Problem, wirus w System Volume Information

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
Awatar użytkownika
djkamil09061991

Globalny Moderator
Posty: 8244
Rejestracja: 18 lut 2009, 11:54
Lokalizacja: Wrocław
Kontaktowanie:

Problem, wirus w System Volume Information

Post11 mar 2009, 22:44

kurde w logu nic nie było ale znowu był alert antyvirusa Ochrona systemu plików w czasie rzeczywistym plik C:\System Volume Information\_restore{76CB0653-179E-42DA-8CB3-1ADB5B8390B9}\RP11\A0004632.inf INF/Autorun wirus usunięty - poddany kwarantannie ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\WINDOWS\System32\svchost.exe. dałem usuń i dało go w kwarantanne. moge to teraz usunąć z kwarantanny i nic nie będzie? bo tam jest svchost.żeby mi się coś nie popsuło.

Awatar użytkownika
me@djohnsc

Administrator
Posty: 1223
Rejestracja: 22 lis 2008, 19:28
Lokalizacja: Śląsk

Problem, wirus w System Volume Information

Post11 mar 2009, 22:52

No to znowu daj log z combofix :P I znowu wykonaj:

Z folderu "System Volume Information" usuniesz kopie "wirusów" poprzez chwilowe wyłączenie "Przywracania Systemu":
>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy "Wyłącz przywracanie na wszystkich dyskach">Zastosuj>OK.
Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).

Awatar użytkownika
djkamil09061991

Globalny Moderator
Posty: 8244
Rejestracja: 18 lut 2009, 11:54
Lokalizacja: Wrocław
Kontaktowanie:

Problem, wirus w System Volume Information

Post12 mar 2009, 18:31

znowu mi się pojawil alert antywirusa Ochrona systemu plików w czasie rzeczywistym plik E:\AutoRun.inf INF/Autorun wirus usunięty - poddany kwarantannie ZARZĄDZANIE NT\SYSTEM Zdarzenie wystąpiło podczas próby uzyskania dostępu do pliku przez aplikację: C:\WINDOWS\Explorer.EXE. Czy mogę go usunąć z kwarantanny? tu log z combofix Dostępne tylko dla zarejestrowanych użytkowników

///// Post 2 /////

ok a kto sprawdzi loga?
Ostatnio zmieniony 12 mar 2009, 19:40 przez djarta, łącznie zmieniany 1 raz.
Powód: Nie OTuj tylko używaj opcji "Edytuj"! Posty złanczam

Awatar użytkownika
me@djohnsc

Administrator
Posty: 1223
Rejestracja: 22 lis 2008, 19:28
Lokalizacja: Śląsk

Problem, wirus w System Volume Information

Post12 mar 2009, 18:37

Używasz jakichś płyt lub pendrive? Jak używasz pendrive to sformatuj jak możesz a płyty przeskanuj. Żeby wirus się nie przedostawał na komputer wykonaj Wyłączenie funkcji autouruchamiania.

Jakby się explorer.exe wyłączał to wykonaj Brak ikon na pulpicie. Naprawa explorer.exe a log ja nie sprawdzę bo się nie znam ;)

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5850
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Problem, wirus w System Volume Information

Post12 mar 2009, 19:39

Log jest czysty.
Nie trzeba było dawać logu z ComboFixa.

Przeskanuj tym: Dostępne tylko dla zarejestrowanych użytkowników.


=============
K.

Awatar użytkownika
djkamil09061991

Globalny Moderator
Posty: 8244
Rejestracja: 18 lut 2009, 11:54
Lokalizacja: Wrocław
Kontaktowanie:

