Prawdopodobna infekcja worm.win32.vb.nhz

matesa2 · 29 Maj 2011 08:55

Witam. Kilka dni temu podłączyłem pendriva w szkole aby zgrać ściągnięte pliki. Kiedy w domu podłączyłem pendriva do kompa CIS wykrył 3 wirusy o nazwie worm.win32.vb.nhz w ściezce G:/.Trash-User/explorer.exe . I miał je usunąć. Ale potem gdy weszłem w menedżera zadań ujrzałem 4 procesy o nazwie explorer.exe Próbowałem zakończyć 3 procesy ale robiły się na nowo . Skan CIS-em nic nie znalazł

Zrobiłem logi OTL itp. Mam nadzieję że mi pomożecie.

A i mam taki problem że czasami gdy zostawie komputer bezczynny na kilka minut to w przeglądarce otworzy się kilka stron qooqlle.com

otl http://wklej.to/2Y8RQ

Extras http://wklej.to/ybTXH

log rsit http://wklej.to/MQZNF

ots http://wklej.to/hEiQi

dds http://wklej.to/ZEir5

dds attach http://wklej.to/x8CRh

Acorus · 29 Maj 2011 09:16

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL FF - prefs.js…browser.search.defaultenginename: “Web Search…” FF - prefs.js…browser.search.param.yahoo-fr: “chr-greentree_ff&type=382950” FF - prefs.js…keyword.URL: “http://vshare.toolbarhome.com/search.aspx?srch=ku&q=” [2011-04-23 11:54:06 | 000,000,000 | —D | M] (InnoGames Polska Community Toolbar) – H:\Users\Mat\AppData\Roaming\mozilla\Firefox\Profiles\6e86wh2g.default\extensions{14f6a182-4c6f-45ae-9f5a-aa3ccbb1cfa3} [2011-05-15 21:19:29 | 000,000,000 | —D | M] – H:\Users\Mat\AppData\Roaming\mozilla\Firefox\Profiles\6e86wh2g.default\extensions\vshare@toolbar O4 - HKU\S-1-5-21-2552811968-1137384036-1486942984-1000…\Run: [jushed] H:\ProgramData\jushed.exe ( ) [2011-05-26 17:26:13 | 000,347,136 | RHS- | C] (NirSoft) – H:\ProgramData\nircmd.exe [2011-05-26 17:26:06 | 000,566,784 | RHS- | C] ( ) – H:\ProgramData\jushed.exe [2011-05-26 17:25:58 | 007,987,953 | ---- | C] (CCCP Project ) – H:\Users\Mat\AppData\Local\Codecs.exe [2011-05-26 17:25:58 | 000,566,784 | ---- | C] ( ) – H:\Users\Mat\AppData\Local\jushed.exe [2011-05-26 17:25:58 | 000,347,136 | ---- | C] (NirSoft) – H:\Users\Mat\AppData\Local\nircmd.exe [2011-05-29 09:11:33 | 000,000,002 | ---- | M] () – H:\ProgramData\timerxfile [2011-05-29 09:11:33 | 000,000,002 | ---- | M] () – H:\ProgramData\datesavefile [2011-05-29 09:11:33 | 000,000,001 | ---- | M] () – H:\ProgramData\varsavefile [2011-05-26 17:26:22 | 000,004,768 | ---- | M] () – H:\Users\Mat\AppData\Local\operaprefs.ini [2011-05-26 17:26:22 | 000,004,768 | ---- | M] () – H:\ProgramData\operaprefs.ini [2011-05-26 17:25:58 | 000,566,784 | RHS- | M] ( ) – H:\ProgramData\jushed.exe [2010-11-30 16:17:13 | 000,000,402 | ---- | M] () – H:\Windows\Tasks\DriverEasy Scheduled Scan.job [2011-04-15 21:23:49 | 000,000,208 | ---- | M] () – H:\Windows\Tasks\DriverScanner.job [2010-11-30 15:57:55 | 000,000,248 | ---- | M] () – H:\Windows\Tasks\elbyExecuteWithUAC.job :Commands [emptytemp]

Kliknij Wykonaj skrypt…Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Pokaż nowy log OTL.txt oraz raport z usuwania.

Odinstaluj Spybot - Search & Destroy.

matesa2 · 29 Maj 2011 14:13

A czemu mam usunąć Spybota ??

Acorus · 29 Maj 2011 14:24

Cytuję wypowiedz specjalisty “Deinstalacja archaicznego Spybot - Search & Destroy (od dwóch lat zastój silnika bazowego, nierównomierne i stosunkowo rzadkie dostarczanie aktualizacji, brak odpornej techniki montażowej, słaba skuteczność”.

matesa2 · 29 Maj 2011 16:44

log z usuwania http://www.wklejto.pl/98535

otl http://www.wklejto.pl/98534

Usunąłem Spybota.

Acorus · 29 Maj 2011 16:54

W porządku.W OTL użyj opcji Sprzątanie.Wyłącz i włącz przywracanie systemu na wszystkich dyskach:http://support.microsoft.com/kb/310405/pl

http://www.vista.pl/artykuly/11250_przy … vista.html

Przeskanuj progr.Malwarebytes Anti-Malware

http://www.dobreprogramy.pl/Malwarebyte … 13117.html

matesa2 · 29 Maj 2011 17:19

Ok. Przywracanie mam wyłączone bo z tego nie korzystam, a często chowają się tam wirusy.

– Dodane 03.06.2011 (Pt) 22:53 –

niestety problem powrócił