VastoLords Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Od paru dniu próbuje się uporać z tym wirusem od czasu jak avast mi go wykrył pierwsze co chciałem zrobić to cofke systemu lecz o dziwo znikły mi wcześniejsze daty i tworzyły się tylko nowe , próbowałem kilkoma programami oczyśćić pliki jak jeefogui który leczy tylko część czy nod który leczył ale wysyłał do kwarantanny przez co pliki były bez urzyteczne . Proszę was jeśli to możliwe o sposób na 1. wyleczenie plików z wirusów bez ich usuwania czy robienia formatów 2. odzyskanie dat w przywracaniu systemu co by było nałatwiejszym wyjściem choć wolałbym 1 wariant logi: Extras.Txt OTL.Txt Gmer.txt Odnośnik do komentarza
Landuss Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Ślad Jeefo rzeczywiście tu jest (usługa PowerManager): SRV - File not found [Disabled | Stopped] -- C:\Windows\svchost.exe -- (PowerManager) 1. Przeskanuj dysk za pomocą Dr.Web CureIt. 2. Wejdź w panel usuwania programów i odinstaluj - Babylon toolbar on IE / Akamai NetSession Interface / V9 HomeTool 3. Zastosuj AdwCleaner z opcji Delete 4. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2012-05-29 16:44:16 | 000,003,915 | ---- | M] () -- C:\Users\Kuba\AppData\Roaming\Mozilla\Firefox\Profiles\xe7dapnt.default\searchplugins\sweetim.xml [2012-03-11 19:52:32 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (no name) - {EEE6C35C-6118-11DC-9C72-001320C79847} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. :Services PowerManager EagleXNt EagleNT :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-3328382339-3973039024-2339690842-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_USERS\S-1-5-21-3328382339-3973039024-2339690842-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-3328382339-3973039024-2339690842-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-21-3328382339-3973039024-2339690842-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i dajesz znać co wykazał Dr.Web CureIt. Odnośnik do komentarza
VastoLords Opublikowano 29 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 nie wiem czy ja coś zrobiłem ale po usunięciu tych 3 programów utworzyły się na pulpicie dwa pliki desktop.ini w których jest tylko : [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21799 a w drugim : [.ShellClassInfo] LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769 IconResource=%SystemRoot%\system32\imageres.dll,-183 Odnośnik do komentarza
Landuss Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 Tym się nie przejmuj, te pliki są były i będą tylko wcześniej miałeś przestawione opcje widoku i one były ukryte. Każdy ma takie pliki (ja też) To wynik działania OTL, a nie deinstalacji tych śmieci. Odnośnik do komentarza
VastoLords Opublikowano 29 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 czy ta opcja delate a adwCleaner bedzie mi usuwać,leczyc czy skanowac pliki bo nie chce tracic wiekszosci swoich exe a wolę się upewnic Odnośnik do komentarza
Landuss Opublikowano 29 Czerwca 2012 Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 To nie jest program do leczenia infekcji. AdwCleaner jest tu użyty do usuwania szczątków po odinstalowanym Babylon czy V9 i takie jest jego zadanie. Do leczenia masz skaner Dr.Web, który podałem. Odnośnik do komentarza
VastoLords Opublikowano 29 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 29 Czerwca 2012 właśnie dr.web wykrył 6 zainfekowanych plików które wyleczył a taki avast widział ponad 200 i kilka innych antywirusów sorry że tak wszystkie wypytuje ale nie miałem z tym za dużo doczynienia i nie znam się za bardzo Odnośnik do komentarza
Landuss Opublikowano 30 Czerwca 2012 Zgłoś Udostępnij Opublikowano 30 Czerwca 2012 "Avast wykrył 200" ale gdzie? Jaka lokalizacja? Jakie nazwy plików? Nie ma dowodu czy to na pewno były zainfekowane obiekty. I Ja czekam nadal na nowe raporty z punktu 5 po wykonaniu skryptu.. Odnośnik do komentarza
VastoLords Opublikowano 30 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 30 Czerwca 2012 wykonałem wszystko co napisałeś nie mogę dodać w załączniku logów ale tutaj jest zawartość logu który się zrobił po pkt 4 All processes killed ========== OTL ========== C:\Users\Kuba\AppData\Roaming\Mozilla\Firefox\Profiles\xe7dapnt.default\searchplugins\sweetim.xml moved successfully. C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml moved successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847}\ not found. