Wirusy, uszkodzone pliki, nic nie działa

Dla specjalistów Bezpieczeństwo
#1

Witam Was.

Piszę do Was z pewnym problemem. Otóż dostałem do zrobienia komputer z następującym problemem: Wyskakuje komunikat od antywirusa że plik który chce uruchomoć ( nie ważne czy to manager urządzeń, czy inny systemowy plik ) jest uszkodzony i że grozi ryzyko i nie zostaje odpalony. Wszystko zaczęło się podobno dzisiaj rano, podczas pracy na programie kosztorysowym. Użytkownik zauważył kilka komunikatów(dymków) z antywirusa które zlekceważył po czym, wszystko przestało działać. W tym wszystkim najdziwniejsze jest to że … tego antywirusa wcześniej nie było o.0. Jestem na 100 procent pewien że powodem są wirusy. Nic się nie uruchamia, przeglądarka internetowa nie wyświetla stron w obawie że są zagrożone ( sprawka antywirusa ) I ogólnie nic sie nie da zrobić. Żadne programy typu OTL ani HJ albo silentrunner nie działa. Postanowiłęm użyć ostrej amunicji i odpaliłem ComboFix. Niestety, zawiesił system podczas skanowania ( i tak za każdym razem, nie ważne czy to tryb zwykły czy awaryjny ). Czyli nawet zwykłego logu nie jestem w stanie wygenerować ani tego się pozbyć.

A teraz klucz programu : ten antywirus to:Antyvira AV. (logo to taka szara tarcza z literą A w środku )

Szczerze … pierwszy raz na oczy widze taki antywirus. I co najlepsze skanuje, ale żeby usunąć szkodniki trzeba zaktualizować czyli kupić full wersję. Inaczej ni nada. Jak chcę zakupić to przekierowywuje mnie na stronę antivirko.com . Co dziwne - to jedyna działająca strona o.0.

Jak się wpisze w google, to dopiero na którejś stronei znalazłem link do tego antywirusa.

Ogólnie nie miałęm z tym komputerem styczności wcześniej za wiele.

Czy istnieje jakaś szansa żeby wygenerować jakikolwiek log i Wam pokazać, albo coś faktycznie niezawodnego?

Pozdrawiam,

#2

Spróbuj w Trybie Awaryjnym zrobić log z OTL.

#3

Ok poszło:

Szczegółowy plik OTL

http://wklejto.pl/89345

Extras

http://www.wklejto.pl/89346

zaznaczyłem specjalnie w OTL żeby wszystko było skanowane, przez co log zrobił się trochę obszerniejszy.

#4

Masz co najmniej trzy infekcje:

  1. CONFICKER

  2. pendrivowa (od kwietnia ubiegłego roku!)

  3. jakiś fake

Usuwamy:

  1. Użyj USBFix , >http://www.bezpieczenstwosystemow.pl/index.php?topic=7405.0

Kliknij w nim na: DELETION.

Daj raport z tego usuwania.

  1. Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

    :OTL

    NetSvcs: hqmosiwp - C:\WINDOWS\system32\lgkva.dll ()

    MOD - [2011-02-13 17:51:01 | 000,118,784 | RHS- | M] () – C:\WINDOWS\system32\mgking0.dll

    SRV - [2007-07-27 20:31:00 | 000,170,505 | RHS- | M] () [Auto | Stopped] – C:\WINDOWS\system32\lgkva.dll – (hqmosiwp)

    SRV - File not found [Auto | Stopped] – -- (PEVSystemStart)

    IE - HKCU…\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll (Spigot, Inc.)

    IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: “ProxyEnable” = 1

    IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: “ProxyOverride” =

    IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: “ProxyServer” = http=127.0.0.1:18810

    FF - prefs.js…extensions.enabledItems: pdfforge@mybrowserbar.com:4.1

    FF - prefs.js…extensions.enabledItems: wtxpcom@mybrowserbar.com:4.1

    [2010-11-22 01:17:14 | 000,000,000 | —D | M] (Widgi Toolbar Platform) – C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM

    [2010-11-22 01:17:14 | 000,000,000 | —D | M] (pdfforge Toolbar) – C:\PROGRAM FILES\PDFFORGE TOOLBAR\FF

    O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll (Spigot, Inc.)

