Zidentyfikowany wirus JS/Agent.Z

[arekk]

Coś mnie podkusiło, aby przeskanować system, nie było oznaczk wskazjących na infekcję...

Ale ostatio dość czynnie szukałem programu to odzyskiwania danych, ale to historia na innyą wątek.

Przeskanowłem system AVG

 

Skanuj cały komputer				
Średni priorytet	13	13	0	
Foldery wybrane do skanowania:	Skanuj cały komputer			
Rozpoczęto/zakończono:	2013-02-24, 12:13:56 / 2013-02-24, 13:05:53			
Przeskanowanych obiektów:	1262805			
Użytkownik:	Darek			
			
Status	Priorytet	Nazwa	Opis	Wynik
Wyleczony	Średnie	Znaleziono Tracking cookie.Atdmt	C:\Users\Darek\AppData\Roaming\Microsoft\Windows\Cookies\Low\74SEDG1M.txt	Przeniesiony do Przechowalni wirusów
Wyleczony	Średnie	Znaleziono Tracking cookie.Tradedoubler	C:\Users\Darek\AppData\Roaming\Microsoft\Windows\Cookies\Low\OQMSNCIB.txt	Przeniesiony do Przechowalni wirusów
Wyleczony	Średnie	Uszkodzony plik wykonywalny	C:\Program Files\GIMP 2\lib\gimp\2.0\python\gimpcolor.pyd.debug	Przeniesiony do Przechowalni wirusów
Wyleczony	Średnie	Uszkodzony plik wykonywalny	C:\Program Files\GIMP 2\lib\gimp\2.0\python\gimp.pyd.debug	Przeniesiony do Przechowalni wirusów
Wyleczony	Średnie	Znaleziono Tracking cookie.Yieldmanager	C:\Users\Darek\AppData\Roaming\Microsoft\Windows\Cookies\Q7SLX0CA.txt	Przeniesiony do Przechowalni wirusów
Wyleczony	Średnie	Znaleziono Tracking cookie.Tradedoubler	C:\Users\Darek\AppData\Roaming\Microsoft\Windows\Cookies\OW32R91J.txt	Przeniesiony do Przechowalni wirusów
Wyleczony	Średnie	Potencjalnie szkodliwy program Tool.QM	C:\Users\Darek\Downloads\mailpv\mailpv.exe	Przeniesiony do Przechowalni wirusów
Wyleczony	Średnie	Znaleziono Tracking cookie.Yieldmanager	C:\Users\Darek\AppData\Roaming\Microsoft\Windows\Cookies\Low\SW4H4IH0.txt	Przeniesiony do Przechowalni wirusów
Wyleczony	Średnie	Znaleziono Tracking cookie.Serving-sys	C:\Users\Darek\AppData\Roaming\Microsoft\Windows\Cookies\ZVMM0QAE.txt	Przeniesiony do Przechowalni wirusów
Wyleczony	Średnie	Uszkodzony plik wykonywalny	C:\Program Files\GIMP 2\lib\gimp\2.0\python\gimpthumb.pyd.debug	Przeniesiony do Przechowalni wirusów
Wyleczony	Średnie	Uszkodzony plik wykonywalny	C:\Users\Darek\Downloads\NiceLabelDesignerProPowerForms6.exe.part	Przeniesiony do Przechowalni wirusów
Wyleczony	Średnie	Uszkodzony plik wykonywalny	C:\Program Files\GIMP 2\lib\gimp\2.0\python\_gimpui.pyd.debug	Przeniesiony do Przechowalni wirusów
Wyleczony	Średnie	Uszkodzony plik wykonywalny	C:\Program Files\GIMP 2\lib\gimp\2.0\python\_gimpenums.pyd.debug	Przeniesiony do Przechowalni wirusów

 

I podczas wykonywanie skanowania OTL rezydent ochrony AVG wykrył

 

Detekcje Ochrony rezydentnej			
Nazwa wykrytego zagrożenia	Wynik	Czas wykrycia	Typ obiektu
Zidentyfikowany wirus JS/Agent.Z, c:\ProgramData\dsgsdgdsgdsgw.js	Zabezpieczone	2013-02-24, 11:57:46	Plik lub katalog
Zidentyfikowany wirus JS/Agent.Z, c:\ProgramData\dsgsdgdsgdsgw.js	Przeniesiony do Przechowalni wirusów	2013-02-24, 11:57:10	Plik lub katalog

 

Jeśli możecie to spoglądnijcie w logi na moje okno coś jest, lezcze nie potrafię sam tego zdiagnozować/wskazać

 

Dziękuje za wszelkę pomoc.

