Zainfekowane pliki systemowe

[exploder1531]

Otóż, zaktualizowałem sobie antywirus AVG (wersja darmowa) i cały czas pisze że mam zainfekowane jakieś pliki systemowe. Najpierw, explorer.exe (C/WINDOWS/system/explorer.exe) kilka innych (nie pamiętam jakich), teraz włączam kompa i mi tylko pisze że jest zainfekowany jest proces verclsid.exe (C/WINDOWS/system32/verclsid.exe) a plik (C/WINDOWS/system32/flashadgm32.dll)

Nie wiem co z tym zrobić. Mógłby mi ktoś pomóc?

[Sevard]

1. Ściągnij i uruchom OTL (link masz w mojej sygnaturce). W OTL pozaznaczaj opcje Infekcja LOP - Sprawdzanie oraz Infekcja Purity - Sprawdzanie, Skanuj wszystkich użytkowników oraz we wszystkich sekcjach ustaw opcję Użyj filtrowania (resztę zostaw bez zmian) i kliknij Skanuj. Jeśli program będzie się zawieszał, to spróbuj w trybie awaryjnym.

Dalej, jeśli masz system 32-bitowy (i tylko w takim przypadku) wykonaj dwie kolejne rzeczy.

2. Jeśli masz programy emulujące napędy, to ściągnij program Defogger, uruchom go i wyłącz nim emulację napędów.

3. Ściągnij program GMER. Nie zmieniaj żadnych opcji i kliknij przycisk Szukaj. Po zakończeniu pracy zostaniesz poinformowany, że log został zapisany w schowku. Otwórz notatnik, wklej do niego zawartość schowka i plik zapisz na dysku. W przypadku problemów z GMERem spróbuj uruchomić go w trybie awaryjnym, jeśli i to się nie uda, to będzie trzeba kombinować inaczej.

Na forum zamieść logi z OTL (obydwa) i GMERa.

[exploder1531]

Gmer mi część przeskanował. Kompa wyłączam więc później będę musiał to zrobić.

(antywirus uwarza OTL za wirusa!)

Antywirus widzi wszędzie tylko konie trojańskie PSW.Agent.AGEF. Żadnego innego jak na razie nie widział.

[Sevard]

To niezbyt fajnie. Ściągnij OTL z tego linka i wtedy spróbuj.

Podejrzewam, że to może być jakiś wirus, który zaraża wszystkie pliki exe. Jeśli tak, to trzeba się spieszyć.

[exploder1531]

Tu daję pliki z OTL. Gmer wcześniej działał a teraz chciałem odpalić i error... Sprawdzę na trybie awaryjnym.

OTL.Txt

Extras.Txt

[Sevard]

Spróbuj w trybie awaryjnym z tym GMERem. Obecnie wygląda to na fałszywy alarm, lub rootkita, więc bez GMERa nie ruszymy.

[exploder1531]

Ok, wystarczyło kompa zresetować. Jeszcze nie dokończyłem, przez godzinę popracował GMER, ale czasu było za mało i nie dokończył... To teraz dam to co mu się udało zeskanować.

lof.txt

[Sevard]

W logu z GMERa również nie widać, żeby te pliki były jakoś podmieniane, więc najprawdopodobniej jest to pomyłka antywirusa. Dokonaj aktualizacji i sprawdź wtedy. Możesz jeszcze spróbować sprawdzić pliki, w których coś znajduje na virustotal.pl, lub na jotti.org. Tak, czy owak moim zdaniem jest to fałszywy alarm.

[exploder1531]

Sprawdziłem, i nic. Właśnie zmieniam antywirusa i zobaczę.

Edit.: Zmieniłem na avast!'a i dalej wykrywa jako wirusa.

Edit2.: I dobrze że zmieniłam antywirusa. Ten chociaż nie spowalnia tak systemu i nie jest taki upierdliwy.

[Sevard]

Sprawdziłeś pliki na VirusTotal, lub Jotti? Skoro dwa antywirusy coś znajdują, to może rzeczywiście coś jest.

Spróbujmy tak.

Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files

RECYCLER /alldrives

autorun.inf /alldrives


:OTL

DRV - [2010-07-01 12:21:07 | 000,025,616 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\ppp\Ustawienia lokalne\Temp\XCT3D1.tmp -- (GarenaPEngine)

SRV - File not found [Auto | Stopped] --  -- (bgg) Bezpieczne GG - tymczasowa usluga (RPC)

@Alternate Data Stream - 118 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:D26DD363

@Alternate Data Stream - 115 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:D3E94D8E


:Commands

[emptyflash]

[emptytemp]

i kliknij Uruchom skrypt. Po restarcie otrzymasz log. Wrzuć go na forum. Do tego uruchom OTL i kliknij Skanuj. Zostaną wygenerowane nowe logi, które również zamieść na forum.

Ponadto daj log z programu Malwarebytes' Anti-Malware powstały po pełnym skanowaniu systemu. Na razie nic nie usuwaj, wolę najpierw zobaczyć co się dzieje.