Pliki zarażone / Win32:Virut-ANS

[fix7]

Witam

 

Dostałam paczkę potrzebnych plików, przy rozpakowaniu wyskoczył mi komunikat o zarażonych plikach przez [opis] Win32:Virut-ANS . 

Czy da się usunąć wirusa, bez usuwania zarażonych plików??

 

 

[picasso]

Jakie jest pochodzenie paczki? Jaki skaner wykrył infekcję Virut? Virut to straszna infekcja atakująca wszystkie pliki wykonywalne na wszystkich dyskach. Nie można ryzykować. Jeśli skaner nie myli się i wykrywa Viruta, czym prędzej pozbądź się tej paczki.

 

 

 

.

[fix7]

Witaj, używam avasta darmową wersję. Poszukam na internecie jakiś program który potwierdzi, że jest to Virut. Paczka to sterowniki , podeślę info Ci na PW odnośnie źródła.

 

 

Dziękuje za zainteresowanie tematem.  Pozdrawiam

[diox]

Możesz zrobić skan przenośnym Kasperskim. Jeśli możesz, to i mi podeślij info o tym źródle na PW .

[fix7]

Ok. Zaraz zabiorę się za skan. 

[diox]

Możesz jeszcze zrobić skan Dr.WEB CureIt .

[fix7]

Dr.WEB CureIt nie nic znalazł.

 

Dziś użyłam szybkie skanowanie Avastem. Wyskoczył błąd o niemożliwości przeskanowania części plików. Po instalacji Kasp [setup_11.0.1.1245.x01_2013_08_23_16_32] wyskoczył Blue-Screen - być może moja wina, bo przerwałam instalacje  kss12.0.1.340_pl , 

Dodam w załączniku , to co mam na tą chwilę i czekam na wskazówki. 

 

Mogę załączyć plik .dmp [ tylko teraz wyskakuje mi komunikat o niemożliwości z powodu ograniczonych uprawnień ].

 

Dodaję log z Virus Remover version 1.2.0.847

http://www.speedyshare.com/DAEgQ/VirusRemover.log

info.txt

info2.txt

[picasso]

Ten log z Kasperskiego sugeruje, że skanujesz cały system i to na skanie ekspresowym a nie pełnym, a tu ma być przeskanowana ta konkretna paczka.

Plik FTDIUNIN.exe z komunikatu na pierwszym obrazku rzuć na VirusTotal i podaj link z wynikami skanu.

 

 

Mogę załączyć plik .dmp [ tylko teraz wyskakuje mi komunikat o niemożliwości z powodu ograniczonych uprawnień ].

Nie zezwalam na ładowanie w załącznikach innych formatów niż TXT i niektórych graficznych. Pliki DMP (spakowane do ZIP) dostarcza się tu via zewnętrzne serwisy hostingowe.

 

 

 

.

[fix7]

Plik przeskanowany 

 

https://www.virustotal.com/pl/file/ad6fbb667f4d8afe2efcd4e75b33429e527b8c6bd17ec19c80f0c0cb0e5447da/analysis/1377455439/

dmp 1.txt

dmp 2.txt

[picasso]

Ale przeskanowałaś zły plik, czyli tekstowy FTDIBUS.INF. Na komunikacie był wykonywalny FTDIBUS.exe.

 

W Opcjach Folderów odznacz opcję Ukrywaj rozszerzenia znanych typów plików, by widzieć rozszerzenia.

 

 

.

[diox]

Zrobiłem to za autora: KLIK .

 

@fix7

Na jakim systemie chcesz używać tych sterowników? Wykrycie było w folderze Win98, więc można wyjąć sterowniki.

[fix7]

Witam 

 

@diox , @picasso 

Przepraszam,że teraz odpisuję. Sterowniki chcę używać na win7. Oczywiście, że mogę usunąć do win98 , ale chciałabym mieć pewność , że nie mam czegoś w systemie. 

 

Dzięki

[picasso]

Dla pewności przeskanuj na VirusTotal wszystkie inne pliki wykonywalne (EXE / SYS / DLL) z paczki. Jeśli na innych plikach VirusTotal nic nie wykryje, to nasuwa się przypuszczenie, że problem stanowią tylko te komponenty 9x, które można usunąć jako i tak zbędne.

[fix7]

czyli plik  FTDIBUS.exe jest zarażony w 100% i to nie jakieś "alarmy" ? Przeskanuję cała paczkę, ale widzę, że ktoś chyba podobne albo takie same pliki skanował niedawno [ maj, lipiec,sierpień - być może to kolega z forum diox ]

 

 

Paczka czysta , oprócz pliku w/w. Czym przeskanować system , oczyścić z niepotrzebnych plików, rejestr itp, itd. 

