Nieznośny Virus Trojan.Packed.NsAnti

okobogee · 18 Listopad 2010 21:13

Witam, wszystkich którzy są ogarnięci z komputerami, a dokładnie z systemem XP. Panowie i Panie od syna dostałem zdjęcia na pendrive. Foty zgrałem i razem z nimi wirusa o nazwie Trojan.Packed.NsAnti. Wirus jest usuwany przez Nortona ale za każdym razem się odnawia i spowalnia komputer. Jeżeli wiecie jak się pozbyć natręta to proszę o info. Z góry chcę powiedzieć że ma swoje lat i nie znam się za dobrze na komputerach, więc fajnie by było jak by recepta była prosto opisana. Z góry Dziękuję.

Oto link z OTL: http://wklej.to/m7Hd

Loookash89 · 18 Listopad 2010 21:18

Przeczytaj i wrzuć logi : otl-gmer-rsit-dss-inne-instrukcje-t370405.html

okobogee · 18 Listopad 2010 22:39

Witam Loookash89 , dziękuję za oferowaną pomoc z usunięciem wirusa.

Oto link z tego OTL: http://wklej.to/m7Hd

Czy te kolejne mam też robić ?

Loookash89 · 18 Listopad 2010 22:44

Na razie poczekaj.

Ja niestety z logami Ci nie pomogę bo się na nich nie znam. Jeśli tutaj nikt ich nie sprawdzi załóż temat w dziale Bezpieczeństwo lub poproś admina/moda o przeniesienie tego wątku.

okobogee · 18 Listopad 2010 22:57

Rozumiem , a zatem czekam i mam nadzieję, że ktoś się odezwie.

Ponawiam, Panowie i Panie dręczy mnie wirus o nazwie Trojan.Packed.NsAnti

Proszę o receptę aby go się pozbyć.

– Dodane 19.11.2010 (Pt) 15:02 –

Panowie i Panie dręczy mnie wirus o nazwie Trojan.Packed.NsAnti Proszę o receptę aby się pozbyć drania, prosze o sprawdzenie tych loginów. Czy jest możliwe usunięcie tego wirusa?

– Dodane 20.11.2010 (So) 11:35 –

Trojan.Packed.NsAnti Proszę o receptę aby się pozbyć drania. Oto link z tego OTL: http://wklej.to/m7Hd

– Dodane 20.11.2010 (So) 14:29 –

![-o<

– Dodane 20.11.2010 (So) 16:15 –

Witam, Panów i Panie. Dodaje login z UsbFix , może bardziej pomoże w znalezieniu tego intruza. Proszę o pomoc aby go zwalczyć. A zatem :

############################## | UsbFix 7.035 | [Deletion]

User: Miro (Administrator) # ACER-0EF968F022 []

Updated 11/11/10 by El Desaparecido / C_XX

Started at 15:57:22 | 20/11/2010

Website: http://www.teamxscript.org

Contact: eldesaparecido@teamxscript.org

CPU: Genuine Intel® CPU T2300 @ 1.66GHz

CPU 2: Genuine Intel® CPU T2300 @ 1.66GHz

Microsoft Windows XP Professional (5.1.2600 32-Bit) # Service Pack 2

Internet Explorer 8.0.6001.18702

Windows Firewall: Enabled

Antivirus: Norton AntiVirus 2006 2005 [Enabled | (!) Outdated]

Firewall: Norton Internet Worm Protection 2006 [Enabled]

RAM - 1014 Mb

C:\ (%systemdrive%) - Fixed drive # 49 Gb (21 Mb free - 44%) [ACER] # FAT32

D:\ - Fixed drive # 58 Gb (13 Mb free - 23%) [DANE] # NTFS

E:\ - CD-ROM

F:\ - CD-ROM

################## | Files # Infected Folders |

Deleted ! D:\Recycler\S-1-5-21-2810455838-4169674664-2558639715-1005

################## | Registry |

################## | Mountpoints2 |

################## | Listing |

[28/07/2010 - 23:39:00 | D] C:\FOUND.000

[04/08/2004 - 05:00:00 | D] C:\VALUEADD

[04/08/2004 - 05:00:00 | D] C:\dotnetfx

[09/10/2010 - 19:26:12 | N | 1004] C:\NetworkCfg.xml

[16/11/2010 - 07:48:44 | N | 177664] C:\et3ypes.exe

[14/02/2006 - 10:42:28 | D] C:\Sysinfo

[14/02/2006 - 10:42:28 | D] C:\Book

[14/02/2006 - 10:42:22 | D] C:\WINDOWS

[10/04/2006 - 12:35:54 | D] C:\Documents and Settings

[10/04/2006 - 12:41:08 | D] C:\Program Files

[10/04/2006 - 13:09:22 | D] C:\Acer

[04/08/2004 - 05:00:00 | N | 250032] C:\ntldr

[04/08/2004 - 05:00:00 | N | 47564] C:\NTDETECT.COM

[23/05/2010 - 10:45:22 | N | 211] C:\boot.ini

[10/04/2006 - 12:41:54 | N | 0] C:\CONFIG.SYS

[10/04/2006 - 13:02:12 | N | 50] C:\AUTOEXEC.BAT

[10/04/2006 - 12:41:54 | N | 0] C:\IO.SYS

[10/04/2006 - 12:41:54 | N | 0] C:\MSDOS.SYS

[10/04/2006 - 12:51:06 | N | 463] C:\RHDSetup.log

[10/04/2006 - 13:23:08 | N | 76] C:\Preload.aaa

[20/11/2010 - 15:49:26 | RASHD] C:\Autorun.inf

[20/11/2010 - 10:47:22 | ASH | 1598029824] C:\pagefile.sys

[20/11/2010 - 10:47:24 | ASH | 1063440384] C:\hiberfil.sys

[17/04/2010 - 06:31:06 | SHD] C:\System Volume Information

[18/10/2010 - 15:48:26 | D] C:\HaspEmulPE.XP

[20/11/2010 - 15:42:02 | D] C:\UsbFix

[20/11/2010 - 15:57:20 | N | 961] C:\UsbFix.txt

[20/11/2010 - 15:54:28 | N | 1098878947] C:\UsbFix_Upload_Me_ACER-0EF968F022.zip

[16/04/2010 - 22:29:52 | SHD] C:\Recycled

[16/04/2010 - 22:41:44 | D] C:\I386

[17/04/2010 - 12:28:14 | RHD] C:\MSOCache

[20/11/2010 - 15:49:24 | RASHD] D:\Autorun.inf

[16/11/2010 - 07:48:44 | N | 177664] D:\et3ypes.exe

[19/11/2010 - 22:24:34 | N | 178176] D:\i00dvoym.exe

[18/11/2010 - 18:58:56 | D] D:\Instalki

[21/04/2010 - 16:07:15 | D] D:\My Documents

[24/10/2010 - 12:48:38 | D] D:\My Music

[13/09/2010 - 21:38:06 | D] D:\My Pictures

[10/10/2010 - 21:03:59 | D] D:\My Videos

[20/11/2010 - 15:58:48 | SHD] D:\RECYCLER

[17/04/2010 - 05:32:16 | SHD] D:\System Volume Information

################## | Vaccin |

C:\Autorun.inf - Folder created by UsbFix (El Desaparecido C_XX)

D:\Autorun.inf - Folder created by UsbFix (El Desaparecido C_XX)

################## | Upload |

Please send the file: C:\UsbFix_Upload_Me_ACER-0EF968F022.zip

http://www.teamxscript.org/Sample/Upload.php

Thank you for your contribution.

################## | E.O.F |

jessica · 20 Listopad 2010 16:30

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL MOD - [2010-11-18 20:23:54 | 000,116,224 | RHS- | M] () – C:\WINDOWS\system32\mgking0.dll DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\System32\DRIVERS\ZTEusbser6k.sys – (ZTEusbser6k) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\System32\DRIVERS\ZTEusbnmea.sys – (ZTEusbnmea) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\System32\DRIVERS\ZTEusbmdm6k.sys – (ZTEusbmdm6k) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\System32\drivers\massfilter.sys – (massfilter) DRV - File not found [Kernel | Auto | Stopped] – C:\WINDOWS\System32\eLock2FSCTLDriver.sys – (eLock2FSCTLDriver) DRV - File not found [Kernel | Auto | Stopped] – C:\WINDOWS\System32\eLock2BurnerLockDriver.sys – (eLock2BurnerLockDriver) O4 - HKU\S-1-5-21-2810455838-4169674664-2558639715-1005…\Run: [king_mg] C:\WINDOWS\system32\mgking.exe () MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk - C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\READER~1.EXE - File not found MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= - File not found [2010-11-18 18:56:37 | 000,177,152 | RHS- | C] () – C:\WINDOWS\System32\mgking.exe :Files KLIZAVI /alldrives et3ypes.exe /alldrives i00dvoym.exe /alldrives RECYCLER /alldrives Recycled /alldrives found.* /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

okobogee · 20 Listopad 2010 23:18

Już jestem, OK robie tak jak napisałeś…

Oto logi z OTL:

http://wklej.to/qyem

A to log z UsbFix:

All processes killed

Error: Unable to interpret in the current context!

Error: Unable to interpret <[2010-11-18 18:56:37 | 000,177,152 | RHS- | C] () – C:\WINDOWS\System32\mgking.exe> in the current context!

========== FILES ==========

KLIZAVI not found in C:\

KLIZAVI not found in D:\

C:\et3ypes.exe moved successfully.

D:\et3ypes.exe moved successfully.

C:\i00dvoym.exe moved successfully.

D:\i00dvoym.exe moved successfully.

RECYCLER not found in C:\

D:\RECYCLER\S-1-5-21-2810455838-4169674664-2558639715-1005 folder moved successfully.

D:\RECYCLER folder moved successfully.

C:\Recycled folder moved successfully.

Recycled not found in D:\

C:\FOUND.000 folder moved successfully.

found.* not found in D:\

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\ deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\“SuperHidden”|dword:00000001 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\“Hidden”|dword:00000001 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\“ShowSuperHidden”|dword:00000001 /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\“CheckedValue”|dword:00000001 /E : value set successfully!

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden\ deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden\@|"" /E : value set successfully!

========== COMMANDS ==========

[EMPTYTEMP]

User: Default User

->Temp folder emptied: 16384 bytes

->Temporary Internet Files folder emptied: 32902 bytes

->Flash cache emptied: 41620 bytes

User: All Users

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 1030886 bytes

User: LocalService

->Temp folder emptied: 66016 bytes

->Temporary Internet Files folder emptied: 91431 bytes

User: Administrator

->Temp folder emptied: 16384 bytes

->Temporary Internet Files folder emptied: 32768 bytes

User: Miro

->Temp folder emptied: 36977036 bytes

->Temporary Internet Files folder emptied: 8938467 bytes

->Java cache emptied: 2238839 bytes

->Flash cache emptied: 2073416 bytes

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 725009 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 101797274 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 16384 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes

RecycleBin emptied: 0 bytes

Total Files Cleaned = 147,00 mb

OTL by OldTimer - Version 3.2.17.3 log created on 11212010_002305

Files\Folders moved on Reboot…

C:\Documents and Settings\Miro\Local Settings\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.

C:\Documents and Settings\Miro\Local Settings\Temporary Internet Files\Content.IE5\PNHWXGMG\adsCAPM79BP.htm moved successfully.

C:\Documents and Settings\Miro\Local Settings\Temporary Internet Files\Content.IE5\YMQISIYX\nieznosny-virus-trojan-packed-nsanti-t422809[1].html moved successfully.

C:\WINDOWS\temp\Perflib_Perfdata_a68.dat moved successfully.

Registry entries deleted on Reboot…

jessica · 21 Listopad 2010 04:36

Nieprawidłowo wykonane usuwanie, a dokładniej: nie został wklejony dwukropek

:OTL na początku Scriptu. - w rezultacie część usuwania się nie wykonała.

Powtórka:

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL MOD - [2010-11-18 20:23:54 | 000,116,224 | RHS- | M] () – C:\WINDOWS\system32\mgking0.dll DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\System32\DRIVERS\ZTEusbser6k.sys – (ZTEusbser6k) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\System32\DRIVERS\ZTEusbnmea.sys – (ZTEusbnmea) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\System32\DRIVERS\ZTEusbmdm6k.sys – (ZTEusbmdm6k) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\System32\drivers\massfilter.sys – (massfilter) DRV - File not found [Kernel | Auto | Stopped] – C:\WINDOWS\System32\eLock2FSCTLDriver.sys – (eLock2FSCTLDriver) DRV - File not found [Kernel | Auto | Stopped] – C:\WINDOWS\System32\eLock2BurnerLockDriver.sys – (eLock2BurnerLockDriver) O4 - HKU\S-1-5-21-2810455838-4169674664-2558639715-1005…\Run: [king_mg] C:\WINDOWS\system32\mgking.exe () MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk - C:\PROGRA~1\Adobe\ACROBA~1.0\Reader\READER~1.EXE - File not found MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= - File not found [2010-11-18 18:56:37 | 000,177,152 | RHS- | C] () – C:\WINDOWS\System32\mgking.exe :Commands [emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log[/b**] OTL.txt oraz raport z usuwania.**

