wacki
(Grzelski)
30 Wrzesień 2009 10:59
#1
Mam taki o to problem:
za każdym razem gdy komputer się włącza avast odnajduje mi jakieś rzeczy. Pyta się czy usunąć, daję tak. Potem każe mi rebota zrobić bo musi sprawdzić pliki przed uruchomieniem windy… niby je usuwa itp… ale jak się włącza ponownie problem się powtarza… W wyniku działalności tych procesów( tak myślę) ni można pokazać ukrytych folderów i plików,a tam ponoć to siedzi…
oto log:
http://www.wklej.org/id/161031/
Ptrk
(Ptrk95)
30 Wrzesień 2009 12:17
#2
W OTL w Custom Scan/Fixes:
:Processes
explorer.exe
MSASCul.exe
:OTL
SRV - File not found -- -- (LiveTurbineMessageService [On_Demand | Stopped])
SRV - File not found -- -- (LiveTurbineNetworkService [On_Demand | Stopped])
DRV - [2009-09-22 16:13:00 | 00,021,264 | ---- | M] () -- C:\Documents and Settings\Grzelski\Ustawienia lokalne\Temp\OVT167.tmp -- (GarenaPEngine [On_Demand | Stopped])
O4 - HKLM..\Run: [ARC] C:\Documents and Settings\Grzelski\Ustawienia lokalne\Temp\tempalbert\MSASCul.exe ()
O4 - HKLM..\Run: [RivaTunerStartupDaemon] C:\Program Files\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTuner.exe File not found
O4 - HKCU..\Run: [cdoosoft] C:\Documents and Settings\Grzelski\Ustawienia lokalne\Temp\herss.exe ()
O32 - AutoRun File - [2009-09-30 11:37:59 | 00,000,063 | RHS- | M] () - C:\autorun.inf -- [NTFS]
O32 - AutoRun File - [2009-09-30 11:38:00 | 00,000,063 | RHS- | M] () - D:\autorun.inf -- [FAT32]
O33 - MountPoints2\{64c76e2c-7137-11de-b102-0018f380ddda}\Shell\AutoRun\command - "" = K:\mranjm.exe -- File not found
O33 - MountPoints2\{64c76e2c-7137-11de-b102-0018f380ddda}\Shell\open\Command - "" = K:\mranjm.exe -- File not found
O33 - MountPoints2\{785344ab-6a66-11de-b253-806d6172696f}\Shell\AutoRun\command - "" = C:\9jyhdim8.exe -- [2009-09-30 10:05:23 | 00,116,840 | RHS- | M] ()
O33 - MountPoints2\{785344ab-6a66-11de-b253-806d6172696f}\Shell\open\Command - "" = C:\9jyhdim8.exe -- [2009-09-30 10:05:23 | 00,116,840 | RHS- | M] ()
O33 - MountPoints2\{785344ac-6a66-11de-b253-806d6172696f}\Shell\AutoRun\command - "" = E:\9jyhdim8.exe -- [2009-09-30 10:05:23 | 00,116,840 | RHS- | M] ()
O33 - MountPoints2\{785344ac-6a66-11de-b253-806d6172696f}\Shell\open\Command - "" = E:\9jyhdim8.exe -- [2009-09-30 10:05:23 | 00,116,840 | RHS- | M] ()
O33 - MountPoints2\{bb11af50-6fac-11de-b0fe-0018f380ddda}\Shell\AutoRun\command - "" = K:\6phx.com -- File not found
O33 - MountPoints2\{bb11af50-6fac-11de-b0fe-0018f380ddda}\Shell\open\Command - "" = K:\6phx.com -- File not found
O32 - AutoRun File - [2009-09-30 11:37:59 | 00,000,063 | RHS- | M] () - E:\autorun.inf -- [NTFS]
O32 - AutoRun File - File not found - -- [FAT32]
O32 - AutoRun File - [2009-09-30 11:38:00 | 00,000,063 | RHS- | M] () - F:\autorun.inf -- [FAT32]
O32 - AutoRun File - [2009-09-30 11:38:00 | 00,000,063 | RHS- | M] () - G:\autorun.inf -- [FAT32]
:Files
C:\9jyhdim8.exe
C:\mranjm.exe
C:\autorun.inf
D:\autorun.inf
C:\Documents and Settings\Grzelski\Ustawienia lokalne\Temp\tempalbert\MSASCul.exe
C:\Documents and Settings\Grzelski\Ustawienia lokalne\Temp\cvasds0.dll
C:\Documents and Settings\Grzelski\Ustawienia lokalne\Temp\herss.exe
C:\Documents and Settings\Grzelski\Ustawienia lokalne\Temp\cvasds1.dll
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
:Commands
[emptytemp]
[start explorer]
[Reboot]
I klikasz Run Fix.
