Wczoraj wyskoczyło mi w avaście, że dzięki czemuś tam wykryło podejrzany program na C i pyta się czy usunąć jako, że ostatnio nic nie instalowałem a podjerzany plik to h0.exe to nacisnołem usuń, a następnie avast zasugerował restart komputer w celu przeskanowania pamięci systemu gdyż został zidentyfikowany wirus. No i tu rodzi się problem bowiem już 3 raz sprawdza ten system i nic nie znajduje.
Logi z OTL’a
Proszę o pomoc i z góry serdecznie dziękuję.
Patryk94
(Patryk94)
6 Styczeń 2010 18:08
#2
Jak usunął to chyba nie ma co znaleźć =D>
jessica
(jessica)
6 Styczeń 2010 18:18
#3
@ Squall2008 - akurat w tym przypadku to nieprawda, widać to w logu, którego chyba nawet nie przejrzałeś?
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL MOD - [2010-01-06 17:34:06 | 00,093,696 | RHS- | M] () – C:\Documents and Settings\a\Ustawienia lokalne\Temp\cvasds0.dll [2009-07-17 16:04:08 | 00,000,000 | —D | M] (Dealio Toolbar Plugin) – C:\Program Files\Mozilla Firefox\extensions{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} FF - prefs.js…extensions.enabledItems: {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}:4.0 [2008-10-29 20:58:25 | 00,024,576 | ---- | M] (My Global Search) – C:\Program Files\Mozilla Firefox\plugins\NPMyGlSh.dll O2 - BHO: (Dealio Toolbar) - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - C:\Program Files\Dealio Toolbar\DealioToolbarIE.dll (Spigot, Inc.) O2 - BHO: (SearchSettings Class) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll (Spigot, Inc.) O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\a\Ustawienia lokalne\Temp\herss.exe () O32 - AutoRun File - [2010-01-06 18:19:34 | 00,000,051 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-01-06 18:19:34 | 00,000,051 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-01-06 18:19:34 | 00,000,051 | RHS- | M] () - E:\autorun.inf – [NTFS] O33 - MountPoints2{029f9b1e-de89-11de-b667-001a4d5a0996}\Shell - “” = AutoRun O33 - MountPoints2{029f9b1e-de89-11de-b667-001a4d5a0996}\Shell\AutoRun\command - “” = L:\AutoRun.exe – File not found O33 - MountPoints2{029f9b21-de89-11de-b667-001a4d5a0996}\Shell - “” = AutoRun O33 - MountPoints2{029f9b21-de89-11de-b667-001a4d5a0996}\Shell\AutoRun\command - “” = L:\AutoRun.exe – File not found O33 - MountPoints2{5563d786-df95-11dc-b4bf-806d6172696f}\Shell\AutoRun\command - “” = C:\h0.exe – [2010-01-03 16:28:08 | 00,120,320 | RHS- | M] () O33 - MountPoints2{5563d786-df95-11dc-b4bf-806d6172696f}\Shell\open\Command - “” = C:\h0.exe – [2010-01-03 16:28:08 | 00,120,320 | RHS- | M] () O33 - MountPoints2{5563d787-df95-11dc-b4bf-806d6172696f}\Shell\AutoRun\command - “” = D:\h0.exe – [2010-01-03 16:28:08 | 00,120,320 | RHS- | M] () O33 - MountPoints2{5563d787-df95-11dc-b4bf-806d6172696f}\Shell\open\Command - “” = D:\h0.exe – [2010-01-03 16:28:08 | 00,120,320 | RHS- | M] () O33 - MountPoints2{5563d788-df95-11dc-b4bf-806d6172696f}\Shell\AutoRun\command - “” = E:\h0.exe – [2010-01-03 16:28:08 | 00,120,320 | RHS- | M] () O33 - MountPoints2{5563d788-df95-11dc-b4bf-806d6172696f}\Shell\open\Command - “” = E:\h0.exe – [2010-01-03 16:28:08 | 00,120,320 | RHS- | M] () O33 - MountPoints2{e2f7e542-4541-11de-b50c-001a4d5a0996}\Shell\AutoRun\command - “” = eyt.exe O33 - MountPoints2{e2f7e542-4541-11de-b50c-001a4d5a0996}\Shell\open\Command - “” = eyt.exe O33 - MountPoints2{f86afc4e-7178-11de-b590-001a4d5a0996}\Shell - “” = Autorun O33 - MountPoints2{f86afc4e-7178-11de-b590-001a4d5a0996}\Shell\AutoRun\command - “” = L:\autostart.exe – File not found O33 - MountPoints2{f86afc4f-7178-11de-b590-001a4d5a0996}\Shell - “” = Autorun O33 - MountPoints2{f86afc4f-7178-11de-b590-001a4d5a0996}\Shell\AutoRun\command - “” = L:\autostart.exe – File not found [2010-01-03 16:28:08 | 00,120,320 | RHS- | M] () – C:\h0.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz log z usuwania.
jessi
jessica
(jessica)
6 Styczeń 2010 18:47
#5
Prawie OK:
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{E312764E-7706-43F1-8DAB-FCDD2B1E416D}"=-
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >>
plik uruchom (dwuklik i OK).
W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
Użyj szczepionki >Panda Vaccine
jessi