jessi

okobogee · 21 Listopad 2010 13:31

Witam, bardzo dziękuje za okazaną cierpliwość , tak faktycznie zobiłem błąd. Teraz mam nadzieję, że robiłem poprawnie.

Oto logi:

http://wklej.to/ZJch

jessica · 21 Listopad 2010 13:48

Ta pendrivowa infekcja ciągle jest.

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

okobogee · 21 Listopad 2010 14:19

A to uparty intruz, zrobiłem jak kazałeś, a to wyniki:

http://wklej.to/lzcX

– Dodane 21.11.2010 (N) 15:23 –

Ja tego OTL przy skanowaniu ustawiam tak jak jest tu podane czy to dobrze? otl-gmer-rsit-dss-inne-instrukcje-t370405.html ale bez tego tekstu co tam niby wkleić trzeba.

Leon1 · 21 Listopad 2010 14:35

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

OTL w oknie Custom Scans-Fixes wklej następujący skrypt:

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

okobogee · 21 Listopad 2010 15:36

Witam cię Leon$ , dziękuję za zainteresowaniem się moim problemem.

Zrobiłem tak jak pisałeś, oto logi: http://wklej.to/b7Je

Czy widzisz w nich tego wirusa?

Leon1 · 21 Listopad 2010 15:46

tym razem chyba się udało

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

W OTL kilknij CleanUp (Sprzątanie)

przeskanuj

Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html

możesz włączyć przywracanie systemu

okobogee · 21 Listopad 2010 15:57

Rozumiem, zrobię tak jak napisałeś. Następnie napiszę jak sprawa się ma.

– Dodane 21.11.2010 (N) 19:14 –

No już… Zrobiłem tak jak napisałeś, dr.Ewb faktycznie nie wykrył wirusa tak samo Norton.

Ale nadal nie mogę zobaczyć plików ukrytych ? I teraz nie wiem czy wirus jeszcze siedzi czy jest uszkodzony system.

Więc czekam bardzo proszę o instrukcje Panowie i Panie

– Dodane 21.11.2010 (N) 20:14 –

Kurczę panowie i panie pomóżcie

Na dodatek mam jakiś plik o nazwie autorun.inf który nie mogę usunąć

szymonek760 · 24 Listopad 2010 15:28

ten plik zrobił go usbfix aby infekcja się nie dostawała

Leon1 · 24 Listopad 2010 15:47

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki

powstanie plik o takiej ikonie

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

okobogee · 24 Listopad 2010 23:04

Witam, dziękuję za oferowaną mi pomoc Loookash89, Jessica a w szczególności Leon$.

Leon$ faktycznie pliki są już widoczne =D>

Mam jeszcze pytanko bo pewnie bedziesz wiedział. Na pulpicie pokazał sie plik, który wcześniej był nie widoczny o nazwie Thumbs typ pliku to Data Base File czy mam go usunąć czy ma zostać, a i jeszcze ten plik Autorun.inf to się go nie usuwa ?

bo widzę że szymonek760 pisze “ten plik zrobił go usbfix aby infekcja się nie dostawała”

Czyli ma zostać ? czy można go usunąć jeli tak to jak ?

Leon1 · 25 Listopad 2010 14:57

http://translate.google.pl/translate?hl … umbsdb.htm

to nie plik tylko folder

szymonek760

ma racje

usunąć można Unkockerem - nie rób tego

okobogee · 27 Listopad 2010 11:12

Dzięki Leon$ za odpowiedź. Mam jeszcze jedno pytanko zrobiłem tak jak podałeś http://translate.google.pl/translate?hl … umbsdb.htm

Ale nadal nie mogę usunąć bo wyskakuje mi "Nie można odczytać z pliku lub dysku żródłowego"

co w takim przypadku zrobić ?