Antywirus wykrywa jakiegoś śmiecia, ale nie usuwa go

[kasownik]

Witam!

 

Jak w temacie. Arcavir wykrywa cos, ale nie potrafi tego usunac. W jednym przypadku zmienia rozszerzenie, w drugim nie potrafi zrobic nic. Support z Arcavir'a, poradzil by uruchomic "combofix'a", ale koniecznie w nowej wersji

Logi w zalaczniku.

Addition.txt

Extras.Txt

FRST.txt

gmer.txt

OTL.Txt

[picasso]

Ale nie podałeś raportu z ArcaVir, by było wiadomo co on widzi i gdzie (konkretne ścieżka dostępu). No cóż, logi z FRST i GMER wskazują na pobyt dokładnie tej samej infekcji co w poprzednim temacie (KLIK), tylko że wg raportów jest ona w szczątkach / nieczynna. Jak mówiłam: XP niestety, a tu na dodatek jeszcze widać archaizmy Microsoft Firewall Client 2004 + Windows Defender... To się nie obroni.

 

Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

ShellExecuteHooks: Microsoft AntiMalware ShellExecuteHook - {091EB208-39DD-417D-A5DD-7E2C2D8FB9CB} - C:\PROGRA~1\WIFD1F~1\MpShHook.dll No File [ ]
NETSVC: uanaoqwjn -> No Registry Path.
NETSVC: bktqki -> No Registry Path.
NETSVC: dtcjwjm -> No Registry Path.
NETSVC: womwyn -> No Registry Path.
Unlock: HKLM\SYSTEM\ControlSet002\Services\bktqki
Unlock: HKLM\SYSTEM\ControlSet002\Services\dtcjwjm
Unlock: HKLM\SYSTEM\ControlSet002\Services\uanaoqwjn
Unlock: HKLM\SYSTEM\ControlSet002\Services\womwyn
Unlock: HKLM\SYSTEM\ControlSet003\Services\bktqki
Unlock: HKLM\SYSTEM\ControlSet003\Services\dtcjwjm
Unlock: HKLM\SYSTEM\ControlSet003\Services\uanaoqwjn
Reg: reg delete HKLM\SYSTEM\ControlSet002\Services\bktqki /f
Reg: reg delete HKLM\SYSTEM\ControlSet002\Services\dtcjwjm /f
Reg: reg delete HKLM\SYSTEM\ControlSet002\Services\uanaoqwjn /f
Reg: reg delete HKLM\SYSTEM\ControlSet002\Services\womwyn /f
Reg: reg delete HKLM\SYSTEM\ControlSet003\Services\bktqki /f
Reg: reg delete HKLM\SYSTEM\ControlSet003\Services\dtcjwjm /f
Reg: reg delete HKLM\SYSTEM\ControlSet003\Services\uanaoqwjn /f
C:\Documents and Settings\student007d\Dane aplikacji\BabylonToolbar
C:\Documents and Settings\student007d\Dane aplikacji\OpenCandy
C:\Documents and Settings\student123d\Dane aplikacji\BabylonToolbar
C:\WINDOWS\A6448DEA02A34BDEA2C39C431ABCF2D2.TMP

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Zrób nowy skan FRST (bez Addition) + OTL (bez Extras) + GMER. Dołącz plik fixlog.txt.

 

 

 

.

[kasownik]

Pkt. 1, 2 i 3 wykonany. Zrobilem jeszcze skan arcavirem, ktory tez zalaczam. Nadal co wykrywa.

Arcabit_20140218105124_5203.txt

Fixlog.txt

FRST.txt

gmer.txt

OTL.Txt

[picasso]

Skrypt pomyślnie wykonany. Ale czy na pewno użyłeś TFC? Nadal są te same wykrycia w Temp. Pojawiły się i nowe odczyty w logu (uszkodzone usługi infekcji), z nieznanego powodu, bo na pocątku FRST ich nie pokazywał (OTL owszem, ale ja wierzę bardziej FRST i GMER). Wg raportu ArcaVir jest wykryta nieczynna kopia tej infekcji, plik z rozszerzeniem C:\WINDOWS\system32\vymabl.dll.vir. Tego pliku (bez *.vir) brakowało już na samym początku tematu, więc jeśli ArcaVir nie umie skasować nieczynnej kopii, to nie wiem dlaczego. Poprawki. Otwórz Notatnik i wklej w nim:

 

S2 bktqki; C:\WINDOWS\system32\vymabl.dll [X]
S2 dtcjwjm; C:\WINDOWS\system32\vymabl.dll [X]
S2 uanaoqwjn; C:\WINDOWS\system32\vymabl.dll [X]
S2 womwyn; C:\WINDOWS\system32\vymabl.dll [X]
Unlock: C:\WINDOWS\system32\vymabl.dll.vir
C:\WINDOWS\system32\vymabl.dll.vir
CMD: rd /s /q C:\AdwCleaner

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

.

[kasownik]

Skrypt wykonany, log w zalaczniku, ale z tego co widze, nie udalo sie usunac

Fixlog.txt

[picasso]

Uruchom GMER, rozwiń strzałki >>, wejdź do karty Pliki, przejdź do ścieżki C:\WINDOWS\system32, podświetl ten plik i klik w Usuń.

 

 

 

.

[kasownik]

Zrobilem to, GMER usunal plik (06.tmp), ale arcabit wykazal inny w tym samym katalogu a GMER zaczal pisac, ze wykryl (na czerwono) jakis proces. Leczenie arcabita tym razem zadzialalo i usunal plik. Teraz arcabit nic nie pokazuje, ale wydaje mi sie, ze frst pokazuje jakis driver. Na wszelki wypadek nowe logi w zalaczniku.

FRST.txt

gmer.txt

OTL.Txt

[picasso]

Obecnie FRST pokazuje usługę w stadium wybrakowanym, w GMER również widać kolejny zablokowany klucz. Kolejna poprawka. Otwórz Notatnik i wklej w nim:

 

S3 rylqeaasn; \??\C:\WINDOWS\system32\06.tmp [X]
NETSVC: fxvjt -> No Registry Path.
Unlock: HKLM\SYSTEM\ControlSet002\Services\fxvjt
Reg: reg delete HKLM\SYSTEM\ControlSet002\Services\fxvjt /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

 

.

[kasownik]

Zrobione. Log w zalaczniku.

Fixlog.txt

[picasso]

Skrypt został wykonany. Rozumiem, że antywirus nadal siedzi cicho.

 

1. Przez SHIFT+DEL skasuj FRST i foldery C:\AdwCleaner, C:\FRST. W OTL uruchom Sprzątanie.

 

2. Na wszelki wypadek ponów akcję z TFC - Temp Cleaner.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj Adobe Reader XI 11.0.00 do wersji 11.0.06.

 

 

 

.

[kasownik]

Zrobione, wszystko wyczyszczone. Adobe zaktualizowany.

Dziekuje bardzo.

 

 

Mam jeszcze 2 komputery w podobnym stanie, czy przegieciem bedzie proszenie rowniez o pomoc przy ich leczeniu?

[picasso]

Mam jeszcze 2 komputery w podobnym stanie, czy przegieciem bedzie proszenie rowniez o pomoc przy ich leczeniu?

Dla każdego komputera załóż nowy temat z zestawem logów. Ten temat jako rozwiązany zamykam.

 

 

.