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{EEE6C35B-6118-11DC-9C72-001320C79847} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}\ not found. ========== SERVICES/DRIVERS ========== Error: No service named PowerManager was found to stop! Service\Driver key PowerManager not found. Service EagleXNt stopped successfully! Service EagleXNt deleted successfully! Service EagleNT stopped successfully! Service EagleNT deleted successfully! ========== REGISTRY ========== Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully! Registry value HKEY_USERS\S-1-5-21-3328382339-3973039024-2339690842-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL deleted successfully. HKEY_USERS\S-1-5-21-3328382339-3973039024-2339690842-1000\SOFTWARE\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully! HKEY_USERS\S-1-5-21-3328382339-3973039024-2339690842-1000\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully! Registry key HKEY_USERS\S-1-5-21-3328382339-3973039024-2339690842-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: Kuba ->Temp folder emptied: 1883039152 bytes ->Temporary Internet Files folder emptied: 18610037 bytes ->Java cache emptied: 720763 bytes ->FireFox cache emptied: 198908150 bytes ->Google Chrome cache emptied: 6374187 bytes ->Opera cache emptied: 12641232 bytes ->Flash cache emptied: 19355585 bytes User: Public User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 200704 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 3419759 bytes RecycleBin emptied: 17605995258 bytes Total Files Cleaned = 18 834,00 mb OTL by OldTimer - Version 3.2.53.0 log created on 06302012_110137 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... Odnośnik do komentarza
Landuss Opublikowano 30 Czerwca 2012 Zgłoś Udostępnij Opublikowano 30 Czerwca 2012 To jest log z wykonania skryptu (usuwania), a gdzie są nowe logi ze skanowania z OTL oraz z Gmer? Odnośnik do komentarza
VastoLords Opublikowano 30 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 30 Czerwca 2012 podczas skanowania mi się komp wyłączył więc trochę to potrwało ... OTL.txt Gmer.txt Odnośnik do komentarza
Landuss Opublikowano 30 Czerwca 2012 Zgłoś Udostępnij Opublikowano 30 Czerwca 2012 Logi nie wykazują już nic niepokojącego. Pozostaje więc pytanie czy jeszcze coś jest gdzieś wykrywane i czy jest tu jaki problem? Jeśli nie to przejdziemy do finalizacji. Odnośnik do komentarza
VastoLords Opublikowano 30 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 30 Czerwca 2012 jeśli chodzi o wirusa to nic narazie nie widze ale mam małe pytanie gdyż prawdobodobnie coś zrobiłem lub jakiś wirus inny namotał ale jedna z moich gier zamiast normlanie się odpalić po włączeniu exe to pisze abym wybrał program z listy który chcę do otwarcia tego pliku ... gra to minecraft Odnośnik do komentarza
picasso Opublikowano 1 Lipca 2012 Zgłoś Udostępnij Opublikowano 1 Lipca 2012 VastoLords przeinstaluj grę. Podobnie postąp przy każdym kolejnym programie, który będzie się dziwnie zachowywał. Zdaj sobie sprawę jaka kategoria wirusa tu była: wirus niszczący wykonywalne. Leczenie z takiego wirusa nie zawsze doprowadza system do formy sprzed infekcji. Leczenie plików może skutkować ich uszkodzeniem. Temat prowadzi Landuss, toteż on zada końcowe kroki czyszczące. właśnie dr.web wykrył 6 zainfekowanych plików które wyleczył a taki avast widział ponad 200 i kilka innych antywirusów Skoro tu został zdiagnozowany Jeefo, to nie wątpię w to, że Avast widział "200", to i tak słaby wynik jak na tego wirusa i sugeruje dopiero fazę początkową infekcji. Rozbieżności między skanerami: widocznie Dr. Web CureIt tylko poprawiał. Przecież były tu używane inne skanery wcześniej: Avast, JeefoGUI i NOD. Ponadto mam pytanie: czy skan w Dr. Web CureIt to na pewno był skan pełny a nie ekspresowy? . Odnośnik do komentarza
VastoLords Opublikowano 1 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 1 Lipca 2012 Właśnie grę przeinstalowaywałem kilka razy ... i efektów nie ma . Avast wykrywał taką liczbe prawdobodobnie gdyż sam był zainfekowany co Dr. Web CureIT wykrył za każdym razem robie skany pełne , to też mnie zdziwiło że tak mało wykrył Odnośnik do komentarza
picasso Opublikowano 2 Lipca 2012 Zgłoś Udostępnij Opublikowano 2 Lipca 2012 (edytowane) Właśnie grę przeinstalowaywałem kilka razy ... i efektów nie ma . Uruchom automat Fix-it z artykułu KB950505. Zresetuj system, podaj wyniki czy jest poprawa. Avast wykrywał taką liczbe prawdobodobnie gdyż sam był zainfekowany co Dr. Web CureIT wykrył Zainfekowany Avast to jedno, a to co wykrył jako zainfekowane to co innego. za każdym razem robie skany pełne , to też mnie zdziwiło że tak mało wykrył Jak mówię: wcześniej uruchomione skanery musiały się tym zająć. Dr. Web CureIt nie będzie się powtarzał na obiektach już wyleczonych. . Edytowane 27 Sierpnia 2012 przez picasso 27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi