HTML/Infected.WebPage.Gen

[MatyZZ]

Witam,

wczoraj Avira wykryła w moim systemie wirusa HTML/Infected.WebPage.Gen

Tutaj załączam skan z OTL'a:

-OTL http://wklej.org/id/875209/

-Extras: http://wklej.org/id/875211/

 

Proszę o pomoc w usunięciu tego szkodnika.

 

Przy okazji pytanie:

W skanach zauważyłem napis "0,30GbAvailablePhysicalMemory" - czy to oznacza, że z 2GB pamięci RAM dostępne jest jedynie tyle? Pytam, bo zauważyłem, że komp ostatnio działa znacznie wolniej.

 

Pozdrawiam.

[picasso]

wczoraj Avira wykryła w moim systemie wirusa HTML/Infected.WebPage.Gen

 

Przeklej ze skanu Avira dokładnie ten wynik, w czym.

 

 

W skanach zauważyłem napis "0,30GbAvailablePhysicalMemory" - czy to oznacza, że z 2GB pamięci RAM dostępne jest jedynie tyle? Pytam, bo zauważyłem, że komp ostatnio działa znacznie wolniej.

 

Tak, tylko tyle. System może być jednak spowolniony, bo tu działa infekcja. Widać trojana, w postaci fałszywego "Adobe Licensing Console" + z Temp się uruchamia dodatkowy proces stdrt.exe. Poza tym, log Extras wygląda podejrzanie, sugeruje conajmniej skasowaną Zaporę systemu, a w Dzienniku zdarzeń są błędy usług. Od razu będę też usuwać klucze po odinstalowanym Firefox.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - [2012-08-30 23:26:00 | 000,818,115 | ---- | M] (                                                                                                    ) [Auto | Stopped] -- C:\Windows\System32\msvfd32.exe -- (Adobe Licensing Console)
 
:Reg
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras), zaległy GMER oraz Farbar Service Scanner.

 

 

 

.

[MatyZZ]

Zrobiłem wszystkie logi po wykonaniu danego skryptu.

-OTL: http://wklej.org/id/875294/

-GMER: http://wklej.org/id/875302/

-Farbar: http://wklej.org/id/875304/

 

Dodatkowo, to OTL pokazał po wykonaniu skryptu:

http://wklej.org/id/875293/

 

Poza tym, log Extras wygląda podejrzanie, sugeruje conajmniej skasowaną Zaporę systemu, a w Dzienniku zdarzeń są błędy usług. Od razu będę też usuwać klucze po odinstalowanym Firefox.

 

Z tą zaporą to działo się coś przy usuwaniu poprzedniego wirusa i być może nie została poprawnie włączona. Ciekawią mnie zaś te klucze od Firefoxa, bo na tym komputerze ta przeglądarka nigdy nie była instalowana.

[picasso]

Skrypt pomyślnie wykonany, infekcja usunięta.

 

 

Ciekawią mnie zaś te klucze od Firefoxa, bo na tym komputerze ta przeglądarka nigdy nie była instalowana.

 

Określone programy, które dysponują funkcjami dla Firefox, przy instalacji dodają klucze wtyczek, nawet jeśli Firefox nie jest obecny. Przypuszczalnie po usunięciu kluczy i tak niektóre powrócą.

 

 

Z tą zaporą to działo się coś przy usuwaniu poprzedniego wirusa i być może nie została poprawnie włączona. Ciekawią mnie zaś te klucze od Firefoxa, bo na tym komputerze ta przeglądarka nigdy nie była instalowana.

 

Znalazłam ten Twój stary temat. Zapora nie została odtworzona w 100%, tylko wtedy posługiwaliśmy się starszym Farbar Service Scanner, który nie listował klucza SharedAccess na systemie Windows 7. Cały ten klucz u Ciebie nie istnieje. W związku z tym:

 

1. Odbuduj brakujące fragmenty Zapory za pomocą ServicesRepair.

 

2. Po restarcie systemu zrób nowy raport z Farbar Service Scanner.

 

 

 

.

[MatyZZ]

Odbudowałem zaporę i przedstawiam loga:

http://wklej.org/id/875820/

 

Wydaje mi się, że z tą zaporą jest nadal problem, bo nie mogę jej uruchomić (w oknie w panelu sterowania pojawia się brak odpowiedzi).

[picasso]

Z Zaporą jest problem, bo nic nie zostało wykonane. Powtórz operację z ServicesRepair + restart systemu. Zrób nowy log z Farbar Services Scanner.

[MatyZZ]

Użyłem jeszcze 2 razy ServicesRepair lecz on chyba nie daje rady .

Nowy log: http://wklej.org/id/876184/

Może trzeba spróbować tej ręcznej odbudowy? Pamiętam, że robiłem to przy poprzednim wirusie, ale też nie wiem czy coś dało

[picasso]

Bez zmian. Zrób ręczną rekonstrukcję usługi SharedAccess (import pliku REG + uprawnień przez SetACL): KLIK. Po rekonstrukcji zresetuj system i zrób nowy log z Farbar Service Scanner.

 

 

.

[MatyZZ]

Wszystko zrobione zgodnie z instrukcją, jest też log: http://wklej.org/id/877541/

[picasso]

Brak zmian, nadal usługa nie istnieje:

 

Other Services:
==============
Checking Start type of SharedAccess: ATTENTION!=====> Unable to retrieve start type of SharedAccess. The value does not exist.
Checking ImagePath of SharedAccess: ATTENTION!=====> Unable to retrieve ImagePath of SharedAccess. The value does not exist.
Checking ServiceDll of SharedAccess: ATTENTION!=====> Unable to retrieve ServiceDll of SharedAccess. The value does not exist.

 

Czy na pewno pobierałeś plik importujący klucz SharedAccess i go uruchamiałeś? Jeszcze raz: pobierasz plik, zmieniasz mu rozszerzenie na REG i plik uruchamiasz, następnie cała operacja z SetACL dla usługi SharedAccess.

 

 

.

[MatyZZ]

Przez pomyłkę od razu przeszedłem do ręcznej rekonstrukcji uprawnień. Tym razem zrobiłem już wszystko zgodnie z instrukcją łącznie z rekonstrukcją kluczy.

Tym razem chyba się udało, bo w logu nie pokazuje wcześniejszych błędów, a po za tym zapora chyba wreszcie działa

Log: http://wklej.org/id/877740/

[picasso]

I teraz mamy z głowy. Możemy przejść do zakończenia tematu:

 

1. W OTL uruchom Sprzątanie.

 

2. Odinstaluj starsze wersje Java™ 6 Update 33, Adobe Reader X (10.1.4) i Adobe Flash.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

.

 

 

[MatyZZ]

Wszystko wykonane. Dziękuję pięknie za fachową pomoc