 

 

Pozdrawiam 

[diox]

Ja skanowałem tą paczkę tylko raz, jeśli chodzi o skan systemu, to możesz zrobić logi .

[fix7]

Proszę

 

 Results of screen317's Security Check version 0.99.73  

 Windows 7 Service Pack 1 x64 (UAC is enabled)  

 Internet Explorer 10  

``````````````Antivirus/Firewall Check:``````````````

avast! Antivirus   

 Antivirus up to date!   

`````````Anti-malware/Other Utilities Check:`````````

 Java 7 Update 25  

 Adobe Flash Player 11.8.800.94  

 Adobe Reader XI  

 Mozilla Firefox 22.0 Firefox out of Date!

 Google Chrome 28.0.1500.95  

 Google Chrome 29.0.1547.57  

````````Process Check: objlist.exe by Laurent````````

 AVAST Software Avast AvastSvc.exe  

 AVAST Software Avast AvastUI.exe  

`````````````````System Health check`````````````````

 Total Fragmentation on Drive C:  

````````````````````End of Log``````````````````````

Addition.txt

FRST.txt

OTL.Txt

Extras.Txt

[picasso]

Nie widzę tu oznak infekcji. Tylko kosmetyczne działania:

 

1. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome.

 

2. Otwórz Notatnik i wklej w nim:

 

CHR HKLM-x32\...\Chrome\Extension: [oejkcgajlodefenbbjdnaiahmbnnoole] - C:\Program Files (x86)\adawaretb\chrome-newtab-search.crx
CHR HKLM-x32\...\Chrome\Extension: [phegaokedjdajgnfphbnpkcfdgjbidko] - C:\ProgramData\adawaretb\toolbar\chrome\toolbar.crx
DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
S1 8392457drv; C:\Windows\System32\DRIVERS\8392457drv.sys [556632 2013-08-23] ()
S3 ENTECH; \??\C:\Windows\system32\DRIVERS\ENTECH.SYS [x]
S3 hwusbfake; system32\DRIVERS\ewusbfake.sys [x]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [x]
C:\Windows\System32\DRIVERS\8392457drv.sys
Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. W Menedżerze urządzeń jest martwe urządzenie po komercyjnej wersji Avast. Sprawdź czy da się to odinstalować bez błędu rodzaju "to urządzenie jest wymagane do rozruchu"...

 

==================== Faulty Device Manager Devices =============
 

Name: avast! Firewall NDIS Filter Miniport

Description: avast! Firewall NDIS Filter Miniport

Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}

Manufacturer: ALWIL Software

Service: aswNdis

Problem: : This device is disabled. (Code 22)

Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

[fix7]

Wszystko zrobione, skan FRST bez Addition w załączniku.

FRST.txt

[picasso]

Plik fixlog.txt nie został podany. Nowy skan FRST wygląda OK. Ale potwierdź mi, czy to martwe urządzenie Avast na pewno się usunęło bez problemu z Menedżera urządzeń?

 

 

.

[fix7]

o przepraszam już załączam plik Tak. Odinstalowałam go, system nie krzyczał,tak jak widać na screenie nie ma go.

 

 

jeszcze mam pytanie odnośnie nagrywanie płyt wyskoczył mi komunikat "dvd rw media requires setting mode page to use dao writing"

o co z tu chodzi?

Fixlog.txt

[picasso]

Akcje w FRST wykonane pomyślnie. Możesz już usunąć narzędzia: przez SHIFT+DEL skasuj folder C:\FRST, w OTL zastosuj Sprzątanie.

 

jeszcze mam pytanie odnośnie nagrywanie płyt wyskoczył mi komunikat "dvd rw media requires setting mode page to use dao writing"

o co z tu chodzi?

To może być związane ze sterownikami kontrolera Intel (KLIK). U Ciebie w raporcie widać następujące datowanie:

 

========== Services (SafeList) ==========
 

SRV - [2010-03-03 15:42:02 | 002,320,920 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel® Management Engine Components\UNS\UNS.exe -- (UNS)

SRV - [2010-03-03 15:41:58 | 000,268,824 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Program Files (x86)\Intel\Intel® Management Engine Components\LMS\LMS.exe -- (LMS)
 

========== Driver Services (SafeList) ==========
 

DRV:64bit: - [2009-09-17 13:54:54 | 000,056,344 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\HECIx64.sys -- (HECIx64)

 

Sprawdź na stronie Toshiba czy są aktualizacje sterowników do Twojego sprzętu.

 

 

 

.