Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Avast 8.0.1489 z bazą danych 130729-0 wykrywa "One half-3666"

iagre 29 Lip 2013 22:41 2022 7
  • #1 29 Lip 2013 22:41
    iagre
    Poziom 35  

    Znajomy ma Laptopa na którym jest zainstalowany Windows Xp Profesional Pl Sp3 z Avastem 8.0.1489 z bazą danych o wirusach w wersji 130729-0. W trakcie startu (w fazie tekstowej przed uruchomieniem trybu graficznego) systemu włączyło się skanowanie Avastem. Znajomy wybrał opcję "przenieś wszystkie do kwarantanny". Po tym avast zaczął znajdować setki (a może tysiące) plików zakażonych wirusem "One half-3666". Kiedy po prawie godzinie od rozpoczęcia skanowania dotarłem do niego to miał przeskanowane dopiero 4% i masę plików przesuniętych do kwarantanny. Ponieważ na bieżąco nie pokazuje ilości "zakażonych" plików a dopiero w podsumowaniu na koniec skanowania to nie wiem ile tych plików zostało przeniesionych. Z tego co udało mi się zobaczyć to przenoszone do kwarantanny były głównie pliki EXE, MSI, AVI, LNK. Ponieważ było tego podejrzanie dużo to uznałem że może to być fałszywy alarm i przerwałem skanowanie po czym uruchomił się windows. Po uruchomieniu się windowsa avast zaczął wyświetlać komunikaty o znalezionych wirusach (one half-3666) i o przenoszeniu plików z tymi wirusami do kwarantanny. Wyłączyłem więc ochronę, przeszedłem do kwarantanny a następnie spróbowałem przywrócić wszystkie pliki. Na pulpit wróciły utracone pliki a z tego wnioskuję że wróciły utracone pliki również w innych lokalizacjach, ale niestety z listy kwarantanny nie ubył ani jeden plik. Po tym uruchomiłem ponownie laptopa z płyty Hiren's BootCd 15.2 i spróbowałem zrobić skanowanie antywirusami dostępnymi w MiniWindowsie na tej płycie. Niestety Avira Antyvir Personal nie chciał skanować z powodu:

    Cytat:
    Windows cannot find 'scan.log'. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

    Utworzyłem więc w jego lokalizacji (w ramdysku) plik scan.log ale jedyna zmiana to otwieranie się tego pliku w Notepad++ i ponowne wyświetlanie całego menu.
    Uruchomiłem ClamWinFree Antywirus ale on znalazł tylko dwa wirusy "Trojan.Generic.Bredolab-2" i "Trojan.FakeAV-2687" z czego ten pierwszy był w starej wersji avast_internet_security_setup.exe.
    Po tym spróbowałem uruchomić "DrWeb Curelt!" ale on niestety nie uruchamia sie z powodu:
    Cytat:
    Windows cannot find 'DrWebCurelt.exe'. Make sure you typed the name correctly, and the try again. To search for a file, click the Start button, and then click Search.

    Po tym włączyłem GMER-a który teraz robi skanowanie.
    W międzyczasie z innego PC (z tego teraz piszę) spróbowałem znaleźć w necie informacje na temat tego wirusa. Niestety nic po polsku a to co udało mi się znaleźć dotyczy "One half" ale bez oznaczenia "3666". Z tego co mi się udało zrozumieć z translate.google.pl wirus ten jest przeznaczony dla systemu Ms-Dos a nie dla windowsa z linii NT jakim jest WinXp. W związku z tym mam wątpliwości czy rzeczywiście w tym laptopie pojawił się wirus czy może to fałszywy alarm spowodowany jakimś błędem...

    Czy ktoś z was wie coś więcej (TYLKO W JĘZYKU POLSKIM) o tym wirusie pod WinXp? Teraz trwa skanowanie GMER-em w Hiren's BootCD. Jakie zalecacie dalsze działania?

    0 7
  • #2 30 Lip 2013 09:47
    iagre
    Poziom 35  

    Gmer zakończył działanie około godz 24.00 i wyświetlił dużą tabelkę z różnymi obiektami z czego większość to pliki. ale czy coś z nimi zrobił tego nie wiem. wynik jego pracy został zapisany (przycisk "save") na dysku tego laptopa.

    Przed chwilą uruchomiłem automatyczną naprawę z dysku CD z instalatorem Windowsa i... Faza tekstowa przebiegła standardowo al po ponownym uruchomieniu laptopa gdy instalator przeszedł do fazy graficznej okazało się że nie może znaleźć potrzebnych plików do kontynuacji instalacji windowsa. W kilku pierwszych okienkach z zapytaniem o potrzebne pliki nie było przycisku "przeglądaj" więc nie mogłem dostrzec że instalator nie widzi napędu CD/DVD i ręcznie wpisałem ścieżkę dostępu do kopii instalatora na dysku twardym. Po kilku następnych plikach pojawił się w okienkach przycisk "przeglądaj" i wtedy dostrzegłem że instalator nie widzi płyty CD - tylko zawartość dysku twardego. Na szczęście na dysku twardym jest kopia instalatora więc możliwe było kontynuowanie instalacji naprawczej.

