Witam. Do dzis myslalem, ze to dostawca internetu blokuje mi strony antywirusow, skanerow online, microsoftu itp. Okazalo sie, ze oni nie maja z tym nic wspolnego. Zrobilem skan OLT: http://wklej.org/id/895013/ , http://wklej.org/id/895017/ . Co jest nie tak?
Atis
(Atis)
12 Grudzień 2012 13:33
#2
Odinstaluj:
Spybot - Search & Destroy
Pazera Toolbar
Softonic toolbar on IE
Skaner on-line mks_vir
Akamai NetSession Interface Service
Pobierz AdwCleaner
Zamknij przeglądarkę internetową.
Uruchom AdwCleaner i kliknij Usuń.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - [2004-08-03 23:44:02 | 000,164,000 | RHS- | M] () [Auto | Stopped] – C:\WINDOWS\system32\ziula.dll – (sdhab) SRV - [2004-08-03 23:44:02 | 000,164,000 | RHS- | M] () [Auto | Stopped] – C:\WINDOWS\system32\ziula.dll – (nyjzzbxkv) SRV - [2004-08-03 23:44:02 | 000,164,000 | RHS- | M] () [Auto | Stopped] – C:\WINDOWS\system32\ziula.dll – (mrvbdpsl) SRV - [2004-08-03 23:44:02 | 000,164,000 | RHS- | M] () [Auto | Stopped] – C:\WINDOWS\system32\ziula.dll – (lefuw) SRV - [2004-08-03 23:44:02 | 000,164,000 | RHS- | M] () [Auto | Stopped] – C:\WINDOWS\system32\ziula.dll – (krgmx) SRV - [2004-08-03 23:44:02 | 000,164,000 | RHS- | M] () [Auto | Stopped] – C:\WINDOWS\system32\ziula.dll – (iqvnor) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva389.sys – (XDva389) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva380.sys – (XDva380) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\XDva375.sys – (XDva375) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\06.tmp – (gkmpwkxam) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\EagleNT.sys – (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] – E:\Programy\MediaCoder\SysInfo.sys – (CrystalSysInfo) O4 - HKLM…\Run: [CmPCIaudio] RunDll32 CMICNFG3.cpl,CMICtrlWnd File not found O20 - Winlogon\Notify\SDWinLogon: DllName - (SDWinLogon.dll) - File not found O32 - AutoRun File - [2004-08-03 23:44:02 | 000,095,034 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2004-08-03 23:44:02 | 000,095,034 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2004-08-03 23:44:02 | 000,095,034 | RHS- | M] () - F:\autorun.inf – [NTFS] :Files RECYCLER /alldrives :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] “5279:TCP”=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Wklej do OTL i kliknij Skanuj:
Pokaż ten log.
Po uzyciu opcji “usun” w AdwCleanerze taki dokument sie wyswielil: http://wklej.org/id/895125/ . Po skopiowaniu tego dlugiego skryptu do OLT takie cos: http://wklej.org/id/895128/ . A ten log: http://wklej.org/id/895131/ . Wlasnie zostalem zhackowany w pewnej grze MMO, wiec mam pewnosc, ze na kompie cos jest ;/
edit. ten ostatni log nie dalem skanuj tylko wykonaj skrypt. Tu jest po skanowaniu: http://wklej.org/id/895135/
Atis
(Atis)
12 Grudzień 2012 15:08
#4
Czytaj uważnie odpowiedzi.
Wklej do OTL i kliknij Skanuj :
Pokaż ten log.
