Rozwiązany: VBS Malware gen

[POPEK1993]

Słuchajcie ludziska, mam problem. gry wejde w mój komputer avira wygrywa mi problem i nazywa go tak Type: autorun blocked Access to the file 'E:\autorun.inf' was blocked for your security wiem ze to jest wirus malware bo przedtem mialem avasta i on mnie o tym poinformowal teraz usunalem avasta mam avire i adaware i nie wiem czy te 2 programy sie nie gryza wiem ze malwarebytes anit-malware gryzie sie z adaware bo wykryl 25 zainfekowanych plikow z czego wiekszosc pochodzila z tego programu ale ostateczna ocene pozostawiam wam pokierujcie mnie co mam pokolei zrobic zeby sie tego draństwa pozbyć, moge jeszcze dodać, że ten wirus kumpel mi przeniósł przez dysk jezeli mam podac jakies logi albo screeny to mowcie bo narazie nie wiem od czego zaczac z góry dzieki

[Sevard]

1. Wykonaj pełne skanowanie systemu programem Malwarebytes' Anti-Malware.

2. Ściągnij i uruchom OTL. W OTL w sekcji Rejestr - skan dodatkowy zaznacz opcję Użyj filtrowania, poza tym pozaznaczaj również opcje Infekcja LOP - Sprawdzanie oraz Infekcja Purity - Sprawdzanie, Skanuj wszystkich użytkowników i kliknij skanuj.

Ponadto jeśli masz system 32-bitowy (i tylko wtedy) wykonaj jeszcze te dwie rzeczy:

3. Jeśli masz programy emulujące napędy, to ściągnij program Defogger, uruchom go i wyłącz nim emulację napędów.

4. Ściągnij program GMER. Nie zmieniaj żadnych opcji i kliknij przycisk Szukaj. Po zakończeniu pracy zostaniesz poinformowany, że log został zapisany w schowku. Otwórz notatnik, wklej go i zapisz na dysku.

W przypadku problemów z GMERem spróbuj uruchomić go w trybie awaryjnym, jeśli i to się nie uda, to będzie trzeba kombinować inaczej.

[POPEK1993]

a robic cos po całkowitym skanie malwarebytes czy po prostu go wylaczyc?? bo juz raz skanowalem przed napisaniem tego tematu i usunalem wszystkie pliki, ktore nie mialy w nazwie adaware czyli trojany i inne robaki i nie wiem czy te z adaware w nazwie tez usunąć czy po prostu wylaczyc ten program i wlaczyc otl??

[Sevard]

Tak, usuń i daj loga ze skanowania. Tam zapewne nie jest napisana adaware, tylko adware - typ zagrożenia, które wykrywa Malwarebytes'. Najpewniej jakiś dziwny toolbar, albo coś w tym stylu.

[LiOx]

Ja bym dodał, że posiadanie równocześnie dwóch antywirusów w systemie to proszenie się o kłopoty...

Raz, że podczas skanowania przy próbach dostępu do plików będą walczyć o prawo pierwszeństwa a dwa, że mogą raportować drugi program jako potencjalny malware.

Do tego dochodzi fakt, że wiele z tych programów może zawierać w swoich bazach fragmenty znanych wirusów (w celu analizy), które przez drugi program są rozpoznawane jako prawdziwe wirusy (dziwnym nie jest...).

A poza tym to tylko spowalnia system - lepiej mieć jeden antywir a dobry niż dwa słabe.

Może być i tak, że tamten antyvir jest naprawdę zakażony... Jest wiele wirusów, które celowa skupiają się na atakowaniu swoich wrogów.

