Siema!
Mój problem polega na tym, że ktoś z mojej rodziny zafundował naszemu komputerowi wirusa z facebooka
Zacznę od tego, że Internet chodzi wolno. Wirus zaatakował Eseta. Pokazał się napis : enhanced protection mode na czerwonym tle, Eset nie działa. Udało mi się usunąć część syfu dzięki SuperAntiSpyware ( miałam akurat plik na kompie , bo przez moment nie było internetu). Nie wiem co robić, czy da się usunąć to wszystko. *Właśnie zauważyłam, że Eseta na kompie już nie ma ?
Wstawiam logi :
Malwarebytes’ Anti-Malware : http://wklejto.pl/107764
OTL :http://www.wklejto.pl/107765
Z góry dziękuję za pomoc i pozdrawiam
jessica
26 Październik 2011 22:35
#2
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL SRV - File not found [Auto | Stopped] – -- (wxpdrivers) SRV - File not found [Auto | Stopped] – -- (srvsysdriver32) SRV - File not found [Auto | Stopped] – -- (srvbtcclient) SRV - File not found [Auto | Stopped] – -- (ddservice) IE - HKCU…\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found FF - HKLM\Software\MozillaPlugins@Apple.com/iTunes,version=: File not found O4 - HKLM…\Run: [5456979.exe] C:\WINDOWS\TEMP\5456979.exe () O4 - HKLM…\Run: [systemup] C:\WINDOWS\systemup.exe () O4 - HKLM…\Run: [tray_ico] File not found O4 - HKLM…\Run: [tray_ico1] File not found O4 - HKLM…\Run: [tray_ico2] File not found O4 - HKLM…\Run: [tray_ico3] File not found O4 - HKLM…\Run: [tray_ico4] File not found O31 - SafeBoot: AlternateShell - services32.exe SafeBootMin: wxpdrivers - File not found SafeBootNet: wxpdrivers - File not found [2011-10-26 20:38:35 | 000,000,000 | —D | C] – C:\WINDOWS\ufa [2011-10-26 20:38:35 | 000,000,000 | —D | C] – C:\WINDOWS\rpcminer [2011-10-26 20:38:35 | 000,000,000 | —D | C] – C:\WINDOWS\phoenix [2011-10-26 20:35:03 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.7.1 [2011-10-26 20:34:45 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.5.0 [2011-10-26 20:34:06 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.3 [2011-10-26 20:26:35 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.8.1 [2011-10-26 20:17:48 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.2 [2011-10-26 19:56:08 | 000,000,000 | —D | C] – C:\WINDOWS\av_ico [2011-10-26 19:53:30 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.1 [2011-10-26 19:52:53 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.tray-3-0-lnk [2011-10-26 19:52:53 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.tray-3-0 [2011-10-26 20:38:34 | 005,589,370 | ---- | C] () – C:\WINDOWS\phoenix.rar [2011-10-26 20:38:34 | 000,182,617 | ---- | C] () – C:\WINDOWS\ufa.rar [2011-10-26 20:38:33 | 001,075,284 | ---- | C] () – C:\WINDOWS\rpcminer.rar [2011-10-26 20:17:48 | 000,000,246 | ---- | C] () – C:\WINDOWS\info1 [2011-10-26 19:58:12 | 004,636,907 | ---- | C] () – C:\WINDOWS\geoiplist [2011-10-26 19:58:11 | 000,904,792 | ---- | C] () – C:\WINDOWS\geoiplist.rar [2011-10-26 19:58:11 | 000,246,272 | ---- | C] () – C:\WINDOWS\unrar.exe [2011-10-26 19:56:54 | 000,000,000 | ---- | C] () – C:\WINDOWS\loader2.exe_ok :Commands [emptyflash] [emptytemp]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania.
Wkleiłam ten skrypt, chwile działało i OTL się zawiesił.
Robię właśnie jeszcze raz skan Malware’s . Wkleje nowego loga.
Log :http://wklejto.pl/107767
jessica
27 Październik 2011 00:33
#4
MBAM tego nie usunie, skoro w poprzednim jego raporcie było widać, że tego wcale nie wykrywa.
Daj nowy log z OTL - zobaczymy, czy coś się usunęło.
jessi
Nowy log z OTL : http://wklejto.pl/107780
Mam jeszcze pytanie. Aktualnie podczas usuwania wirusów z komputera, mam program PC Tools Spyware Doctor. Wcześniej był Eset, który sam jakimś cudem usunął się z pc, z pasku zadań i którego niema już na kompie ( ja go nie usunęłam) a podczas włączenia komputera, wszystko ładnie chodzi nie wiesza się ale pokazuję się komunikat :
http://imageshack.us/photo/my-images/802/beztytuutbc.png/
Niema Eseta a jednak jest i przeszkadza? Może trzeba wyczyścić rejestr CCleaner’em ?
