infekcja EXE

complus 03.04.07, 03:35

Witam,

Mój komputer (Laptop, 512 RAM, 1,5 GHz) został zainfekowany wieloma wirusami -

-z góry zaznaczam, że nie jestem w stanie zrobić loga (opis poniżej).
-nie mogę ściągać plików z internetu - czyli np. ściągnąć Zona Alarma
(aktualizajca) - ale mogę aktualizować antywirusa - AVASTA).
- nie mogę ściągnąć nowej wersji EWIDO (tj. AVG) - ale mogę aktualizować bazę

Część wirusów wykrył AVAST - ustawienie opcji skasuj (oraz skasuj po ponownym
uruchomieniu systemu) czasem nie działa (komunikat, że nie zadziałało) albo
teoretycznie działa - lecz po podłączeniu sieci - doznaję zmasowanego ataku
komunikatów o wirusach

Włączyłem skaner www.bezpieczenstwo.onet.pl - wykrył mnóstwo wirusów
W32.Tuvir.A (szczególnie w katalogu i386) - zacząłem kasować zainfekowane
pliki (exe) - jednak po pewnym czasie przestałem - bo nie miałem już pojęcia
jakie szkody mogę zrobić kasując exe'ki.

////Wirusem "W32.Tuvir.A" - zostały zainfekowane pliki EXE - nie mogę ich
odpalić (niektórych - np. hijackthis, shredera do usuwania trojanów etc.) - a
tym samym zamieścić LOGA ////

Inne wirusy /robaki (przykładowo)

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet
Files\Content.IE5\0PGDSLM5\is[1].exe
Win32:Korgo-V [Wrm]

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet
Files\Content.IE5\0PGDSLM5\te122[1].exe
Win32:Agent-EIE [Trj]

C:...\GTUpdate\AUpdate\Channels\ch2\CIP\DellSupportUtil.exe
Heur.W32

Proszę o wskazówki co do pierwszych kroków walki - bo nawet nie wiem od czego
zacząć - skanuję - wyrzucam - włączam neta - jest jeszcze gorzej...

dziękuje bardzo

Obserwuj wątek

Drzewko
Od najstarszego
Od najnowszego

kalinowski11 Re: infekcja EXE 03.04.07, 07:21

Na dzień dobry wklej loga z hijacka...
Gość: Kolobos Re: infekcja EXE IP: *.escom.net.pl 03.04.07, 11:03

> -z góry zaznaczam, że nie jestem w stanie zrobić loga (opis poniżej).

Zawsze mozesz przyniesc hjt na plycie/pendrive'ie/dyskietce itd.

> wykrył mnóstwo wirusów

Szkoda, ze nie napisalas jakie..

> W32.Tuvir.A (szczególnie w katalogu i386)

To jakis wymysl ArcaVir'a nie znam tego wirusa i google tez nie, wiec raczej ciezko pomoc. Jezeli katalog i386 jest w katalogu ServicePackFiles to mozesz go usunac.

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet
Files\Content.IE5\0PGDSLM5\is[1].exe <- usun wszystko z katalogu Temporary Internet Files.

C:...\GTUpdate\AUpdate\Channels\ch2\CIP\DellSupportUtil.exe
Heur.W32 <- mozesz usunac ten plik jak Ci przeszkadza.
- complus Re: infekcja EXE 03.04.07, 22:19
  
  Witam ponownie,
  
  Dziś rano w awaryjnym trybie wyczyściłem wszystko (do skutku) AVASTEM, AVG
  Anti -Spyware, Ccleaner. Ostatnie skany nic nie pokazały.
  
  Połączyłem się z siecią - po godzinie pracy – znowu nastąpiły infekcje, które
  usunąłem – zauważyłem, że nazwy wirusa / robala – są ciągle takie same:
  
  AVAST
  C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet
  Files\Content.IE5\0PGDSLM5\is[1].exe
  Win32:Korgo-V [Wrm]
  
  AVAST
  C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet
  Files\Content.IE5\0PGDSLM5\te122[1].exe
  Win32:Agent-EIE [Trj]
  
  Teoretycznie AVAST je usunął.
  
  Kolejny problem – poleciłeś mi skasować zawartość Temporary Internet Files –
  idąc po ścieżce dostępu C:\WINDOWS\system32\config\systemprofile\Local
  Settings\Temporary Internet Files\Content.IE\ - na etapie LOCAL SETTINGS kończy
  mi się ściężka – tj. są tylko 2 katalogi TEMP (pusty) oraz APLICATION DATA
  (włączyłem ukryte pliki i katalogi) – więc teoretycznie wirus został wykryty w
  rejonie którego nie mam (lub nie umiem się tam dostać?).
  
  Skaner on-line – onet.pl znowu wyszukał rzekomego „wirusa“ W32.TUVIR.A
  (kilkaset razy – w katalogu C:\i386 , w Windowsie (szczególnie SYSTEM 32), oraz
  w innych katalogach po kilka - w 100% infekcja dotyczyła plików *.exe) – tym
  razem ignorowałem znajdywanie tego „wirusa”. Patrząc na działanie skanera –
  niektóre exe’ki były „czyste”.
  
  Także wykrył (skaner onet.pl) :
  C:...s\Common Files\InstallShield\Driver\11\Intel 32\IDriver2.ex [HEUR.W32]
  C:\Program Files\JockerSoft\CodecInstaller\CodecInstaller.exe [HEUR.Win95]
  Nie ruszałem ich.
  