[POPEK1993]

a tak jeszcze poza tym wszystkim bo właśnie skanuje malwarebytes i narazie nie moge nic więcej powiedzieć mam problem z avirą nie mogę jej zaktualizować, może to powoduje to wirus który avira wykrywa co chwilę gdy wlacze mój komputer?? bo pisze "The following error occurred when trying to start the update"???

zrobiłem wszystko tak jak napisałeś, teraz które logi mam wstawić do tematu?? bo mam 2 z otl i z gmer i 2 z malwarebytes bo 2 razy skanowałem. Nie wiem czasem czy nie usunąłem tego wirusa bo znalazłem 2 pliki jeden na dysku c o nazwie autorun.inf i drugi na e o tej samej nazwie i usunąłem je i teraz nie avira nie pokazuje, że wykrywa wadliwe oprogramowanie. Dla pewności podaj, które z logów mam tutaj podać, a teraz największym moim problemem jest brak możliwości update Aviry o czym pisałem w poprzedniej odpowiedzi i mam jeszcze takie pytanko. Bo Ad-aware i Avira to 2 programy antywirusowe i wiem, że nie jest dobrze mieć 2 to który zostawić przypominam, że avira nie chce mi się zupdateować.

P.S. miałeś rację większość wirusów, które wykrył malwarebytes pochodziły z myglobalsearch.

[Alaknar]

Logi, każdy z osobna, możesz wrzucić w plik .txt i zamieścić tu na forum, lub wejść na wklej.org i tam... Wkleić : ), a następnie wrzucić tutaj linki do odpowiednich "wklejek".

Avira może być blokowana przez wirusa, więc na razie wrzuć te logi.

[Sevard]

@POPEK1993 Zamieść wszystkie logi, to się zobaczy gdzie może być problem. Przyczyną tego, że Avira nie chce się zupdate'ować może być to, że masz dwa antywirusy pracujące w trybie rzeczywistym uruchomione równocześnie. Ja bym usunął, lub chociaż wyłączył AdAware i zobaczył wtedy.

[POPEK1993]

http://wklej.org/id/413133/ tam są wszystkie 4 logi a co do wyłączenia Adaware to nic nie dało, Avira dalej nie chce się zaktualizować

[Sevard]

Dobra, odinstaluj AdAware i sprawdź, czy to nie Zone Alarm blokuje aktualizacje Aviry.

Aktywnej infekcji nie widać, pytanie tylko, czy nie jest ona ukryta. Tak czy owak parę rzeczy przyda się naprawić. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files

RECYCLER /alldrives

9keibj.exe /alldrives

ggb6w.exe /alldrives

t8s2x.exe /alldrives


:OTL 

O33 - MountPoints2\{3b2fbcd0-e6a9-11df-be9b-806d6172696f}\Shell\AutoRun\command - "" = D:\9keibj.exe -- File not found

O33 - MountPoints2\{3b2fbcd0-e6a9-11df-be9b-806d6172696f}\Shell\open\Command - "" = D:\9keibj.exe -- File not found

O33 - MountPoints2\{b2106b06-8eac-11df-8d2d-001966a7ed27}\Shell\AutoRun\command - "" = ggb6w.exe

O33 - MountPoints2\{b2106b06-8eac-11df-8d2d-001966a7ed27}\Shell\open\Command - "" = ggb6w.exe

O33 - MountPoints2\{e2ff99f2-97e1-11de-8b91-806d6172696f}\Shell\AutoRun\command - "" = G:\t8s2x.exe -- File not found

O33 - MountPoints2\{e2ff99f2-97e1-11de-8b91-806d6172696f}\Shell\open\Command - "" = G:\t8s2x.exe -- File not found

O33 - MountPoints2\{e2ff99f3-97e1-11de-8b91-806d6172696f}\Shell\AutoRun\command - "" = H:\t8s2x.exe -- File not found

O33 - MountPoints2\{e2ff99f3-97e1-11de-8b91-806d6172696f}\Shell\open\Command - "" = H:\t8s2x.exe -- File not found

O33 - MountPoints2\D\Shell\AutoRun\command - "" = D:\9keibj.exe -- File not found

O33 - MountPoints2\D\Shell\open\Command - "" = D:\9keibj.exe -- File not found

O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\9keibj.exe -- File not found

O33 - MountPoints2\G\Shell\open\Command - "" = G:\9keibj.exe -- File not found

O33 - MountPoints2\H\Shell\AutoRun\command - "" = H:\9keibj.exe -- File not found

O33 - MountPoints2\H\Shell\open\Command - "" = H:\9keibj.exe -- File not found

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.defaultenginename: "Ask.com"

FF - prefs.js..browser.search.defaultthis.engineName: "Free Lunch Design Customized Web Search"

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1708250&SearchSource=3&q={searchTerms}"

FF - prefs.js..browser.search.order.1: "Ask.com"

O4 - HKLM..\Run: [WhenUSearch] C:\Program Files\WhenUSearch\Search.exe File not found

O4 - HKLM..\Run: [WhenUSearchWHSE] C:\Program Files\WhenUSearch\whse.exe File not found

@Alternate Data Stream - 229 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:8FF81EB0

@Alternate Data Stream - 117 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:7D6EC5BE

@Alternate Data Stream - 115 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:196FC0A6


:Commands

[emptyflash]

[emptytemp]

i kliknij Uruchom skrypt. Po restarcie otrzymasz log z pracy programu wrzuć go na forum.

Masz sporo różnych dziwnych toolbarów. Zastanów się, czy są one Ci potrzebne, jeśli nie, to usuń je za pomocą apletu Dodaj/Usuń programy.

Na koniec daj nowe logi z OTL wygenerowane tak samo jak poprzednim razem. Możesz ponownie włączyć emulację przy pomocy Defoggera.

[POPEK1993]

http://wklej.org/id/413520/ tutaj mam Extras otl i log po wklejeniu skryptu do otl. Jeżeli chodzi i Avirę to jej problemem było to, że po instalacji po raz pierwszy aktualizowała się gdy komputer był bardzo obciążony i prawdopodobnie to spowodowało, że nie chciała się później zaktualizować teraz zrobiłem re-install i wszystko jest ok i dzięki za info about toolbars teraz mozilla śmiga jak przecinak po usunięciu tych niepotrzebnych programów;D

[Sevard]

Ja już w logach niczego nie widzę. Czy jeszcze są jakieś problemy? Jeśli nie, to przejdziemy do poprawy bezpieczeństwa systemu.

[POPEK1993]

no teraz wszystko jest ok, a co miałeś na myśli z tym bezpieczeństwem systemu??

[org]

Wydaje m się, że Sevard ma na myśli zainstalowanie oprogramowania antywirusowego .

[Sevard]

Niezupełnie, antywirus zainstalowany jest, ale i tak można się paru rzeczy przyczepić.

Więc tak:

Internet Explorer (Version = 6.0.2900.5512)

strasznie nieaktualna Internet Explorera i bardzo dziurawa wersja. Zaktualizuj do wersji 8. Jest to istotne nawet jeśli używasz innej przeglądarki, bo z IE korzystają różne inne programy.

http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)

również nieaktuala wersja Javy. Od czasu tamtej wersji zostało załatanych trochę luk krytycznych.

Z innych rzeczy

[2010-11-02 22:32:09 | 000,000,000 | --SD | C] -- C:\ComboFix

[2010-11-02 22:31:00 | 000,000,000 | ---D | C] -- C:\Qoobox

ComboFix to nie jest zabawka i nie powinien być używany bez nadzoru. Z tego powodu wolę się upewnić, że nie usunął niczego ważnego. Daj poproszę loga, który powstał po jego poprzednim uruchomieniu (nie twórz nowego loga).

[POPEK1993]

nie wiem dokładnie gdzie jest ten log ale wyszukałem aaw7boot tutaj masz zawartość tego pliku http://wklej.org/id/413723/

[Sevard]

Wrzuć w takim razie na forum zawartość pliku C:\Qoobox\ComboFix-quarantined-files.txt.

[POPEK1993]

w folderze qoobox nie ma folderu combo fix a w folderze quarantine jest tylko folder Registry_backups i plik catchme.txt a w nim to"

-------- 2010-11-02 - 22:32:11 -------------

-------- 2010-11-06 - 13:27:25 -------------" tylko

[Sevard]

Czyli nic nie usunął, to dobrze. Zatem zaktualizuj system i napisz jak wtedy wszystko będzie działać.

[POPEK1993]

mam zaktualizowaną javę i IE wszystko działa cacy komputer o wiele szybciej chodzi od usunięcia avasta dzięki za pomoc jesteś na prawdę pro w te klocki

[Sevard]

Problem rozwiązany, więc temat zamykam.

W razie potrzeby otwarcia tematu, proszę o kontakt przez PW.