Problem z usunięciem wirusa Win32/Gaelicum.A


(Sharp Gienek) #1

Witam. Mój komputer jest zainfekowany wirusem Win32/Gaelicum.A i nie wiem jak się go pozbyć. Po raz pierwszy wykryłem go za pomocą antywirusa AVG. Przeskanowałem system za pomocą programu vcleaner.exe w safe mode (aplikacja ta leczy zainfekowane ww wirusem pliki .exe) jednak co jakiś czas AVG daje mi informacje, że kolejne pliki są zarażone. Tym oto sposobem muszę co parę dni skanować komputer, aby naprawić zainfekowane pliki i móc korzystać z aplikacji. Proszę o poradę. Oto log z HijackThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:31:38, on 2007-12-27

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal


Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

D:\programy\AVG\avgcc.exe

C:\Program Files\COMODO\Firewall\cfp.exe

C:\Program Files\Netia\Net\netianet.exe

C:\WINDOWS\system32\netdde.exe

C:\Program Files\RALINK\Common\RaUI.exe

D:\programy\AVG\avgamsvr.exe

D:\programy\AVG\avgupsvc.exe

D:\programy\AVG\avgemc.exe

C:\Program Files\COMODO\Firewall\cmdagent.exe

C:\WINDOWS\system32\CTsvcCDA.exe

D:\programy\NetLimiter 2 Pro\nlsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PSIService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe


O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O4 - HKLM\..\Run: [AVG7_CC] "D:\programy\AVG\avgcc.exe" /STARTUP

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install

O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "realsched.exe" -osboot

O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program Files\COMODO\Firewall\cfp.exe" -s

O4 - HKCU\..\Run: [uTorrent] "D:\programy\utorrent\uTorrent.exe"

O4 - HKCU\..\Run: [NETIANET] C:\Program Files\Netia\Net\netianet.exe

O4 - HKCU\..\Run: [Komunikator] D:\programy\o2\Tlen.pl\tlen.exe

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] D:\programy\AVG\avgw.exe /RUNONCE (User 'USŁUGA LOKALNA')

O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] D:\programy\AVG\avgw.exe /RUNONCE (User 'USŁUGA SIECIOWA')

O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] D:\programy\AVG\avgw.exe /RUNONCE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] D:\programy\AVG\avgw.exe /RUNONCE (User 'Default user')

O4 - Startup: OP_CACHE.ATR

O4 - Startup: OP_CACHE.IDX

O4 - Global Startup: OP_CACHE.ATR

O4 - Global Startup: OP_CACHE.IDX

O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Program Files\RALINK\Common\RaUI.exe

O8 - Extra context menu item: &Clean Traces - C:\Program Files\DAP\Privacy Package\dapcleanerie.htm

O8 - Extra context menu item: &Download with &DAP - C:\Program Files\DAP\dapextie.htm

O8 - Extra context menu item: Download &all with DAP - C:\Program Files\DAP\dapextie2.htm

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15031/CTSUEng.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1196778995765

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} (MksSkanerOnline Class) - http://www.mks.com.pl/skaner/SkanerOnline.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15031/CTPID.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{2E04A0C4-B347-4043-9223-36821423FF6B}: NameServer = 194.204.152.34,194.204.159.1

O17 - HKLM\System\CCS\Services\Tcpip\..\{3ED8778C-F73E-4C1E-8E50-0CD33B864E73}: NameServer = 83.238.255.76 213.241.79.37

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\Skype4COM.dll

O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\programy\AVG\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\programy\AVG\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - D:\programy\AVG\avgemc.exe

O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - COMODO - C:\Program Files\COMODO\Firewall\cmdagent.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NetLimiter (nlsvc) - Locktime Software - D:\programy\NetLimiter 2 Pro\nlsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Unknown owner - D:\programy\Outpost Firewall\outpost.exe (file missing)

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe


--

End of file - 5363 bytes

Jeszcze wspomnę, że w liście programów do usunięcia znajduje sie kilka zastanawiających mnie pozycji jak np:

Przy powyższych aplikacjach po zaznaczeniu na liście windowsowskiego "dodaj/usuń programy" nie pojawia się żadna informacja ani możliwość odinstalowania.

