Stránka 1 z 2
ESET NOD32 - odstraní vir, ale neodstraní
Napsal: 06 črc 2009 10:38
od Mejsny
Ahojda,
používám antivirák ESET NOD32. Vždy automaticky detekuje viry a dělá snimi, co je potřeba.
Teď detekuje:
Object:
C:\WINDOWS\system32\wowfx.dll
Threat:
probably a variant of Win32/Agent trojan
Information:
cleaned by deleting - quarantined
Jenomže - skáče to pořád kolem dokola, už právě teď asi po 150x, zkoušel jsem vše možné (to, co mě jako amaterského/lehce pokročilého uživatele PC napadlo), už jsem i chtěl si ten soubor vyhledat sám a manuálně ho vymazat, ale ejhle, žádný takový na uvedené cestě není!
Budu vděčen za každou radu, která povede k vyřešení.
Děkuji Vám moc.
Napsal: 06 črc 2009 10:43
od uiqjirka
A používáš poslední verzi NOD32 tj verzi 4??
Jinak zkus vypnout obnovu systému, v koši (c:\recycled) smazat soubory Info2, a pak soubory DCx.dll a ve windows\system32 smazat zmiňovaný wowfx.dll(pokud se tam nachází).
v registrech najít klíč HKLM/SOFTWARE/Microsoft/Windows NT/CurrentWindows/Windows/ a v pravém okně smazat položku AppInit_DLLs (popř. editovat a vymazat z hodnoty soubor wowfx.dll).
Restart a kontrola, zda se wowfx.dll nevrátil.
Napsal: 06 črc 2009 10:58
od kubino
Z popisu to vypadá, že si s tím NOD32 neporadí. Zkusil bych Kasperskyho (stačí trial) a proskenovat počítač (Kasper mi připadá na likvidaci havěti úspěšnější).
Nic nezkazíš ani antispywarovym programem, já mám dobrou zkušenost s "Antimalwarem"
http://www.malwarebytes.org/mbam.php nebo je řada dalších (Ad-aware, Spybot SD..)
Také doporučuju navštívit viry.cz , hlavně jejich fórum.
Napsal: 06 črc 2009 11:05
od uiqjirka
Na viry.cz se to resilo a nepomohl ani zadny jiny antivir na 100%,proto je nutne docistit rucne jak jsem jiz psal.
Napsal: 06 črc 2009 11:12
od Mejsny
uiqjirka píše:A používáš poslední verzi NOD32 tj verzi 4??
Jinak zkus vypnout obnovu systému, v koši (c:\recycled) smazat soubory Info2, a pak soubory DCx.dll a ve windows\system32 smazat zmiňovaný wowfx.dll(pokud se tam nachází).
v registrech najít klíč HKLM/SOFTWARE/Microsoft/Windows NT/CurrentWindows/Windows/ a v pravém okně smazat položku AppInit_DLLs (popř. editovat a vymazat z hodnoty soubor wowfx.dll).
Restart a kontrola, zda se wowfx.dll nevrátil.
Ok děkuji, vyzkouším.. jinám mám NOD 32 verzi 3...
Napsal: 06 črc 2009 11:12
od Mejsny
Vyzkoušim vše, co zde bylo zmíněné..
Zatím fakt moc děkuji za čas a ochotu.
Napsal: 06 črc 2009 11:33
od Mejsny
uiqjirka píše:Jinak zkus vypnout obnovu systému.
- to myslíš teda jako obnovení systému vypnout, ju? tO jsem vypnul
uiqjirka píše:v koši (c:\recycled) smazat soubory Info2, a pak soubory DCx.dll
v c:\recycler jsou jen 3 soubory - z toho jeden smazat nejde - je používán jiným programem...)
uiqjirka píše:ve windows\system32 smazat zmiňovaný wowfx.dll(pokud se tam nachází).
- nenachází!
uiqjirka píše:HKLM/SOFTWARE/Microsoft/Windows NT/CurrentWindows/Windows/ a v pravém okně smazat položku AppInit_DLLs (popř. editovat a vymazat z hodnoty soubor wowfx.dll).
Restart a kontrola, zda se wowfx.dll nevrátil.
- AppInit_DLLs jsem smazal, PC restartoval a skáče to znovu!
Napsal: 06 črc 2009 11:42
od entropy
antiviry používej vždycky v poslední verzi. i pokud mají stejnou virovou databázi, odlišný programový verze budou mít pravděpodobně taky odlišný testovací jádro.
system restore občas pomůže vypnout, v tomhle případě se asi virus obnovuje odjinud... kdy se vrací? hned, po restartu, po připojení k síti? (tj. antivirus to podle všeho odstraní, ale *něco* ti to tam vrací)
pokud dostáváš hlášení, že soubor je něčím používaný - buď ho drží antivirus, který ho detekoval, nebo jiná součást viru. v tom případě by mohlo pomoct restartovat do nouzáku a zkusit to smazat tam.
pokud ti nejnovější a aktualizovaná (!!!) verze běžnýho antiviru nic nenajde, projeď to ještě GMERem
http://www.gmer.net/ - doporučuju gmer.exe před spuštěním přejmenovat na něco typu fdskjkl.exe
Napsal: 06 črc 2009 12:43
od Mejsny
no, takže aktuální verze dělá úplně to samé, jako ta starší.....
zkoušel jsem to vymazat v nouzáku... b ehem asi 2vteřin, co jsem to smazal, to tam naskočilo znovu...
a to gmer nevim, jak stim mám dělat... jak se to prosim používá.. vo mám přesěn udělat?
Napsal: 06 črc 2009 13:18
od Gogo
http://www.viry.cz/forum/viewtopic.php?t=43207/
zkus toto,pak tam máš i odkaz a návod na Gmer,hezky česky
Napsal: 06 črc 2009 14:50
od Mejsny
killbox to nevyčistil!
log z gmer...
GMER 1.0.15.14972 -
http://www.gmer.net
Rootkit scan 2009-07-06 14:50:00
Windows 5.1.2600 Service Pack 2
---- System - GMER 1.0.15 ----
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF73D22A8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF73DD910]
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 867D71F8
AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)
---- Modules - GMER 1.0.15 ----
Module _________ F7334000-F734C000 (98304 bytes)
---- Threads - GMER 1.0.15 ----
Thread System [4:396] 859AE790
---- EOF - GMER 1.0.15 ----
já už fakt nevim.
Napsal: 06 črc 2009 15:31
od Mejsny
Tak vypadá, že hotovo...
pomohl mi následující způsob:
Otevřte poznámkový blok a zkopírujte do něj:
File::
C:\WINDOWS\system32\wowfx.dll
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkKefCt]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TransBar"=-
Uložte na plochu jako CFScript.txt. Pak jej myší přetáhněte nad ikonu ComboFix a pusťte. CF se spustí a vykoná příkazy ze skriptu.
Pak to pracovalo, pracovalo.. restartovalo atd.. zkrátka jsem jel podle instrukcí a zatim to tam neskáče... takže by to mělo být ok!!!
na to, že mi to trvalo od rána hledání a zkoušení, ptání atd... docela úspěch..
všem děkuju moc za ochotné rady a tipy!
Napsal: 06 črc 2009 19:30
od Lukas1760
Hm..taketo problemy ja neriešim. proste sformatujem particiu na ktorej mam Win nainstalujem nanovo cca 45 minut roboty aj s drivermi a inymi app..
Napsal: 07 črc 2009 06:44
od Gogo
hm,takže stahuješ kdejakou havěť, po síti ji posíláš dál a když už se to nedá vydržet,uděláš reinstal
...taky řešení
Mejsny,jak se ti ty viry dostávají do systému,nad tím jsi nepřemýšlel? Možná by to chtělo změnu antiviru
Napsal: 07 črc 2009 09:29
od Mejsny
No, popravdě řečeno.. ono je to těžký... jeden řekne, "tohle je šmejd", tohle je nejlepší antivir, tenhle zase řekne ono a tenhle toto... je to těžký... pravda je, že tohle se mi stalo poprvý.. jinak si nemužu na eseta stěžovat! fakt ne! co by si doporučil za antivirák?