  C:...porary Internet Files\Content.IE5\0PGDSLM5\adv735[1].exe
  C:...porary Internet Files\Content.IE5\0PGDSLM5\adv735[2].exe
  (Trojan. Downloader.Small.Edb) – skasowany
  
  C:...mporary Internet Files\Content.IE5\854RAVK7\adv735[1].exe
  C:...mporary Internet Files\Content.IE5\854RAVK7\adv735[2].exe
  Trojan.Agent.Virut – skasowany
  
  C:\WINDOWS\system32\lrruwayb.dll –
  Trojan.Bho.G – NIE MOŻNA SKASOWAĆ
  
  C:\WINDOWS\system32\uoqfcopc.dll
  Adware.Virtumonde.Ar – NIE MOŻNA SKASOWAĆ
  
  Co do loga – niestety próby przeniesienia programów np. na USB nic nie dają –
  pojawia się komunikat: „Windows cannot access the specified device, path or
  file. You may not have the appropriate permission to access the file” – sam nie
  zmieniałem żadnych ustawień i komp jest mój więc mam „permission to access the
  file” (przynajmniej w teorii)
  
  Podobnie rzecz ma sie z innymi programami – np. do zamykania portów – nie mogę
  ich odpalić, a przeniesienie z innego kompa nie zmienia tego faktu. Z kolei np.
  zmieniając ewido na AVG – zdjąlem na drugi comp instalke – przenioslem na swój –
  i się udało zmienić ewido na AVG. (Bo normalnie chcąc to pobrać z neta – też
  włącza się komunikat, że ustawienia nie pozwalają pobrać pliku).
  
  Proszę o wskazówki do dalszych kroków – ponieważ – zwykłe postępowanie – skan –
  czyszczenie – nie daje rezultatów, a loga nie potrafię zrobić.
  
  pozdrowienia
  - Gość: Kolobos Re: infekcja EXE IP: *.escom.net.pl 03.04.07, 22:46
    
    Przeskanuj wszystko, usun co trzeba, nie lacz sie z siecia!
    Sciagnij hijackthis, comboscan, gmer (z zakladki rootkit) i wyslij mi logi na maila (kolobos (at) gazeta.pl), sprobuj je zrobic w trybie awaryjnym.
complus Re: infekcja EXE 05.04.07, 11:37

Witam

Logi poszły - opis w mailu

dzięki za pomoc
complus Re: infekcja EXE 05.04.07, 23:28
- complus Re: infekcja EXE 06.04.07, 00:27
  
  reszta:
  
  O16 - DPF: {5A09E43F-A0A7-4ABF-AF80-11367CF1DC8F} (MainControl Class) -
  mks.com.pl/skaner/SkanerOnline.cab
  O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
  update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121565149843
  O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
  www.mks.com.pl/skaner/SkanerOnline.cab
  O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
  O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
  O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} -
  C:\WINDOWS\system32\WPDShServiceObj.dll
  O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner -
  C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
  O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil
  Software\Avast4\ashServ.exe
  O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil
  Software\Avast4\ashMaiSv.exe" /service (file missing)
  O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil
  Software\Avast4\ashWebSv.exe" /service (file missing)
  O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. -
  C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
  O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. -
  C:\Program Files\Canon\CAL\CALMAIN.exe
  O23 - Service: Client IP-IPX - Unknown owner - ".exe (file missing)
  O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd -
  C:\WINDOWS\system32\CTsvcCDA.EXE
  O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision
  Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32
  \IDriverT.exe
  O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program
  Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
  O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -
  C:\WINDOWS\system32\ZoneLabs\vsmon.exe
  O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner -
  C:\WINDOWS\System32\wltrysvc.exe (file missing)
  - Gość: Kolobos Re: infekcja EXE IP: *.escom.net.pl 06.04.07, 09:33
    
    Log z hjt nie jest potrzebny poniewaz juz dawno Ci podalem co w nim usunac.
    
    Przeskanuj system jeszcze tym:
    ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
    www.xblock.com/download/xclean_micro.exe
    - maciek_stachura Re: infekcja EXE 08.04.07, 15:40
      
      xclean_micro.exe - ten skan poszedł - usunął parę plików
      
      cureit.exe - nie poszedł
      
      Skany - AVG, AVAST i wszystko co mi poleciłeś (a co się udało odpalić) czyste.
      
      Nie mogę podpiąć się do neta - automatyczny reset po kilku sekundach
      
      Net chodzi w trybie awaryjnym - ale wtedy nie mogę włączyć żadnych skanerów on-
      line, ładować plików.
      
      Wciąż nie mogę odpalać niektórych *.exe
      
      Mam pytanie - co sugerujesz - bo chyba już nic nie pomoże i nie ma sensu się
      męczyć - FORMAT, czy reinstalacja windowsa (dużą część plików zgrałem już)
      
      wesołych świąt !!!
      - Gość: Kolobos Re: infekcja EXE IP: *.escom.net.pl 08.04.07, 20:05
        
        Podczas instalacji XP z plyty usun partycje z dysku i utworz nowe (wczesniej zgraj wszystko co wazne na plyty).

Najnowsze z forum Wirusy, trojany, spyware

Zaloguj się