Henorek
(Jarosz1994)
20 Styczeń 2013 11:42
#1
Witam, po przeskanowaniu kompa ESET znalazł mi dwa wirusy których działanie było dość odczuwalne, ciągłe 100% obciążenia procesora przez proces svhost, podejrzany explorer.exe
Problem w tym, że ESET nie jest w stanie tego usunąć. Da się coś z tym zrobić? Załączam screena z loga ESETA, oraz raporty OTL’a.
Screen: http://imageshack.us/photo/my-images/687/123oud.png/
OTL: http://www.wklej.org/id/931275/
Extras: http://www.wklej.org/id/931278/
Acorus
(Acorus)
20 Styczeń 2013 11:55
#2
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva398.sys – (XDva398) DRV - File not found [Kernel | On_Demand | Stopped] – D:\Program Files\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTuner32.sys – (RivaTuner32) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\EagleXNt.sys – (EagleXNt) O4 - HKU\S-1-5-21-436374069-861567501-839522115-1004…\Run: [MSConfig] C:\Documents and Settings\Jaro\llutfreg.exe () O4 - HKU\S-1-5-21-436374069-861567501-839522115-1004…\Run: [Nycuarduy] C:\Documents and Settings\Jaro\Dane aplikacji\Otyzs\coek.exe (Корпорация Майкрософт) [2013-01-11 12:43:43 | 000,000,000 | —D | C] – C:\Documents and Settings\Jaro\Dane aplikacji\Otyzs [2013-01-11 12:43:43 | 000,000,000 | —D | C] – C:\Documents and Settings\Jaro\Dane aplikacji\Izun [2013-01-11 12:43:43 | 000,000,000 | —D | C] – C:\Documents and Settings\Jaro\Dane aplikacji\Coyshi [2013-01-19 19:38:58 | 000,078,336 | ---- | M] () – C:\Documents and Settings\Jaro\qefiklixubib.exe @Alternate Data Stream - 839265 bytes -> C:\WINDOWS\Temp:temp @Alternate Data Stream - 839262 bytes -> C:\WINDOWS\Temp:temp :Files C:\Documents and Settings\Jaro\Ustawienia lokalne\Dane aplikacji*Bron* :Commands] [emptytemp]
Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
Henorek
(Jarosz1994)
20 Styczeń 2013 12:20
#3
Przy starcie systemu ESET znowu wywalił mi komunikat o podejrzanym svhost ale nie może go usunąć. Wskazywałoby to na to, że OTL nie pomógł.
Raport z usuwania: http://www.wklej.org/id/931312/
Nowy OTL: http://www.wklej.org/id/931327/
Acorus
(Acorus)
20 Styczeń 2013 12:43
#4
Wykonaj w trybie awaryjnym.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL IE - HKU\S-1-5-21-436374069-861567501-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=44444& … 1d7d791684 IE - HKU\S-1-5-21-436374069-861567501-839522115-1004…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&affID=44444&tt=5112_8&babsrc=SP_ss&mntrId=d4453240000000000000001d7d791684 FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaulturl: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms} ” FF - prefs.js…browser.search.selectedEngine: “Search the web (Babylon)” [2012-12-17 23:02:59 | 000,002,431 | ---- | M] () – C:\Documents and Settings\Jaro\Dane aplikacji\Mozilla\Firefox\Profiles\8mrr5rfc.default\searchplugins\babylon1.xml O3 - HKU\S-1-5-21-436374069-861567501-839522115-1004…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKU\S-1-5-21-436374069-861567501-839522115-1004…\Run: [MSConfig] C:\Documents and Settings\Jaro\llutfreg.exe () O4 - HKU\S-1-5-21-436374069-861567501-839522115-1004…\Run: [Nycuarduy] “C:\Documents and Settings\Jaro\Dane aplikacji\Otyzs\coek.exe” File not found [2013-01-05 02:01:04 | 000,000,000 | —D | C] – C:\Documents and Settings\Jaro\Dane aplikacji\OpenCandy [2013-01-20 13:00:40 | 000,126,976 | -H-- | M] () – C:\Documents and Settings\Jaro\llutfreg.exe [2013-01-20 10:40:00 | 000,000,998 | ---- | M] () – C:\WINDOWS\tasks\FacebookUpdateTaskUserS-1-5-21-436374069-861567501-839522115-1004UA.job [2013-01-19 19:40:00 | 000,000,976 | ---- | M] () – C:\WINDOWS\tasks\FacebookUpdateTaskUserS-1-5-21-436374069-861567501-839522115-1004Core.job @Alternate Data Stream - 839280 bytes -> C:\WINDOWS\Temp:temp @Alternate Data Stream - 839213 bytes -> C:\WINDOWS\Temp:temp :Commands [emptytemp]
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.
.Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free
Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa “Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje.”
Zainstaluj aktualizacje do programow wskazanych przez Security Check
analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html jako out of date.