wsscript.exe - Zablokowany przez Avast zainfekowany plik

[msonic]

ściągnąłem plik z neta który był zainfekowany ale avast mi go zablokował chciałem sprawdzić czy jednak komp nie został zainfekowany (w tym samym czasie avast zablokował x86.exe) nie moge odpalic GMERa bo resetuje mi kompa

 

Results of screen317's Security Check version 0.99.18

Windows XP Service Pack 3

Internet Explorer 6 Out of date!

``````````````````````````````

Antivirus/Firewall Check:

avast! Free Antivirus

Antivirus up to date!

```````````````````````````````

Anti-malware/Other Utilities Check:

Spy Hunter

CCleaner

Java 6 Update 26

Adobe Flash Player 10.3.181.34

Mozilla Firefox (3.6.18) Firefox Out of Date!

````````````````````````````````

Process Check:

objlist.exe by Laurent

AVAST Software Avast AvastSvc.exe

AVAST Software Avast avastUI.exe

``````````End of Log````````````

Extras.Txt

OTL.Txt

[picasso]

nie moge odpalic GMERa bo resetuje mi kompa

 

Próbowałeś w Trybie awaryjnym Windows? Bez GMER to jednak niekompletna diagnostyka, bo OTL to prosty twór nie pracujący na odpowiednim poziomie, by wykonać detekcję rootkit.

 

Na temat tego co dostarczone: nie widzę śladów czynnej infekcji z tego konkretnego miotu, ale jest adware + śmieci w przeglądarkach. Ponadto, wraz z eMule zainstalowałeś kwestionowalny dodatek wstawiony do IE: KLIK.

 

 

1. Rozpocznij od deinstalacji via Dodaj / Usuń adware RelevantKnowledge. Wpis jest widoczny na liście zainstalowanych. Jeśli napotkasz tu jakiś problem z odinstalowaniem, nie przechodź do punktu poniżej, tylko zgłoś się od razu na forum z opisem trudności.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL 
SRV - File not found [On_Demand | Stopped] --  -- (ServiceLayer)
SRV - File not found [Auto | Stopped] --  -- (InCDsrv)
IE - HKCU\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - Reg Error: Key error. File not found
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaultthis.engineName: "Free Lunch Design Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://utils.babylon.com/abt/index.php?url="
O2 - BHO: (no name) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found.
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found.
O4 - HKCU..\Run: [AdVantage]  File not found
 
:Files
C:\Program Files\mozilla firefox\components\AdVComponent.dll
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Documents and Settings\Beatka\Dane aplikacji\Mozilla\Firefox\Profiles\ntjx8rhm.default\searchplugins\conduit.xml
C:\Documents and Settings\Beatka\Dane aplikacji\advantage
C:\Documents and Settings\Beatka\Dane aplikacji\BabylonToolbar
regsvr32 /u /s "C:\Program Files\easyMule\modules\IE2EM.dll" /C
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Beatka\Ustawienia lokalne\Temp\~os5.tmp\rlvknlg.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij przyciskiem Wykonaj skrypt. System będzie restartował. Po restarcie otrzymasz log z wynikami usuwania.

 

3. Wygeneruj nowe logi: z OTL opcją Skanuj (Extras jednak już niepotrzebne) plus AD-Remover z trybu skanu. Dorzuć i wyniki usuwania z punktu 2.

 

 

 

 

.

[msonic]

RelevantKnowledge odinstalowany, GMER w trybie awaryjnym systemu nie wykrył żadnych modyfikacja (nie wyskoczył mi żaden raport), powinienem zeskanowac jeszcze raz ?

otl po kasowaniu.txt

Ad-Report-SCAN1.txt

OTL.Txt

[picasso]

GMER w trybie awaryjnym systemu nie wykrył żadnych modyfikacja (nie wyskoczył mi żaden raport), powinienem zeskanowac jeszcze raz ?

 

To był preskan czy skanowanie pełne? Jeśli to drugie, z GMER skończyliśmy. Z jednym zastrzeżeniem: skan z poziomu Trybu awaryjnego nie jest tożsamy ze skanem w Trybie normalnym, nie wszystkie rootkity działają w awaryjnym (choć od dawna nie widziałam czegoś w tym kolorze...).

 

---

Deinstalacja adware wygląda na dostatecznie kompletną, skrypt pomyślnie wykonany, zostały nam drobnostki do wykończenia:

 

1. Zamknij Firefox. Uruchom AD-Remover, ale tym razem w trybie usuwania. Zajmie się wykrytymi śmieciami i je skasuje.

 

2. Drobna poprawka adresująca wpisy poza zainteresowaniem AD-remover. Uruchom OTL i sekcji Własne opcje skanowania / skrypt wklej co podane niżej i klik w Wykonaj skrypt.

 

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\71491177-55e5-45a4-b512-fd0030e538c5]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\e34688f7-65a5-4edd-ab8e-8192faa0cb80]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\fc99aa57-344c-4562-9cc9-17c3ff031acd]

3. Wygeneruj nowy log z AD-Remover trybu skanu. Tyle mi wystarczy do oceny.

 

 

 

.

[msonic]

skan GAMERem był pełny.Czy teraz będę miał pewność ze nie mam tych wirusów które zablokował avast ?

Ad-Report-CLEAN1.txt

Ad-Report-SCAN2.txt

[picasso]

Zadanie wykonane, przejdź do czynności końcowych:

 

1. Odinstaluj AD-Remover. Zainteresuj się czy zniknął po tym folder C:\Program Files\Ad-Remover.

 

2. W OTL uruchom Sprzątanie, co zlikwiduje kwarantannę OTL i ten program.

 

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

4. Aktualizacje do wykonania:

 

Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"Gadu-Gadu 10" = Gadu-Gadu 10
"KLiteCodecPack_is1" = K-Lite Codec Pack 4.6.2 (Full)
"Mozilla Firefox (3.6.18)" = Mozilla Firefox (3.6.18)

• Przeglądarki: Internet Explorer 8 + Firefox. Instalacja IE obowiązkowa, niezależnie od używania Firefox. Na silniku IE opierają się różne funkcje systemu oraz programy trzecie i musi to być aktualizowany. Nie musisz go używać, ale musisz go łatać.
  
• Komunikatory: Skype do aktualizacji plus rozważ wymianę potwora GG10 czymś lżejszym. W temacie Darmowe komunikatory są opisy liczących się na dzień dzisiejszy zamienników: AQQ, Kadu, WTW, Miranda. Ze swojej strony polecam WTW.
  
• Kodeki: nieco sfatygowane i można je zaktualizować.
  

 

Czy teraz będę miał pewność ze nie mam tych wirusów które zablokował avast ?

 

Skoro Avast siedzi teraz cicho, a żaden raport nic nie wykazał, to można założyć, że się upiekło.

 

 

 

.

[msonic]

Wielkie dzięki. Tylko dziwne bo miałem wcześniej już IE8 a w security check nadal jest ze mam 6.I jeszcze jedno pytanie czemu nie mogę przenosić plików np z folderu do innego folderu tak samo do kosza musze używać kopiuj wklej albo prawo kliku przy usuwaniu.

[picasso]

Tylko dziwne bo miałem wcześniej już IE8 a w security check nadal jest ze mam 6.

 

OTL też widzi IE6. Jesteś pewien, że nie wykonywałeś zadnych operacji, które mogły zdegradować wersję IE (np. nakładkowa Reperacja)? I czy już uzupełniłeś IE8?

 

 

I jeszcze jedno pytanie czemu nie mogę przenosić plików np z folderu do innego folderu tak samo do kosza musze używać kopiuj wklej albo prawo kliku przy usuwaniu.

 

Wstępnie zorientuję się na temat dwóch wpisów rejestru, które mogą wpływać na zdolność drag'n'drop. Pobierz na nowo OTL (zniknął na skutek Sprzątania), wykonaj dostosowany skan na warunkach: wszystkie opcje ustawione na Brak + Żadne, zaś w polu Własne opcje skanowania / skrypt wklej co podane niżej i klik w Skanuj.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
HKEY_CLASSES_ROOT\Interface\{0000010e-0000-0000-C000-000000000046} /S

 

 

.

[msonic]

OTL też widzi IE6. Jesteś pewien, że nie wykonywałeś zadnych operacji, które mogły zdegradować wersję IE (np. nakładkowa Reperacja)? I czy już uzupełniłeś IE8?

 

nie wiem to siostry komp ona sama nie wie co tu robiła.Przeinstaluje to po prostu i chyba będzie dobrze.

OTL.Txt

[picasso]

Widzę, że w kluczu strefy Mój komputer brak wartości 180D, co jest jedną z przyczyn zaniku możliwości ruszania obiektów. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4]
"180D"=dword:00000000

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

Zresetuj komputer. Zweryfikuj czy działa przeciąganie + upuszczanie.

 

 

 

.

[msonic]

OK teraz już chyba wszystko działa, dzięki jeszcze raz