Atis
(Atis)
12 Grudzień 2012 15:21
#6
Do okna Własne opcje skanowania / skrypt wklej:
:OTL IE - HKU\S-1-5-21-796845957-1637723038-1801674531-1004…\SearchScopes{c591090f-599d-4169-a768-1ee6160e7dca}: “URL” = http://search.freecause.com/search?ourm … e=63263&p={searchTerms} FF - prefs.js…browser.search.defaultenginename: “v9” FF - prefs.js…browser.search.defaultthis.engineName: “Hotspot Shield Customized Web Search” FF - prefs.js…browser.search.defaulturl: “http://search.aol.com/search/search?query={searchTerms}&invocationType=tb50-ff-aolTB50CL-chromesbox-en-us ” FF - prefs.js…browser.search.order.1: “v9” FF - prefs.js…extensions.enabledAddons: ffxtlbra@softonic.com:1.6.0 FF - prefs.js…extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185 FF - prefs.js…extensions.enabledItems: toolbar@ask.com:3.6.6.100006 FF - prefs.js…keyword.URL: “http://search.babylon.com/?babsrc=SP_&q={searchTerms}&mntrId=e00a82f50000000000000013d48c891c&tlver=1.4.35.10& ” FF - prefs.js…browser.startup.homepage: “http://www.v9.com/?utm_source=b&utm_medium=idg2&from=idg2&uid=ST3500418AS_9VM36CHT____9VM36CHT&ts=1353344952 ” [2010-11-30 20:19:29 | 000,000,000 | —D | M] (AOL Toolbar) – C:\Documents and Settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\37k4urur.default\extensions{7affbfae-c4e2-4915-8c0f-00fa3ec610a1} [2010-11-30 20:19:29 | 000,000,000 | —D | M] (Hotspot Shield Toolbar) – C:\Documents and Settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\37k4urur.default\extensions{c95a4e8e-816d-4655-8c79-d736da1adb6d} [2011-08-26 19:52:22 | 000,000,000 | —D | M] (DealPly) – C:\Documents and Settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\37k4urur.default\extensions{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2010-11-30 20:19:32 | 000,000,000 | —D | M] (“DAEMON Tools Toolbar”) – C:\Documents and Settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\37k4urur.default\extensions\DTToolbar@toolbarnet.com [2012-08-25 18:18:28 | 000,000,000 | —D | M] (softonic.com ) – C:\Documents and Settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\37k4urur.default\extensions\ffxtlbra@softonic.com [2011-08-19 11:13:08 | 000,000,000 | —D | M] (“Ask Toolbar”) – C:\Documents and Settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\37k4urur.default\extensions\toolbar@ask.com [2010-06-21 16:00:07 | 000,002,285 | ---- | M] () – C:\Documents and Settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\37k4urur.default\searchplugins\aol-search.xml [2009-07-01 14:20:48 | 000,000,890 | ---- | M] () – C:\Documents and Settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\37k4urur.default\searchplugins\conduit.xml [2010-07-26 13:50:39 | 000,002,059 | ---- | M] () – C:\Documents and Settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\37k4urur.default\searchplugins\daemon-search.xml [2009-12-17 16:53:09 | 000,000,362 | ---- | M] () – C:\Documents and Settings\Krzysiek\Dane aplikacji\Mozilla\Firefox\Profiles\37k4urur.default\searchplugins\winamp-search.xml O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (MksSkanerOnline Class) NetSvcs: iqvnor - File not found NetSvcs: nyjzzbxkv - File not found NetSvcs: mrvbdpsl - File not found NetSvcs: krgmx - File not found NetSvcs: lefuw - File not found NetSvcs: sdhab - File not found :Files rd /s /q C:\RECYCLER /c rd /s /q D:\RECYCLER /c rd /s /q E:\RECYCLER /c rd /s /q F:\RECYCLER /c C:\autorun.inf D:\autorun.inf F:\autorun.inf E:\krwyrv0d.exe F:\krwyrv0d.exe RECYCLER /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Wklej do OTL i kliknij Skanuj :
Pokaż ten log.
Atis
(Atis)
12 Grudzień 2012 15:53
#8
Przeskanuj Dr.WEB CureIt i napisz czy coś wykrył.
Przeskanowalem szybkim skanem i:
Przetestowane: 12426
Zainfekowane: 765
Wyleczone: 765
Przeniesione: 3
Reszta 0.
Atis
(Atis)
12 Grudzień 2012 16:56
#10
Jaka jest nazwa tego wirusa?
Wklej i kliknij Wykonaj skrypt:
Pokaż nowy log Skanuj:
Byly w obiektach naprawde roznych, nawet w paincie bylo cos. Zdecydowana wiekszosc miala status Win32.Virut.31, ale byly chyba tam jakies inne. Po skrypcie: http://wklej.org/id/895253/ . Po skanie: http://wklej.org/id/895268/ .
Dodam, ze moge juz wchodzic na strony o ktorych wspominalem.
Atis
(Atis)
12 Grudzień 2012 17:23
#12
Virut infekuje pliki wykonywalne (exe, scr, dll) na wszystkich partycjach.
Podłączałeś zainfekowane urządzenia pod USB.
Zabezpiecz się przed infekcją i wybierz linki bezpośrednie: Panda USB Vaccine
Uruchom program i kliknij Vaccinate
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Dysk przeskanuj za pomocą VirutKiller
Wykonaj Pełne skanowanie za pomocą Dr.WEB CureIt:
http://wstaw.org/m/2012/12/03/cureit.png
Później utwórz nowy log z OTL.
Wszystko bylo dobrze dopoki nie zaczalem skanowac pelnym skanem za pomoca dr. web. Po 1,5h skanowania wyskoczyl blad cos w stylu “wystapil blad z (chyba) aplikacja f7bf1_xp.exe i zostanie ona zamknieta”. Zanim wyskoczyl ten blad to znalazlo mi ok 300 nowych wirusow, a to bylo dopiero jakies 20%. Wsrod tych wirusow byly tak jak przedtem Win32.Virut.31 (wiekszosc) + Trojan.Click2.2009, Trojan.Siggen3.40028 i Win32.HLLW.Shadow.based. Skan OTL: http://wklej.org/id/895590/ .
Atis
(Atis)
12 Grudzień 2012 20:40
#14
Musisz skanować do skutku lub formatować dysk.
Tego wirusa mogą usunąć tylko skanery.
Pamiętaj, że masz zainfekowane urządzenia podłączane pod USB - J
Kaspersky Virus Removal Tool 2011
W zakładce Scan scope zaznacz wszystkie dyski:
Jak zmienić obszar automatycznego skanowania w Kaspersky Virus Removal Tool 2011?
Najlepiej utwórz bootowany pendrive z skanerem.
Dr.Web LiveUSB:
http://www.freedrweb.com/liveusb/?lng=en
Patrze na moj komputer i nie mam dysku J. C to systemowy, D, E, F to uzytkowe, a G, H, I to stacje dyskow. Nie ma J. Pod USB mam podpieta myszke i klawiature tylko. Sciagam tego Kaspersky Virus Removal Tool 2011.
Atis
(Atis)
12 Grudzień 2012 20:50
#16
Dysk J to prawdopodobnie był jakiś nośnik podłączony pod USB, pendrive, karta pamięci itp.
Obecnie ten nośnik nie jest podłączony do komputera.
Podlaczalem pendrive swoj, ktos z rodziny napewno tez podlaczal. Oprocz tego telefon podpinalem. Zeby usunac z takiego nosnika to musze go podlaczyc i zeskanowac dr. web’em albo tym kasperkym Kaspersky Virus Removal Tool 2011?
Atis
(Atis)
12 Grudzień 2012 21:08
#18
Przede wszystkim musisz w Panda USB użyć opcji Vaccinate computer.
Gdy podłączysz to wklej do OTL i kliknij Wykonaj skrypt:
Oczywiście możesz dodatkowo przeskanować ten nośnik.
W przypadku takich wirusów najlepiej używać skanerów typu Dr.Web LiveUSB:
http://www.freedrweb.com/liveusb/?lng=en
Za pomocą bootowalnego pendrive można uruchomić komputer i przeskanować dysk.
Taki pendrive musisz przygotować na komputerze który nie jest zainfekowany.
Dalem to vaccinate computer. Podlaczylem pendrive’a i wykonalem ten skrypt: http://wklej.org/id/895655/
Atis
(Atis)
12 Grudzień 2012 21:50
#20
Nie można usunąć folderów kosza Recycler, może dlatego, że wirus cały czas jest aktywny.
Uruchom OTL i kliknij Nic
Wklej i kliknij Skanuj:
Pokaż ten log.