Avast pokazuje komunikat, że znalazł Win32:Malwere-gen

Witam,
mam problem z pewnym wirusem, Avast pokazuje mi komunikat, że znalazł Win32:Malwere-gen. Każe mu go usunąc i komunikat znowu się pojawia. Tak można przez cały dzień. Mam Windows 7 Ultimate x64.Wykonałam tylko log z OTL bo ten drugi nie działa na x64.

log z OTL:
http://www.wklej.eu/index.php?id=a9938d47b7

Na początek użyj TDSSKiller http://support.kaspersky.com/viruses/so ... =208280684 i podaj log z niego.

Następnie uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
SRV:64bit: - File not found [On_Demand | Stopped] -- C:\Windows\SysNative\GameMon.des -- (npggsvc)
DRV:64bit: - File not found [Kernel | Boot | Stopped] -- C:\Windows\SysNative\drivers\ncaaekvq.sys -- (xdvlndaokodwck)
DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\npptNT2.sys -- (NPPTNT2)
DRV:64bit: - File not found [Kernel | Boot | Stopped] -- C:\Windows\SysNative\drivers\sxmun.sys -- (gindnvuzvnt)
DRV - [2010-10-28 16:11:53 | 000,044,800 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\system32\drivers\obathcesgtebm.sys -- (slhbedyiucua)
DRV - [2010-10-28 16:11:53 | 000,044,800 | ---- | M] () [Kernel | Boot | Stopped] -- C:\Windows\system32\drivers\hqdwweg.sys -- (knsqgigiord)
O4 - HKU\.DEFAULT..\Run: [DAT10BA.tmp.exe] C:\Windows\TEMP\DAT10BA.tmp.exe ()
O4 - HKU\.DEFAULT..\Run: [DAT4CB9.tmp.exe] C:\Windows\TEMP\DAT4CB9.tmp.exe ()
O4 - HKU\S-1-5-18..\Run: [DAT10BA.tmp.exe] C:\Windows\TEMP\DAT10BA.tmp.exe ()
O4 - HKU\S-1-5-18..\Run: [DAT4CB9.tmp.exe] C:\Windows\TEMP\DAT4CB9.tmp.exe ()
O4 - HKU\S-1-5-21-3774848447-3132507438-690786228-1001..\Run: [AdobeBridge] File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\SysWow64\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\SysWow64\mctadmin.exe File not found

:Files
C:\Windows\tasks\At*.job
C:\ProgramData\XT6i88Ej.exe
C:\ProgramData\Qqf032A2.dat
C:\Users\Paulinka\AppData\Local\Temp*.html
C:\Windows\SysWow64\drivers\obathcesgtebm.sys
C:\Windows\SysWow64\drivers\hqdwweg.sys
C:\Windows\Fonts\XJp44.com
C:\Windows\SysWow64\drivers\str.sys

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AdobeAAMUpdater-1.0"=-
"HotKeysCmds"=-
"IgfxTray"=-
"Persistence"=-
"AdobeCS5ServiceManager"=-
"GrooveMonitor"=-
"SwitchBoard"=-

:Commands
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL (nie zapomnij tym razem o logu Extras).

Przede wszystkim dziękuję za odpowiedź.....i podaję linki do logów:

Log z TDSSKiller:
http://www.wklej.eu/index.php?id=c763da3f8e

Log z OTL po tym procesie własnego skanowania (czyli log z usuwania):
http://www.wklej.eu/index.php?id=f05efac5cc

Log z OTL nowy:
http://www.wklej.eu/index.php?id=5f24bc4771

Log z OTL nowy- Extras:
http://www.wklej.eu/index.php?id=64f7d80c4d

Nawet dobrze to wygląda. Zrób jeszcze dla pewności nowy skan TDSSKiller i podaj log z niego, bo chcę wiedzieć, czy zrobił porządek w mbr.

Log z TDSSKiller:
http://www.wklej.eu/index.php?id=5ae02760e7

Mam pytanie bardzo istotne- czy mogę korzystać ze wszystkich e-maili i gg na starych hasłach czy powinnam założyć wszystko od nowa?

Mam pytanie bardzo istotne- czy mogę korzystać ze wszystkich e-maili i gg na starych hasłach czy powinnam założyć wszystko od nowa?

Jeśli korzystałaś z tych haseł w czasie, gdy komputer był już zainfekowany to dobrze by było je pozmieniać.

W logach nic więcej nie widać.

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zainstaluj najnowszą wersję Avasta http://www.instalki.pl/programy/downloa ... virus.html

Malwarebytes' Anti-Malware wykrył 3 rzeczy, więc podaję loga:
http://www.wklej.eu/index.php?id=97015fd67d

Mam już Avasta- czy wystarczy, że zrobiłam aktualizację, czy lepiej ściągnąć nową wersję?

Ok, możesz jeszcze opróżnić kwarantannę Malwarebytes.

Mam już Avasta- czy wystarczy, że zrobiłam aktualizację, czy lepiej ściągnąć nową wersję?

Wiem, że masz, ale w starej wersji 4. Teraz mamy już wersję 5, więc odinstaluj tego starego (możesz się do tego posłużyć tym narzędziem http://www.avast.pl/index.php/strony/12) i zainstaluj najnowszą wersję.

Odinstalowalam starego Avasta wedle instrukcji, potem uruchomiłam ponownie komputer i zainstalowałam nowego Avasta.
Po może minucie wyskoczyło mi "Alert usługi WindowsDefender: TrojanDownloader:Unruy.H"
Więc sądzę, że znowu mam wirusa:(((

Oto log:
http://www.wklej.eu/index.php?id=91b1e89c9a

Bardzo proszę ponownie o pomoc.

Extras:
http://www.wklej.eu/index.php?id=70be70cc97

Faktycznie, tylko skąd to dziadostwo wlazło...

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
PRC - [2010-11-03 18:35:56 | 000,078,340 | ---- | M] () -- C:\ProgramData\XT6i88Ej.exe
PRC - [2010-11-03 18:35:56 | 000,078,340 | ---- | M] () -- C:\Users\Paulinka\AppData\Local\Temp\hki182.exe
SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe -- (aswUpdSv)
SRV - [2010-10-31 18:05:41 | 000,100,356 | ---- | M] () [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe -- (SwitchBoard)

:Files
C:\ProgramData\XT6i88Ej.exe
C:\Users\Paulinka\AppData\Local\Temp\hki182.exe
C:\ProgramData\XT6i88Ej.exe_

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

Log z OTL z usuwania:
http://www.wklej.eu/index.php?id=d414c7a2d3

Nowe logi z OTL:
zwykły:
http://www.wklej.eu/index.php?id=f8be51b193

extras:
http://www.wklej.eu/index.php?id=4f1db7e710

Ok, usunięte.

W OTL kliknij Sprzątanie

Zrób także dla pewności skan ESET Online Scanner http://www.eset.pl/onlinescan

Dziękuję serdecznie...
sprzątanie zrobione, a co do ESET Online Scanner to na stronie jest kilka wersji testowych (darmowych)- czy wszystko jedno, którą ściągnę, czy któraś z nich jest szczególnie polecana?

Pytam, ponieważ po naciśnięciu ESET Online Scanner wyskakuje mi tylko umowa licencyjna (drobnym drukiem), zgadzam się, ale dalej nic się nie dzieje.

Ostatnio edytowany przez Pola, 03 Lis 2010, 22:44, edytowano w sumie 1 raz