Użyj programu Flash Disinfector
Potem pokaż nowe logi i dorzuć z Gmer’a.
wacki
(Grzelski)
30 Wrzesień 2009 13:18
#3
log z OTL:
http://www.wklej.org/id/161186/
log z Gmer:
http://www.wklej.org/id/161188/
dodam, że po rebocie avast coś znalazł i znowu chciał restarotowac
deFco247
(deFco247)
30 Wrzesień 2009 13:27
#4
Pokaż log z narzędzia MBR.EXE .
W Custom Scans/Fixes w OTL wklej:
:Processes Explorer.EXE :OTL O3 - HKCU…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Grzelski\Ustawienia lokalne\Temp\herss.exe () O32 - AutoRun File - [2009-09-30 14:55:13 | 00,000,063 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-09-30 14:55:14 | 00,000,063 | RHS- | M] () - D:\autorun.inf – [FAT32] O32 - AutoRun File - [2009-09-30 14:55:13 | 00,000,063 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - File not found - – [FAT32] O32 - AutoRun File - [2009-09-30 14:55:14 | 00,000,063 | RHS- | M] () - F:\autorun.inf – [FAT32] O32 - AutoRun File - [2009-09-30 14:55:14 | 00,000,063 | RHS- | M] () - G:\autorun.inf – [FAT32] O33 - MountPoints2{64c76e2c-7137-11de-b102-0018f380ddda}\Shell\AutoRun\command - “” = K:\mranjm.exe – File not found O33 - MountPoints2{64c76e2c-7137-11de-b102-0018f380ddda}\Shell\open\Command - “” = K:\mranjm.exe – File not found O33 - MountPoints2{bb11af50-6fac-11de-b0fe-0018f380ddda}\Shell\AutoRun\command - “” = K:\6phx.com – File not found O33 - MountPoints2{bb11af50-6fac-11de-b0fe-0018f380ddda}\Shell\open\Command - “” = K:\6phx.com – File not found :Files C:\9jyhdim8.exe C:\mranjm.exe D:\9jyhdim8.exe D:\mranjm.exe E:\9jyhdim8.exe E:\mranjm.exe F:\9jyhdim8.exe F:\mranjm.exe G:\9jyhdim8.exe G:\mranjm.exe :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania oraz nowy OTL.txt
wacki
(Grzelski)
30 Wrzesień 2009 13:45
#5
deFco247
(deFco247)
30 Wrzesień 2009 13:56
#6
Wejdź do trybu awaryjnego (klikasz F8 przed pojawieniem się paska ładowania Windowsa).
Start -> Uruchom… -> cmd
Wpisujesz w oknie:
Powróć do normalnego trybu.
W OTL kliknij CleanUp .
Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.
Gdy będą wirusy pokaż raport.
Wyczyść rejestr i dysk CCleaner .
Usuń zbędniki z autostartu.
wacki
(Grzelski)
30 Wrzesień 2009 14:49
#7
nie chce mi odpalić tego mbr…cos mi wyskakuje ze nie rozpoznawany ze polecenie zew. lub wew. ??
ok już działa:P
deFco247
(deFco247)
30 Wrzesień 2009 14:52
#8
Na pewno wpisujesz poprawnie polecenie?
Umieściłeś MBR.EXE na dysku C:\ i go stamtąd nie ruszałeś?
wacki
(Grzelski)
30 Wrzesień 2009 15:28
#9
ok, zrobiłem wszystko
wirusów nie ma, cclenerem tez pojechałem, chyba ok:D
pliki i foldery pokazuje
DZIĘKI WIELKIE!
jesteście zayebisci:D
deFco247
(deFco247)
30 Wrzesień 2009 15:31
#10
Pokaż jeszcze nowy log MBR.EXE, bo sprawdzić trzeba czy się usunęło.