Avast - infekcja


(@gniech@) #1

Witam, Avast wyrywa ciągle jakąś infekcje.

Wyswitla mi taka informacje:

Zbyt dużo identycznych wiadomości w wyznaczonym czasie

Nadawca: "Lewie Chapman"

Odbiorca:

Temat: Replica Watches i inne

Co z tym zorbic ;]

Podaje swój log http://wklej.org/id/167751/

Z góry dzięki za pomoc


(Lukaszroj17) #2

Ja proponował bym zamienić Avast na jakiś inny program,z własnego doświadczenia polecam Avirę.U mnie w domu na kompie dzieci Avast krzyczał co chwilę na jakieś bzdety,zmieniłem na Avirę i co się okazało :shock: trochę syfu było Avira doprowadziła komp do porządku i tetraz problemów 0 :smiley:


(jessica) #3

Na dobry początek:

Daj log z OTL

jessi


(@gniech@) #4

Podaje log z OTL

http://wklej.org/id/167785/


(jessica) #5

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL

PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

PRC - [2009-10-05 17:58:20 | 00,321,024 | RHS- | M] () -- C:\WINDOWS\System32\nygouzuw.exe

O4 - HKU\.DEFAULT..\Run: [cerabour] C:\Documents and Settings\NetworkService\Dane aplikacji\Microsoft\rymi.exe File not found

O4 - HKU\.DEFAULT..\Run: [jimou] C:\Documents and Settings\LocalService\Dane aplikacji\Microsoft\sousout.exe ()

O4 - HKU\S-1-5-18..\Run: [cerabour] C:\Documents and Settings\NetworkService\Dane aplikacji\Microsoft\rymi.exe File not found

O4 - HKU\S-1-5-18..\Run: [jimou] C:\Documents and Settings\LocalService\Dane aplikacji\Microsoft\sousout.exe ()

O33 - MountPoints2\{3c64aa60-ac68-11de-b851-001d604c6755}\Shell\AutoRun\command - "" = RECYCLER\S-3-6-21-2434476501-1644491937-600003330-1213\RegSrv.exe

O33 - MountPoints2\{3c64aa60-ac68-11de-b851-001d604c6755}\Shell\open\command - "" = RECYCLER\S-3-6-21-2434476501-1644491937-600003330-1213\RegSrv.exe


:Files

C:\WINDOWS\System32\nygouzuw.exe

C:\WINDOWS\System32\rymi.exe


:Services

e57mt5uuocoat38a

x0wiiqmeuopoe


:Reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"cerabour"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"WinampAgent"=-

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]


:Commands

[emptytemp]

[start explorer]

[Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

jessi


(@gniech@) #6

log czyszczenia http://wklej.org/id/167813/

nowy log http://wklej.org/id/167814/

I jak to wygląda ? :expressionless:


(jessica) #7

Nie wiem, dlaczego obcięło w Scripcie te zaznaczone na niebiesko - w rezultacie nie wszystko się wykonało.

Powtórz więc jeszcze raz.

Może tym razem, zamiast w "code", dam w "quote":

Jeśli znów sytuacja się powtórzy, to będziesz musiał poczekać na kogoś innego, bo może mój Notatnik jest uszkodzony. Bo to się zdarza mi nie pierwszy raz.

jessi


(@gniech@) #8

wiec powtórka wygląda tak

http://wklej.org/id/167866/ log czyszczenia

http://wklej.org/id/167868/ nowy log

teraz jak ? i co się dzieje tak właściwie ?

aha avast jeszcze wykrywa mi jakiegoś wirusa w systemie operacyjnym ale nie moge nic z nim zrobic ;/


(jessica) #9

Teraz usuwanie się udało.

A co konkretnie?

Możesz jeszcze, ewentualnie, dać log z ComboFix

jessi


(@gniech@) #10

wklejam log z ComboFix'a http://wklej.org/id/167936/


(jessica) #11

Nie jest dobrze - chyba masz jakiegoś wirusa zarażającego pliki pliki systemowe.

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]

"netsvcs"=-

"netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\

  6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\

  00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\

  53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\

  00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\

  76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\

  00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\

  69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\

  00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\

  49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\

  00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\

  76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\

  00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\

  73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\

  00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\

  00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\

  00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\

  74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\

  00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\

  63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\

  00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\

  4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\

  00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\

  00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\

  00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\

  32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\

  00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\

  00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,54,00,65,00,72,00,6d,\

  00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,\

  73,00,65,00,72,00,76,00,00,00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,\

  00,6c,00,6c,00,48,00,57,00,44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,\

  6e,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,78,00,6d,00,6c,\

  00,70,00,72,00,6f,00,76,00,00,00,77,00,73,00,63,00,73,00,76,00,63,00,00,00,\

  57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,00,00,00

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >> plik uruchom (dwuklik i OK). Zrestartuj komputer. Wklej do Notatnika :

FCopy::

c:\windows\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\srsvc.dll | c:\windows\system32\srsvc.dll

c:\windows\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\wscntfy.exe | c:\windows\system32\wscntfy.exe

c:\windows\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\ctfmon.exe | c:\windows\system32\ctfmon.exe

c:\windows\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\regsvc.dll | c:\windows\system32\regsvc.dll

c:\windows\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\ssdpsrv.dll | c:\windows\system32\ssdpsrv.dll

>>Plik>>Zapisz jako... >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

-------->cfscript10gm1.gif

ComboFix podmieni brakujące pliki Systemowe i powstanie log).

Daj ten log, który powstanie.

Użyj Dr. Web CureIt!

Od razu przy ściąganiu zapisz go pod jakąś inną nazwą, ale koniecznie z rozszerzeniem .com (tzn przy zapisywaniu zmień w okinku "Zapisz jako typ" na "Wszystkie pliki" i daj naz np. "dddd.com")

Napisz, co wykrył.

EDIT:

Jeśli strona "Dr.WebCureIt" będzie blokowana przez wirusa, to ściągnij go stąd:

jessi


(@gniech@) #12

tutaj log z combofix http://wklej.org/id/168014/

A Dr wykrył że w archiwum combofixa jest virus prawdopodobnie Batch

I co teraz ? juz jest ok ?


(jessica) #13

To pomyłka.

Jeśli tylko tyle wykrył "Dr.Web", to powinno być czysto.

1) Usuń ręcznie folder C:**** Qoobox.

2) Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

jessi


(@gniech@) #14

jak zrobić punkt 2?


(deFco247) #15

http://support.microsoft.com/kb/310405/pl


(@gniech@) #16

Czy może być tak że nie działa to u mnie ? :? albo już nie wiem :expressionless: u mnie nie ma zakładki "Przywracanie systemu"


(deFco247) #17

Nie masz tego w: PPM na Mój Komputer -> zakładka Przywracanie Systemu ?


(@gniech@) #18

No nie mam tego :?


(deFco247) #19

Zrób tak: Start -> Uruchom -> services.msc

Włącz usługę Usługa Przywracania Systemu , jeśli jest wyłączona.

Ewentualnie uruchom ją ponownie.


(@gniech@) #20

nie mam takiej "usługi" mam tylko usługa administracyjna menadżera dysków logicznych, bramy warstwy aplikacji, dostarczenia sieci, inteligentnego transferu w tle, terminalowe, NT LM Security... , numeru seryjnego... ale Usługa Przywracania Systemu tego nie ma