Warbird
19 Marzec 2011 03:13
#1
Witam,
Malwarebytes’ Anti-Malware wykrywa 5 infekcji ale chyba ma problem z ich usunięciem. Program “usuwa” zagrożenia, następuje restart systemu przy ponownym skanowaniu sytuacja się powtarza program wykrywa te same szkodniki usuwa je następuje restart systemu itd.
Zainfekowanych procesów w pamięci:
c:\Windows\Temp\svhost.exe (Heuristics.Reserved.Word.Exploit) -> 1572
Zainfekowanych kluczy rejestru:
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace)
Zainfekowanych plików:
c:\Users\Paweł\AppData\Roaming\local.exe (Trojan.Agent)
c:\Users\Paweł\AppData\Roaming\data.dat (Stolen.Data)
c:\Windows\Temp\svhost.exe (Heuristics.Reserved.Word.Exploit)
Logi:
Malwarebytes:
http://wklej.to/cj9t1
OTL:
http://wklej.to/di40T
http://wklej.to/pmRQS
Z góry dziękuje za wszelką pomoc.
jessica
19 Marzec 2011 03:48
#2
A może to jest powód tego, że MBAM ciągle wykrywa to samo (nie pozwalasz mu usuwać)?
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL [2011-04-18 16:48:22 | 009,775,616 | ---- | C] () – C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rundll32 .exe [2011-03-19 02:58:10 | 001,169,224 | ---- | C] (Microsoft Corporation) – C:\Users\Paweł\AppData\Roaming\local.exe [2011-03-19 03:11:11 | 000,000,070 | ---- | M] () – C:\Users\Paweł\AppData\Roaming\data.dat O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O4 - Startup: C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rundll32 .exe () O4 - HKCU…\Run: [iSUSPM Startup] File not found O4 - HKCU…\Run: [rundll32] File not found O4:64bit: - HKLM…\Run: [Copy Handler] File not found File not found (No name found) – C:\USERS\PAWEĹ‚\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\VUC9LUX6.DEFAULT\EXTENSIONS{A0D7CCB3-214D-498B-B4AA-0E8FDA9A7BF7} File not found (No name found) – C:\USERS\PAWEĹ‚\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\VUC9LUX6.DEFAULT\EXTENSIONS{B17C1C5A-04B1-11DB-9804-B622A1EF5492} File not found (No name found) – C:\USERS\PAWEĹ‚\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\VUC9LUX6.DEFAULT\EXTENSIONS{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D} File not found (No name found) – C:\USERS\PAWEĹ‚\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\VUC9LUX6.DEFAULT\EXTENSIONS\PLAYER@VIVIDAS.COM :Files C:\Windows\Temp\svhost.exe :Commands [emptytemp]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
Warbird
19 Marzec 2011 10:22
#3
Nie jestem pewien, ale to był log tylko ze skanowania. Wcześniejsze logi ze skanowania i usuwania zagrożeń, co do zainfekowanych plików czy kluczy rejestru kończyły się frazą - Quarantined and deleted successfully; zainfekowanych procesów w pamięci - Unloaded process successfully.
Log z OTL:
http://wklej.to/n554K
raport:
http://wklej.to/1mYbS
jessica
19 Marzec 2011 10:40
#4
W nowym logu OTL nie widzę już nic podejrzanego, więc miejmy nadzieję, że infekcja się nie odrodzi.
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
jessi
Warbird
19 Marzec 2011 19:32
#5
Też mam taką nadzieje. Dziękuje za pomoc.