dolarp
(Dolarp)
14 Czerwiec 2010 20:02
#1
Witam.
Będę bardzo wdzięczny w rozwiązaniu mojego problemu. Mam na komputerze stacjonarnym wirusa win32.Protector.A którego wykrywa mi Kaspersky, ale nie daje rady go usunąć. Bardzo bym prosił o pomoc jak i czym można się z tym uporać gdyż na jutro na g 11 mam wykonać pracę zaliczeniową. Z góry dziękuje i pozdrawiam.
szymon189
(szymon189)
14 Czerwiec 2010 20:25
#2
Użyj programu SDFix. Opis znajdziesz tutaj .
Daj potem logi z OTL’a. Opis masz tutaj jak wykonać log.
dolarp
(Dolarp)
14 Czerwiec 2010 21:24
#3
Robię już skany zaraz będą.
– Dodane 14.06.2010 (Pn) 23:47 –
Oto logi, co dalej?
Log Z Otl
http://wklejto.pl/70102
Extras z Otl
http://wklejto.pl/70103
Log z SdFix
http://wklejto.pl/70104
jessica
(jessica)
15 Czerwiec 2010 05:43
#4
Masz co najmniej trzy infekcje.
Plik Systemowy “ndis.sys” jest podstawiony przez infekcję, trzeba go podmienić. Teoretycznie masz na dysku dobrą kopię, ale to nie jest pewne, bo w logu widać to:
Unable to obtain MD5 – C:\WINDOWS\ServicePackFiles\i386\ndis.sys
Lepiej nie ryzykować podmiany na taki niepewny plik.
Plik "user32.dll też mi się nie podoba, więc od razu przy okazji też go podmienimy.
Ściągnij plik “ndis.sys” stąd >http://www.speedyshare.com/files/22965857/ndis.sys , i umieść go bezpośrednio na dysku C:\
Ściągnij plik “user32.dll” stąd >http://www.speedyshare.com/files/22965862/user32.dll , i umieść go bezpośrednio na dysku C:\
Potem:
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL SRV - [2010-06-14 12:38:31 | 000,213,504 | ---- | M] () [Auto | Running] – C:\WINDOWS\system32\sshnas21.dll – (SSHNAS) NetSvcs: SSHNAS - C:\WINDOWS\system32\sshnas21.dll () IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=13170&l=dis IE - HKCU…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask.com ) [2010-04-29 17:55:01 | 000,002,426 | ---- | M] () – C:\Documents and Settings\Darek_i_Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\1n4lfq89.default\searchplugins\askcom.xml [2010-04-29 19:20:08 | 000,002,059 | ---- | M] () – C:\Documents and Settings\Darek_i_Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\1n4lfq89.default\searchplugins\daemon-search.xml O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask.com ) O3 - HKCU…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask.com ) O4 - HKCU…\Run: [M5T8QL3YW3] C:\DOCUME~1\DAREK_~1\USTAWI~1\Temp\Vr1.exe File not found MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - Reg Error: Value error. File not found MsConfig - StartUpReg: DAEMON Tools Pro Agent - hkey= - key= - Reg Error: Value error. File not found [2010-06-14 21:21:45 | 000,095,360 | ---- | C] (Microsoft Corporation) – C:\WINDOWS\System32\dllcache.sys [2010-06-14 12:38:17 | 000,000,000 | —D | C] – C:\Documents and Settings\Darek_i_Przemek\Ustawienia lokalne\Dane aplikacji\Windows Server [2010-06-14 23:31:00 | 000,000,308 | -H-- | M] () – C:\WINDOWS\tasks{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job [2010-06-14 23:27:27 | 000,000,266 | -H-- | M] () – C:\WINDOWS\tasks{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job [2010-06-14 12:41:55 | 000,000,001 | ---- | M] () – C:\Documents and Settings\Darek_i_Przemek\oashdihasidhasuidhiasdhiashdiuasdhasd [2010-06-14 12:40:39 | 000,184,832 | ---- | M] () – C:\WINDOWS\Vlocib.exe [2010-06-14 12:38:32 | 000,184,832 | ---- | M] () – C:\WINDOWS\Vlocia.exe [2010-06-14 12:38:31 | 000,213,504 | ---- | M] () – C:\WINDOWS\System32\sshnas21.dll :Files C:\Windows\System32\drivers\ndis.sys|C:\ndis.sys /replace C:\WINDOWS\System32\dllcache\ndis.sys |C:\ndis.sys /replace C:\Windows\System32\user32.dll|C:\user32.dll /replace C:\Windows\System32\dllcache\user32.dll|C:\user32.dll /replace :Commands [emptytemp]
Kliknij w Run Fix . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Zrób nowy log na dodatkowym ustawieniu:
W pole Custom Scans/Fixes wklej:
i dopiero wtedy kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
dolarp
(Dolarp)
15 Czerwiec 2010 17:02
#5
Witam. Bylem na uczelni ale kompa jeszcze nie naprawiłem. Nie mogę skopiować ndis.sys na żaden dysk. Uruchomiłem kompa w trybie awaryjnym, wyłączyłem explorera i chciałem skopiować przez cmd ale nie daje rady. Także stoję w miejscu a nie chce formatować kompa bo mam za dużo roboty z tym…
jessica
(jessica)
15 Czerwiec 2010 17:12
#6
Tak, to już nie pierwszy przypadek, że sam System nie pozwala, by go naprawiono.
W tej sytuacji niewiele można zrobić.
Być może jest jeszcze zdrowa kopia w folderze “System Volume information”, dlatego użyj > ComboFix
Jeśli ComboFix znajdzie taką kopię, to samoczynnie podmieni.
Jeśli natomiast nie znajdzie, to będzie źle.
Wtedy założysz temat >TU
Może tam @Picasso wymyśli jakiś sposób, by dało się ściągnąć z netu ten plik, i zapisać go na dysku.?
jessi
szymon189
(szymon189)
15 Czerwiec 2010 17:16
#7
Tutaj znajdziesz sposób na podmianę zainfekowanego pliku.
dolarp
(Dolarp)
15 Czerwiec 2010 17:18
#8
Spróbuję przez konsole odzyskiwanie Windows XP, właśnie to robię wiec może się uda.
– Dodane 15.06.2010 (Wt) 19:38 –
Udało mi się skopiować plik ndis.sys z USB z konsoli odzyskiwania Windows XP. Uruchomiłem z płytki instalacyjnej i poszło. Zamieniłem pliki ndis.sys które były na dysku C: w katalogach :
C:\Windows\System32\drivers\ndis.sys
C:\WINDOWS\System32\dllcache\ndis.sys
na czyste z USB. Potem wykonałem skan tu jest log http://wklejto.pl/70152
Następnie wykonałem drugi skan tak jak napisała jessica. Następny log.http://wklejto.pl/70154
Proszę sprawdzić czy już wsio gra
Monczkin
(Monczkin)
16 Czerwiec 2010 07:06
#10
dolarp , nazwij temat konkretnie i bez zbędnych pomocy w nazwie. Inaczej wyciągnę konsekwencje. Przeczytaj ten temat.
viewtopic.php?f=16&t=394978