Wirus w pamięci operacyjnej

Dla specjalistów Bezpieczeństwo
#1

Witajcie!

Mam wielką prośbę do znawców tematyki bezpieczeństwa PC! Sama jestem wobec mojego problemu bezradna…

Poczytałam nieco forum pod kątem mojego problemu i mam nadzieję, że zaczynam zmagania z moim kłopotem właściwie. :slight_smile:

Na początek obrazki z komentarzem:

System (sam z siebie - pewnie za sprawą czuwającego avasta) poinformował mnie, że:

c78995fe35cea627.jpg

Próba jakiejkolwiek reakcji (usuń/Kwarantanna itd) kończy się komunikatem:

f1bebe46d8c231f6.jpg

Jak chcę Usunąć albo Zignorować dowiaduję się że:

18e2332f88f3a53b.jpg

Skanowanie w fazie rozruchu, które podpowiada avast niestety nic nie daje. Po starcie systemu komunikaty pojawiają się tak, jak się pojawiały wcześniej.

Skanowanie systemu avastem pod działającym Windows kończy się tym samym.

Skutek - boję się pracować na tym sprzęcie… :frowning:

Dodam, że skanowałam go online pod MKS-Virem, ale ten nic nie znalazł. Nie znam się, ale może dlatego, że skanował twarde dyski, a nie pamięć operacyjną?.. :?

Wyczytałam w innych wątkach, że niezbędne będzie przeskanowanie komputera dwoma skanerami. Poniżej załączam logi.

ComboFix: http://www.wklejto.pl/63250

HijackThis: http://www.wklejto.pl/63251

EDIT: próbowałam poprawić logi, żeby miały “”. Mam nadzieję, że już można je analizować. Gapa jestem… :oops:

Nie mam pojęcia co dalej robić…

Czy znajdzie się ktoś, kto zechce pomóc?

Z góry dziękuję za zainteresowanie! :slight_smile:

#2

w twoich logach brak ukośników co uniemożliwia analizę

Usuń Combofix i pozostałości po nim tym http://oldtimer.geekstogo.com/OTC.exe

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

przeskanuj

Dr.WEB CureIt! http://www.dobreprogramy.pl/DrWEB-CureI … 12976.html

Pobierz OTListIt2: otl-gmer-rsit-dds-inne-instrukcje-t370405.html przeskanuj daj log OTListIT.txt oraz Extras.txt.

:slight_smile:

#3

Leon$ - dziękuję za szybką reakcję!

Mam nadzieję, że z Twoją pomocą poradzę sobie z problemem. :slight_smile:

Poprawiłam logi. Już mają “”.

Czy czekać na jakąś analizę logów, czy brać się za tego Dr.WEB Curelt?

#4

Combofix co miał usunąć to usunął

więc zrób po kolei to co podałem w poprzednim poście

:slight_smile:

#5

Zrobiłam po kolei.

  • Usunęłam ComboFix’a w podany sposób,

  • Wyłączyłam i włączyłam przywracanie systemu,

  • Przeskanowałam przy pomocy Dr.WEB Curelt (nic nie znalazł)

  • Z tym ostatnim (OTL_cośtam) miałam pewien problem i nie wiem, czy zrobiłam dobrze… :oops:

Pod podanym linkiem znalazłam OTL wraz z instrukcją wg której przeprowadziłam skanowanie.

Wynik to plik OTL.Txt: http://www.wklejto.pl/63258.

Dopiero później skonstatowałam, że Ty pisałeś o OTListIt2… Nie wiem czy to to samo… Pewnie nie, bo to co zrobiłam dało w wyniku tylko jeden plik, a nie dwa o które prosiłeś… :frowning: Extras.txt nie powstał… :frowning: Ale pod podanym przez Ciebie linkiem chyba nie ma takiego programu OTListIt2…

Coś nie tak zrobiłam? Da się to jeszcze poprawić?.. :frowning:

#6

dobrze zrobiłeś to ja podałem starą nazwę

Log wygląda na czysty

Pobierz CCleaner http://www.filehippo.com/download_ccleaner/

przeskanuj nim i wyczyść rejestr.

zrób optymalizacje uruchamiania

http://cybertrash.netarteria.pl/cyber/i … 378.0.html

W OTL kilknij CleanUp

:slight_smile:

#7

Leon$ - strasznie Ci jestem wdzięczna za dotychczasową pomoc! Jesteś Wielki! ![-o<

Przeprowadziłam czyszczenie i naprawę rejestru przy pomocy CCleanera.