Pozdro i dzięki za pomoc
dariuszbbr
27 Październik 2011 07:09
#6
Dzięki, pozostałości Eseta usunięte
jessica
27 Październik 2011 07:14
#8
Jednak się nie usunęło.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL [2011-10-26 20:38:35 | 000,000,000 | —D | C] – C:\WINDOWS\ufa [2011-10-26 20:38:35 | 000,000,000 | —D | C] – C:\WINDOWS\rpcminer [2011-10-26 20:38:35 | 000,000,000 | —D | C] – C:\WINDOWS\phoenix [2011-10-26 20:35:03 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.7.1 [2011-10-26 20:34:45 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.5.0 [2011-10-26 20:34:06 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.3 [2011-10-26 20:26:35 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.8.1 [2011-10-26 20:17:48 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.2 [2011-10-26 19:56:08 | 000,000,000 | —D | C] – C:\WINDOWS\av_ico [2011-10-26 19:53:30 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.1 [2011-10-26 19:52:53 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.tray-3-0-lnk [2011-10-26 19:52:53 | 000,000,000 | -H-D | C] – C:\WINDOWS\update.tray-3-0 [2011-10-26 20:38:34 | 005,589,370 | ---- | M] () – C:\WINDOWS\phoenix.rar [2011-10-26 20:38:34 | 000,246,272 | ---- | M] () – C:\WINDOWS\unrar.exe [2011-10-26 20:38:34 | 000,182,617 | ---- | M] () – C:\WINDOWS\ufa.rar [2011-10-26 20:38:33 | 001,075,284 | ---- | M] () – C:\WINDOWS\rpcminer.rar [2011-10-26 20:36:05 | 000,000,246 | ---- | M] () – C:\WINDOWS\info1 [2011-10-26 20:18:11 | 000,000,734 | ---- | M] () – C:\WINDOWS\System32\drivers\etc\hîsts [2011-10-26 19:58:11 | 000,904,792 | ---- | M] () – C:\WINDOWS\geoiplist.rar [2011-10-26 19:57:05 | 000,000,000 | ---- | M] () – C:\WINDOWS\loader2.exe_ok :Commands [emptyflash] [emptytemp] [resethosts] [Reboot]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
jessica
27 Październik 2011 07:34
#10
Infekcja usunięta.
W logu widać, że NOD w dalszym ciągu działa, (a chyba chcesz się go pozbyć?), więc możesz usunąć:
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL DRV - [2009-09-11 08:26:24 | 000,055,768 | ---- | M] (ESET) [Kernel | System | Running] – C:\WINDOWS\system32\drivers\epfwtdi.sys – (epfwtdi) DRV - [2009-09-11 08:26:20 | 000,135,048 | ---- | M] (ESET) [Kernel | Auto | Running] – C:\WINDOWS\system32\drivers\epfw.sys – (epfw) DRV - [2009-09-11 08:23:50 | 000,108,792 | ---- | M] (ESET) [Kernel | System | Running] – C:\WINDOWS\system32\drivers\ehdrv.sys – (ehdrv) DRV - [2009-09-11 08:17:16 | 000,116,008 | ---- | M] (ESET) [File_System | Auto | Running] – C:\WINDOWS\system32\drivers\eamon.sys – (eamon) :Commands [Reboot]
Kliknij w Wykonaj Script .
jessi
oleskacroft
27 Październik 2011 07:41
#11
OTL podczas wykonywania skryptu się zawiesił
PS Dziękuję za zwalczenie infekcji !
jessica
27 Październik 2011 07:45
#12
Tak się spodziewałam, bo OTL jest za słaby na usuwanie Antivirusów.
Użyj specjalne narzędzie do usuwania NOD’a:
ESET Uninstaller - http://kb.eset.com/esetkb/index?page=content&id=SOLN2289&cat=EAV&actp=LIST
jessi
oleskacroft
27 Październik 2011 07:52
#13
Robiłam wszystko wg instrukcji ale chyba się nie usunęło.
http://wklejto.pl/107787
jessica
27 Październik 2011 08:06
#14
Narzędzie działa prawidłowo tylko w Trybie Awaryjnym (F8 przed startem Systemu).
jessi
oleskacroft
27 Październik 2011 08:16
#15
Wiem pytanie idiotyczne, zrobiłam tak jak napisało pokazały mi się moje napędy i dyski , wciskając Enter, komputer dalej się normalnie odpalił. Co zrobić?
jessica
27 Październik 2011 08:30
#16
Zostaw w spokoju.
Może kiedyś w przyszłości sformatujesz dysk, to razem z formatem usunie się ten NOD.
A do tego czasu musisz się męczyć z dwoma Antivirusami.
To nauczka na przyszłość, by nigdy nie zmieniać Antivirusów, bo są bardzo trudne do usunięcia. Jak się ktoś decyduje zainstalować jakiś, to powinien go mieć do końca życia.
U Ciebie nie było potrzeby instalowania PC TOOLS, bo NOD był tylko chwilowo zablokowany przez infekcję.
jessi
oleskacroft
27 Październik 2011 15:06
#17
Rozumiem, ale pliki od Noda się same usunęły, więc poszukałam na szybko czegoś co w razie walki z wirusami chociaż trochę ochroni komputer.
A nie dało by rady odinstalować PC Tools’a, wyczyścić rejestr, zainstalować z powrotem Noda?
jessica
27 Październik 2011 15:22
#18
Oczywiście można to zrobić.
Do odinstalowywania PCTools służy > PC Tools ThreatFire Removal Tool - http://www.threatfire.com/files/RemoveThreatFire(3.0 .zip
Tylko obawiam się, że do tego też potrzeba Trybu Awaryjnego, a z tym sobie nie radzisz (trzeba w odpowiednim momencie kilkakrotnie nacisnąć F8).
.
oleskacroft
27 Październik 2011 20:16
#19
Dziękuję za wszystko!
I Pozdrawiam!
– Dodane 28.10.2011 (Pt) 20:04 –
Po usunięciu, pod moją nieobecność brat odinstalował tamte dwa antywirusy i wgrał starego Eseta
wszystko działa dobrze ale nie wiem czy coś się nie gryzie z resztą. Udało mi się co nie co usunąć, może da się jeszcze coś OTL’em zrobić.
log : http://wklejto.pl/107850
wargavoc
29 Październik 2011 10:11
#20
Witajcie, mam dokładnie ten sam problem.
Mój log z OTL: /UWAGA 2 LOG NIEZALEŻNY Z AUTOREM TEMATU/
http://wklejto.pl/107945
