Na Windows XP wkradł mi się pewien syf (cvasds0.dll, i może nie tylko), przez pendrive. Kaspersky wykrywa, ale oczywiście nie potrafi sobie poradzić. Na dyski mogę się dostać tylko przez “Eksploruj”, plików exe nie mogę otworzyć ani dostać się do np. msconfig czy otworzyć jakiś program (“nie jest prawidłową aplikacją systemu win32”). Na tym netbooku mam także zainstalowany Windows 7 i z niego piszę wiadomość.
Zrobiłem kilka logów. W trybie normalnym jakoś udało się odpalić tylko System Engineer, reszta jest z trybu awaryjnego.
http://wklej.org/id/229549/ Czy sterowniki Synaptics zainfekowały się z tym trojanem? Również wyskakiwały mi o tym komunikaty (SynTP.exe i cvasds0.dll, mówili o uruchomieniu dyskietki startowej), nie mogłem tego zamknąć.
OTL z Processes i Modules na All a w Custom Scans/Fixes i wklejone:
Gutek chyba dalej to samo. Odpaliłem te 3 programy pod awaryjnym. Uruchomiłem teraz normalnie system. Nie mogę zrobić screena bo jak chciałem odpalić Irfana to właśnie ujawnił się komunikat, o którym wspominałem, tylko występuje w zależności od tego, co chcę uruchomić. Nie rozumiem tego. Coś w stylu:
i_view32.exe - Zły obraz
Aplikacja lub biblioteka DLL C:\DOCUME~1\USTAW~1\Temp\cvasds0.dll nie jest poprawnym obrazem systemu Windows NT. Sprawdź to z dyskietką instalacyjną.
Klikam OK i cały czas wyskakuje to ponownie. Kaspersky z kolei informuje, że tym razem “Java Quick Starter” próbuje uzyskać dostęp do szkodliwego oprogramowania. Oczywiście cvasds0.dll w documents and settings…\temp, próbowałem go też oczywiście usuwać wcześniej w awaryjnym. Dokładnie Kaspersky 2010 określa tego syfa jako Trojan-GameThief.Win32.Magania.cnip. Gdy klikam Usuń i czy wykonać leczenie, dalej jest to samo. Tylko wtedy już wyskakuje kolejne okno:
RUNDLL
Wystąpił błąd podczas ładowania basegui.ppl
Odmowa dostępu
Wtedy już zaczyna się mulenie, bo to okno potrafi się zdublikować. Okno z leczeniem zagrożenia jak zwykle zawiesiło się na 1%. W tym momencie wyskakuje kolejny alarm Kasperskiego, mówiący o tym że “Kaspersky Anti-Virus GUI Windows part” próbuje uzyskać dostęp do szkodliwego oprogramowania i ta sama ścieżka syfu. Oczywiście klikam Usuń, komunikat znika. Teraz niby mogę wejść normalnie do dysków nie używając opcji Eksploruj, ale zauważyłem że pewnie explorer jest też zainfekowany. Mam tylko pasek adresu i ikonki. Nie ma widocznych poleceń Plik, Edytuj, Widok itd. Prawy klawisz myszy nie działa tam, bym mógł coś włączyć/wyłączyć odnośnie pasków, a i przecież tego Plik, Edytuj itd. nie da się ukryć a ja zwyczajnie tego nie mam. Uruchom / cmd czy msconfig czy inne dalej to samo: komunikat że nie jest prawidłową aplikacją systemu Win32.