Skocz do zawartości

Worm:Win32/sirefef.gen!A oraz [cmz vmkd] Virtual Bus


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Ja to mam farta! W połowie skanu OTL zaczepiłerm o kabel zasilania.................wróciłem na pokład z resetem biosu.

Tak więc obecny skan jest po resecie, jesli ma to jakiekolwiek znaczenie.

 

OTL logfile created on: 2011-01-17 22:51:58 - Run 1

OTL by OldTimer - Version 3.2.20.2 Folder = C:\Users\Mario\Desktop

Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18999)

Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

 

2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 53,00% Memory free

4,00 Gb Paging File | 3,00 Gb Available in Paging File | 73,00% Paging File free

Paging file location(s): ?:\pagefile.sys [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files

Drive C: | 92,77 Gb Total Space | 60,10 Gb Free Space | 64,78% Space Free | Partition Type: NTFS

Drive E: | 92,07 Gb Total Space | 56,99 Gb Free Space | 61,89% Space Free | Partition Type: NTFS

 

Computer Name: MARIO-PC | User Name: Mario | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 

========== Custom Scans ==========

 

 

< x86_Microsoft.Windows.Shell.HWEventDetector_6595b64144ccf1df_5.2.2.3_x-ww_5390e909 /RS >

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4FA18276-912A-11D1-AD9B-00C04FD8FDFF}\InprocServer32\\: winSxS\x86_Microsoft.Windows.Shell.HWEventDetector_6595b64144ccf1df_5.2.2.3_x-ww_5390e909\shsvcs.dll

 

 

< End of report >

Odnośnik do komentarza

Znalezisko w OTL to dokładnie modyfikacja z opisu. Jednorazowe wystąpienie odnośnika do tego folderu sugeruje, że wystarczy wykonać prostą modyfikację, a folder można skasować w całości.

 

1. Przywróć domyślną prawidłową wartość w rejestrze. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4FA18276-912A-11D1-AD9B-00C04FD8FDFF}\InprocServer32]
@=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,\
  65,00,6d,00,5c,00,77,00,62,00,65,00,6d,00,63,00,6f,00,72,00,65,00,2e,00,64,\
  00,6c,00,6c,00,00,00
"ThreadingModel"="Both"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik zaimportuj FIX.REG i zresetuj komputer.

 

2. Skasuj te foldery z dysku:

 

C:\Windows\winsxs\x86_Microsoft.Windows.Shell.HWEventDetector_6595b64144ccf1df_5.2.2.3_x-ww_5390e909

C:\Windows\assembly\GAC_MSIL

 

3. Powtórz jeszcze raz skanowanie Kasperskym. Jeśli nic nie znajdzie, odinstaluj go.

 

4. W związku z nowymi zmianami w systemie ponownie wyczyść foldery Przywracania systemu.

 

I mam nadzieję, że to koniec historii.

 

 

 

.

Odnośnik do komentarza

Npfs podmieniłem. Fixa do rejestru dodałem.

C:\Windows\winsxs\x86_Microsoft.Windows.Shell.HWEventDetector_6595b64144ccf1df_5.2.2.3_x-ww_5390e909 nie da się z poziomu systemu

ale z tym dam radę - wezmę go z płyty.

Problem jest z tym folderem GAC. Jak wchodzę w Windows\assembly to tam nie ma żadnych folderów tylko pliki msil.

Ale jak wkleję GAC do wyszukiwarki w folderze Windows to mi pokazuje folder GAC_MSIL i GAC_32 w lokalizacji C\Windows\ Microsoft.NET\assembly\

Co z tym fantem?

Odnośnik do komentarza
C:\Windows\winsxs\x86_Microsoft.Windows.Shell.HWEventDetector_6595b64144ccf1df_5.2.2.3_x-ww_5390e909 nie da się z poziomu systemu

ale z tym dam radę - wezmę go z płyty.

Zapewne ze względu brak uprawnień. Można resetować uprawnienia ręcznie (KLIK) lub skasować ten folder z poziomu płyty.

 

Problem jest z tym folderem GAC. Jak wchodzę w Windows\assembly to tam nie ma żadnych folderów tylko pliki msil.

Taki folder punktował Kaspersky i zajmował się tylko plikiem w folderze:

 

2011-01-17 18:52:11	Zagrożenie: Trojan-Spy.Win32.Agent.blbk	C:\Windows\assembly\GAC_MSIL\Desktop.ini		

2011-01-17 18:52:43 Usunięty: Trojan-Spy.Win32.Agent.blbk C:\Windows\assembly\GAC_MSIL\Desktop.ini

Może folder został ukryty. Upewnij się, że widzisz wszystko w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego.

 

Ale jak wkleję GAC do wyszukiwarki w folderze Windows to mi pokazuje folder GAC_MSIL i GAC_32 w lokalizacji C\Windows\ Microsoft.NET\assembly\

Tego nie ruszaj.

 

 

.

Odnośnik do komentarza

Wszystko zdaje się być ok. Myślę,że temat jest do zamknięcia.

 

Podsumowując, brak słów........chylę nisko głowę. Profesjonalizm na najwyższym poziomie.

Stokrotne dzięki za poświęcony czas, zaangażowanie i fachowość.

Niszczenie z Tobą wirusów, to czysta przyjemność. :)

Pozdrawiam serdecznie.

Edytowane przez picasso
Temat rozwiązany, zamykam. Jeśli coś by się działo, poproś na PW o otworzenie. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...