buker
(buker)
5 Marzec 2010 18:50
#1
Witam,
antywirus Avira Antivir co jakiś czas zgłasza komunikat o znalezionym wirusie Trojan TR/VB.Downloader.Gen (ścieżka C:\WINDOWS\system32\dmexcell.dll). Przeskanowałem komputer skanerem on-line firmy Eset, który znalazł dość dużo wirusów. Proszę o sprawdzenie logów:
OTL
http://wklej.org/id/290814/
SRENG
http://wklej.org/hash/463cc581f58/
deFco247
(deFco247)
5 Marzec 2010 18:58
#2
Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP .
Uruchom SREng -> System Repair -> zakładka Browser Addons -> kolumna CLSID1 -> odszukaj i usuń:
{31435657-9980-0010-8000-00AA00389B71}
{92780B25-18CC-41C8-B9BE-3C9C571A8263}
{E2E2DD38-D088-4134-82B7-F2BA38496583}
{FB5F1910-F110-11D2-BB9E-00C04F795683}
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:Processes killallprocesses :OTL [2010-03-01 19:35:44 | 000,002,055 | ---- | M] () – C:\Documents and Settings\Pablo\Dane aplikacji\Mozilla\Firefox\Profiles\k24xu9px.default\searchplugins\daemon-search.xml O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKCU…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O4 - HKCU…\Run: [cdoosoft] C:\DOCUME~1\Pablo\USTAWI~1\Temp\herss.exe File not found O22 - SharedTaskScheduler: {19A701F0-EB89-4763-AADD-65AF4C11FF59} - DmexcellJav - C:\WINDOWS\system32\dmexcell.dll () O32 - AutoRun File - [2010-03-05 19:38:30 | 000,000,051 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-03-05 19:38:30 | 000,000,051 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-03-05 19:38:30 | 000,000,051 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-03-05 19:38:30 | 000,000,051 | RHS- | M] () - F:\autorun.inf – [NTFS] :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [Reboot]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan .
Usuń infekcje z pendrive lub kart pamięci za pomocą Flash Disinfector lub Panda USB Vaccine .
Lub format.
Gutek
(Gutek)
5 Marzec 2010 19:03
#3
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:Processes Explorer.EXE :OTL [2010-03-01 19:35:44 | 000,002,055 | ---- | M] () – C:\Documents and Settings\Pablo\Dane aplikacji\Mozilla\Firefox\Profiles\k24xu9px.default\searchplugins\daemon-search.xml O4 - HKCU…\Run: [cdoosoft] C:\DOCUME~1\Pablo\USTAWI~1\Temp\herss.exe File not found O22 - SharedTaskScheduler: {19A701F0-EB89-4763-AADD-65AF4C11FF59} - DmexcellJav - C:\WINDOWS\system32\dmexcell.dll () O32 - AutoRun File - [2010-03-05 19:38:30 | 000,000,051 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-03-05 19:38:30 | 000,000,051 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-03-05 19:38:30 | 000,000,051 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-03-05 19:38:30 | 000,000,051 | RHS- | M] () - F:\autorun.inf – [NTFS] O33 - MountPoints2{62b770b8-23ae-11df-ad36-0013776ee894}\Shell\AutoRun\command - “” = J:\fk.exe – File not found O33 - MountPoints2{62b770b8-23ae-11df-ad36-0013776ee894}\Shell\open\Command - “” = J:\fk.exe – File not found O33 - MountPoints2{7893b7a6-1af8-11df-ad28-0013776ee894}\Shell\AutoRun\command - “” = I:\fk.exe – File not found O33 - MountPoints2{7893b7a6-1af8-11df-ad28-0013776ee894}\Shell\open\Command - “” = I:\fk.exe – File not found O33 - MountPoints2{fd621947-1ca1-11df-ad2b-0013776ee894}\Shell\AutoRun\command - “” = I:\ws.exe – File not found O33 - MountPoints2{fd621947-1ca1-11df-ad2b-0013776ee894}\Shell\open\Command - “” = I:\ws.exe – File not found [2010-03-05 19:41:26 | 000,000,051 | RHS- | M] () – C:\autorun.inf [2010-03-05 18:46:23 | 000,000,051 | RHS- | C] () – C:\autorun.inf :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] “cdoosoft”=- :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
Uruchom System Repair Engineer zakładka System Repair >> Browser Add-ons >> odszukaj i usuń
buker
(buker)
5 Marzec 2010 19:26
#4
Dzięki za tak szybkie odpowiedzi. Logi o które prosiliście.
Raport
http://wklej.org/hash/8a78e3880bf/
Log OTL
http://wklej.org/hash/8f24bb4f291/
deFco247
(deFco247)
5 Marzec 2010 20:16
#5
Jak już to należało wykonać skrypty podane przez jedną z osób.
Jest czysto.
W OTL kliknij CleanUp .
Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.
Gdy będą wirusy pokaż raport po usuwaniu.
Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).