    O3 - HKLM…\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\4.1\pdfforgeToolbarIE.dll (Spigot, Inc.)

    O4 - HKLM…\Run: [] File not found

    O4 - HKLM…\Run: [SearchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)

    O4 - HKCU…\Run: [api32] C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\apiqq.exe ()

    O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\herss.exe ()

    O4 - HKCU…\Run: [dso32] C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\dsoqq.exe ()

    O4 - HKCU…\Run: [giffgidq] C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\clyfgwqkg\yuiimkesika.exe ()

    O4 - HKCU…\Run: [King_ar] C:\WINDOWS\system32\arking.exe ()

    O4 - HKCU…\Run: [king_mg] C:\WINDOWS\system32\mgking.exe ()

    O4 - HKCU…\Run: [nod32] C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\nodqq.exe ()

    O33 - MountPoints2{0614cacc-2bce-11df-bce4-0060b347f29e}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

    O33 - MountPoints2{20d5d64e-d890-11de-bc64-001556fff3c0}\Shell\AutoRun\command - “” = G:\wu1n.exe

    O33 - MountPoints2{20d5d64e-d890-11de-bc64-001556fff3c0}\Shell\open\Command - “” = G:\wu1n.exe

    O33 - MountPoints2{24837414-3a6e-11df-bcfa-0060b347f29e}\Shell\AutoRun\command - “” = G:\ji83j.exe

    O33 - MountPoints2{24837414-3a6e-11df-bcfa-0060b347f29e}\Shell\open\Command - “” = G:\ji83j.exe

    O33 - MountPoints2{45ef90ce-a481-11df-bdbe-0060b347f29e}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

    O33 - MountPoints2{473dd087-ebf8-11de-bc83-00304f26f35b}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

    O33 - MountPoints2{53bdd363-af99-11de-9ea6-00304f26f35b}\Shell\AutoRun\command - “” = G:\ba.exe – [2010-04-09 06:30:10 | 000,117,248 | RHS- | M] ()

    O33 - MountPoints2{53bdd363-af99-11de-9ea6-00304f26f35b}\Shell\open\Command - “” = G:\ba.exe – [2010-04-09 06:30:10 | 000,117,248 | RHS- | M] ()

    O33 - MountPoints2{755c123a-afa6-11de-a9e5-806d6172696f}\Shell\AutoRun\command - “” = D:\w9.exe – [2010-11-28 10:30:05 | 000,182,272 | RHS- | M] ()

    O33 - MountPoints2{755c123a-afa6-11de-a9e5-806d6172696f}\Shell\open\Command - “” = D:\w9.exe – [2010-11-28 10:30:05 | 000,182,272 | RHS- | M] ()

    O33 - MountPoints2{9076f5de-2960-11df-bcdf-0060b347f29e}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

    O33 - MountPoints2{98869754-b00a-11de-a8dd-00304f26f35b}\Shell\AutoRun\command - “” = G:\t2hjo0.exe

    O33 - MountPoints2{98869754-b00a-11de-a8dd-00304f26f35b}\Shell\open\Command - “” = G:\t2hjo0.exe

    O33 - MountPoints2{b714f040-b018-11de-bc21-806d6172696f}\Shell\AutoRun\command - “” = G:\t2hjo0.exe

    O33 - MountPoints2{b714f040-b018-11de-bc21-806d6172696f}\Shell\open\Command - “” = G:\t2hjo0.exe

    O33 - MountPoints2{b714f041-b018-11de-bc21-806d6172696f}\Shell\AutoRun\command - “” = H:\t2hjo0.exe

    O33 - MountPoints2{b714f041-b018-11de-bc21-806d6172696f}\Shell\open\Command - “” = H:\t2hjo0.exe

    O33 - MountPoints2{b8b0ed6e-2b01-11df-bce3-0060b347f29e}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

    O33 - MountPoints2{c28884d4-2e06-11df-bce7-0060b347f29e}\Shell\AutoRun\command - “” = ysyjq1bs.exe

    O33 - MountPoints2{c28884d4-2e06-11df-bce7-0060b347f29e}\Shell\open\Command - “” = ysyjq1bs.exe

    O33 - MountPoints2{d2c36c7e-06eb-11e0-be6c-0060b347f29e}\Shell\AutoRun\command - “” = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

    O33 - MountPoints2{ed27ecc0-d398-11de-bc5e-001556fff3c0}\Shell\AutoRun\command - “” = G:\9g86.exe

    O33 - MountPoints2{ed27ecc0-d398-11de-bc5e-001556fff3c0}\Shell\open\Command - “” = G:\9g86.exe

    O33 - MountPoints2\C\Shell\AutoRun\command - “” = C:\w9.exe – [2010-11-28 10:30:05 | 000,182,272 | RHS- | M] ()

    O33 - MountPoints2\C\Shell\open\Command - “” = C:\w9.exe – [2010-11-28 10:30:05 | 000,182,272 | RHS- | M] ()

    O33 - MountPoints2\D\Shell\AutoRun\command - “” = D:\w9.exe – [2010-11-28 10:30:05 | 000,182,272 | RHS- | M] ()

    O33 - MountPoints2\D\Shell\open\Command - “” = D:\w9.exe – [2010-11-28 10:30:05 | 000,182,272 | RHS- | M] ()

    [2011-02-13 17:10:59 | 000,124,416 | RHS- | M] () – C:\WINDOWS\System32\arking0.dll

    [2011-02-12 18:23:23 | 000,193,024 | RHS- | M] () – C:\WINDOWS\System32\arking.exe

    [2011-02-12 18:23:23 | 000,124,416 | RHS- | M] () – C:\WINDOWS\System32\arking1.dll

    [2010-11-29 23:03:14 | 000,124,416 | RHS- | C] () – C:\WINDOWS\System32\arking1.dll

    [2010-11-28 18:52:30 | 000,124,416 | RHS- | C] () – C:\WINDOWS\System32\arking0.dll

    [2010-11-21 18:41:59 | 000,118,784 | RHS- | C] () – C:\WINDOWS\System32\mgking0.dll

    [2010-11-08 21:55:13 | 000,118,784 | RHS- | C] () – C:\WINDOWS\System32\mgking1.dll

    :Files

    9g86.exe /alldrives

    w9.exe /alldrives

    RECYCLER /alldrives

    ysyjq1bs.exe /alldrives

    t2hjo0.exe /alldrives

    ba.exe /alldrives

    ji83j.exe /alldrives

    wu1n.exe /alldrives

    :Reg

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

    “1854:TCP”=-

    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

    :Commands

    [emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

#5

antivira av to program który pokazuje fałszywe wirusy

#6

Z czyszczenia UsbFixem

http://wklejto.pl/89376

Z czyszczenia OTL:

http://www.wklejto.pl/index.php?id=89377

Skan OTL po wszystkich operacjach: przeprowadzony już w trybie normalnym :slight_smile:

http://www.wklejto.pl/89378

Po tych operacjach komputer wygląda już ok. Uruchamia się bez tego fałszywego antyvira, wygląda na to że wszystko działa normalnie. Prosiłbym o sprawdzenie czy coś zostało jeszcze do doczyszczenia :slight_smile:

#7

W USBFix kliknij na przycisk UNINSTALL

Potem:

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kliknij w Wykonaj Script.

Możesz jeszcze użyć, tak na wszelki wypadek: > MBAM http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html

jessi

#8

Z czyszczenia

http://wklejto.pl/89380

Nowy log

http://www.wklejto.pl/89381

Sciągam właśnie MBAMa i będę skanował. Póki co jest tak jak powinno, czyli wszystko gra i buczy.

Dziękuję ślicznie za pomoc.

Pozdrawiam

#9

ServicePack 2 nie będzie wspierany, co oznacza, że jeśli zostanie odkryta jakaś luka w Systemie, to będą z niej korzystać różne szkodniki.

>>http://www.dobreprogramy.pl/Windows-XP-PL-Service-Pack,Program,Windows,12243.html

Zaktualizuj Javę, bo masz zbyt dziurawą wersję

>>Java 6 Update 23 (JRE)

Inne programy też masz pewnie niezbyt aktualne, dziurawe.

Polecam programik, który będzie dbał o to, by programy aktualizować:

>Secunia PSI 2.0

jessi