kokoooooo
(Kokoooooo)
5 Sierpień 2009 13:50
#1
Witam,
jestem nowym uzytkownikiem i prosil bym o pomoc.
Mam problem z 22yj2fy1.exe wywala mi go co chwile avast.
Zrobilem przed godzina format dysku i postawilem na nowo win xp he sp 2 ( nie aktualizowalem do sp3)
usunalem z rejestru herss.exe ale nadal mam problem z 22yj2fy1.exe.
Przeskanowalem kompa Spybotem wykryl 3 trojany - usunalem, przeszkanowalem doctor webem -nic nie znalazl
prosil bym o pomoc i instrukcje u usunieciu, tak mi sie zdaje, trojanow.
wklejam loga:
http://www.wklej.org/id/130908/
pozdrawiam
Michal
deFco247
(deFco247)
5 Sierpień 2009 14:03
#2
Infekcja wróciła poprzez pendrive spod literki J:
Zastosuj Flash Disinfector .
W Custom Scans/Fixes w OTL wklej:
:OTL PRC - [2006-03-02 14:00:00 | 01,033,728 | ---- | M] (Microsoft Corporation) – C:\WINDOWS\Explorer.EXE O32 - AutoRun File - [2009-08-05 15:04:55 | 00,000,063 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-08-05 15:04:55 | 00,000,063 | RHS- | M] () - D:\autorun.inf – [NTFS] O33 - MountPoints2{09e8cbdf-81bb-11de-ac13-806d6172696f}\Shell\AutoRun\command - “” = C:\22yj2fy1.exe – [2009-08-05 14:44:46 | 00,106,110 | RHS- | M] () O33 - MountPoints2{09e8cbdf-81bb-11de-ac13-806d6172696f}\Shell\open\Command - “” = C:\22yj2fy1.exe – [2009-08-05 14:44:46 | 00,106,110 | RHS- | M] () O33 - MountPoints2{09e8cbe0-81bb-11de-ac13-806d6172696f}\Shell\AutoRun\command - “” = D:\22yj2fy1.exe – [2009-08-05 14:44:46 | 00,106,110 | RHS- | M] () O33 - MountPoints2{09e8cbe0-81bb-11de-ac13-806d6172696f}\Shell\open\Command - “” = D:\22yj2fy1.exe – [2009-08-05 14:44:46 | 00,106,110 | RHS- | M] () O33 - MountPoints2{81db55c1-81c1-11de-929e-806d6172696f}\Shell - “” = AutoRun O33 - MountPoints2{f5dc8804-81b7-11de-92a0-eb8247806504}\Shell\AutoRun\command - “” = J:\22yj2fy1.exe – File not found O33 - MountPoints2{f5dc8804-81b7-11de-92a0-eb8247806504}\Shell\open\Command - “” = J:\22yj2fy1.exe – File not found O33 - MountPoints2\C\Shell\AutoRun\command - “” = C:\22yj2fy1.exe – [2009-08-05 14:44:46 | 00,106,110 | RHS- | M] () O33 - MountPoints2\C\Shell\open\Command - “” = C:\22yj2fy1.exe – [2009-08-05 14:44:46 | 00,106,110 | RHS- | M] () O33 - MountPoints2\D\Shell\AutoRun\command - “” = D:\22yj2fy1.exe – [2009-08-05 14:44:46 | 00,106,110 | RHS- | M] () O33 - MountPoints2\D\Shell\open\Command - “” = D:\22yj2fy1.exe – [2009-08-05 14:44:46 | 00,106,110 | RHS- | M] () O33 - MountPoints2\E\Shell - “” = AutoRun O33 - MountPoints2\J\Shell\AutoRun\command - “” = J:\22yj2fy1.exe – File not found O33 - MountPoints2\J\Shell\open\Command - “” = J:\22yj2fy1.exe – File not found :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Po tym log z usuwania oraz nowy OTL.txt.
kokoooooo
(Kokoooooo)
5 Sierpień 2009 14:51
#3
Ok, zrobilem to wszystko co napisales, ale podczas “Run Fix” wyszkoczylo mi okienko : Plik lub katalog \Recycled\Db78.4\program\python_core_2.2.2\lib\linecache.py jest uszkodzony lud nie nadaje sie do odczytu. Uruchom program CHKDSK.
Komputer zrestatowal sie i po restarcie usunęło mi kompletnie OTL z komutera…
apropo kosza, to jest w nim 55-56 elementow, ktorych nie sa sie usunac. Podczas proby usunięci, wyskakuje okienko "Nie mozna usunac folderu LIB. Katalog nie jest pusty.
wklejam także logi:
log z usuwania: http://www.wklej.org/id/130944/
nowy log: http://www.wklej.org/id/130948/
moze zrobie jeszcze raz format i sprobuje jeszcze raz tego co pisales wczesniej ??
pzdr
M.
– Dodane 05.08.2009 (Śr) 16:53 –
Jeszcze logi extras.txt
http://www.wklej.org/id/130951/
http://www.wklej.org/id/130952/
deFco247
(deFco247)
5 Sierpień 2009 14:58
#4
Wklej w OTL:
:OTL PRC - [2006-03-02 14:00:00 | 01,033,728 | ---- | M] (Microsoft Corporation) – C:\WINDOWS\Explorer.EXE O32 - AutoRun File - [2009-08-05 14:45:14 | 00,000,063 | RHS- | M] () - J:\autorun.inf – [FAT32] :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Po tym log z usuwania oraz nowy OTL.txt.
Wygląda na to, że dysk się sypie. Po usuwaniu całego syfu:
Start -> Uruchom… -> cmd
Wpisujesz w oknie:
Pojawi się info o konieczności odmontowania woluminu.
Wybierz T i wykonaj restart komputera. Przed uruchomieniem systemu błędy na dysku zostaną naprawione.
kokoooooo
(Kokoooooo)
5 Sierpień 2009 15:15
#5
Podczas usuwania, wyskoczylo znow to samo okienko otycząte OTL.exe
Plik lub katalog \Recycled\Db78.4\program\python_core_2.2.2\lib\linecache.py jest uszkodzony lud nie nadaje sie do odczytu. Uruchom program CHKDSK.
log z usuwania:
http://www.wklej.org/id/130958/
nowy log:
http://www.wklej.org/id/130960/
zrobilem chkdsk, kosz sie opróżnil
dodaje jeszcze loga po reboocie:
http://www.wklej.org/id/130972/ ,
oraz prosze o odpowiedz
M.
– Dodane 05.08.2009 (Śr) 17:18 –
Mam jeszcze jedna sprawe, w msconfigu mam, ale odznaczony plik herss, czy moze on zostac tak jak jest czy z tym tez trzeba walczyc ?
deFco247
(deFco247)
5 Sierpień 2009 15:20
#6
No… teraz wygląda na to, że jest czysto.
W OTL kliknij CleanUp .
Wyczyść rejestr i dysk CCleaner .
Usuń zbędniki z autostartu.
Wykonaj pełny skan DR WEB CureIt .
Gdy będą wirusy pokaż raport.
kokoooooo
(Kokoooooo)
5 Sierpień 2009 15:34
#7
Ok puscilem dr. web’a, dolacze log poniewaz juz cos znalazl, mam jeszcze pytanie, jak mam usunac zbedniki? w temacie “zbiedniki” jest tylko informacja: Na oknie przypominacza msconfig zaznacz “Nie pokazuj mi tego więcej…”. Wpis sam zniknie i więcej się nie pokaże. <— nie widze opcji “Nie pokazuj mi teog więcej…”.
jasio96
(96jasio96)
5 Sierpień 2009 15:36
#8
Usuń zbędne wpisy z autostartu . Możesz zrobić to przez HijackThis lub CCleaner.
kokoooooo
(Kokoooooo)
5 Sierpień 2009 15:45
#9
Ok usuniete, teraz czekam na zakonczenie skanowania, niestety znalazlo juz pare zainfekowanych obiektow
Mam jeszcze pytanie co do dysku przenosnego, z ktorego przedostaly sie syfy. Czy po uzyciu Flash Disinfector moge go juz spokojnie uzywac ?
deFco247
(deFco247)
5 Sierpień 2009 15:47
#10
Możesz również użyć jednego z tych narzędzi .
kokoooooo
(Kokoooooo)
5 Sierpień 2009 15:58
#11
Proszę bardzo, oto log z Dr. Web:
http://www.wklej.org/id/130991/
deFco247
(deFco247)
5 Sierpień 2009 16:01
#12
Nic wielkiego. Znalazł NirCmd-a w Flash Disinfectorze oraz podejrzany plik .reg
Zabezpiecz jeszcze pendrive i powinno być
kokoooooo
(Kokoooooo)
5 Sierpień 2009 16:03
#13
Własnie to robie!
Dziekuje Ci bardzo za pomoc, jestes genialny !
Komputer jak narazie sprawuje sie lepiej, niz kiedykolwiek
Co tu mówic, jestes wielki i tyle :]
pozdrawiam i jeszcze raz wielkie thX !
Michał
– Dodane 05.08.2009 (Śr) 18:04 –
jasio96
tez dzieki za pomoc w usunieciu zbednikow
– Dodane 05.08.2009 (Śr) 18:12 –
I mysle ze duzo nauczylem sie od Ciebie i na drugi raz bede staral sie samemu uporac z takim problemem lecz mam nadzieje ze wiecej sie to nie powtorzy. Na dysku znalazlo mi dosc sporo robakow wiec mam zabawe pozdrawiam i jeszcze raz dziekuje !
– Dodane 05.08.2009 (Śr) 18:17 –
Kurcze podpialem dysk i znowu jest to samo
trela
(Robert T6)
5 Sierpień 2009 18:00
#15
zainstaluj malwarebytes anti malware http://dobreprogramy.pl/index.php?dz=2& … lware+1.40 zrób pełny skan gdy będą wirusy pokaż raport