x-kom hosting

vxl i System Volume Information

Mati_8
utworzono
utworzono

Zrobiłem skanowanie Avastem i znalazło mi z 6-8 wirusów w System Volume Information i 2 wirusy w D:/ vxl.exe i E:/ vxl.exe ...

Pod koniec skanowania wyskoczył raport że avast nie mógł przeskanować ponad 450 elementów właśnie z System Volume Inf. które są chronione hasłem, tak więc obawiam się że wiele z nich to też mogą być wirusy...

1. Czy te vxl to jakieś pliki systemowe czy można je usunąć ?

2. Czy avast wymyśla te wirusy z System Volume Information ? Co każdy gruntowny skan to znajduje mi tam ich conajmniej kilka....

I ogólnie co ja mam teraz robić bo już mi nie daje rady... :(

jp44
komentarz
komentarz

Przede wszystkim wstaw log z]HijackThis . Przed tą czynnością zalecam pierw przeskanować system programem Malwarebytes Anti-Malware . Wykonaj aktualizacje po czym wybierz skanowanie pełne. Jeśli coś znajdzie usuń .

Pozdrawiam .

Mateusz J.
komentarz
komentarz

Proszę wyłączyć na chwilę przywracanie systemu.

Następnie tworzysz loga z ComboFix i pokazujesz go na forum.

Pliki .exe o których mówisz prawdopodobnie są wirusami pochodzącymi z pendrive, dlatego proszę o loga.

Mati_8
komentarz
komentarz

"Proszę wyłączyć na chwilę przywracanie systemu."

Znaczy jak to zrobić ? Loga z combofixa zawsze robiłem bez wyłączania czegokolwiek.

Mati_8
komentarz
komentarz

Znalazłem to na stronie gdzie było napisane jak przywracać system :

"No, ale dla poprawienia swego "komfortu psychicznego" możecie sobie to włączyć. ( oczywiście po wyczyszczeniu kompa )"

A więc mam tego loga zrobić przed wyłączeniem przywracania systemu czy wyłączyć przywracanie potem log i znowu włączyć ?

Mateusz J.
komentarz
komentarz

Obojętne kiedy wyłączysz przywracanie systemu i keidy je z powrotem załączysz.

Wyłączenie przwyracania systemu ma na celu wyczyszczenie zawartości folderu:

System Volume Information i

A log z ComboFixa do usunięcia:

w D:/ vxl.exe i E:/ vxl.exe ...
Pliki te wskazują na infekcje z pendrive.
Mati_8
komentarz
komentarz

A w praktyce najlepiej mieć to wyłączone ? A i jeszcze jedno - jak wyłączę i zaraz potem włączę przywracanie systemu to te wirusy z System Volume Informations znikną ?

Mateusz J.
komentarz
komentarz

jak wyłączę i zaraz potem włączę przywracanie systemu to te wirusy z System Volume Informations znikną ?
tak
A w praktyce najlepiej mieć to wyłączone
włączone, abyś mógł w razie czego przywrócić system
Mati_8
komentarz
komentarz

Nie wiem czy ten log do tego poddziału ale widzę że większość użytkowników wrzuca do tego samego tematu swój log... więc :

