Walka z wirusami

system · 18 Kwiecień 2010 15:12

Witam. Męczę się właśnie z wirusami. Myślałem że już wszystko wyleczylem, tymczasem nie da się uruchomic internetu. Przegladarki sie wlaczaja ale nie wyswietlaja stron. Przypuszczam ze usunalem jakis wazny plik. Leczylem computer: Combofixem, Dr. Webem oraz Malwarebytes. Malware nic nie znalazl a do tamtych mam raporty. Mysle ze przyda sie raport z combofix. Oto log: http://wklej.org/id/318356/

Na podsawie tego logu zdecydowalem sie takze usunąć ręcznie:

c:\windows\mbr.exe

c:\windows\system32\drivers\drw3f.tmp

Poza tym w procesach menadzera zadań kilka razy wystepuje pozycja svchost.exe.

Co robić?

deFco247 · 18 Kwiecień 2010 16:05

Nigdy nie rób takiego czegoś sam. Pierwszy plik to akurat narzędzie MBR.EXE będące częścią Combofixa, a drugi wygląda na część Dr. Weba.

Poza tym użyty Combofix nadaje się do muzeum:

Zastosuj OTC.

Pokaż logi z narzędzia OTL.

Ustawiasz go jak na tym obrazku.

Klikasz Run Scan.

Pokazujesz dwa wynikowe logi OTL.txt + Extras.txt

system · 18 Kwiecień 2010 16:33

Oto log z otl: http://wklej.org/id/318431/

extras: http://wklej.org/id/318432/

Co teraz?

deFco247 · 18 Kwiecień 2010 19:31

Dziwią mnie te dziwne anomalie:

Normalny plik w tym miejscu nie powinien mieć takiego rozszerzenia.

Sterownik niby od Microsoftu, ale jednak OTL wyświetla go wśród niezaufanych i do tego brakuje mu markera Microsoftu, więc na pewno coś tu jest nie tak.

Wklej w OTL taki skrypt:

Klikasz Run Scan (nie Run Fix) i pokazujesz wynikowy log.

system · 18 Kwiecień 2010 19:55

“c:\windows\system32\wbem\wmiapsrv.exe” - ten plik niby usunął mi combofix, zgdonie z logiem, ktory dalem na początku

a ipsec.sys wyleczyl niby drWeb 5 plików, 1 mialbyc wyleczony po ponownym uruchomieniu, a 1 nie dalo sie wyleczyc (za drugim skanowaniem drWeb nie wykryl juz tych problemow)

oto log z otl: http://wklej.org/id/318614/

– Dodane 19.04.2010 (Pn) 11:05 –

Wciąż nie mam internetu. Co mam robić?

– Dodane 19.04.2010 (Pn) 11:25 –

Przeskanowałem plik explorer.exe na http://www.virustotal.com/pl/ i jeden z antywirusów stwierdzil, że plik jest zawiruswany. Może dlatego nie działa mi internet?

– Dodane 19.04.2010 (Pn) 11:41 –

2 antywirusy stwierdzily również, że plik wmiapsrv.exe.tmp jest zawirusowany. Proszę o pomoc.

– Dodane 19.04.2010 (Pn) 12:13 –

Mam również problem z zaporą systemu windows. Nie da się jej włączyć/wyłączyć.

deFco247 · 19 Kwiecień 2010 11:55

Coś mi się zdaje, że tutaj może być trudniej…

Zastosuj Combofix.

Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.

Pokaż log.

system · 19 Kwiecień 2010 20:06

Coś mi się zdaje, że nie mam żadnych programów tworzących wirtualne napędy. W SPTD uninstall było zszarzałe. Oto log z Combofiaxa: http://wklej.org/id/319269/

deFco247 · 20 Kwiecień 2010 11:52

Otwórz Notatnik i wklej do niego:

Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe

Powinno się rozpocząć usuwanie.

_ Potem dajesz log z usuwania Combofix. _

system · 20 Kwiecień 2010 19:13

Oto log z Combofixa: http://wklej.org/id/319804/

What`s now?

deFco247 · 20 Kwiecień 2010 19:27

Ten plik się jednak nie usunął…

Pobierz The Avenger i uruchom.

Wklej w niego ten tekst:

Execute i zgadzasz się na restart.

Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt

system · 20 Kwiecień 2010 19:47

Oto raport z Avengera: http://wklej.org/id/319840/

deFco247 · 20 Kwiecień 2010 20:01

Teraz to nareszcie poszło.

Dla pewności pokaż jeszcze nowy log OTL.

system · 21 Kwiecień 2010 09:08

Oto log z OTL: http://www.wklej.org/id/320032/

extras: http://www.wklej.org/id/320033/

Internet dalej nie działa. Wciąż problem z zaporą.

deFco247 · 21 Kwiecień 2010 12:36

Trzeba będzie poszukać czystych kopii tych sterowników:

Pobierz SystemLook i uruchom.

Wklej w niego:

Klikasz Look i pokazujesz wynikowy log.

system · 21 Kwiecień 2010 19:10

Podmieniłem pliki z innego windowsa. Oto log z systemlook: http://wklej.org/id/320423/

deFco247 · 21 Kwiecień 2010 19:14

Na pewno pliki są w tych samych wersjach co system. Tzn.:

Wstawianie plików z innej wersji się może skończyć źle.

Co do skryptu, to zapomniałem, że SystemLook nie używa w składni wyrażeń regularnych.

Wklej w niego ten tekst:

Klikasz Look i pokazujesz wynikowy raport.

system · 21 Kwiecień 2010 19:19

Internet już działa zapora też. Mam coś jeszcze zrobić? Dziękuję!

deFco247 · 21 Kwiecień 2010 19:59

Zadałem ważne pytanie:

To ma znaczenie.

O sprawie możesz zapomnieć, jak zainstalujesz Service Pack 3 i wszystkie inne niezbędne łaty do systemu z Windows Update.

Zastosuj OTC.

Wykonaj pełny skan Dr.Web CureIt.

Gdy będą wirusy, pokaż raport.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

No i obowiązkowe aktualizacje:

XP Service Pack 3

Usuń stare wersje Javy i zaktualizuj ją za pomocą JavaRa.

Ares 2.1.5 + BitComet 1.20 + K-Lite Codec Pack 5.9.0

system · 21 Kwiecień 2010 20:09

Pliki pochodzą z systemu Windows XP Home Edition! Dodatek Service Pack 2.

deFco247 · 21 Kwiecień 2010 20:13

W zasadzie ważna jest tylko wersja Service Pack’a w systemie. Wersja systemu Home/Pro nie robi różnicy w tym przypadku.