Wiruski
(Milenka191)
19 Sierpień 2011 22:43
#1
Witam. Mam problem z wirusami, konkretnie kilkoma trojanami. Skanowałem już Malwarebytes oraz Avg (zamieszcze logi) oraz mam log z OTL.
Miałem następujące problemy:
-nabrałem się na popularną ostatnio infekcję facebook’a, mianowicie po włączeniu czegoś nawiązywała się rozmowa z moimi znajomymi, którzy byli on-line, a w czasie tej rozmowy wysyłał im się jakiś link z filmem,
-przy włączaniu komputera uruchamiał się Internet Explorer z jakimś filmikiem zagranicznym z arabskimi napisami,
-samoistnie włączały się reklamy i muzyka po włączeniu komputera i w trakcie korzystania(nazwy w menedżerze zadań to np. Bfeeja, Bdm itp.)
Log z OTL: http://www.wklej.org/id/579556/
Extras.txt: http://www.wklej.org/id/579557/
Malwarebytes: http://www.wklej.org/id/579559/
AVG: http://www.wklej.org/id/579561/
Muszę usunąć resztki symanteca. Możecie to usunąć w skrypcie?
Z góry dziękuje
Symanteca czy Eseta? Jeśli Eseta to wykonaj poniższy skrypt
W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL DRV - [2010-12-21 16:04:06 | 000,137,144 | ---- | M] (ESET) [File_System | Auto | Running] – C:\Windows\System32\drivers\eamonm.sys – (eamonm) DRV - [2010-12-21 16:04:06 | 000,115,008 | ---- | M] (ESET) [Kernel | System | Running] – C:\Windows\System32\drivers\ehdrv.sys – (ehdrv) DRV - [2010-12-21 14:47:38 | 000,095,384 | ---- | M] (ESET) [Kernel | Auto | Running] – C:\Windows\System32\drivers\epfwwfpr.sys – (epfwwfpr) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchgateway.net/search/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://www.searchgateway.net/search/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/ FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.order.1: “Ask.com ” O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM…\Run: [tray_ico] File not found O4 - HKLM…\Run: [tray_ico2] File not found O4 - HKLM…\Run: [tray_ico3] File not found O4 - HKLM…\Run: [tray_ico4] File not found [2011-08-19 15:53:25 | 000,000,000 | -H-D | C] – C:\Windows\update.7.1 [2011-07-25 23:39:50 | 000,000,000 | —D | C] – C:\Windows\ufa [2011-07-25 23:39:50 | 000,000,000 | —D | C] – C:\Windows\phoenix [2011-07-25 23:28:49 | 000,000,000 | -H-D | C] – C:\Windows\update.3 [2011-07-25 23:23:30 | 000,000,000 | -H-D | C] – C:\Windows\update.5.0 [2011-07-25 23:18:16 | 000,000,000 | -H-D | C] – C:\Windows\update.2 [2011-07-25 23:13:37 | 000,000,000 | —D | C] – C:\Windows\av_ico [2011-07-25 23:10:14 | 000,000,000 | -H-D | C] – C:\Windows\update.1 [2011-07-25 23:10:11 | 000,000,000 | -H-D | C] – C:\Windows\update.tray-9-0-lnk [2011-07-25 23:10:11 | 000,000,000 | -H-D | C] – C:\Windows\update.tray-9-0 [2011-07-25 23:10:11 | 000,000,000 | -H-D | C] – C:\Windows\update.tray-2-0-lnk [2011-07-25 23:10:11 | 000,000,000 | -H-D | C] – C:\Windows\update.tray-2-0 [2011-08-19 21:55:02 | 000,202,984 | -H-- | M] () – C:\Windows\System32\drivers\etc\hosts [2011-07-25 23:39:49 | 005,589,370 | ---- | M] () – C:\Windows\phoenix.rar [2011-07-25 23:39:49 | 000,246,272 | ---- | M] () – C:\Windows\unrar.exe [2011-07-25 23:39:49 | 000,182,617 | ---- | M] () – C:\Windows\ufa.rar [2011-07-25 23:39:48 | 001,075,284 | ---- | M] () – C:\Windows\rpcminer.rar [2011-07-25 23:15:30 | 000,904,792 | ---- | M] () – C:\Windows\geoiplist.rar [2011-07-25 23:12:35 | 000,000,000 | ---- | M] () – C:\Windows\loader2.exe_ok [2011-08-09 20:24:46 | 000,107,520 | RHS- | C] () – C:\Windows\System32\ar-SAP.dll [2011-08-09 20:24:46 | 000,000,312 | -HS- | C] () – C:\Windows\tasks\Ymlbzr.job :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] “AlternateShell”=“cmd.exe” :Commands [emptytemp] [resethosts]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.