Cvasds0.dll i inne, nie można otwierać exe

Dla specjalistów Bezpieczeństwo
#1

Witam

Na Windows XP wkradł mi się pewien syf (cvasds0.dll, i może nie tylko), przez pendrive. Kaspersky wykrywa, ale oczywiście nie potrafi sobie poradzić. Na dyski mogę się dostać tylko przez “Eksploruj”, plików exe nie mogę otworzyć ani dostać się do np. msconfig czy otworzyć jakiś program (“nie jest prawidłową aplikacją systemu win32”). Na tym netbooku mam także zainstalowany Windows 7 i z niego piszę wiadomość.

Zrobiłem kilka logów. W trybie normalnym jakoś udało się odpalić tylko System Engineer, reszta jest z trybu awaryjnego.

System Repair Engineer 2.8.1.1279

http://wklej.org/id/229546/

HijackThis v2.0.2

http://wklej.org/id/229548/

GMER 1.0.15.15273 (czy to dobrze wykonany skan?)

http://wklej.org/id/229549/ Czy sterowniki Synaptics zainfekowały się z tym trojanem? Również wyskakiwały mi o tym komunikaty (SynTP.exe i cvasds0.dll, mówili o uruchomieniu dyskietki startowej), nie mogłem tego zamknąć.

OTL z Processes i Modules na All a w Custom Scans/Fixes i wklejone:

netsvcs

msconfig

safebootminimal

safebootnetwork

%systemdrive%\*.*

http://wklej.org/id/229552/

Extras

http://wklej.org/id/229553/

#2

Infekcja z pendriva -

O4 - HKCU..\Run: [cdoosoft] C:\Documents and Settings\kbak\Ustawienia lokalne\Temp\herss.exe ()

użyj - http://www.bezpieczenstwosystemow.pl/in … pic=1647.0

Panda USB Vaccine

po tym Wykonaj skan Dr. Web CureIt

#3

Gutek chyba dalej to samo. Odpaliłem te 3 programy pod awaryjnym. Uruchomiłem teraz normalnie system. Nie mogę zrobić screena bo jak chciałem odpalić Irfana to właśnie ujawnił się komunikat, o którym wspominałem, tylko występuje w zależności od tego, co chcę uruchomić. Nie rozumiem tego. Coś w stylu:

i_view32.exe - Zły obraz

Aplikacja lub biblioteka DLL C:\DOCUME~1\USTAW~1\Temp\cvasds0.dll nie jest poprawnym obrazem systemu Windows NT. Sprawdź to z dyskietką instalacyjną.

Klikam OK i cały czas wyskakuje to ponownie. Kaspersky z kolei informuje, że tym razem “Java Quick Starter” próbuje uzyskać dostęp do szkodliwego oprogramowania. Oczywiście cvasds0.dll w documents and settings…\temp, próbowałem go też oczywiście usuwać wcześniej w awaryjnym. Dokładnie Kaspersky 2010 określa tego syfa jako Trojan-GameThief.Win32.Magania.cnip. Gdy klikam Usuń i czy wykonać leczenie, dalej jest to samo. Tylko wtedy już wyskakuje kolejne okno:

RUNDLL

Wystąpił błąd podczas ładowania basegui.ppl

Odmowa dostępu

Wtedy już zaczyna się mulenie, bo to okno potrafi się zdublikować. Okno z leczeniem zagrożenia jak zwykle zawiesiło się na 1%. W tym momencie wyskakuje kolejny alarm Kasperskiego, mówiący o tym że “Kaspersky Anti-Virus GUI Windows part” próbuje uzyskać dostęp do szkodliwego oprogramowania i ta sama ścieżka syfu. Oczywiście klikam Usuń, komunikat znika. Teraz niby mogę wejść normalnie do dysków nie używając opcji Eksploruj, ale zauważyłem że pewnie explorer jest też zainfekowany. Mam tylko pasek adresu i ikonki. Nie ma widocznych poleceń Plik, Edytuj, Widok itd. Prawy klawisz myszy nie działa tam, bym mógł coś włączyć/wyłączyć odnośnie pasków, a i przecież tego Plik, Edytuj itd. nie da się ukryć a ja zwyczajnie tego nie mam. Uruchom / cmd czy msconfig czy inne dalej to samo: komunikat że nie jest prawidłową aplikacją systemu Win32.

Nie wiem co tu się porobiło.

#4

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

#5

Dzięki.

log z Fixa:

http://wklej.org/id/229784/

log ze Scanu później:

http://wklej.org/id/229786/

#6

Wygląda na to, że jest już OK.

jessi

#7

Kliknij w OTL CleanUp.

PS. Jakoś nikt tego kroku nie zaleca… :stuck_out_tongue:

Przecież OTL nie usuwa plików, tylko je przenosi do specjalnego folderu, który należy usunąć, lub kliknąć w OTL CleanUp.