Wirus, a nawet kilka. proszę o pomoc!

teflon · 13 Grudzień 2009 12:37

Avira wykryła mi ostatnio wirusy w 14 lokalizacjach, są to TR./Spy.Gen i TR.Crypt.XPACK.Gen są w takich lokazlizacjach jak C:System Volume Information C:Temp czy D:System Volume Information, obawiam się że mogą to być wirusy. Zrobiłem dziś skanowanie Avirą i gdy znalazło mi je wszystkie nie wiem czy mam zrobić Repair all czy Cancel bo w temacie virusów jestem zielony. Zrobiłem loga z HijackThis. Mógłby ktoś pomóc czy to wirus i jeśli tak to jak się go pozbyć

Log z HijakThis

http://www.wklejto.pl/50100

krzysiekx · 13 Grudzień 2009 12:43

Pokaż log z: OTL

Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan.

teflon · 13 Grudzień 2009 13:13

To są skany z OTL

http://www.wklejto.pl/50105 to jest extras.txt

http://www.wklejto.pl/50108 a to te otl.cośtam(długi)

A co z tymi logami z HiJack This?I komunikatem od Aviry. I tym wirusem bo boje się nawet kompa wyłączyć?

Pomoże ktoś?

Zastanawiało mnie jescze jedno:czy ewentualne oddanie kompa do serwisu (jest jeszcze na gwarancji i format obu partycji usunie ten syf?

krzysiekx · 13 Grudzień 2009 14:44

HijackThis nie odnajduje większości infekcji, wskazany jest log z OTL.

Zanim logi zostaną sprawdzone wykonaj skan Dr.WebCureIT

teflon · 13 Grudzień 2009 15:27

No zrobiłem skanowanie:wykryło chyba nie wszystko bo tylko 6. (tzn:wziąłem ten szybki test który uruchamia się po włączeniu programu.

Te pliki które wykryło to jakieś temp ale nie tak jak powinno być czyli w folderze Temp jeno bezpośrednio na C, a także lsass.exe w c:documents and settings/user/menu start/autostart. Gdy zostało coś wykryte padało pytanie czy leczyć pliki, wybierałem więc że tak.

Napisze co mi wykryła Avira dziś rano:

temp100.tmp

temp5905.tmp

temp5646.tmp

temp8191tmp

temp9285.tmp wszystko znajdowało się bezpośrenio na dysku C. Avira identyfikowała to jako TR.Spy.Gen natomiast Dr.Web jako Trojan.PWS.Tibia.255

lsass.exe to natomiast znajdowało się własnie w wyżej wspomnianym C:documents and settings/user/menu start/autostart i również zostało zidentyfikowane tak samo przez oba programy ja pliki powyżej. Wszystkie pliki powyżej zostały usunięte przez Dr. Web gdy wcisnąłem opcję leczenia na tak

A0010406.exe to jest gdzieś głębiej w C:System Volume Information.

A0010479.exe to tak samo.

CODWAW.exe a to jest w C:Windows\Help to może być od pirata lub cracka cod5 bo ma jego ikonkę. Wiem że źle zrobiłem instalując pirata biję się w piersi :oops: ( btw. to lsass wymienione wyżej też mi się pojawiło w autostarcie z ikonką cod5 ale dzień później zniknęło. (według aviry te 3 mają TR/Crypt.XPACK.Gen

A0010380.rbf te pliki są gdzieś głębiej w D:System Volume Information są one według Aviry zarażone TR.Spy.Gen. Te pliki nie zostały wykryte przez Dr.Web

A0010411.rbf

A0010475.exe

0010491.rbf

A0010640.exe

krzysiekx · 13 Grudzień 2009 15:43

Wykonaj pełny skan i lecz co się da.

teflon · 13 Grudzień 2009 15:48

Ale chodzi ci o Avirę czy o Doktora Weba? I jeszcze jedna sprawa czy jeśli wykonam ów skan(czyli faktycznie usunę to badziewie to czy to się nie odrodzi jeszcze gorsze?

Poza tym raport z Aviry mam od 11 rano i nie bardzo wiem co z nim zrobić bo część już usunięta przez doktora. Zrrobić nowy skan Avirą czy jak?

A ten log z OTL?

krzysiekx · 13 Grudzień 2009 15:52

Logi OTL amatorsko sprawdzam, pozatym trwa to bardzo długo.

Chodziło mi o to abyś wykonał jeszcze raz pełny skan Dr.WebCureIT

deFco247 · 13 Grudzień 2009 16:02

Same logi OTL to za mało.

W białe dolne okno Custom Scans/Fixes w OTL wklej:

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania oraz nowy log robiony opcją Run Scan.

Doklej logi z System Repair Engineer.

Smart Scan -> klikasz Scan.

Po skanie klikasz w okienku Save Reports i wklejasz zawartość powstałego logu.

