ESET NOD32 - odstraní vir, ale neodstraní

Obecná diskuse o programech, utlitách, střihové programy, přehrávače video / audio, zpracování fotek atp.
Mejsny
občas něco napíše
Příspěvky: 81
Registrován: 01 črc 2008 22:22

ESET NOD32 - odstraní vir, ale neodstraní

Příspěvekod Mejsny » 06 črc 2009 10:38

Ahojda,

používám antivirák ESET NOD32. Vždy automaticky detekuje viry a dělá snimi, co je potřeba.

Teď detekuje:

Object:
C:\WINDOWS\system32\wowfx.dll
Threat:
probably a variant of Win32/Agent trojan
Information:
cleaned by deleting - quarantined

Jenomže - skáče to pořád kolem dokola, už právě teď asi po 150x, zkoušel jsem vše možné (to, co mě jako amaterského/lehce pokročilého uživatele PC napadlo), už jsem i chtěl si ten soubor vyhledat sám a manuálně ho vymazat, ale ejhle, žádný takový na uvedené cestě není! :(

Budu vděčen za každou radu, která povede k vyřešení.

Děkuji Vám moc.
Fujitsu Siemens Amilo Pa 2548
AMD Turion(tm) 64 X2 Mobile Technology TL-64 2,2 GHz. 2GB RAM 320GB HDD, DVD-RW, NVIDIA GeForce 8400M G, Windows Vista Home Edition SP2

uiqjirka
píše často
Příspěvky: 200
Registrován: 19 srp 2008 18:25

Příspěvekod uiqjirka » 06 črc 2009 10:43

A používáš poslední verzi NOD32 tj verzi 4??

Jinak zkus vypnout obnovu systému, v koši (c:\recycled) smazat soubory Info2, a pak soubory DCx.dll a ve windows\system32 smazat zmiňovaný wowfx.dll(pokud se tam nachází).
v registrech najít klíč HKLM/SOFTWARE/Microsoft/Windows NT/CurrentWindows/Windows/ a v pravém okně smazat položku AppInit_DLLs (popř. editovat a vymazat z hodnoty soubor wowfx.dll).
Restart a kontrola, zda se wowfx.dll nevrátil.
HP ProBook 470 - Windows 11 Pro - 512GB SSD, 2TB HDD, 16GB RAM, Intel Core i7
Lenovo Thinkpad T430s - Windows 11 Pro - 512GB SSD, 1TB HDD, 8GB RAM, Intel Core i3
Lenovo Thinkpad T420 - Windows 11 Pro - 512GB SSD, 1TB HDD, 8GB RAM, Intel Core i5

kubino
guru
Příspěvky: 812
Registrován: 15 čer 2007 19:07

Příspěvekod kubino » 06 črc 2009 10:58

Z popisu to vypadá, že si s tím NOD32 neporadí. Zkusil bych Kasperskyho (stačí trial) a proskenovat počítač (Kasper mi připadá na likvidaci havěti úspěšnější).
Nic nezkazíš ani antispywarovym programem, já mám dobrou zkušenost s "Antimalwarem" http://www.malwarebytes.org/mbam.php nebo je řada dalších (Ad-aware, Spybot SD..)
Také doporučuju navštívit viry.cz , hlavně jejich fórum.
[size=92]Compal->Asus->Dell (Razer->Logitech)[/size]

uiqjirka
píše často
Příspěvky: 200
Registrován: 19 srp 2008 18:25

Příspěvekod uiqjirka » 06 črc 2009 11:05

Na viry.cz se to resilo a nepomohl ani zadny jiny antivir na 100%,proto je nutne docistit rucne jak jsem jiz psal.
HP ProBook 470 - Windows 11 Pro - 512GB SSD, 2TB HDD, 16GB RAM, Intel Core i7
Lenovo Thinkpad T430s - Windows 11 Pro - 512GB SSD, 1TB HDD, 8GB RAM, Intel Core i3
Lenovo Thinkpad T420 - Windows 11 Pro - 512GB SSD, 1TB HDD, 8GB RAM, Intel Core i5

Mejsny
občas něco napíše
Příspěvky: 81
Registrován: 01 črc 2008 22:22

Příspěvekod Mejsny » 06 črc 2009 11:12

uiqjirka píše:A používáš poslední verzi NOD32 tj verzi 4??

Jinak zkus vypnout obnovu systému, v koši (c:\recycled) smazat soubory Info2, a pak soubory DCx.dll a ve windows\system32 smazat zmiňovaný wowfx.dll(pokud se tam nachází).
v registrech najít klíč HKLM/SOFTWARE/Microsoft/Windows NT/CurrentWindows/Windows/ a v pravém okně smazat položku AppInit_DLLs (popř. editovat a vymazat z hodnoty soubor wowfx.dll).
Restart a kontrola, zda se wowfx.dll nevrátil.


Ok děkuji, vyzkouším.. jinám mám NOD 32 verzi 3...
Fujitsu Siemens Amilo Pa 2548

AMD Turion(tm) 64 X2 Mobile Technology TL-64 2,2 GHz. 2GB RAM 320GB HDD, DVD-RW, NVIDIA GeForce 8400M G, Windows Vista Home Edition SP2

Mejsny
občas něco napíše
Příspěvky: 81
Registrován: 01 črc 2008 22:22

Příspěvekod Mejsny » 06 črc 2009 11:12

Vyzkoušim vše, co zde bylo zmíněné..

Zatím fakt moc děkuji za čas a ochotu.
Fujitsu Siemens Amilo Pa 2548

AMD Turion(tm) 64 X2 Mobile Technology TL-64 2,2 GHz. 2GB RAM 320GB HDD, DVD-RW, NVIDIA GeForce 8400M G, Windows Vista Home Edition SP2

Mejsny
občas něco napíše
Příspěvky: 81
Registrován: 01 črc 2008 22:22

Příspěvekod Mejsny » 06 črc 2009 11:33

uiqjirka píše:Jinak zkus vypnout obnovu systému.


- to myslíš teda jako obnovení systému vypnout, ju? tO jsem vypnul

uiqjirka píše:v koši (c:\recycled) smazat soubory Info2, a pak soubory DCx.dll


v c:\recycler jsou jen 3 soubory - z toho jeden smazat nejde - je používán jiným programem...)

uiqjirka píše:ve windows\system32 smazat zmiňovaný wowfx.dll(pokud se tam nachází).


- nenachází!

uiqjirka píše:HKLM/SOFTWARE/Microsoft/Windows NT/CurrentWindows/Windows/ a v pravém okně smazat položku AppInit_DLLs (popř. editovat a vymazat z hodnoty soubor wowfx.dll).
Restart a kontrola, zda se wowfx.dll nevrátil.


- AppInit_DLLs jsem smazal, PC restartoval a skáče to znovu! :-(
Fujitsu Siemens Amilo Pa 2548

AMD Turion(tm) 64 X2 Mobile Technology TL-64 2,2 GHz. 2GB RAM 320GB HDD, DVD-RW, NVIDIA GeForce 8400M G, Windows Vista Home Edition SP2

entropy
píše často
Příspěvky: 376
Registrován: 08 bře 2008 13:00

Příspěvekod entropy » 06 črc 2009 11:42

antiviry používej vždycky v poslední verzi. i pokud mají stejnou virovou databázi, odlišný programový verze budou mít pravděpodobně taky odlišný testovací jádro.

system restore občas pomůže vypnout, v tomhle případě se asi virus obnovuje odjinud... kdy se vrací? hned, po restartu, po připojení k síti? (tj. antivirus to podle všeho odstraní, ale *něco* ti to tam vrací)

pokud dostáváš hlášení, že soubor je něčím používaný - buď ho drží antivirus, který ho detekoval, nebo jiná součást viru. v tom případě by mohlo pomoct restartovat do nouzáku a zkusit to smazat tam.

pokud ti nejnovější a aktualizovaná (!!!) verze běžnýho antiviru nic nenajde, projeď to ještě GMERem http://www.gmer.net/ - doporučuju gmer.exe před spuštěním přejmenovat na něco typu fdskjkl.exe
Dell Latitude E5500 | XP Pro | Intel P8400 | 4500MHD | 15.4" WXGA+ | 200GB 7200RPM | 2GB 800MHz RAM | 8x DVD RW | WiFiLink 5100 | 6 Cell 56WHr LI-ION
Nepište na SZ dotazy, co patří na fórum. Na SZ odpověď nedostanete, na fóru ano.

Mejsny
občas něco napíše
Příspěvky: 81
Registrován: 01 črc 2008 22:22

Příspěvekod Mejsny » 06 črc 2009 12:43

no, takže aktuální verze dělá úplně to samé, jako ta starší.....

zkoušel jsem to vymazat v nouzáku... b ehem asi 2vteřin, co jsem to smazal, to tam naskočilo znovu...

a to gmer nevim, jak stim mám dělat... jak se to prosim používá.. vo mám přesěn udělat?
Fujitsu Siemens Amilo Pa 2548

AMD Turion(tm) 64 X2 Mobile Technology TL-64 2,2 GHz. 2GB RAM 320GB HDD, DVD-RW, NVIDIA GeForce 8400M G, Windows Vista Home Edition SP2

Gogo
guru
Příspěvky: 3904
Registrován: 17 kvě 2007 20:59
Bydliště: Brno

Příspěvekod Gogo » 06 črc 2009 13:18

http://www.viry.cz/forum/viewtopic.php?t=43207/
zkus toto,pak tam máš i odkaz a návod na Gmer,hezky česky
ACER Aspire 7730G-734G32MN / Prodáno

Mejsny
občas něco napíše
Příspěvky: 81
Registrován: 01 črc 2008 22:22

Příspěvekod Mejsny » 06 črc 2009 14:50

killbox to nevyčistil!

log z gmer...
GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-06 14:50:00
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateKey [0xF73D22A8]
SSDT d347bus.sys (PnP BIOS Extension/ ) ZwEnumerateValueKey [0xF73DD910]

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 867D71F8

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)

---- Modules - GMER 1.0.15 ----

Module _________ F7334000-F734C000 (98304 bytes)

---- Threads - GMER 1.0.15 ----

Thread System [4:396] 859AE790

---- EOF - GMER 1.0.15 ----


já už fakt nevim. :-(
Fujitsu Siemens Amilo Pa 2548

AMD Turion(tm) 64 X2 Mobile Technology TL-64 2,2 GHz. 2GB RAM 320GB HDD, DVD-RW, NVIDIA GeForce 8400M G, Windows Vista Home Edition SP2

Mejsny
občas něco napíše
Příspěvky: 81
Registrován: 01 črc 2008 22:22

Příspěvekod Mejsny » 06 črc 2009 15:31

Tak vypadá, že hotovo...

pomohl mi následující způsob:

Otevřte poznámkový blok a zkopírujte do něj:

File::
C:\WINDOWS\system32\wowfx.dll

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkKefCt]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TransBar"=-



Uložte na plochu jako CFScript.txt. Pak jej myší přetáhněte nad ikonu ComboFix a pusťte. CF se spustí a vykoná příkazy ze skriptu.

Pak to pracovalo, pracovalo.. restartovalo atd.. zkrátka jsem jel podle instrukcí a zatim to tam neskáče... takže by to mělo být ok!!! :D na to, že mi to trvalo od rána hledání a zkoušení, ptání atd... docela úspěch..

všem děkuju moc za ochotné rady a tipy!
Fujitsu Siemens Amilo Pa 2548

AMD Turion(tm) 64 X2 Mobile Technology TL-64 2,2 GHz. 2GB RAM 320GB HDD, DVD-RW, NVIDIA GeForce 8400M G, Windows Vista Home Edition SP2

Lukas1760
občas něco napíše
Příspěvky: 26
Registrován: 23 čer 2009 23:09

Příspěvekod Lukas1760 » 06 črc 2009 19:30

Hm..taketo problemy ja neriešim. proste sformatujem particiu na ktorej mam Win nainstalujem nanovo cca 45 minut roboty aj s drivermi a inymi app.. :)

Gogo
guru
Příspěvky: 3904
Registrován: 17 kvě 2007 20:59
Bydliště: Brno

Příspěvekod Gogo » 07 črc 2009 06:44

hm,takže stahuješ kdejakou havěť, po síti ji posíláš dál a když už se to nedá vydržet,uděláš reinstal :lol: ...taky řešení


Mejsny,jak se ti ty viry dostávají do systému,nad tím jsi nepřemýšlel? Možná by to chtělo změnu antiviru
ACER Aspire 7730G-734G32MN / Prodáno

Mejsny
občas něco napíše
Příspěvky: 81
Registrován: 01 črc 2008 22:22

Příspěvekod Mejsny » 07 črc 2009 09:29

No, popravdě řečeno.. ono je to těžký... jeden řekne, "tohle je šmejd", tohle je nejlepší antivir, tenhle zase řekne ono a tenhle toto... je to těžký... pravda je, že tohle se mi stalo poprvý.. jinak si nemužu na eseta stěžovat! fakt ne! co by si doporučil za antivirák?
Fujitsu Siemens Amilo Pa 2548

AMD Turion(tm) 64 X2 Mobile Technology TL-64 2,2 GHz. 2GB RAM 320GB HDD, DVD-RW, NVIDIA GeForce 8400M G, Windows Vista Home Edition SP2


Zpět na „Software (nejen) pro notebooky“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 4 hosti