Blokowanie stron typu avast, skanery on-line, microsoft

Than · 18 Wrzesień 2011 22:11

Witam, przez jakiś czas muszę korzystać z nie swojego komputera, chciałem więc go przeczyścić. Niestety, nie da się ściągnąć programów antywirusowych ani zaktualizować istniejących. Proszę więc o sprawdzenie loga z OTL. Z tego co przeczytałem, powinienem go zuploadować na stronę, zamieściłem go więc pod linkiem:

http://www.wklejto.pl/105133

PS. Komputer bardzo dawno (o ile w ogóle) był jakkolwiek czyszczony, skanowany etc. Log jest z ustawieniami standardowymi (“użyj filtrowania”, “pliki młodsze niż 30 dni” etc.) może więc ze względu na to powinienem skanować bez tych ograniczeń?

Dzięki i pozdrawiam!

jessica · 19 Wrzesień 2011 06:41

Infekcja pendrivowa oraz CONFICKER!.

Użyj USBFix, >USBFix

Kliknij w nim na:DELETION.

Daj raport z tego usuwania.

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL MOD - [2011-09-18 22:30:42 | 000,123,904 | RHS- | M] () – C:\WINDOWS\system32\arking0.dll MOD - [2011-09-18 22:30:42 | 000,078,848 | RHS- | M] () – C:\Documents and Settings\Sikor\Ustawienia lokalne\temp\cvasds0.dll MOD - [2004-08-04 00:44:20 | 000,066,210 | ---- | M] () – C:\WINDOWS\system32\e8main1.dll MOD - [2004-08-04 00:44:20 | 000,062,482 | ---- | M] () – C:\WINDOWS\system32\ahndoor2.dll SRV - [2004-08-04 00:44:02 | 000,161,547 | RHS- | M] () [Auto | Stopped] – C:\WINDOWS\system32\broqhb.dll – (owghud) FF - HKLM\Software\MozillaPlugins@real.com/nsJSRealPlayerPlugin;version=: File not found O3 - HKCU…\Toolbar\ShellBrowser: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - No CLSID value found. O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKCU…\Run: [api32] C:\Documents and Settings\Sikor\Ustawienia lokalne\temp\apiqq.exe () O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Sikor\Ustawienia lokalne\temp\herss.exe () O4 - HKCU…\Run: [King_ar] C:\WINDOWS\system32\arking.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowRun: 1 = ashServ.exe O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowRun: 2 = ashWebSv.exe O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowRun: 3 = aswUpdSv.exe O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Java Plug-in 1.6.0_03) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Java Plug-in 1.6.0_03) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Java Plug-in 1.6.0_03) O28 - HKLM ShellExecuteHooks: {BB4C402F-882A-4526-8C08-51278EA437C1} - C:\WINDOWS\system32\e8main1.dll () O28 - HKLM ShellExecuteHooks: {BD344AF4-67AB-4E19-A630-7435587D320B} - C:\WINDOWS\system32\ahndoor2.dll () O33 - MountPoints2{c9cf4ab2-b170-11dc-9631-00d0b7e109f2}\Shell\AutoRun\command - “” = RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe [2011-02-18 18:06:22 | 000,123,904 | RHS- | C] () – C:\WINDOWS\System32\arking1.dll [2011-02-06 17:17:50 | 000,178,176 | RHS- | C] () – C:\WINDOWS\System32\arking.exe [2011-02-06 17:17:50 | 000,123,904 | RHS- | C] () – C:\WINDOWS\System32\arking0.dll [2009-09-20 21:17:20 | 000,116,812 | RHS- | C] () – C:\WINDOWS\System32\olhrwef.exe [2009-09-20 21:17:20 | 000,075,928 | RHS- | C] () – C:\WINDOWS\System32\nmdfgds0.dll [2004-08-04 00:44:20 | 000,078,848 | ---- | C] () – C:\WINDOWS\System32\afmain2.dll [2004-08-04 00:44:20 | 000,066,210 | ---- | C] () – C:\WINDOWS\System32\e8main1.dll [2004-08-04 00:44:20 | 000,066,210 | ---- | C] () – C:\WINDOWS\System32\e8main0.dll [2004-08-04 00:44:20 | 000,066,143 | ---- | C] () – C:\WINDOWS\System32\e8main2.dll [2004-08-04 00:44:20 | 000,062,482 | ---- | C] () – C:\WINDOWS\System32\ahndoor2.dll [2004-08-04 00:44:20 | 000,062,482 | ---- | C] () – C:\WINDOWS\System32\ahndoor1.dll [2004-08-04 00:44:20 | 000,062,369 | ---- | C] () – C:\WINDOWS\System32\ahndoor0.dll [2004-08-04 00:44:02 | 000,161,547 | RHS- | C] () – C:\WINDOWS\System32\broqhb.dll NetSvcs: owghud - C:\WINDOWS\system32\broqhb.dll :Files RECYCLER /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] [Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Zainstaluj bezpieczniejszą wersję Javy >Java 7 (JRE)

jessi

Than · 19 Wrzesień 2011 10:44

Log z USBFix:

http://www.wklejto.pl/105167

Niestety, OTL wiesza się przy podanym przez Ciebie skrypcie (po krótkim czasie pojawia się “(brak odpowiedzi)” na pasku i program nie kontynuuje, trzeba restartować komputer), podaję więc loga ze skanowania OTL:

http://www.wklejto.pl/105168

Zainstalowałem też JAVĘ.

Dziękuję za pomoc, Jessica!

jessica · 19 Wrzesień 2011 13:07

Infekcja pendrivowa usunięta, natomiast CONFICKER jest dalej.

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Zrób nowe logi z OTL, ale na dodatkowym ustawieniu:

W pole Własne opcje skanowania/Scrypt wklej:

i dopiero wtedy kliknij Skanuj.

jessi

Than · 19 Wrzesień 2011 16:07

Log z OTLa po restarcie:

http://www.wklejto.pl/105195

I log po skanowaniu z podanymi przez Ciebie ustawieniami:

http://www.wklejto.pl/105196

W międzyczasie udało mi się zainstalować avirę i zrobić skanowanie systemu.

jessica · 19 Wrzesień 2011 18:18

Jeszcze do usunięcia resztki po CONFICKER’ze:

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Zrób nowy log z OTL, na ustawieniach jak ostatnio.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

Than · 20 Wrzesień 2011 08:16

Log OTLa z ustawieniami jak poprzednio:

http://www.wklejto.pl/105239

Niestety jeśli chodzi o wykonywanie Twojego skryptu to po restarcie nie podaje żadnego loga, tzn. nie pojawia się plik w notatniku.

EDIT:

Po jakimś czasie od włączenia komputera pojawia mi się taki błąd:

Czy to może być związane z tym wirusem, ew. z OTLem albo avirą?

jessica · 20 Wrzesień 2011 10:37

W sprawie pojawiającego się błędu nic nie pomogę, bo nie znam się na błędach.

Pojawiła się następna usługa CONFICKER’a do usunięcia, więc:

Uruchom OTL i w oknie Własne opcje skanowania/Script wpisz to:

:OTL

SRV - File not found [Auto | Stopped] – -- (jengz)

:Commands

[Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

Than · 20 Wrzesień 2011 11:41

Niestety, ponownie nie pojawia się raport z usuwania, podaję więc raport ze skanowania:

http://www.wklejto.pl/105244

jessica · 20 Wrzesień 2011 12:07

Co tam się u Ciebie dzieje?

Znów jest ten CONFICKER.

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie odwiedź poniższy link i pobierz KB958644/MS08-067 łatkę zabezpieczeń dla danego systemu operacyjnego Windows:

MS08-067 łatka Pobierz (http://www.microsoft.com/downloads/results.aspx?pocId=&freetext=ms08-067&DisplayLang=pl)

Przejrzyj listę i kliknij na link, który odpowiada wersji systemu Windows, który jest uruchomiony na zainfekowanym komputerze. Następnie należy pobrać plik ze strony, która otwiera się i zapisz go na pulpicie. Uruchom łatkę dwuklikiem.

Zrób nowe logi z OTL, ale na dodatkowym ustawieniu:

W pole Własne opcje skanowania/Scrypt wklej:

i dopiero wtedy kliknij Skanuj.

jessi

Than · 24 Wrzesień 2011 18:04

Nie wiem dlaczego on tam dalej siedzi, nie ściągam żadnych niepewnych plików etc.

Przesyłam log skanowania na tym dodatkowym ustawieniu:

http://www.wklejto.pl/105498

Avirę odinstalowałem, ten błąd był chyba związany z nieudanymi próbami aktualizowania bazy wirusów a bez niej program za bardzo mi się nie przyda.

jessica · 24 Wrzesień 2011 18:53

Conficker jest Robakiem, to znaczy wchodzi do Systemu bez żadnego udziału Użytkownika, po prostu on krąży cały czas w sieci, i jeśli natrafi na komputer nie posiadający odpowiedniej łatki, to samoczynnie się przedostanie.

Trochę inna sprawa jest w przypadku Confickera dostającego się do Systemu z nośników przenośnych (pendrive) - w tym przypadku Użykownik ma swój udział: uruchamiając zarażony pendrive umożliwia Robakowi przedostanie się na dysk twardy.

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Zrób nowy log z OTL, ale na dodatkowym ustawieniu:

W pole Własne opcje skanowania/Scrypt wklej:

i dopiero wtedy kliknij Skanuj.

jessi

Than · 24 Wrzesień 2011 22:15

Tym razem log wygenerował się po restarcie:

http://www.wklejto.pl/105515

I log z ponownego skanowania:

http://www.wklejto.pl/105516

jessica · 25 Wrzesień 2011 06:00

Pojawiły się następne usługi Confickera, więc:

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Oczywiście, i tym razem rób log na dodatkowym ustawieniu, jak ostatnio.

jessi

Than · 25 Wrzesień 2011 08:54

Znowu nie pojawił się log po restarcie. Log po skanowaniu:

http://www.wklejto.pl/105524

Mam nadzieję, że już będzie ok :). Wracam na swój komputer i przez dłuższy czas nie będę miał dostępu do tego.

Jeszcze raz bardzo dziękuję za pomoc Jessica!

jessica · 25 Wrzesień 2011 10:05

W nowym logu nie widzę już nic szkodliwego.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

jessi