Błąd otwierania dysków - E9NAQ.EXE

6bartolomeo · 6 Styczeń 2010 22:01

Proszę o pomoc mam ten sam problem z tym wirusem:( Oto mój log z OTL

jessica · 6 Styczeń 2010 22:33

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL MOD - [2010-01-06 22:39:39 | 00,095,744 | RHS- | M] () – C:\Documents and Settings\Właściciel\Local Settings\Temp\cvasds0.dll O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com) O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com) O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com) O4 - HKLM…\Run: [HPUsageTracking] C:\Program Files\HP\HP UT\bin\hppusg.exe File not found O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Właściciel\Local Settings\Temp\herss.exe () O32 - AutoRun File - [2010-01-06 22:58:37 | 00,000,057 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-01-06 22:58:38 | 00,000,057 | RHS- | M] () - K:\autorun.inf – [FAT32] O32 - AutoRun File - [2010-01-06 00:16:48 | 00,000,057 | RHS- | M] () - K:\AUTORUN.FCB – [FAT32] O32 - AutoRun File - [2010-01-06 22:58:38 | 00,000,057 | RHS- | M] () - L:\autorun.inf – [FAT32] O32 - AutoRun File - [2010-01-06 22:58:38 | 00,000,057 | RHS- | M] () - M:\autorun.inf – [FAT32] O33 - MountPoints2{6f76eb6f-fa35-11de-a918-806d6172696f}\Shell\AutoRun\command - “” = C:\e9naq.exe – [2010-01-05 23:12:38 | 00,118,272 | RHS- | M] () O33 - MountPoints2{6f76eb6f-fa35-11de-a918-806d6172696f}\Shell\open\Command - “” = C:\e9naq.exe – [2010-01-05 23:12:38 | 00,118,272 | RHS- | M] () O33 - MountPoints2{6f76eb70-fa35-11de-a918-806d6172696f}\Shell\AutoRun\command - “” = K:\e9naq.exe – [2010-01-05 23:12:38 | 00,118,272 | RHS- | M] () O33 - MountPoints2{6f76eb70-fa35-11de-a918-806d6172696f}\Shell\open\Command - “” = K:\e9naq.exe – [2010-01-05 23:12:38 | 00,118,272 | RHS- | M] () O33 - MountPoints2{6f76eb71-fa35-11de-a918-806d6172696f}\Shell\AutoRun\command - “” = L:\e9naq.exe – [2010-01-05 23:12:38 | 00,118,272 | RHS- | M] () O33 - MountPoints2{6f76eb71-fa35-11de-a918-806d6172696f}\Shell\open\Command - “” = L:\e9naq.exe – [2010-01-05 23:12:38 | 00,118,272 | RHS- | M] () O33 - MountPoints2{6f76eb72-fa35-11de-a918-806d6172696f}\Shell\AutoRun\command - “” = M:\e9naq.exe – [2010-01-05 23:12:38 | 00,118,272 | RHS- | M] () O33 - MountPoints2{6f76eb72-fa35-11de-a918-806d6172696f}\Shell\open\Command - “” = M:\e9naq.exe – [2010-01-05 23:12:38 | 00,118,272 | RHS- | M] () :Files C:\Program Files\Ask.com :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz log z usuwania.

jessi

6bartolomeo · 6 Styczeń 2010 23:31

coś jest nie tak, jak wklejak i klikam Run Fix to OTL sie wiesza. Nie odpowiada:(

jessica · 6 Styczeń 2010 23:44

To zostaw OTL w spokoju, spróbujemy czegoś innego.

Zaraz to przygotuję …

EDIT:

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"SuperHidden"=dword:00000001


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000001


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"ShowSuperHidden"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]

"{D4027C7F-154A-4066-A1AD-4243D8127440} "=-


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"cdoosoft"=-

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >> plik uruchom (dwuklik i OK). Potem: Ściągnij -->Avenger. wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\Właściciel\Local Settings\Temp\cvasds0.dll

C:\autorun.inf

K:\autorun.inf 

K:\AUTORUN.FCB 

L:\autorun.inf 

M:\autorun.inf 

C:\e9naq.exe

K:\e9naq.exe

L:\e9naq.exe

M:\e9naq.exe

C:\Documents and Settings\Właściciel\Local Settings\Temp\herss.exe


Folders to delete:

C:\Program Files\Ask.com


Registry keys to delete:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}


Registry values to delete: 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | HPUsageTracking

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

jessi

6bartolomeo · 7 Styczeń 2010 12:31

Oto log z avenger.txt : http://wklejto.pl/52773 Niestety tego notatnika nie udao mi się uruchomić, wywala mi error że Nie można zaimportować bo C:itd. Okreslony polik nie jest plikiem rejestru. Można importować tylko binarne pliki rejestru z wewnątrz rejestru. no i kiszka:(((((

– Dodane 07.01.2010 (Cz) 13:40 –

Udało się:) oto komunikat z avenger.txt http://wklejto.pl/52779

jessica · 7 Styczeń 2010 13:11

Spróbuj, czy da się zrobić nowy log z OTL, ale nic “na siłę”,

jessi

6bartolomeo · 7 Styczeń 2010 13:42

udało sie bez problemu, oto log z OTL po reboot: http://wklejto.pl/52789

dzięki wielkie:)

jessica · 7 Styczeń 2010 13:49

Nie zrozumieliśmy się: mi chodziło o nowy log.

Ale i w tym, co dałeś, widać, że nie było już czego usuwać (not found), a więc usuwanie Avengerem przebiegło prawidłowo.

jessi

6bartolomeo · 7 Styczeń 2010 13:56

tak na wszelki wypadek wysyłam (już nowy) log z OTL: http://wklejto.pl/52790 dziękuje bardzo za pomoc jeszcze raz:)

Pozdrawiam,

Bart

jessica · 7 Styczeń 2010 14:10

Czysto.

W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.

Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:

jessi

6bartolomeo · 7 Styczeń 2010 14:40

wszystko działa:) dzieki:)

Pozdrawiam,

Bez odbioru;)