Jakis wirus i problem z WU

[kasownik]

Witam!

 

Arcavir wykrywa jakiegosc smieci i nie potrafi go usunac, WU sie nie otwiera, pare innych stron rowniez.

Logi w zalaczniku, bardzo prosze o pomoc.

 

Addition.txt

Extras.txt

FRST.txt

gmer.txt

OTL.txt

[picasso]

kasownik, czas już poważnie myśleć o zmianie systemu XP, zegar cyka: KLIK / KLIK. Wspominam o tym na wstępie, gdyż tu siedzi infekcja charakterystyczna dla starego XP (nowsze systemy nie są na nią podatne). Pod kątem usuwania infekcji:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Documents and Settings\NetworkService\Dane aplikacji\nukne.dll
C:\WINDOWS\D3FD6AF379544998A31AF501C1E0571C.TMP
S2 jokft; C:\WINDOWS\system32\svchost.exe [14336 2008-04-14] (Microsoft Corporation)
S2 boljsff; C:\WINDOWS\TEMP\\nukne.dll [x]
S2 ieebh; C:\WINDOWS\system32\nukne.dll [x]
S2 jqvqu; C:\Program Files\Internet Explorer\nukne.dll [x]
S2 uafrxmur; C:\Program Files\Movie Maker\nukne.dll [x]
S3 GMSIPCI; \??\D:\INSTALL\GMSIPCI.SYS [x]
S3 NTACCESS; \??\D:\NTACCESS.sys [x]
S3 SetupNTGLM7X; \??\D:\NTGLM7X.sys [x]
NETSVC: ieebh -> C:\WINDOWS\system32\nukne.dll ==> No File.
NETSVC: jqvqu -> C:\Program Files\Internet Explorer\nukne.dll ==> No File.
NETSVC: jokft -> No Registry Path.
NETSVC: uafrxmur -> C:\Program Files\Movie Maker\nukne.dll ==> No File.
NETSVC: boljsff -> C:\WINDOWS\TEMP\\nukne.dll ==> No File.
Unlock: HKLM\SYSTEM\ControlSet002\Services\boljsff
Unlock: HKLM\SYSTEM\ControlSet002\Services\ieebh
Unlock: HKLM\SYSTEM\ControlSet002\Services\jokft
Unlock: HKLM\SYSTEM\ControlSet002\Services\jqvqu
Unlock: HKLM\SYSTEM\ControlSet002\Services\uafrxmur
Reg: reg delete HKLM\SYSTEM\ControlSet002\Services\boljsff /f
Reg: reg delete HKLM\SYSTEM\ControlSet002\Services\ieebh /f
Reg: reg delete HKLM\SYSTEM\ControlSet002\Services\jokft /f
Reg: reg delete HKLM\SYSTEM\ControlSet002\Services\jqvqu /f
Reg: reg delete HKLM\SYSTEM\ControlSet002\Services\uafrxmur /f
CMD: netsh firewall reset

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Zrób nowy skan FRST (bez Addition) + GMER. Dołącz plik fixlog.txt.

 

 

 

.

[kasownik]

Wreszcie udalo mi sie dobic do komputera, instrukcje wykonane, logi w zalaczniku.

Fixlog.txt

FRST.txt

gmer.txt

[picasso]

Wprawdzie prawie wszystko wykonane i nie ma oznak czynnej infekcji, ale plik infekcji nie usunął się. Poprawka. Otwórz Notatnik i wklej w nim:

 

Unlock: C:\Documents and Settings\NetworkService\Dane aplikacji\nukne.dll
C:\Documents and Settings\NetworkService\Dane aplikacji\nukne.dll

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

[kasownik]

Zrobione, skrypt sie wykonal, ale nic nie znalazl

Fixlog.txt

[picasso]

Może tego pliku już wcale nie było w momencie przetwarzania skryptu. I na wszelki wypadek dodaj ogólne szukanie na kopie "nukne.dll", bo wg pierwotnych raportów to coś się replikowało w różnych lokalizacjach. Uruchom SystemLook i w oknie wklej:

 

:filefind
nukne.dll

 

Klikw Look i przedstaw wynikowy raport.

 

 

.

[kasownik]

Szukanie, przeprowadzile, wyglada na to, ze cos znalazl, log w zalaczniku.

 

SystemLook.txt

[picasso]

Owszem, mamy ciągle jedną kopię zablokowanego pliku. Otwórz Notatnik i wklej w nim:

 

Unlock: C:\WINDOWS\system32\nukne.dll
C:\WINDOWS\system32\nukne.dll

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

[kasownik]

Zrobione, tym razem udalo sie usunac. Log w zalaczniku.

 

Fixlog.txt

[picasso]

Zadanie wykonane. Kolejna porcja czynności:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj FRST i folder C:\FRST, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj dodatkowy skany za pomocą Kaspersky Virus Removal Tool, bo temu ArcaVir nie dowierzam. Jeśli coś wykryje, przeklej do oceny wyniki (tylko te typu "Detected", nie interesuje mnie pełny log Kasperskiego).

 

 

 

.

[kasownik]

Wszystko wykasowalem zgodnie z poleceniem, przywracanie wyczyszczone, Kaspersky nic nie znalazl.

 

Wyglada na to, ze sie udalo, dziekuje bardzo za pomoc.

 

Ide do kasy

[kasownik]

Poprawka, chyba nie do konca wszystko jest w porzadku, system wykazuje obciazenia procka w 100% kiedy praktycznie nic nie jest uruchomione.

[picasso]

system wykazuje obciazenia procka w 100% kiedy praktycznie nic nie jest uruchomione

Był uruchamiany GMER, toteż sprawdź czy transfer dysku nie spadł z DMA do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

 

 

.

[kasownik]

To faktycznie byla przyczyna, juz poprawione. 

Dziekuje bardzo za pomoc.

[picasso]

Na zakończenie aktualizacje poniżej wymienionych programów: KLIK.

 

Internet Explorer Version 6
 

==================== Installed Programs ======================
 

Adobe Flash Player 10 ActiveX (Version: 10.0.32.18 - Adobe Systems, Inc.) ----> wtyczka dla IE (odinstaluj)

Mozilla Firefox 26.0 (x86 pl) (Version: 26.0 - Mozilla)

 

I jak mówiłam, trzeba rozważać pożegnanie XP.

 

Temat rozwiązany. Zamykam.

 

 

 

 

.