161
Tak w ogólnie są Panowie w stanie powiedzieć jak sprawa się kształtuje?
Tak w ogólnie są Panowie w stanie powiedzieć jak sprawa się kształtuje?
Re: Pendrive>Win32.Virut.56>Dramat
26 Cze 2009, 09:57
Są to wirusy znajdujące się w plikach przywracania systemu.
Wyłącz i włącz przywracanie systemu
http://support.microsoft.com/kb/310405/pll
Daj nowy log z Combofixa.
Wyłącz i włącz przywracanie systemu
http://support.microsoft.com/kb/310405/pllDaj nowy log z Combofixa.
Re: Pendrive>Win32.Virut.56>Dramat
27 Cze 2009, 04:51
Proszę bardzo, log z combofix: http://wklej.eu/index.php?id=d3554a4897
Jestem zmartwiony ponieważ komputer coś robi w tle, jest więcej procesów niż zawsze, i zajmują one pamięć. Przy wykonywaniu tych czynności co zawsze wykonywałem na komputerze, wykakuje mi komunikat, że komputer ma za mało pamięci wirtualnej, i że zwiększa rozmiar pliku stronicowania. Czytałem, że ten wirus wykrywa łacze, coś tam ustawia po swojemu i łączy się ze swoją wylęgarnią. Czy mógłby Pan sprawdzić pod tym kątem?
Jestem zmartwiony ponieważ komputer coś robi w tle, jest więcej procesów niż zawsze, i zajmują one pamięć. Przy wykonywaniu tych czynności co zawsze wykonywałem na komputerze, wykakuje mi komunikat, że komputer ma za mało pamięci wirtualnej, i że zwiększa rozmiar pliku stronicowania. Czytałem, że ten wirus wykrywa łacze, coś tam ustawia po swojemu i łączy się ze swoją wylęgarnią. Czy mógłby Pan sprawdzić pod tym kątem?
Re: Pendrive>Win32.Virut.56>Dramat
01 Lip 2009, 17:20
Cierpliwie czekam na komentarz ostatniego loga z combofix i czy da się coś jeszcze zrobić.
Re: Pendrive>Win32.Virut.56>Dramat
01 Lip 2009, 18:01
Pobierz ComboFix, ale nie uruchamiaj
Wklej do notatnika:
Z menu notatnika wybierz Plik Zapisz jako CFScript.txt.
Przeciągnij i upuść zapisany plik (CFScript.txt) na ikonę ComboFix.exe.
Rozpocznie się usuwanie, program wygeneruje log, dasz go na forum.
Na czas skanowania Combofixem wyłącz wszystkie antywirusy i firewalle.
Logi dajesz na wklej.org, a w poście podajesz tylko link.
Wygląda na to, że wirus infekuje niektóre pliki systemowe, więc nie wiadomo, czy system wyjdzie z tego cało.
Przeskanuj system programem SmitFraudFix (druga opcja) viewtopic.php?f=22&t=13967#p88593
Wklej do notatnika:
- Kod:
File::
c:\windows\system32\DVCStateBkp-{00000002-00000000-00000002-00001102-00000004-00531102}.dat
c:\windows\system32\DVCState-{00000002-00000000-00000002-00001102-00000004-00531102}.dat
C:\cleanup.bat
C:\avexport.bat
C:\zip.exe
Z menu notatnika wybierz Plik
Zapisz jako CFScript.txt.Przeciągnij i upuść zapisany plik (CFScript.txt) na ikonę ComboFix.exe.
Rozpocznie się usuwanie, program wygeneruje log, dasz go na forum.
Na czas skanowania Combofixem wyłącz wszystkie antywirusy i firewalle.
Logi dajesz na wklej.org, a w poście podajesz tylko link.
Wygląda na to, że wirus infekuje niektóre pliki systemowe, więc nie wiadomo, czy system wyjdzie z tego cało.
Przeskanuj system programem SmitFraudFix (druga opcja)
viewtopic.php?f=22&t=13967#p88593
Re: Pendrive>Win32.Virut.56>Dramat
02 Lip 2009, 03:54
Dziękuję za odpowiedź, a oto logi:
z ComboFix: http://wklej.eu/index.php?id=d64bb54f02
z SmithfraudFix: http://wklej.eu/index.php?id=7d7db9ef6e
Czy będę mógł zastąpić te pliki: cmd.exe i tourstart.exe nowymi? Może zostały uszkodzone, dlatego Avast rozpoznaje je jako zainfekowane, inne programy nic w nich nie znajdują. Jeśli te pliki nie zawierają żadnej konfiguracji to może skopiuję je od kogoś znajomego i zastąpię?
z ComboFix: http://wklej.eu/index.php?id=d64bb54f02
z SmithfraudFix: http://wklej.eu/index.php?id=7d7db9ef6e
Czy będę mógł zastąpić te pliki: cmd.exe i tourstart.exe nowymi? Może zostały uszkodzone, dlatego Avast rozpoznaje je jako zainfekowane, inne programy nic w nich nie znajdują. Jeśli te pliki nie zawierają żadnej konfiguracji to może skopiuję je od kogoś znajomego i zastąpię?
Re: Pendrive>Win32.Virut.56>Dramat
20 Lip 2009, 22:56
Chyba wszystko jest w porządku, proszę jednak o komentarz tych dwóch ostatnich logów z poprzedniego posta. Z góry bardzo dziękuję.