Re: Problem, wirus w System Volume Information

Post12 mar 2009, 22:43

wyniki z DR.web

Kod: Zaznacz cały

f_00080b;C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Cache;Kontener zawiera zainfekowane obiekty;Przeniesiony.;
A0007641.exe;C:\System Volume Information\_restore{76CB0653-179E-42DA-8CB3-1ADB5B8390B9}\RP22;Kontener zawiera zainfekowane obiekty;Przeniesiony.;
A0007490.bat;C:\System Volume Information\_restore{76CB0653-179E-42DA-8CB3-1ADB5B8390B9}\RP22;Prawdopodobnie BATCH.Virus;;
f_00080b/data002\32788R22FWJFW\psexec.cfexe;C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Cache\f_00080b/data002;Program.PsExec.171;;
A0007641.exe/data002\32788R22FWJFW\psexec.cfexe;C:\System Volume Information\_restore{76CB0653-179E-42DA-8CB3-1ADB5B8390B9}\RP22\A0007641.exe/data002;Program.PsExec.171;;
f_00080b/data002\32788R22FWJFW\c.bat;C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Cache\f_00080b/data002;Prawdopodobnie BATCH.Virus;;
A0007641.exe/data002\32788R22FWJFW\c.bat;C:\System Volume Information\_restore{76CB0653-179E-42DA-8CB3-1ADB5B8390B9}\RP22\A0007641.exe/data002;Prawdopodobnie BATCH.Virus;;
data002;C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Cache;Archiwum zawierające zainfekowane obiekty;;
data002;C:\System Volume Information\_restore{76CB0653-179E-42DA-8CB3-1ADB5B8390B9}\RP22;Archiwum zawierające zainfekowane obiekty;;


Post2

po skanowaniu nic nie robiłem z tymi plikami po prostu zamknąłem Dr.Web. powiedz mi które usunąć to jeszcze raz przeskanuje i usunę.
Ostatnio zmieniony 12 mar 2009, 22:53 przez me@djohnsc, łącznie zmieniany 1 raz.
Powód: połączyłem posty, dodałem znaczniki code

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5850
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Problem, wirus w System Volume Information

Post13 mar 2009, 10:28

Po skanowaniu naciskasz na tego wirusa i naciskasz "Usuń".

=============
K.

Awatar użytkownika
djkamil09061991

Globalny Moderator
Posty: 8244
Rejestracja: 18 lut 2009, 11:54
Lokalizacja: Wrocław
Kontaktowanie:

Re: Problem, wirus w System Volume Information

Post13 mar 2009, 15:39

a te pliki mogę spokojnie usunąć? nie są potrzebne?

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5850
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Problem, wirus w System Volume Information

Post13 mar 2009, 16:43

Nie są.


============
K.

Awatar użytkownika
djkamil09061991

Globalny Moderator
Posty: 8244
Rejestracja: 18 lut 2009, 11:54
Lokalizacja: Wrocław
Kontaktowanie:

Re: Problem, wirus w System Volume Information

Post14 mar 2009, 10:38

mam pytania mam w msconfigu w autostarcie google update czy da sie to wyłączyć za pomocą odznaczenia czegoś w programie a nie z msconfig, tak samo z bluetooth Authentication Agent oraz javą. ale w javie odznaczyłem aktualizacje.

Awatar użytkownika
cosik_ktosik

Administrator
Posty: 21330
Rejestracja: 13 lis 2008, 01:17
Lokalizacja: Szczecin
Kontaktowanie:

Problem, wirus w System Volume Information

Post14 mar 2009, 11:59

Z tego co ja pamiętam google update wyłączysz tylko przez msconfig.

Inne wyjście, to usunięcie:
menu start >> uruchom >>wpisz cmd

Wpisz:
sc stop Google Update Service >> Enter

sc delete Google Update Service >> Enter
Hotfix
Pozdrawiam, cosik_ktosik :)

Awatar użytkownika
djkamil09061991

Globalny Moderator
Posty: 8244
Rejestracja: 18 lut 2009, 11:54
Lokalizacja: Wrocław
Kontaktowanie:

Re: Problem, wirus w System Volume Information

Post14 mar 2009, 14:06

a te google update to jest do czegoś potrzebne? żeby mi przeglądarka potem działała.

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5850
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Problem, wirus w System Volume Information

Post14 mar 2009, 19:05

Możesz spokojnie usunąć tą usługę.
Jeśli przeglądarka będzie niedziała (ale i tak na 100% będzie działała) to ją przeinstalujesz - proste. ;)



=============
K.

Awatar użytkownika
djkamil09061991

Globalny Moderator
Posty: 8244
Rejestracja: 18 lut 2009, 11:54
Lokalizacja: Wrocław
Kontaktowanie:

Problem, wirus w System Volume Information

Post14 mar 2009, 19:27

cos nie wyszło wpisałem te 2 komendy ale dalej jest i w autorun i w menedzerze

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5850
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Problem, wirus w System Volume Information

Post14 mar 2009, 20:13

Pokaż Screena.


=====
K.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 4 gości