    Więcej szczegółów później...

    0
  • Pomocny post
    #3 30 Lip 2013 12:19
    Kolobos
    Spec od komputerów

    Gmer to skaner, niczego sam nie robi. Czy ten zainfekowany system jeszcze dziala? Jezeli tak to daj oba logi z OTL w zalaczniku.

    Zrob skan przy pomocy mbam oraz cureit (w razie problemow uzyj livecd z cureit).

    0
  • #4 31 Lip 2013 12:58
    iagre
    Poziom 35  

    Kolobos napisał:
    Gmer to skaner, niczego sam nie robi. Czy ten zainfekowany system jeszcze dziala? Jezeli tak to daj oba logi z OTL w zalaczniku.

    Zrob skan przy pomocy mbam oraz cureit (w razie problemow uzyj livecd z cureit).

    System niby został naprawiony ale coś go nadal gryzie. :[ MBAM (uruchomiony z Hiren's BootCD 15.2) znalazł dwa jakieś podejrzane pliki, ale po ich usunięciu nie ma poprawy. Cureit jeszcze nie uruchamiałem - wieczorem spróbuję. Rano spróbowałem zrobić skanowanie OTL-em ale w rozsądnym czasie nie uruchomił się a ja nie miałem więcej czasu na to. Wieczorem zrobię jeszcze jedno podejście. jesli nic z tego nie wyjdzie to zrobię nową, czystą instalację Windowsa.

    0
  • #5 31 Lip 2013 22:47
    iagre
    Poziom 35  

    Kolobos napisał:
    Gmer to skaner, niczego sam nie robi. Czy ten zainfekowany system jeszcze dziala? Jezeli tak to daj oba logi z OTL w zalaczniku.

    Zrob skan przy pomocy mbam oraz cureit (w razie problemow uzyj livecd z cureit).


    Tu są oba pliki ze skanowania OTL-em z ustawieniami domyślnymi.
    Cureit szukam i wszystkie wyniki wskazują na Dr.Web. Uruchomiłem Hirens BootCd 15.2 i z jego menu wybrałem Dr.Web Cureit! ale zamiast skanowania dostałem komunikat:
    Cytat:
    Windows cannot find 'DrWebCurelt.exe'. Make sure you typed the name correctly, and then try again. To search for a file, click the Start button, and then click Search.

    Przeszukałem płytę hirensa ale niestety nigdzie żadnego śladu obecności cureit.
    Uruchomiłem (z hirensa) Malwarebytes Anti-Malware i teraz czekam na wyniki skanowania.

    0
  • Pomocny post
    #6 31 Lip 2013 22:54
    Kolobos
    Spec od komputerów

    Z poziomu minixp polacz sie z internetem, sciagnij cureit i dopiero skanuj.

    Sprawdz tez dowolny z zainfekowanych plikow na jotti i/lub virustotal i sprawdz czy faktycznie jest zainfekowany.

    Uzyj AdwCleaner, opcja Usun.



    Wykonaj skrypt w OTL:

    :OTL
    FF - prefs.js..browser.search.defaultenginename: "Winamp Search"
    FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query="
    FF - prefs.js..keyword.URL: "http://www.ask.com/web?o=13701&l=dis&q="
    [2013.01.29 23.52.58 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\Juliusz\Dane aplikacji\Mozilla\Firefox\Profiles\97oe5pis.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}
    [2013.02.11 21.28.34 | 000,000,000 | ---D | M] (Fast Search by Surf Canyon) -- C:\Documents and Settings\Juliusz\Dane aplikacji\Mozilla\Firefox\Profiles\vg6h80s5.default\extensions\{75623d5d-4683-402a-b610-ac4bab767c86}
    [2009.11.03 20.03.32 | 000,001,192 | ---- | M] () -- C:\Documents and Settings\Juliusz\Dane aplikacji\Mozilla\Firefox\Profiles\97oe5pis.default\searchplugins\winamp-search.xml
    O2 - BHO: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found.
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_38-windows-i586.cab (Reg Error: Value error.)
    O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
    O16 - DPF: {CAFEEFAC-0016-0000-0038-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_38-windows-i586.cab (Java Plug-in 1.6.0_38)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_38-windows-i586.cab (Reg Error: Key error.)


    Zapomnialem dopisac, daj tez screen z CrystalDiskInfo.

    0
  • #7 01 Sie 2013 14:26
    iagre
    Poziom 35  

    Kolobos napisał:
    Z poziomu minixp polacz sie z internetem, sciagnij cureit i dopiero skanuj.

    Laptop ma połączenie z netem tylko przez modem komórkowy (GSM/UMTS/LTE) podłączany przez USB i nie wiem jak uruchomić te połączenie pod MiniXP z Hirensa.
    W hirensie podejrzałem notatnikiem skrypt uruchamiający cureit i w nim znalazłem URL do pobrania cureit. Na innym PC pobrałem z tego URL cureit i przeniosłem za pomocą pendrive i uruchomiłem w windowsie uruchomionym w trybie awaryjnym.

    Kolobos napisał:
    Sprawdz tez dowolny z zainfekowanych plikow na jotti i/lub virustotal i sprawdz czy faktycznie jest zainfekowany.

    Cureit znalazł tylko dwa zagrożenia ale tylko w jednym pliku - Skype.exe. po czym wyświerlił zapytanie o naprawę tego problemu (dokładnie nie pamiętam jak pisało ale coś w tym sensie). Niestety tabelki z wynikiem skanowania nie dało się rozsunąć tak żeby zobaczyć całą ścieżkę dostępu do pliku Skype.exe więc nie mam pewności czy to jest plik programu Skype w jego standardowej lokalizacji czy może jakiś inny plik z taką samą nazwą. Po zakończeniu cureit przejrzałem katalog w którym był zapisany ale nie znalazłem w nim żadnych logów które by pozostawił. Wieczorem będę przy tym laptopie znowu to poszukam wszystkich plików Skype.exe i sprawdzę je we wskazanych serwisach.

    Kolobos napisał:
    Uzyj AdwCleaner, opcja Usun.

    Tym też zajmę się wieczorem.

    Kolobos napisał:
    Wykonaj skrypt w OTL:

    Skrypt wykonany dał taki wynik:
    OTL napisał:
    ========== OTL ==========
    Prefs.js: "Winamp Search" removed from browser.search.defaultenginename
    Prefs.js: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" removed from browser.search.defaulturl
    Prefs.js: "http://www.ask.com/web?o=13701&l=dis&q=" removed from keyword.URL
    C:\Documents and Settings\Juliusz\Dane aplikacji\Mozilla\Firefox\Profiles\97oe5pis.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\META-INF folder moved successfully.
    C:\Documents and Settings\Juliusz\Dane aplikacji\Mozilla\Firefox\Profiles\97oe5pis.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components folder moved successfully.
    C:\Documents and Settings\Juliusz\Dane aplikacji\Mozilla\Firefox\Profiles\97oe5pis.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\chrome folder moved successfully.
    C:\Documents and Settings\Juliusz\Dane aplikacji\Mozilla\Firefox\Profiles\97oe5pis.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} folder moved successfully.
    C:\Documents and Settings\Juliusz\Dane aplikacji\Mozilla\Firefox\Profiles\vg6h80s5.default\extensions\{75623d5d-4683-402a-b610-ac4bab767c86}\defaults\preferences folder moved successfully.




    C:\Documents and Settings\Juliusz\Dane aplikacji\Mozilla\Firefox\Profiles\vg6h80s5.default\extensions\{75623d5d-4683-402a-b610-ac4bab767c86}\defaults folder moved successfully.
    C:\Documents and Settings\Juliusz\Dane aplikacji\Mozilla\Firefox\Profiles\vg6h80s5.default\extensions\{75623d5d-4683-402a-b610-ac4bab767c86}\content folder moved successfully.
    C:\Documents and Settings\Juliusz\Dane aplikacji\Mozilla\Firefox\Profiles\vg6h80s5.default\extensions\{75623d5d-4683-402a-b610-ac4bab767c86} folder moved successfully.
    C:\Documents and Settings\Juliusz\Dane aplikacji\Mozilla\Firefox\Profiles\97oe5pis.default\searchplugins\winamp-search.xml moved successfully.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06}\ not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06}\ not found.
    Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-0016-0000-0038-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0038-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0038-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0038-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0038-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0038-ABCDEFFEDCBA}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.

    OTL by OldTimer - Version 3.2.69.0 log created on 08012013_103247

    Po wykonaniu skryptu wybrałem opcję "czyszczenie" która jednak już nie dała żadnego logu.

    Kolobos napisał:
    Zapomnialem dopisac, daj tez screen z CrystalDiskInfo.

    To też będzie wieczorem.

    0
  • #8 17 Sie 2013 14:04
    iagre
    Poziom 35  

    Wieczorem (01 sierpnia) zrobiłem skanowanie MBAM. Później nie miałem okazji wrzucić jego logu do tego tematu a jeszcze później nie miałem czasu na zajęcie się tym laptopem aż do momentu kiedy doszło do takiej sytuacji że system zgubił sterowniki i nie widział urządzeń i stała się konieczna nowa instalacja systemu. Ponieważ system jest już nowy to temat jest nieaktualny, ale na wypadek gdyby komuś chciało się analizować logi to wrzucam tu ostatni log - może ktoś dostrzeże w nim coś podejrzanego i podpowie na przyszłość co....

    0