Foldery i pliki ukryte

Dla specjalistów Bezpieczeństwo
#1

Mam taki o to problem:

za każdym razem gdy komputer się włącza avast odnajduje mi jakieś rzeczy. Pyta się czy usunąć, daję tak. Potem każe mi rebota zrobić bo musi sprawdzić pliki przed uruchomieniem windy… niby je usuwa itp… ale jak się włącza ponownie problem się powtarza… W wyniku działalności tych procesów( tak myślę) ni można pokazać ukrytych folderów i plików,a tam ponoć to siedzi…

oto log:

http://www.wklej.org/id/161031/

#2

W OTL w Custom Scan/Fixes:

:Processes

explorer.exe

MSASCul.exe


:OTL

SRV - File not found -- -- (LiveTurbineMessageService [On_Demand | Stopped])

SRV - File not found -- -- (LiveTurbineNetworkService [On_Demand | Stopped])

DRV - [2009-09-22 16:13:00 | 00,021,264 | ---- | M] () -- C:\Documents and Settings\Grzelski\Ustawienia lokalne\Temp\OVT167.tmp -- (GarenaPEngine [On_Demand | Stopped])

O4 - HKLM..\Run: [ARC] C:\Documents and Settings\Grzelski\Ustawienia lokalne\Temp\tempalbert\MSASCul.exe ()

O4 - HKLM..\Run: [RivaTunerStartupDaemon] C:\Program Files\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTuner.exe File not found

O4 - HKCU..\Run: [cdoosoft] C:\Documents and Settings\Grzelski\Ustawienia lokalne\Temp\herss.exe ()

O32 - AutoRun File - [2009-09-30 11:37:59 | 00,000,063 | RHS- | M] () - C:\autorun.inf -- [NTFS]

O32 - AutoRun File - [2009-09-30 11:38:00 | 00,000,063 | RHS- | M] () - D:\autorun.inf -- [FAT32]

O33 - MountPoints2\{64c76e2c-7137-11de-b102-0018f380ddda}\Shell\AutoRun\command - "" = K:\mranjm.exe -- File not found

O33 - MountPoints2\{64c76e2c-7137-11de-b102-0018f380ddda}\Shell\open\Command - "" = K:\mranjm.exe -- File not found

O33 - MountPoints2\{785344ab-6a66-11de-b253-806d6172696f}\Shell\AutoRun\command - "" = C:\9jyhdim8.exe -- [2009-09-30 10:05:23 | 00,116,840 | RHS- | M] ()

O33 - MountPoints2\{785344ab-6a66-11de-b253-806d6172696f}\Shell\open\Command - "" = C:\9jyhdim8.exe -- [2009-09-30 10:05:23 | 00,116,840 | RHS- | M] ()

O33 - MountPoints2\{785344ac-6a66-11de-b253-806d6172696f}\Shell\AutoRun\command - "" = E:\9jyhdim8.exe -- [2009-09-30 10:05:23 | 00,116,840 | RHS- | M] ()

O33 - MountPoints2\{785344ac-6a66-11de-b253-806d6172696f}\Shell\open\Command - "" = E:\9jyhdim8.exe -- [2009-09-30 10:05:23 | 00,116,840 | RHS- | M] ()

O33 - MountPoints2\{bb11af50-6fac-11de-b0fe-0018f380ddda}\Shell\AutoRun\command - "" = K:\6phx.com -- File not found

O33 - MountPoints2\{bb11af50-6fac-11de-b0fe-0018f380ddda}\Shell\open\Command - "" = K:\6phx.com -- File not found

O32 - AutoRun File - [2009-09-30 11:37:59 | 00,000,063 | RHS- | M] () - E:\autorun.inf -- [NTFS]

O32 - AutoRun File - File not found - -- [FAT32]

O32 - AutoRun File - [2009-09-30 11:38:00 | 00,000,063 | RHS- | M] () - F:\autorun.inf -- [FAT32]

O32 - AutoRun File - [2009-09-30 11:38:00 | 00,000,063 | RHS- | M] () - G:\autorun.inf -- [FAT32]


:Files

C:\9jyhdim8.exe

C:\mranjm.exe

C:\autorun.inf

D:\autorun.inf

C:\Documents and Settings\Grzelski\Ustawienia lokalne\Temp\tempalbert\MSASCul.exe

C:\Documents and Settings\Grzelski\Ustawienia lokalne\Temp\cvasds0.dll

C:\Documents and Settings\Grzelski\Ustawienia lokalne\Temp\herss.exe

C:\Documents and Settings\Grzelski\Ustawienia lokalne\Temp\cvasds1.dll


:Reg

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"SuperHidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"ShowSuperHidden"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""


:Commands

[emptytemp]

[start explorer]

[Reboot]

I klikasz Run Fix.

Użyj programu Flash Disinfector

Potem pokaż nowe logi i dorzuć z Gmer’a.

#3

log z OTL:

http://www.wklej.org/id/161186/

log z Gmer:

http://www.wklej.org/id/161188/

dodam, że po rebocie avast coś znalazł i znowu chciał restarotowac

#4

Pokaż log z narzędzia MBR.EXE.

W Custom Scans/Fixes w OTL wklej:

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania oraz nowy OTL.txt

#5

log z mbr:

http://www.wklej.org/id/161205/

log z usuwania po rebocie:

http://www.wklej.org/id/161207/

nowy log z otl:

http://www.wklej.org/id/161210/

#6

Wejdź do trybu awaryjnego (klikasz F8 przed pojawieniem się paska ładowania Windowsa).

Start -> Uruchom… -> cmd

Wpisujesz w oknie:

Powróć do normalnego trybu.

W OTL kliknij CleanUp.

Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport.

Wyczyść rejestr i dysk CCleaner.

Usuń zbędniki z autostartu.

#7

nie chce mi odpalić tego mbr…cos mi wyskakuje ze nie rozpoznawany ze polecenie zew. lub wew. ??

ok już działa:P

#8

Na pewno wpisujesz poprawnie polecenie?

Umieściłeś MBR.EXE na dysku C:\ i go stamtąd nie ruszałeś?

#9

ok, zrobiłem wszystko

wirusów nie ma, cclenerem tez pojechałem, chyba ok:D

pliki i foldery pokazuje

DZIĘKI WIELKIE! !!

jesteście zayebisci:D

#10

Pokaż jeszcze nowy log MBR.EXE, bo sprawdzić trzeba czy się usunęło.