Mati_8 utworzono 10 stycznia 2009 utworzono 10 stycznia 2009 Zrobiłem skanowanie Avastem i znalazło mi z 6-8 wirusów w System Volume Information i 2 wirusy w D:/ vxl.exe i E:/ vxl.exe ... Pod koniec skanowania wyskoczył raport że avast nie mógł przeskanować ponad 450 elementów właśnie z System Volume Inf. które są chronione hasłem, tak więc obawiam się że wiele z nich to też mogą być wirusy... 1. Czy te vxl to jakieś pliki systemowe czy można je usunąć ? 2. Czy avast wymyśla te wirusy z System Volume Information ? Co każdy gruntowny skan to znajduje mi tam ich conajmniej kilka.... I ogólnie co ja mam teraz robić bo już mi nie daje rady...
jp44 komentarz 11 stycznia 2009 komentarz 11 stycznia 2009 Przede wszystkim wstaw log z]HijackThis . Przed tą czynnością zalecam pierw przeskanować system programem Malwarebytes Anti-Malware . Wykonaj aktualizacje po czym wybierz skanowanie pełne. Jeśli coś znajdzie usuń . Pozdrawiam .
Mateusz J. komentarz 11 stycznia 2009 komentarz 11 stycznia 2009 Proszę wyłączyć na chwilę przywracanie systemu. Następnie tworzysz loga z ComboFix i pokazujesz go na forum. Pliki .exe o których mówisz prawdopodobnie są wirusami pochodzącymi z pendrive, dlatego proszę o loga.
Mati_8 komentarz 12 stycznia 2009 Autor komentarz 12 stycznia 2009 "Proszę wyłączyć na chwilę przywracanie systemu." Znaczy jak to zrobić ? Loga z combofixa zawsze robiłem bez wyłączania czegokolwiek.
Mateusz J. komentarz 13 stycznia 2009 komentarz 13 stycznia 2009 http://www.google.pl/search?hl=pl&clie...=Szukaj&lr=
Mati_8 komentarz 13 stycznia 2009 Autor komentarz 13 stycznia 2009 Znalazłem to na stronie gdzie było napisane jak przywracać system : "No, ale dla poprawienia swego "komfortu psychicznego" możecie sobie to włączyć. ( oczywiście po wyczyszczeniu kompa )" A więc mam tego loga zrobić przed wyłączeniem przywracania systemu czy wyłączyć przywracanie potem log i znowu włączyć ?
Mateusz J. komentarz 13 stycznia 2009 komentarz 13 stycznia 2009 Obojętne kiedy wyłączysz przywracanie systemu i keidy je z powrotem załączysz. Wyłączenie przwyracania systemu ma na celu wyczyszczenie zawartości folderu: System Volume Information i A log z ComboFixa do usunięcia: w D:/ vxl.exe i E:/ vxl.exe ...Pliki te wskazują na infekcje z pendrive.
Mati_8 komentarz 14 stycznia 2009 Autor komentarz 14 stycznia 2009 A w praktyce najlepiej mieć to wyłączone ? A i jeszcze jedno - jak wyłączę i zaraz potem włączę przywracanie systemu to te wirusy z System Volume Informations znikną ?
Mateusz J. komentarz 14 stycznia 2009 komentarz 14 stycznia 2009 jak wyłączę i zaraz potem włączę przywracanie systemu to te wirusy z System Volume Informations znikną ?takA w praktyce najlepiej mieć to wyłączonewłączone, abyś mógł w razie czego przywrócić system
Mati_8 komentarz 19 stycznia 2009 Autor komentarz 19 stycznia 2009 Nie wiem czy ten log do tego poddziału ale widzę że większość użytkowników wrzuca do tego samego tematu swój log... więc : ComboFix 09-01-18.03 - p 2009-01-19 9:43:57.1 - NTFSx86Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1023.702 [GMT 1:00]Uruchomiony z: c:\documents and settings\p\Pulpit\Mateusz\ComboFix.exeAV: avast! antivirus 4.8.1296 [VPS 090118-0] *On-access scanning disabled* (Updated)AV: Spyware Doctor with AntiVirus *On-access scanning enabled* (Updated) * Utworzono nowy punkt przywracaniaUWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!.((((((((((((((((((((((((( Pliki utworzone od 2008-12-19 do 2009-01-19 ))))))))))))))))))))))))))))))).2009-01-17 16:50 . 2009-01-17 17:15 <DIR> d-------- c:\program files\ElastoMania1112009-01-03 10:14 . 2009-01-03 10:23 <DIR> d-------- c:\program files\NAPI-PROJEKT2009-01-03 09:53 . 2009-01-03 10:05 <DIR> d-------- c:\program files\ALLPlayer2008-12-22 19:10 . 2008-12-22 19:10 <DIR> dr-h----- c:\documents and settings\p\Dane aplikacji\SecuROM.(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-01-19 08:42 --------- d---a-w c:\documents and settings\All Users\Dane aplikacji\TEMP2009-01-19 08:42 --------- d-----w c:\program files\Spyware Doctor2009-01-19 08:30 --------- d-----w c:\program files\AIMP22009-01-13 16:19 --------- d-----w c:\program files\Lineage II2009-01-12 18:45 --------- d-----w c:\documents and settings\p\Dane aplikacji\Skype2009-01-12 18:04 --------- d-----w c:\documents and settings\p\Dane aplikacji\skypePM2009-01-08 15:16 --------- d--h--w c:\program files\InstallShield Installation Information2009-01-01 14:09 --------- d-----w c:\documents and settings\p\Dane aplikacji\Media Player Classic2008-12-28 10:50 --------- d-----w c:\program files\Common Files\Teleca Shared2008-12-22 18:10 107,888 ----a-w c:\windows\system32\CmdLineExt.dll2008-12-17 18:37 --------- d-----w c:\documents and settings\p\Dane aplikacji\Mount&Blade2008-12-10 14:44 --------- d-----w c:\program files\Mount&Blade2008-12-07 18:39 --------- d-----w c:\documents and settings\p\Dane aplikacji\U32008-11-27 14:45 --------- d-----w c:\documents and settings\p\Dane aplikacji\Vso2008-11-24 17:18 --------- d-----w c:\program files\Brydż 30002008-04-27 20:56 32 ----a-w c:\documents and settings\All Users\Dane aplikacji\ezsid.dat2008-02-22 06:30 47,360 ----a-w c:\documents and settings\p\Dane aplikacji\pcouffin.sys2008-11-26 20:43 67,696 ----a-w c:\program files\mozilla firefox\components\jar50.dll2008-11-26 20:43 54,376 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll2008-11-26 20:43 34,952 ----a-w c:\program files\mozilla firefox\components\myspell.dll2008-11-26 20:43 46,720 ----a-w c:\program files\mozilla firefox\components\spellchk.dll2008-11-26 20:43 172,144 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll.((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))..*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-01 68856][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]"RemoteControl"="c:\program files\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 30208]"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2006-04-13 49152]"WinampAgent"="c:\program files\Winamp\winampa.exe" [2007-10-10 36352]"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]"SMSERIAL"="sm56hlpr.exe" [2000-11-22 c:\windows\sm56hlpr.exe][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360][HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]"ForceClassicControlPanel"= 1 (0x1)"NoSMConfigurePrograms"= 1 (0x1)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe"="c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"="c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"="c:\\Program Files\\Gadu-Gadu\\gg.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="c:\\Program Files\\Skype\\Phone\\Skype.exe"=R0 TfFsMon;TfFsMon;c:\windows\system32\drivers\TfFsMon.sys [2008-10-10 51520]R0 TfSysMon;TfSysMon;c:\windows\system32\drivers\TfSysMon.sys [2008-10-10 38208]R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-04-02 111184]R1 pctfw2;pctfw2;c:\windows\system32\drivers\pctfw2.sys [2008-10-10 160792]R3 TfNetMon;TfNetMon;c:\windows\system32\drivers\TfNetMon.sys [2008-10-10 33088]R4 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-04-02 20560]S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-11-06 34064]S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2008-10-10 356920]S3 ThreatFire;ThreatFire;c:\program files\Spyware Doctor\TFEngine\TFService.exe service --> c:\program files\Spyware Doctor\TFEngine\TFService.exe service [?]--- Inne Usługi/Sterowniki w Pamięci ---*Deregistered* - mchInjDrv[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{724debc8-c48d-11dd-af16-00138f8e932e}]\Shell\AutoRun\command - H:\LaunchU3.exe -a..------- Skan uzupełniający -------.uStart Page = hxxp://www.onet.pl/uSearch Page = hxxp://www.google.comuSearch Bar = hxxp://www.google.com/ieuSearchURL,(Default) = hxxp://www.google.com/search?q=%sIE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000LSP: c:\program files\Common Files\PC Tools\LSP\PCTLsp.dllTrusted Zone: mks.com.plTCP: {75BE64DC-B613-4593-97C6-1BC0E3F7622E} = 194.204.152.34,195.204.159.1FF - ProfilePath - c:\documents and settings\p\Dane aplikacji\Mozilla\Firefox\Profiles\w0twbpli.default\FF - prefs.js: browser.startup.homepage - www.onet.plFF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll..------- Skojarzenia plików -------.regfile\shell\edit\command=%SystemRoot%\system32\NOTEPAD.EXE %1.**************************************************************************catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-01-19 09:45:34Windows 5.1.2600 Dodatek Service Pack 2 NTFSskanowanie ukrytych procesów ... skanowanie ukrytych wpisów autostartu ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run SMSERIAL = sm56hlpr.exe? skanowanie ukrytych plików ... skanowanie pomyślnie ukończoneukryte pliki: 0**************************************************************************.--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------[HKEY_USERS\S-1-5-21-790525478-688789844-1801674531-1003\Software\SecuROM\License information*]"datasecu"=hex:ed,6d,87,cd,74,cc,b9,e8,11,49,81,74,2c,0d,48,ba,ba,d6,26,56,11, d6,12,a0,29,a2,b6,be,c8,6e,e8,b7,f5,86,2a,69,a6,06,a2,10,a2,e1,e7,3a,b4,53,\"rkeysecu"=hex:cb,17,7c,1e,b9,96,61,8e,4b,79,30,f5,da,c1,ba,70.--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------- - - - - - - > 'winlogon.exe'(776)c:\windows\system32\antiwpa.dll- - - - - - - > 'lsass.exe'(832)c:\program files\Common Files\PC Tools\LSP\PCTLsp.dll.Czas ukończenia: 2009-01-19 9:46:58ComboFix-quarantined-files.txt 2009-01-19 08:46:55Przed: 10,381,918,208 bajtów wolnychPo: 10,380,242,944 bajtów wolnych135 AV: avast! antivirus 4.8.1296 [VPS 090118-0] *On-access scanning disabled* (Updated) AV: Spyware Doctor with AntiVirus *On-access scanning enabled* (Updated) Co do tego - to avasta wyłączyłem tak jak kazali i spyware też ale po 2 ostrzeżeniu więc jak by co to ten spyware doctor też był wyłączony na czas skanowania. Aha i co to jest ? "UWAGA - TEN KOMPUTER NIE MA ZAINSTALOWANEJ KONSOLI ODZYSKIWANIA !!"
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.