Potem próbowałam przejść przez optymalizację uruchamiania… To już nie było takie proste. W zasadzie, to chyba mnie przerasta… :oops: :lol:

Coś tam zoptymalizowałam (na początku było stosunkowo łatwe), ale w zasadzie nie muszę mieć w domu demona prędkości, więc chyba jak dla mnie to wystarczy optymalizowania. :wink:

Zatrzymałam się przy OTL. Poprzednim razem musiałam pozmieniać ustawienia zgodnie z instrukcją, a do białego okienka wkleić ciąg jakichś kodów…

Teraz o niczym takim nie piszesz i nie wiem, czy mam uruchomić CleanUp przy standardowych ustawieniach i pustym białym okienku na dole?… :?

#8

włącz tylko CleanUp

ta opcja usuwa program i pozostałości po nim z dysku

:slight_smile:

#9

Leon$ - będę wdzięczna jeśli zechcesz mi pomagać dalej!.. ![-o<

Zrobiłam wszystko jak kazałeś, niestety nie wszystko jest OK… :frowning:

Co prawda w trakcie skanowania avastem nie pojawia się już informacja o wirusie w pamięci operacyjnej, jednak plik, który był rozpoznawany jako niebezpieczny (ewpbv.sys) wciąż jest w systemie, i wciąż wywołuje alert. Dwukrotna próba usunięcia avastem nie powiodła się… :frowning: :frowning: :frowning:

Oto raport:

2b7fb30dcea51f3dm.jpg

Co robić dalej?!.. Jestem bezradna… :frowning:

Błagam o pomoc!.. ![-o<

#10

start >> uruchom >> cmd

sc stop ewpbv >> Enter

sc delete ewpbv >> Enter

teraz spróbuj usunąć

Avastem lub Unlockerem http://www.dobreprogramy.pl/Unlocker,Pr … 12240.html

:slight_smile:

#11

Leon$, czy ja dobrze to robię?

Zdaje się, że wpisuję te polecenia w złym miejscu dysku, bo ścieżka wskazuje na Documents and Settings, a nie katalog, w którym jest ten niechciany plik… :?

8082ba3d667f843emed.jpg

Czy nie powinnam wcześniej przestawić się w tamto miejsce? 100 lat temu na studiach ktoś mnie próbował uczyć komend pod DOS-em, ale niewiele pamiętam… :frowning:

#12

dobrze zrobione

znaczy się że tej usługi nie ma

spróbuj usunąć Unlockerem

:slight_smile:

#13

Zaczynam tracić nadzieję…

Unlocker nie był w stanie usunąć pliku… :frowning:

Teraz idzie skan avastem, ale mam złe przeczucia…

Czy to, że między wykonaniem tego:

start >> uruchom >> cmd

sc stop ewpbv >> Enter

sc delete ewpbv >> Enter

a próbą usunięcia pliku przy pomocy Unlocker’a musiałam wyłączyć komputer i system się w związku z tym restartował mogło mieć wpływ na to, że usunięcie się nie powiodło?.. :?

Jadę na resztkach nadziei, że jestem w stanie sobie z tym poradzić… :frowning:

#14

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

:slight_smile:

#15

Leon$, jesteś CUDOWNY!!!

Raport z Avenger’a: http://www.wklejto.pl/63469

Wygląda na to (avast ciężko pracuje skanując, ale póki co nic nie wykrył, podczas kiedy poprzednio reagował natychmiast), że dzięki Tobie pozbyłam się drania! !!

Obiecaj mi, że jeśli kiedykolwiek przytrafi się mi taka nieprzyjemna przygoda (tfu, tfu, na psa urok! :wink: ), będziesz tutaj, a ja będę mogła na Ciebie liczyć!

Wielkie, Wielkie DZIĘKI! !!

#16

usunięte

pozdrawiam :slight_smile:

#17

Powtórzę się: jesteś CUDOWNY! : :biggrin:

Wielki podziw, szacunek i podziękowania z mojej strony!

=D>