Za pomoc z góry dziękuję i pozdrawiam.


(Gutek) #2

Daj log z ComboFix


(Sharp Gienek) #3
ComboFix 07-12-21.4 - Sharp 2007-12-28 22:34:01.1 - NTFSx86

(Gutek) #4

Nie odinstalowałeś do końca Outpost Firewall

W logu nic nie widze


(Sharp Gienek) #5

No cóż.. Czekałem, czy wirus znów się odezwie i się odezwał niestety :? . Chyba najlepszy jego opis znalazłem tutaj. Czy macie jakieś rady, czy raczej pozostaje format?.. Dodatkowo jeszcze jedna rzecz mnie zaniepokoiła. Mój dysk twardy zaczął restartować się podczas pracy komputera (słychać tylko było, że obroty spadają do zera, a potem znów rusza), a potem komputer zawieszony. Nic nie odpowiadało, włącznie z klawiaturą (capslock, numlock, scrolllock). Zapewne przypisałbym to w pełni robocie wirusa, gdyby nie fakt, że w opisach nie znalazłem nic mówiącego cokolwiek o tego typu działaniu z jego strony, a po którymś resecie komp zaczął tak robić zanim wybierał z czego ma bootnąć.. tzn na pierwszym ekranie, gdy jeszcze za bardzo z dysku twardego nie czytał danych... Po którejś próbie uruchomienia komputera się udało i jak na razie chodzi..


(Gutek) #6

Trend Micro - http://pl.trendmicro-europe.com/consume ... launch.php i raport


(Sharp Gienek) #7

Zrobiłem tak: pobrałem i zainstalowałem triala tego antyvirusa. Uruchomiłem kompa w safe mode (po wcześniejszym wyłączeniu przywracania systemu), żeby tam go przeskanować. włączając antyvira odrazu załadowało się skanowanie (w oknie dosowym). Niestety okno to po skończonej pracy zniknęło, a log'a chyba nie zostawiło (albo ja nie umiem go znaleźć) :? . W każdym razie nie znalazłem go w folderze z antywirem, ani w logach samego antyvira (pisze, że jeszcze ani razu nie skanowałem kompa)

Z tego co patrzyłem znajdował sporo plików zainfekowanych: PAK_Generic.001 i Pak_Generic.005.(Znajdował je również w archiwach). Znalazł również jeden plik zarażony wirusem PE_TENGA.A

Wszystkie pliki zakażone usuwał nie mogąc ich naprawić.


(Gutek) #8

Daj log z ComboFix - wg nowych zasad - viewtopic.php?f=16&t=213350


(Sharp Gienek) #9

http://wklej.org/id/c5cc6563a6

PS. Odinstalowałem tego triala z Trend Micro, bo blokował ładowanie jednej gry online :stuck_out_tongue:

PS2. Virus znów wykryty przez AVG ;/


(Gutek) #10

Źle odinsatlowałeś Outpost Firewall

Podaj lokalizację pliku


(Sharp Gienek) #11

Lokalizację pliku zainfekowanego? Jak pisałem wyżej wirus infekuje pliki .exe masowo.. co jakiś czas używam narzędzia vcleaner (od Grisoftu), aby usunąć kod wirusa z plików.. niektóre później działają, niektóre szwankują, ale gdybym tego nie robił nie odpaliłbym już nawet kompa.. co do outposta to po zainstalowaniu triala rzucał sie, że nie umie uruchomić jakiegoś sterownika... później go odinstalowałem.


(Sharp Gienek) #12

Są ferie, biore sie za format. Dzięki za próbę pomocy :wink: