RockMan
(Adam Zyza)
27 Wrzesień 2009 07:00
#1
Witam…
A więc tak jak w temacie. Ok 10 minut od uruchomienia wyskakuje monit o tym że Avast Professional wykrył zagrożenie w pamięci operacyjnej. Gdy klikam tak komputer robi restart i zaczyna skanowanie lecz nie wykrywa zagrożeń… Zarzucam logi z HijackThis!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:00:24, on 2009-09-27
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\shellext\DrvIcon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\shellext\ViOrb.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: IEPluginBHO - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents And Settings\WinXPae\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll
O4 - HKLM\..\Run: [DrvIcon] C:\WINDOWS\system32\shellext\DrvIcon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ViOrb] C:\WINDOWS\system32\shellext\ViOrb.exe
O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\WinXPae\USTAWI~1\Temp\herss.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-20\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [_nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O13 - Gopher Prefix:
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
--
End of file - 4155 bytes
Log z SilentRunners
http://wklejto.pl/txt43205
Log z OTL
http://wklejto.pl/txt43206
Musiałem wrzucić na wklejto bo tutaj mi krzyczy o przekroczeniu ilości znaków
ciemnowidz
(Henio Mazurek)
27 Wrzesień 2009 07:27
#2
Wklej w OTL
:Processes explorer.exe :OTL O4 - HKCU…\Run: [cdoosoft] C:\Documents And Settings\WinXPae\Ustawienia lokalne\Temp\herss.exe () O32 - AutoRun File - [2009-09-27 09:02:40 | 00,000,061 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-09-27 09:02:40 | 00,000,061 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-09-27 09:02:40 | 00,000,061 | RHS- | M] () - E:\autorun.inf – [NTFS] :Services :Files C:\Documents And Settings\WinXPae\Ustawienia lokalne\Temp\herss.exe C:\w9uxx92.exe C:\bycfht.exe d:\w9uxx92.exe d:\bycfht.exe e:\w9uxx92.exe e:\bycfht.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [start explorer] [Reboot]
Kliknij Run Fix. Potem wklejasz log z usuwania i nowy z OTL.
Zastanawia mnie też to
Brakuje markera Microsoftu. Na wszelki wypadek przeskanuj ten plik na VirusTotal i pokaż raport.
RockMan
(Adam Zyza)
27 Wrzesień 2009 08:47
#3
A wiec tak…
OTL wiesza się i pomaga tylko reset
VirtualTotal pisze tak
Plik został już przeskanowany:
MD5: 92ec9f292972faecac1bc5a74d294cdf
First received: 2009.05.12 09:41:24 UTC
Data: 2009.05.12 09:41:24 UTC [>137D]
Wyniki: 0/38
Permalink: analisis/ce4727776ebf4b9ce12e43039d8425609837a6837909a240940ff23296a06824-1242121284
ciemnowidz
(Henio Mazurek)
27 Wrzesień 2009 09:11
#4
Pobierz AVZ
Potem File => Custom scripts i wklej takie coś
begin DeleteFile(‘C:\Documents And Settings\WinXPae\Ustawienia lokalne\Temp\herss.exe’); DeleteFile(‘C:\w9uxx92.exe’); DeleteFile(‘C:\bycfht.exe’); DeleteFile(‘d:\w9uxx92.exe’); DeleteFile(‘d:\bycfht.exe’); DeleteFile(‘e:\w9uxx92.exe’); DeleteFile(‘e:\bycfht.exe’); DeleteFile(‘c:\autorun.inf’); DeleteFile(‘d:\autorun.inf’); DeleteFile(‘e:\autorun.inf’); ExecuteSysClean; RegKeyDel(‘HKCU’,‘Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2’); DelAutorunByFileName(‘C:\Documents And Settings\WinXPae\Ustawienia lokalne\Temp\herss.exe’); SaveLog(‘c:\avzlog.txt’); RebootWindows(true); end.
Klikasz Run, log będzie w lokalizacji c:\avzlog.txt, wklej go, wklej też nowo robiony log z OTL.
Potem w AVZ do skanu wszystkie partycje, potem File => Standard scripts => zaznaczasz opcję 2 => klikasz Execute selected scripts => po zakończeniu skanu klikasz ikonę dyskietki po prawej stronie, zapisujesz log i podajesz tutaj jego zawartość.
RockMan
(Adam Zyza)
27 Wrzesień 2009 09:27
#5
AVZ
Delete file:C:\Documents And Settings\WinXPae\Ustawienia lokalne\Temp\herss.exe
Delete file:C:\w9uxx92.exe
Delete file:C:\bycfht.exe
Delete file:d:\w9uxx92.exe
Delete file:d:\bycfht.exe
Delete file:e:\w9uxx92.exe
Delete file:e:\bycfht.exe
Delete file:c:\autorun.inf
Delete file:d:\autorun.inf
Delete file:e:\autorun.inf
Removing traces of deleted files...
[malware removal microprogram]> registry key deleted HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
OTL
http://wklejto.pl/txt43211
AVZ
http://wklejto.pl/txt43212
ciemnowidz
(Henio Mazurek)
27 Wrzesień 2009 09:40
#6
AVZ nie usunął resztek. Wklej do notatnika
Zapisz jako, Wszystkie pliki plik.reg . Uruchamiasz ten plik, zgadzasz się na dodanie informacji do rejestru, restart.
Potem kliknij CleanUp w OTL.
Wyłącz na chwilę przywracanie systemu - XP /Vista
Wykonaj pełny skan Malwarebytes Anti-Malware , jeśli coś znajdzie - usuń i wklej log.
Przeczyść dysk i rejestr CCleaner’em .
Podepnij pamięci przenośne i zastosuj FlashDisinfector
RockMan
(Adam Zyza)
27 Wrzesień 2009 10:07
#7
Log z MAM
Malwarebytes' Anti-Malware 1.41
Wersja bazy definicji: 2865
Windows 5.1.2600 Dodatek Service Pack 3
2009-09-27 12:02:24
mbam-log-2009-09-27 (12-02-24).txt
Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|)
Przeskanowane obiekty: 115889
Upłynęło: 11 minute(s), 34 second(s)
Zainfekowane procesy w pamięci: 0
Zainfekowane moduły pamięci: 0
Zainfekowane klucze rejestru: 1
Zainfekowane wartości rejestru: 1
Zainfekowane pliki rejestru: 1
Zainfekowane foldery: 0
Zainfekowane pliki: 2
Zainfekowane procesy w pamięci:
(Nie wykryto groźnych plików)
Zainfekowane moduły pamięci:
(Nie wykryto groźnych plików)
Zainfekowane klucze rejestru:
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> Quarantined and deleted successfully.
Zainfekowane wartości rejestru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.
Zainfekowane pliki rejestru:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Zainfekowane foldery:
(Nie wykryto groźnych plików)
Zainfekowane pliki:
C:\Documents And Settings\WinXPae\Ustawienia lokalne\Temp\cvasds0.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Documents And Settings\WinXPae\Ustawienia lokalne\Temp\cvasds1.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
P.S te wirusy są teraz w kwarantannie… Mam je całkowicie wywalić czy je tam pozostawić?
ciemnowidz
(Henio Mazurek)
27 Wrzesień 2009 12:34
#8
Opróżnij kwarantannę Malwarebytes. Jak wykonałeś resztę poleceń to nic już nie ma.
RockMan
(Adam Zyza)
31 Październik 2009 06:23
#9
Lol…
Muszę odkopać temat bo znowu złapałem tego Wirusa w pam. opeacyjnej…
Tak jak wtedy zarzucam wam logi z
HijackThis 2.0.2
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:14:30, on 2009-10-31
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\AIMP2\AIMP2.exe
D:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\Kopmuter\USTAWI~1\Temp\herss.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 4456 bytes
SilentRunner
http://wklej.org/id/190952/
OTL
http://wklej.org/id/190953/
OTL (extras)
http://wklej.org/id/190954/
Trochę ręce mi opadają bo AVAST przepuszcza co może :E
ciemnowidz
(Henio Mazurek)
31 Październik 2009 06:33
#10
W OTL w dolne białe okno wklej taki tekst
:Processes explorer.exe :OTL O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O3 - HKLM…\Toolbar: (Foxit Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O3 - HKCU…\Toolbar\WebBrowser: (Foxit Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com ) O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Kopmuter\Ustawienia lokalne\Temp\herss.exe () O32 - AutoRun File - [2009-10-30 09:38:39 | 00,000,059 | RHS- | M] () - C:\autorun.inf – [NTFS] :Services :Files C:\Documents and Settings\Kopmuter\Ustawienia lokalne\Temp\herss.exe C:\hjvjte.exe d:\hjvjte.exe e:\hjvjte.exe d:\autorun.inf e:\autorun.inf C:\wcgswa.exe d:\wcgswa.exe e:\wcgswa.exe C:\Program Files\AskBarDis :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [start explorer] [Reboot]
Kliknij Run Fix. Pokaż log z usuwania i nowy robiony z opcji Run Scan (Processes i Modules przestaw na All, reszty nie ruszaj). Doklej logi z GMER i System Repair Engineer
RockMan
(Adam Zyza)
31 Październik 2009 07:09
#11
OTL opcja z usuwaniem
http://wklej.org/id/190973/
OTL scan
http://wklej.org/id/190976/
GMER i ten drugi w drodze
Logi muszę wysyłać na wklejorg bo tu przekraczam ilość znaków
ciemnowidz
(Henio Mazurek)
31 Październik 2009 07:12
#12
Die wklejaj linków w żadne tagi. Do wklejenia logi z ww narzędzi.
RockMan
(Adam Zyza)
31 Październik 2009 07:27
#13
mam zapodać loga z wszystkich opcji w GMERZE? czy tylko z rejestru?
log z SRE
http://wklej.org/id/190988/
ciemnowidz
(Henio Mazurek)
31 Październik 2009 10:51
#14
Jakbyś tutaj wkleił to, przynajmniej ja, bym ich nie sprawdził.
Wygląda na skasowane.
Kroki końcowe.
Wyłącz na chwilę przywracanie systemu - XP /Vista
Wykonaj pełny skan Malwarebytes Anti-Malware , jeśli coś znajdzie - usuń i wklej log.
Przeczyść dysk i rejestr CCleaner’em .
Podepnij pamięci przenośne i zastosuj FlashDisinfector