ComboFix 09-01-18.03 - p 2009-01-19  9:43:57.1 - NTFSx86Microsoft Windows XP Professional  5.1.2600.2.1250.1.1045.18.1023.702 [GMT 1:00]Uruchomiony z: c:\documents and settings\p\Pulpit\Mateusz\ComboFix.exeAV: avast! antivirus 4.8.1296 [VPS 090118-0] *On-access scanning disabled* (Updated)AV: Spyware Doctor with AntiVirus *On-access scanning enabled* (Updated) * Utworzono nowy punkt przywracaniaUWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.(((((((((((((((((((((((((   Pliki utworzone od 2008-12-19 do 2009-01-19  ))))))))))))))))))))))))))))))).2009-01-17 16:50 . 2009-01-17 17:15	<DIR>	d--------	c:\program files\ElastoMania1112009-01-03 10:14 . 2009-01-03 10:23	<DIR>	d--------	c:\program files\NAPI-PROJEKT2009-01-03 09:53 . 2009-01-03 10:05	<DIR>	d--------	c:\program files\ALLPlayer2008-12-22 19:10 . 2008-12-22 19:10	<DIR>	dr-h-----	c:\documents and settings\p\Dane aplikacji\SecuROM.((((((((((((((((((((((((((((((((((((((((   Sekcja Find3M   )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-01-19 08:42	---------	d---a-w	c:\documents and settings\All Users\Dane aplikacji\TEMP2009-01-19 08:42	---------	d-----w	c:\program files\Spyware Doctor2009-01-19 08:30	---------	d-----w	c:\program files\AIMP22009-01-13 16:19	---------	d-----w	c:\program files\Lineage II2009-01-12 18:45	---------	d-----w	c:\documents and settings\p\Dane aplikacji\Skype2009-01-12 18:04	---------	d-----w	c:\documents and settings\p\Dane aplikacji\skypePM2009-01-08 15:16	---------	d--h--w	c:\program files\InstallShield Installation Information2009-01-01 14:09	---------	d-----w	c:\documents and settings\p\Dane aplikacji\Media Player Classic2008-12-28 10:50	---------	d-----w	c:\program files\Common Files\Teleca Shared2008-12-22 18:10	107,888	----a-w	c:\windows\system32\CmdLineExt.dll2008-12-17 18:37	---------	d-----w	c:\documents and settings\p\Dane aplikacji\Mount&Blade2008-12-10 14:44	---------	d-----w	c:\program files\Mount&Blade2008-12-07 18:39	---------	d-----w	c:\documents and settings\p\Dane aplikacji\U32008-11-27 14:45	---------	d-----w	c:\documents and settings\p\Dane aplikacji\Vso2008-11-24 17:18	---------	d-----w	c:\program files\Brydż 30002008-04-27 20:56	32	----a-w	c:\documents and settings\All Users\Dane aplikacji\ezsid.dat2008-02-22 06:30	47,360	----a-w	c:\documents and settings\p\Dane aplikacji\pcouffin.sys2008-11-26 20:43	67,696	----a-w	c:\program files\mozilla firefox\components\jar50.dll2008-11-26 20:43	54,376	----a-w	c:\program files\mozilla firefox\components\jsd3250.dll2008-11-26 20:43	34,952	----a-w	c:\program files\mozilla firefox\components\myspell.dll2008-11-26 20:43	46,720	----a-w	c:\program files\mozilla firefox\components\spellchk.dll2008-11-26 20:43	172,144	----a-w	c:\program files\mozilla firefox\components\xpinstal.dll.(((((((((((((((((((((((((((((((((((((   Wpisy startowe rejestru   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane  REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-01 68856][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 30208]"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-04-13 49152]"WinampAgent"="c:\program files\Winamp\winampa.exe" [2007-10-10 36352]"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]"SMSERIAL"="sm56hlpr.exe" [2000-11-22 c:\windows\sm56hlpr.exe][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360][HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]"ForceClassicControlPanel"= 1 (0x1)"NoSMConfigurePrograms"= 1 (0x1)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"="c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"="c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"="c:\\Program Files\\Gadu-Gadu\\gg.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="c:\\Program Files\\Skype\\Phone\\Skype.exe"=R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2008-10-10 51520]R0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys [2008-10-10 38208]R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-02 111184]R1 pctfw2;pctfw2;c:\windows\system32\drivers\pctfw2.sys [2008-10-10 160792]R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2008-10-10 33088]R4 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-04-02 20560]S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-11-06 34064]S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2008-10-10 356920]S3 ThreatFire;ThreatFire;c:\program files\Spyware Doctor\TFEngine\TFService.exe service --> c:\program files\Spyware Doctor\TFEngine\TFService.exe service [?]--- Inne Usługi/Sterowniki w Pamięci ---*Deregistered* - mchInjDrv[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{724debc8-c48d-11dd-af16-00138f8e932e}]\Shell\AutoRun\command - H:\LaunchU3.exe -a..------- Skan uzupełniający -------.uStart Page = hxxp://www.onet.pl/uSearch Page = hxxp://www.google.comuSearch Bar = hxxp://www.google.com/ieuSearchURL,(Default) = hxxp://www.google.com/search?q=%sIE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000LSP: c:\program files\Common Files\PC Tools\LSP\PCTLsp.dllTrusted Zone: mks.com.plTCP: {75BE64DC-B613-4593-97C6-1BC0E3F7622E} = 194.204.152.34,195.204.159.1FF - ProfilePath - c:\documents and settings\p\Dane aplikacji\Mozilla\Firefox\Profiles\w0twbpli.default\FF - prefs.js: browser.startup.homepage - www.onet.plFF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll..------- Skojarzenia plików -------.regfile\shell\edit\command=%SystemRoot%\system32\NOTEPAD.EXE %1.**************************************************************************catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-01-19 09:45:34Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ...  skanowanie ukrytych wpisów autostartu ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run  SMSERIAL = sm56hlpr.exe? skanowanie ukrytych plików ...  skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------[HKEY_USERS\S-1-5-21-790525478-688789844-1801674531-1003\Software\SecuROM\License information*]"datasecu"=hex:ed,6d,87,cd,74,cc,b9,e8,11,49,81,74,2c,0d,48,ba,ba,d6,26,56,11,   d6,12,a0,29,a2,b6,be,c8,6e,e8,b7,f5,86,2a,69,a6,06,a2,10,a2,e1,e7,3a,b4,53,\"rkeysecu"=hex:cb,17,7c,1e,b9,96,61,8e,4b,79,30,f5,da,c1,ba,70.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'winlogon.exe'(776)c:\windows\system32\antiwpa.dll- - - - - - - > 'lsass.exe'(832)c:\program files\Common Files\PC Tools\LSP\PCTLsp.dll.Czas ukończenia: 2009-01-19  9:46:58ComboFix-quarantined-files.txt  2009-01-19 08:46:55Przed: 10,381,918,208 bajtów wolnychPo: 10,380,242,944 bajtów wolnych135

AV: avast! antivirus 4.8.1296 [VPS 090118-0] *On-access scanning disabled* (Updated)

AV: Spyware Doctor with AntiVirus *On-access scanning enabled* (Updated)

Co do tego - to avasta wyłączyłem tak jak kazali i spyware też ale po 2 ostrzeżeniu więc jak by co to ten spyware doctor też był wyłączony na czas skanowania.

Aha i co to jest ? "UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!"

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.