Extras.Txt

GMER.txt

OTL.Txt

[picasso]

I podczas wykonywanie skanowania OTL rezydent ochrony AVG wykrył

 

To martwe resztki po starej infekcji Weelsof. W logach brak oznak infekcji.

 

1. Na Pulpicie skrót adware i go skasuj przez SHIFT+DEL:

 

[2013-02-19 20:25:36 | 000,002,081 | ---- | M] () -- C:\Users\Darek\Desktop\22find.lnk

 

Jest widzialny dziwny katalog i sprawdź co się w nim pokazuje:

 

[2013-02-14 21:20:25 | 000,000,000 | ---D | C] -- C:\Windows\System64

 

Raport OTL nie wykrywa linków symbolicznych, więc prawdopodobnie jest to zwykły katalog, ale na wszelki wypadek potwierdź jaka jest ikona folderu (ma być bez strzałki).

 

2. Są odpadki Bonjour:

 

SRV - File not found [Disabled | Stopped] -- C:\Program Files\Bonjour\mDNSResponder.exe -- (Bonjour Service)

 

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep komendę:

 

sc delete "Bonjour Service"

 

O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Program Files\Bonjour\mdnsNSP.dll File not found

 

Masz uszkodzony łańcuch Winsock. Z artykułu (KLIK) wykonaj reset części NameSpace przez import stosownego pliku REG. Zresetuj system.

 

 

 

.

[arekk]

To martwe resztki po starej infekcji Weelsof. W logach brak oznak infekcji.

 

1. Na Pulpicie skrót adware i go skasuj przez SHIFT+DEL:

 

[2013-02-19 20:25:36 | 000,002,081 | ---- | M] () -- C:\Users\Darek\Desktop\22find.lnk

 

Skasowane

 

Jest widzialny dziwny katalog i sprawdź co się w nim pokazuje:

 

[2013-02-14 21:20:25 | 000,000,000 | ---D | C] -- C:\Windows\System64

 

Raport OTL nie wykrywa linków symbolicznych, więc prawdopodobnie jest to zwykły katalog, ale na wszelki wypadek potwierdź jaka jest ikona folderu (ma być bez strzałki).

 

W katalog są pliki:

msvcp100.dll
msvcr100.dll

Przeskanowane https://www.virustotal.com/pl/ pliki są czyste.

 

2. Są odpadki Bonjour:

 

SRV - File not found [Disabled | Stopped] -- C:\Program Files\Bonjour\mDNSResponder.exe -- (Bonjour Service)

 

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep komendę:

 

sc delete "Bonjour Service"

 

O10 - NameSpace_Catalog5\Catalog_Entries\000000000008 [] - C:\Program Files\Bonjour\mdnsNSP.dll File not found

 

Skasowane

 

Masz uszkodzony łańcuch Winsock. Z artykułu (KLIK) wykonaj reset części NameSpace przez import stosownego pliku REG. Zresetuj system.

 

Wykonane instrukcje z artykułu

 

Dziękuje

[picasso]

W katalog są pliki:

 

msvcp100.dll

msvcr100.dll

 

Przeskanowane pliki są czyste.

 

Tego folderu w ogóle nie ma prawa być na 32-bitowym Windows. Na 64-bitowym też domyślnie nie istnieje, taki link symboliczny tworzą przykładowo: ZeroAccess oraz Total Commander. Mówiłam:

 

Raport OTL nie wykrywa linków symbolicznych, więc prawdopodobnie jest to zwykły katalog, ale na wszelki wypadek potwierdź jaka jest ikona folderu (ma być bez strzałki).

 

Jeśli to jest tylko folder, przez SHIFT+DEL go skasuj.

 

 

.