GMER

W GMER nic nie zmieniamy -> wciskamy Szukaj (skan potrwa kilkadziesiąt minut) -> po skanie Kopiuj.

Przed uruchomieniem powyższych narzędzi odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

teflon · 13 Grudzień 2009 16:30

Wykonałem pełne skanowanie i to co mi znalazło leczylem(czyli usuwalem) (lokazlizacje to C; System Volume Information, D:System Volume Information a także coś od programy Spybot search and Destroy w C; Documents and Settings. Mam nadzieję że sie nie odrodzi. Mimo to Dr. Web nie odnalazł mi pliku który pokazywała Avira C:Windows/Help/CODWAW.exe, który jak poprzednio pisałem również był syfem. Narazie ręcznie go nie usuwać prawda?

wkleić to do OTL mimo że wczesniej na szybkim skanowaniu Dr. Web to(lsass.exe) usunął(rzekomo)?

Czy muszę odinstalowywać ten sterownik SPTD jeżeli nie mam ani nie miałem zainstalowanych ani Deamona ani Alcoholu?

Jaki log z usuwania? te logi z SRE a także gmer wklejać do OTL? Razem czy każdy oddzielnie

Sorry za pytania ale w dziedzinie wirusów jestem zielony.

deFco247 · 13 Grudzień 2009 16:39

Te info o SPTD i programach emulujących napędy to dla tych, co posiadają takowe programy.

Jeśli nie miałeś nigdy czegoś takiego, to nie masz również SPTD.

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP.

krzysiekx · 13 Grudzień 2009 16:39

Wklej logi o które prosił deFco, każdy osobno.

edit: deFco szybszy

teflon · 13 Grudzień 2009 17:15

http://wklejto.pl/50142

wkleiłem do otl to co mówiłeś i po restarcie systemu wyświetlił mi się powyższy log.

I teraz trzeba zrobić log usuwania? tylko jak? Po tym logu usuwania zrobić zwykły log?

3.Zrobiłem log za pomocą SRE. Wkleić ten log do OTL?

4.Log z GMER jest konieczny? Bo wielu ludziom padł system po zaistalowaniu tego programiku.

deFco247 · 13 Grudzień 2009 17:21

Zwykły log tak jak w pierwszym poście.

Oba logi nie mają nic do siebie.

Jak odinstalowałeś SPTD to powinien się bez przeszkód uruchomić.

Ponadto takie przypadki znacznie częściej się zdarzają na Viście i 7 niż XP.

teflon · 13 Grudzień 2009 17:41

http://www.wklejto.pl/50146 - log z OTL

http://www.wklejto.pl/50149-log z SRE

http://www.wklejto.pl/50150-log z GMER (ale był tam zaznaczony tylko dysk C więc to tylko z C, zrobić log z D gdzie również był syf?

deFco247 · 13 Grudzień 2009 17:57

W logach jest już czysto.

W OTL kliknij CleanUp.

Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport po usuwaniu.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

teflon · 13 Grudzień 2009 18:08

A co zrobić z tym plikiem C:\Windows\Help\CODWAW.EXE

bo znowu włączył mi się komunikat od Aviraguard i pokazuje że jest to wirus TR/Crypt.XPACK.Gen (powyższy plik)

Mam do wyboru opcje takie jak Move to quarantine, delete,Rename, Deny access(domyślnie zaznaczone) i ignore. Usunąć to Avirą?? czy zostawić deny access? Wydaje mi się że ten syf trzeba wywalić ale to w końcu jest w katalogu z windowsa.

Jakie opcje trzeba zaznaczyć w CCleaner aby poprawnie wyczyścić rejestr?? Proszę o szybką odpowiedz, bo nie wiem co zrobić z tym komunikatem od AVIRA guard.

Czy trzebajeszcze zrobić log Combofixem???

deFco247 · 13 Grudzień 2009 18:23

Usunąć całkowicie.

To że jest w Windowsie nie ma znaczenia - tam właśnie najczęściej kryją się infekcje.

krzysiekx · 13 Grudzień 2009 19:03

Logu Combo nie trzeba robić

W CCleaner wchodzisz w zakładkę rejestr i po prosu naciskasz Skanuj aby znaleść problemy.

teflon · 13 Grudzień 2009 19:14

http://wklejto.pl/50158 to jest raport Malwarebytes’a czy usunąć zainfekowane zaznaczone pliki?

Dodatkowo podczas skanowania Avira pokazała trzy alarmy o trzech zainfekowanych plikach w C:System Volume Information

oto przykład jednego z nich:

Virus or unwanted program ‘TR/Crypt.XPACK.Gen [trojan]’

detected in file 'C:\System Volume Information_restore{43A367E6-2424-4103-B73B-60908C9D43AF}\RP55\A0012716.EXE.

Action performed: Delete file