AdamKow Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Wirus powoduje niepoprawną pracę niektórych programów, porostu nie chcą się odpalić. Podaje log z OTL i GMER oraz pełny scan z avasta. OTL.Txt GMER: http://www.wklej.org/id/926727/txt/ Odnośnik do komentarza
picasso Opublikowano 16 Stycznia 2013 Zgłoś Udostępnij Opublikowano 16 Stycznia 2013 Dane z Avast przedstawione w niewdzięczny sposób, prawie nic nie widać, zapisz normalny raport tekstowy. Log z GMER zrobiłeś w złych warunkach (czynny Alcohol / DAEMON Tools i ich sterownik SPTD), nie wykonane ogłoszenie: KLIK. Log z OTL niepełny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). W logach są składniki wskazujące na tę infekcję w wykonywalnych: KLIK / KLIK. [2013-01-15 11:29:37 | 000,110,592 | ---- | C] (Microsoft Corporation) -- C:\Documents and Settings\user\Dane aplikacji\Wplugin.dll[2012-12-06 14:27:59 | 000,000,012 | ---- | C] () -- C:\WINDOWS\explorer.exe.local ---- User IAT/EAT - GMER 2.0 ---- IAT C:\Program Files\Messenger\msmsgs.exe[300] @ C:\Program Files\Messenger\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [10001CA9] C:\WINDOWS\Wplugin.dll (Special connection agent/Microsoft Corporation)IAT C:\WINDOWS\Explorer.EXE[1876] @ C:\WINDOWS\WS2HELP.dll [KERNEL32.dll!GetProcAddress] [10001CA9] C:\WINDOWS\Wplugin.dll (Special connection agent/Microsoft Corporation) Będę to usuwać (załączając też niektóre pliki ze skanu Avast, dodane przez wirusa) i zobaczymy co się stanie. Choć to jest jednak infekcja w wykonywalnych i bez leczenia zainfekowanych plików nie da rady: Wirus powoduje niepoprawną pracę niektórych programów, porostu nie chcą się odpalić. Wszystko co zarażone tym wirusem, jeśli nie może być wyleczone, musi być wyrzucone i zastąpione świeżą kopią. Być może format dysku na widoku, a to zależy od tego czy infekcję w wykonywalnych da się powstrzymać. Przeprowadź następujące działania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\explorer.exe.local C:\Windows\Wplugin.dll C:\Windows\ws2help.dll C:\Program files\Messenger\ws2help.dll C:\Documents and Settings\user\Dane aplikacji\Wplugin.dll C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\rh0uvdou.default\prefs.js C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\rh0uvdou.default\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01} C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\rh0uvdou.default\extensions\ffxtlbr@babylon.com C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\rh0uvdou.default\searchplugins\startsear.xml C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\rh0uvdou.default\searchplugins\web-search.xml C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll C:\Program Files\mozilla firefox\searchplugins\babylon.xml :OTL O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\20Dollars2Surf.lnk = File not found O8 - Extra context menu item: SmarThru4 Capture Selection - C:\Program Files\SmarThru 4\WebCapture.dll2.htm File not found O8 - Extra context menu item: SmarThru4 Przechwyć zaznaczenie - C:\Program Files\SmarThru 4\WebCapture.dll2.htm File not found O8 - Extra context menu item: SmarThru4 Save as HTML - C:\Program Files\SmarThru 4\WebCapture.dll1.htm File not found O8 - Extra context menu item: SmarThru4 Save Selected Text - C:\Program Files\SmarThru 4\WebCapture.dll.htm File not found O8 - Extra context menu item: SmarThru4 Web Capture - C:\Program Files\SmarThru 4\WebCapture.dll File not found O8 - Extra context menu item: SmarThru4 Zapisz jako HTML - C:\Program Files\SmarThru 4\WebCapture.dll1.htm File not found O8 - Extra context menu item: SmarThru4 Zapisz zaznaczony tekst - C:\Program Files\SmarThru 4\WebCapture.dll.htm File not found O16 - DPF: {C1D592D2-D4F6-4E9C-968D-797449DC0ADC} "http://www.dvrstation.com/webServer.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- G:\prograpy schematy\MoD 5.8.1\Emulyator_Diskovoda\Mitchell OnDemand 5.8 (1q10)\fdd\vfd.sys -- (VirtualFD) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet) :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Uwaga: w skrypcie resetuję preferencje Firefox poprzez kasację pliku prefs.js. Po wykonaniu skryptu Firefox będzie w stanie domyślnym. 2. Przez Panel sterowania odinstaluj adware StartSearch Toolbar (może być też pod nazwą LiveVDO lub vShare). 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Sięgnij po alternatywną opinię, zrób skan w Kaspersky Virus Removal Tool. Jeśli będą jakieś wyniki typu "Detected", zapisz raport. Inne typy wyników mnie nie interesują. 5. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras) oraz GMER (po wyrzuceniu emulatorów). Dołącz logi: OTL z usuwania z punktu 1, utworzony przez AdwCleaner w punkcie 3 oraz (o ile będzie) z Kasperskiego. . Odnośnik do komentarza
AdamKow Opublikowano 16 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 16 Stycznia 2013 Logi: GMER http://www.wklej.org/id/927564/txt/ OTL z usuwania http://www.wklej.org/id/927529/txt/ OTL.Txt Extras.Txt AdwCleanerS1.txt kaspersky.txt Odnośnik do komentarza
picasso Opublikowano 16 Stycznia 2013 Zgłoś Udostępnij Opublikowano 16 Stycznia 2013 Nie wygląda to dobrze. Wirus jest czynny. Usuwanie OTL niepomyślnie, pliki odtworzyły się, Kaspersky nadal je notuje. Proponuję zbootować system z płyty Kaspersky Rescue Disk. Te pliki wirusa muszą zostać usunięte permanentnie (a nie leczone): C:\Documents and Settings\user\Dane aplikacji\Wplugin.dll C:\Program files\Messenger\ws2help.dll C:\WINDOWS\Wplugin.dll C:\WINDOWS\ws2help.dll C:\WINDOWS\explorer.exe.local Reszta zainfekowanych plików prawidłowych programów zaś leczona (a jeśli to niemożliwe, to wyrzucona, by nie zarazić systemu). Jeśli nawet leczenie z poziomu płyty startowej nie pomoże, to czarno to widzę. . Odnośnik do komentarza
AdamKow Opublikowano 17 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 Wydaje się że czyszczenie przez Kaspersky rescue Disk pomogło. Kaspersky nic juz nie wykrywa. Wrzucam log z OTL żeby byc pewnym. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2013 Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 (edytowane) Hmm, a ja w logu OTL nadal widzę pliki infekcji na dysku: [2013-01-16 09:24:55 | 000,019,968 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\ws2help.dll[2013-01-16 09:24:55 | 000,000,012 | ---- | M] () -- C:\WINDOWS\explorer.exe.local Może to sieroty, obiekty nieczynne. Poprawki i zobaczymy: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\ws2help.dll C:\WINDOWS\explorer.exe.local rd /s /q "C:\Kaspersky Rescue Disk 10.0" /C :OTL O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Zrób nowy log OTL z opcji Skanuj (bez Extras) oraz GMER. . Edytowane 18 Lutego 2013 przez picasso 18.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi