Wojna z wirusami

[walk]

po wgraniu antywirusa Avira system przewrócił sie do gory nogami proszę o sprawdzenie logów z OTL i GMER, od jakiegos czasu komp mi strasznie "muli", jak włącze Bit Commet to pokazuje sie komunikat avira Połączenie sieciowe is Flooded, system: XP Professional SP2, w załączniku logi z OTL I GMER

OTL.Txt

Extras.Txt

gmer_LOG.txt

[Landuss]

Posługiwałeś się ComboFixem i nic o tym nie wspominasz. Ja myślę, że Avira nie ma tutaj nic do rzeczy. W logach infekcja Conficker i to ona może powodować problemy. Przechodzimy do usuwania.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\Drivers\SSPORT.sys -- (SSPORT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KRZY~1\USTAWI~1\Temp\catchme.sys -- (catchme)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com?o=15161&l=dis"
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
NetSvcs: ayqgayin - C:\WINDOWS\System32\pobtlr.dll File not found
[2010-11-12 16:01:00 | 000,000,234 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
 
:Services
ksibmcxso
ayqgayin
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"7581:TCP"=-
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Panel sterowania > dodaj/usuń programy i odinstaluj śmiecia Ask Toolbar.

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i Gmer. Wklej też log z usuwania OTL (powinien otworzyć się w Notatniku po wykonaniu skryptu).

 

 

 

[walk]

logi po wykonaniu skryptu

 

zamieszczam również log z combofixa o którym nie wspomniałem

OTL.Txt

Extras.Txt

ComboFix.txt

gmer_LOG.txt

otl_log_skrypt.txt

[Landuss]

1. Nadal stoi to:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"7581:TCP" = 7581:TCP:*:Enabled:cxnsijfy

 

Start >>> uruchom >>> regedit i usun ten klucz:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\7581:TCP

 

Poza tym wygląda, że jest dobrze. Czy usunąłeś Ask Toolbar? Według logów nie, chyba że zrobiłeś to po ich wykonaniu.

 

2. Teraz możesz już użyć opcji Sprzątanie z OTL w celu usunięcia programu i kwarantanny.

 

3. Odinstaluj też ComboFixa wchodząc w start >>> uruchom >>> wklej i wywołaj polecenie "c:\documents and settings\KrzyŚ\Pulpit\ComboFix.exe" /uninstall

 

4. Przeskanuj się jeszcze przez Malwarebytes Anti-Malware

 

5. Końcowo koniecznie zaktualizuj oprogramowanie bo siedzisz na dziurze - Service Pack 3 + Internet Explorer 8

 

 

 

[walk]

nie mam tego portu otwartego w w tym miejscu co podales. ASK usunięte, instaluje Anti malware i SP 3 z IE nie korzystam

[Landuss]

Log pokazuje że jest. Na wszelki wypadek zamontuj plik .reg

 

Wklej do notatnika:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"7581:TCP"=-

 

Zapisz jako FIX.REG i uruchom plik.

 

z IE nie korzystam

 

Ale system korzysta i nawet o tym nie wiesz dlatego też wykonaj aktualizację. Od IE zależy w systemie bardzo wiele, to nie tylko sama przeglądarka.

 

 

 

[walk]

ok odezwe sie jak pobiore SP 3 i IE 8

 

jest problem bo Avira ciągle wykrywa Conficera

[Landuss]

Czy zrobiłeś aktualizacje do SP3? W takim razie prosze o nowe logi z OTL i Gmer. Z tym, że z OTL log wykonaj na dodatkowym warunku i w białym polu tam gdzie wklejasz skrypty wpisz netsvcs i dopiero rozpocznij skanowanie.

[walk]

zamiesczam logi po wgraniu SP 3 i IE 8, powrocił problem Conficera

OTL.Txt

Extras.Txt

gmer_LOG.txt

[picasso]

Nie wyłączyłeś emulacji napędów wirtualnych i log z GMER jest zaciemniony działaniem sterownika SPTD.... Raporty nie wskazują na czynną infekcję. Jest tylko resztka po już usuwanej tu usłudze w wartości Netsvcs. W OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
NetSvcs: ksibmcxso -  File not found

 

Klik w Wykonaj skrypt.

 

jest problem bo Avira ciągle wykrywa Conficera

 

Podaj dokładnie gdzie, przeklej 1:1 ścieżkę dostępu w której jest to widziane.

 

 

 

.

[walk]

========== OTL ==========

ksibmcxso removed from NetSvcs value successfully!

 

OTL by OldTimer - Version 3.2.17.3 log created on 11162010_190030

 

C:\Documents And Settings\All Users\Dane Aplikacji\Avira\AntiVir Desktop\TEMP\AVSCAN-20101116-190217-6A428896\ARKA8.tmp

 

 

miejsce gdzie wykrywa confickera

[picasso]

C:\Documents And Settings\All Users\Dane Aplikacji\Avira\AntiVir Desktop\TEMP\AVSCAN-20101116-190217-6A428896\ARKA8.tmp

 

miejsce gdzie wykrywa confickera

 

Ale to jest ścieżka Aviry, tzn. to plik tymczasowy tworzony podczas skanowania z całkiem innego miejsca. Czy to na pewno jest jedyne co pokazuje Avira? Na teraz mogę zadać tylko usuwanie tego co widzę:

 

1. W OTL wywołaj opcję Sprzątanie, co ma usunąć kwarantannę OTL.

2. Ręcznie wyczyść foldery Przywracania systemu: INSTRUKCJE.

3. Wstrzymaj maszynę Avira, przez SHIFT+DEL skasuj cały katalog C:\Documents And Settings\All Users\Dane Aplikacji\Avira\AntiVir Desktop\TEMP

 

Po tym ponów skanowanie i zobaczymy co się stanie.

 

 

 

.

Edytowane 17 Października 2011 przez picasso
16.12.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso