Wirus: win32:Delf-EVW oraz proces notepad.exe


(Jakub Gabarkiewicz) #1

Avast przy uruchomieniu kompa wykrywa mi wirusa, ale żadna z komend (usuń, kwarantanna, przenieś) nie przynosi rezultatu. Każda wypróbowana po 3 razy. Przy próbach skanowania systemu Avastem proces dochodzi do ok. 1/3 i na ekranie widzę niebieski ekran i komp się resetuje. To samo dzieje się przy próbach przeskanowania Mks-em oraz Ad-aware.

Avast przy wkryciu wirusa pokazuje mi ścieżkę:

Windows\system32\prx.exe[upack]

Ale po wejściu tam plik jest niewidoczny. Nie wiem jak się tego pozbyć.

Dodatkowo przy starcie kompa w manadżeże zadań pokazują mi się dwa procesy o nazwach notepad.exe, które zabierają łącznie 98% pamięci. Po skasowaniu jednego procesu, ten który pozostaje sam zabiera również 98% pamięci. Po skasowaniu obydwu komp działa już z normalną prędkością.

Oto mój log:

http://wklej.org/id/e0815a1b92

Proszę o rady.


(Leon$) #2

Wyłącz przywracanie systemu na wszystkich dyskach

wpisy

# O1 - Hosts: 82.146.60.44 www.postbank.de

# O1 - Hosts: 82.146.60.44 postbank.de

# O1 - Hosts: 82.146.60.44 banking.postbank.de

# O1 - Hosts: 82.146.60.44 direkt.postbank.de

# O1 - Hosts: 82.146.60.44 www.smile.co.uk

# O1 - Hosts: 82.146.60.44 smile.co.uk

# O1 - Hosts: 82.146.60.44 cahoot.com

# O1 - Hosts: 82.146.60.44 www.cahoot.com

# O1 - Hosts: 82.146.60.44 www.cahoot.co.uk

# O1 - Hosts: 82.146.60.44 cahoot.co.uk

# O1 - Hosts: 82.146.60.44 www.co-operativebank.co.uk

# O1 - Hosts: 82.146.60.44 co-operativebank.co.uk

# O1 - Hosts: 82.146.60.44 www.co-operativebank.com

# O1 - Hosts: 82.146.60.44 co-operativebank.com

# O1 - Hosts: 82.146.60.44 personal.barclays.co.uk

# O1 - Hosts: 82.146.60.44 barclays.co.uk

# O1 - Hosts: 82.146.60.44 ibank.barclays.co.uk

# O1 - Hosts: 82.146.60.44 www.barclays.co.uk

# O1 - Hosts: 82.146.60.44 barclays.touchclarity.com

# O1 - Hosts: 82.146.60.44 hsbc.co.uk

# O1 - Hosts: 82.146.60.44 www.hsbc.co.uk

# O1 - Hosts: 82.146.60.44 hsbc.touchclarity.com

# O1 - Hosts: 82.146.60.44 www1.member-hsbc-group.com

# O1 - Hosts: 82.146.60.44 lloydstsb.co.uk

# O1 - Hosts: 82.146.60.44 www.lloydstsb.co.uk

# O1 - Hosts: 82.146.60.44 lloydstsb.com

# O1 - Hosts: 82.146.60.44 www.lloydstsb.com

# O1 - Hosts: 82.146.60.44 mi.lloydstsb.com

# O1 - Hosts: 82.146.60.44 www.woolwich.co.uk

# O1 - Hosts: 82.146.60.44 woolwich.co.uk

# O1 - Hosts: 82.146.60.44 www.deutsche-bank.de

# O1 - Hosts: 82.146.60.44 deutsche-bank.de

# O1 - Hosts: 82.146.60.44 meine.deutsche-bank.de

# O1 - Hosts: 82.146.60.44 www.anbusiness.com

# O1 - Hosts: 82.146.60.44 anbusiness.com

# O1 - Hosts: 82.146.60.44 www.abbeyinternational.com

# O1 - Hosts: 82.146.60.44 www.barclays.com

# O1 - Hosts: 82.146.60.44 barclays.com

# O1 - Hosts: 82.146.60.44 ibank.internationalbanking.barclays.com

# O1 - Hosts: 82.146.60.44 offshore.hsbc.com

# O1 - Hosts: 82.146.60.44 www.lloydstsb-offshore.com

# O1 - Hosts: 82.146.60.44 lloydstsb-offshore.com

# O1 - Hosts: 78.24.218.208 lacaixa.es

# O1 - Hosts: 78.24.218.208 portal.lacaixa.es

# O1 - Hosts: 78.24.218.208 www.lacaixa.es

# O1 - Hosts: 78.24.218.208 lo1.lacaixa.es

# O1 - Hosts: 78.24.218.208 lo2.lacaixa.es

# O1 - Hosts: 78.24.218.208 lo.lacaixa.es

# O1 - Hosts: 82.146.60.44 citibank.de

# O1 - Hosts: 82.146.60.44 www.citibank.de 

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)

O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\system32\mmsvc32.exe

O8 - Extra context menu item: FLV Getter - C:\Program Files\FlvGetter\FlvGetter.html

O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedInContactFinderControl.cab

usuń HijackThisem >> Fix checked

pobierz Combofix http://www.searchengines.pl/index.php?showtopic=86306&st=0&p=395642entry395642 ale nie włączaj

otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Jakub Gabarkiewicz) #3

Postąpiłem zgodnie z zalecaniami i oto log z combofixa:

http://wklej.org/id/84c558df08


(Leon$) #4

otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Po restarcie jeśli wszystko będzie OK usuń ręcznie folder C: \Qoobox

:slight_smile:


(Jakub Gabarkiewicz) #5

Zrobione. Log po tej operacji to:

http://wklej.org/id/ea105bc566

Tylko na C: nie widzę Qoobox’a


(Leon$) #6

Log czysty

:slight_smile: