Wirus-ufa,rpcminer,phoenix itd

Trololo (Doplund) 2011-08-28 12:09:45 UTC #1

Witam. Log ze skanowania

To chyba ten cały fejsbuchowy wirus, bo przeglądałem inne tematy i ludzie tez wspominali o tych programach ; ufa itd.

Win 7 HP, 64bit. Po każdym restarcie albo włączeniu laptopa windows defender ciągle wykrywa jakiegoś COIN MINERA, oczywiście wykorzystanie CPU = 100 %, następnie niby oczyszcza system, a po ponownym wlączeniu znów to samo.

PROSZę o pomoc

P.S. tutaj w logu widzę,że chyba nie ma skanu z dysku D,ale tam mam tylko jeden plik world of warcraft.

P.s.2 dodam,ze za każdym razem jak pobiorę i uruchomię jakiegoś antywira to od razu mi resetuje laptopa i uruchamia w systemie awaryjnym.

z góry dzięki wielkie za pomoc

spandaupol (Spandau) 2011-08-28 12:28:17 UTC #2

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Trololo (Doplund) 2011-08-28 13:01:25 UTC #3

LOG z usuwania http://wklej.to/dLOcU

LOG ze skanowania po usuwaniu http://wklej.to/PWJ5x

spandaupol (Spandau) 2011-08-28 13:07:52 UTC #4

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Leon1 (Leon$) 2011-08-28 13:13:08 UTC #5

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

:OTL PRC - 2011-08-22 14:11:30 | 000,355,840 | ---- | M -- C:\Windows\update.5.0\svchost.exe PRC - 2011-08-22 14:11:30 | 000,355,840 | ---- | M -- C:\Windows\update.5.0\svchost.exe PRC - 2011-08-22 14:11:30 | 000,355,840 | ---- | M -- C:\Windows\update.5.0\svchost.exe PRC - 2011-08-22 14:11:30 | 000,355,840 | ---- | M -- C:\Windows\update.5.0\svchost.exe PRC - 2011-08-22 14:11:30 | 000,355,840 | ---- | M -- C:\Windows\update.5.0\svchost.exe PRC - 2011-08-22 14:11:30 | 000,355,840 | ---- | M -- C:\Windows\update.5.0\svchost.exe PRC - 2011-08-22 14:11:30 | 000,355,840 | ---- | M -- C:\Windows\update.5.0\svchost.exe PRC - 2011-08-22 14:11:30 | 000,355,840 | ---- | M -- C:\Windows\update.5.0\svchost.exe PRC - 2011-08-22 14:11:30 | 000,355,840 | ---- | M -- C:\Windows\update.5.0\svchost.exe PRC - 2011-08-22 14:11:30 | 000,355,840 | ---- | M -- C:\Windows\update.5.0\svchost.exe PRC - 2011-08-22 14:11:30 | 000,355,840 | ---- | M -- C:\Windows\update.5.0\svchost.exe PRC - 2011-08-22 14:11:30 | 000,355,840 | ---- | M -- C:\Windows\update.5.0\svchost.exe PRC - 2011-08-22 14:11:30 | 000,355,840 | ---- | M -- C:\Windows\update.5.0\svchost.exe PRC - 2011-08-22 14:11:30 | 000,355,840 | ---- | M -- C:\Windows\update.5.0\svchost.exe PRC - 2011-08-22 14:11:30 | 000,355,840 | ---- | M -- C:\Windows\update.5.0\svchost.exe PRC - 2011-08-22 14:11:30 | 000,355,840 | ---- | M -- C:\Windows\update.5.0\svchost.exe PRC - 2011-06-29 12:20:24 | 000,743,936 | ---- | M -- C:\Windows\ufa\ufa.exe O2:64bit: - BHO: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No CLSID value found. [2011-08-28 14:53:12 | 000,000,000 | ---D | C] -- C:\Windows\ufa [2011-08-28 14:53:12 | 000,000,000 | ---D | C] -- C:\Windows\rpcminer [2011-08-28 14:53:12 | 000,000,000 | ---D | C] -- C:\Windows\phoenix 2011-08-28 14:53:11 | 005,589,370 | ---- | M -- C:\Windows\phoenix.rar 2011-08-28 14:53:11 | 001,075,284 | ---- | M -- C:\Windows\rpcminer.rar 2011-08-28 14:53:11 | 000,246,272 | ---- | M -- C:\Windows\unrar.exe 2011-08-28 14:53:11 | 000,182,617 | ---- | M -- C:\Windows\ufa.rar 2011-08-27 21:45:21 | 000,000,267 | ---- | M -- C:\Windows\info1 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [CLEARALLRESTOREPOINTS] [RESETHOSTS] [emptytemp]

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

Pokaż log z usuwania.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

Trololo (Doplund) 2011-08-28 13:45:11 UTC #6

Troche sie pogubilem, bo oboje widze macie inne skrypty bym wkleil, ale od początku dzialam wg. Spandaupol takze w tym przypadku tez

LOG z usuwania http://wklej.to/tUU3d

LOG ze skanowania po usuwaniu http://wklej.to/rSMJO

spandaupol (Spandau) 2011-08-28 13:57:13 UTC #7

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Log z usuwania na forum

Uruchom OTL klikasz Sprzątanie

Wyłącz i włącz przywracanie systemu http://windows.microsoft.com/pl-PL/wind ... -on-or-off

Wykonaj pełny skan Malwarebytes http://www.dobreprogramy.pl/Malwarebyte ... 13117.html Jak program coś znajdzie pokaż raport na forum

Trololo (Doplund) 2011-08-28 15:53:56 UTC #8

LOG z usuwania http://wklej.to/xNkFJ

LOG ze skanowania MalwareBytes http://wklej.to/2rsuE

Jeszcze windows defender sie domagal skanu, tez nic nie wykryl.

Wyglada na to ,ze wszystko jest juz OK. Dobrze prawie ? 8)

Ale summa summarum zadnego antywira chyba nie bede pobieral i instalowal, bo obawiam sie, ze ponownie mi zrestartuje laptopa i uruchomi w stanie awaryjnym,gdzie nastepnie zainfekuje tymi wirusami . Prosze o odp.

spandaupol (Spandau) 2011-08-28 16:14:00 UTC #9

Sprawdź czy masz na dysku te pliki Jeśli tak usuń je ręcznie

Problem jest w tym że Norton nie został odinstalowany Proszę użyć do tego celu narzędzia Norton Removal Tool znajdziesz je w tym linku http://www.searchengines.pl/Deinstalato ... 45565.html Jeśli będą problemy pisz zrobimy to skryptem do OTL Po wykonanym czyszczeniu możesz spróbować zainstalować jakiś program antywirusowy

DRV:64bit: - [2011-03-31 05:00:09 | 000,744,568 | R--- | M] (Symantec Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\NAVx64\1206000.01D\srtsp64.sys -- (SRTSP) DRV:64bit: - [2011-03-31 05:00:09 | 000,040,568 | R--- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\NAVx64\1206000.01D\srtspx64.sys -- (SRTSPX) Symantec Real Time Storage Protection (PEL) DRV:64bit: - [2011-03-22 02:39:49 | 000,382,584 | R--- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\NAVx64\1206000.01D\symnets.sys -- (SymNetS) DRV:64bit: - [2011-03-15 04:31:23 | 000,912,504 | R--- | M] (Symantec Corporation) [File_System | Boot | Running] -- C:\Windows\SysNative\drivers\NAVx64\1206000.01D\SymEFA64.sys -- (SymEFA) DRV:64bit: - [2011-01-27 08:47:10 | 000,450,680 | R--- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\NAVx64\1206000.01D\SymDS64.sys -- (SymDS) DRV:64bit: - [2011-01-27 07:07:06 | 000,171,128 | R--- | M] (Symantec Corporation) [Kernel | System | Stopped] -- C:\Windows\SysNative\drivers\NAVx64\1206000.01D\Ironx64.sys -- (SymIRON)

Trololo (Doplund) 2011-08-28 16:28:09 UTC #10

Nie mam już żadnych podejrzanych plików , upewniłem sie dwa razy z rzędu, raz po restarcie,raz po całkowitym wyłączeniu/włączeniu systemu. CPU w normie , wszystko w jak najlepszym porządku, zadnych komunikatow juz nie mam o rpc miner od windows defendera itd. Wyglada na to ,ze wszystko jest pod kontrolą, wieczorem jeszcze ok.20;40 pobiorę i zainstaluje Nortona, dam znać co i jak.

Dziekuje serdecznie, pozdrawiam

-- Dodane 29.08.2011 (Pn) 0:43 --

Antywiry działają należycie, wszystko w jak najlepszym porządku.

Jeszcze raz WIELKIE DZIĘKI !

anon89827741 2011-08-29 08:09:45 UTC #11

Trololo , na forum używamy polskich znaków (ż, ł, ć, ś, ą itp.). Proszę wyedytować swojego posta i poprawić co trzeba. Niezastosowanie się do prośby będzie skutkowało przeniesieniem tematu do śmietnika.

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem