Avast wykrył wirusa Win32.Jeefo

[Slumax]

Witam

 

Dzisiaj rano Avast wykrył wirusa Win32.Jeefo i proszę o pomoc. Przy otwieraniu nie których aplikacji występuje błąd "Nie można uruchomić aplikacji w trybie Win32.

Zrobiłem skan Avastem to wykrył 30 zainfekowanych plików exe !!

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

Niestety, Jeefo to wirus plików wykonywalnych, sukcesywnie niszczący kolejne, dlatego programy się nie uruchamiają. Elementem dodatkowym jest usługa PowerManager oparta na falsyfikacie svchost.exe (widać ją też w GMER z opisem "rootkit"):

 

SRV - [2001-08-24 20:00:00 | 000,036,352 | --S- | M] () [Auto | Running] -- C:\WINDOWS\svchost.exe -- (PowerManager)

 

Jest konieczny skan antywirusem, który pliki zarażone będzie zdolny wyleczyć...

 

1. Rozpocznij od użycia narzędzia Jeefo Removal Tool. Narzędzie stosuj do skutku.

 

2. Po ukończeniu skanów wyprodukuj nowy zestaw logów OTL + GMER.

 

 

 

.

[Slumax]

Po przeskanowaniu Jeefo Removal Tool zostało 22 plików ktorych nie da się usunąć.

 

A gdy przeskanowałem komouter Avastem jest więcej plików zainfekowanych przez ten wirus (usunąć je ?)

 

 

Nowe Otl i Gmer w załączniku.

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

Po przeskanowaniu Jeefo Removal Tool zostało 22 plików ktorych nie da się usunąć.

 

Jakich plików? Podaj dokładne ścieżki.

 

 

A gdy przeskanowałem komouter Avastem jest więcej plików zainfekowanych przez ten wirós (usunąć je ?)

 

Pierwszy wynik to IrfanView, plik należy leczyć a nie usuwać, a jeśli przeznaczony do usunięcia, to program należy przeinstalować. Reszta plików o formule nazwy A...exe wygląda na obiekty z katalogu System Volume Information (Przywracania systemu) i to nie musi być czyszczone Avastem, wykorzystaj naturalne dla systemu wypróżnianie folderów Przywracania systemu: KLIK. Na teraz: wyłącz Przywracanie systemu i nie aktywuj ponownie, dopóki nie zostanie wyczyszczony system.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\svchost.exe -- (PowerManager)
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Powtarzaj skanowanie narzędziem Jeefo i Avast, dopóki nie uzyskasz zwrotu zero zainfekowanych.

 

3. Przedstawiasz wynik przetwarzania skryptu z punktu 1, wyniki skanów z punktu 2 oraz nowy log z OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[Slumax]

Zrobiłem to z Przywracanie Systemu i po przeskanowaniu Jeefo Removal Tool i Avastem zostały 2 zainfekowane pliki (Ścieżki tych plików w Logu z programu pod nazwą Log z Jeefo)

Log po wpisaniu skryptu pod nazwą Log x2

Nowy log z OTL pod nazwą OTL.

OTL.Txt

Log z Jeefo.txt

Log x2.txt

[picasso]

W logu z OTL nic już nie widzę do usuwania. Mam pytanie, czy skanowałeś również D i E:

 

Drive C: | 9,77 Gb Total Space | 3,78 Gb Free Space | 38,66% Space Free | Partition Type: NTFS
Drive D: | 32,23 Gb Total Space | 16,40 Gb Free Space | 50,88% Space Free | Partition Type: NTFS
Drive E: | 32,53 Gb Total Space | 15,99 Gb Free Space | 49,16% Space Free | Partition Type: NTFS

 

Wirusy tego typu szaleją po całości, muszą być przeskanowanie wszystkie partycje.

 

1. Skoro szczepionka Jeefo + Avast widzą tylko te dwa pliki, to prostu je skasuj:

 

C:\Program Files\IrfanView\i_view32.exe

C:\WINDOWS\ServicePackFiles\i386\lang\imjpinst.exe

 

Po tej akcji IrfanView należy przeinstalować. Zasada dotyczy także każdego innego programu, który zwróci błędy uruchomienia. Po leczeniu plików różnie to może być z kondycją plików.

 

2. W OTL uruchom Sprzątanie, które usunie z dysku OTL wraz z jego kwarantanną.

 

Podsumuj czy wszystko działa i że żadne nowe wirusy nie są nigdzie wykrywane.

 

 

.

 

 

[Slumax]

Wielkie dzięki za pomoc po przeskanowaniu Avast wykrył 0 wirusów.

[picasso]

Zaktualizuj jeszcze Internet Explorer (KLIK):

 

Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)

 

Aktualizacja tej przeglądarki jest istotna, mimo że nie używa się jej. Zbyt duża integracja z systemem. Przy okazji, instalacja ta nadpisze pewną grupę plików, które potencjalnie mogły być tu narażone na działanie Jeefo.

 

Skoro nie zgłaszasz już problemów, temat zamykam.

 

 

.