Benobama
(Dobra Duszyczka)
4 Kwiecień 2010 11:33
#1
Witam!
Otóż zaraziłem swój komputer (przez pamięć flash) wirusem Malware-gen. Chciałbym dowiedzieć się jak go usunąć. Jak na razie przeskanowałem komputer programem Malwarebytes’ Anti-Malware, ale niezbyt pomogło (coś dalej w systemie siedzi). Poniżej zamieszczam logi z programu OTL.
Jak można tego wirusa usunąć i czy da się wywalić go z pamięci flash bez jej formatowania?
deFco247
(deFco247)
4 Kwiecień 2010 11:55
#2
W takim razie wypadałoby pokazać raport z usuwania MBAM.
Ponadto w systemie obecna stara wersja avasta. http://www.dobreprogramy.pl/avast-Free- … 13266.html
Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP .
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:OTL O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll () O3 - HKLM…\Toolbar: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll (BearShare) O3 - HKU\S-1-5-21-1060284298-1482476501-725345543-1003…\Toolbar\WebBrowser: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll (BearShare) O20 - Winlogon\Notify\WgaLogon: DllName - WgaLogon.dll - File not found O32 - AutoRun File - [2010-04-04 13:01:58 | 000,000,059 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-04-04 13:01:58 | 000,000,059 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-04-04 13:01:58 | 000,000,059 | RHS- | M] () - F:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-04-04 13:01:58 | 000,000,059 | RHS- | M] () - G:\autorun.inf – [NTFS] :Files E:\pbyqfn.exe F:\pbyqfn.exe G:\pbyqfn.exe :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] “G:\Programy\eMule\emule.exe”=- “G:\Programy\Napiprojekt\NAPI-PROJEKT\napisy.exe”=- “G:\Gry\BoM 2\game.dat”=- “C:\Program Files\Skype\Phone\Skype.exe”=- “C:\Program Files\Winamp Remote\bin\Orb.exe”=- “C:\Program Files\Winamp Remote\bin\OrbTray.exe”=- “C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe”=- “C:\Program Files\IncrediMail\bin\ImApp.exe”=- “C:\Program Files\IncrediMail\bin\IncMail.exe”=- “C:\Program Files\IncrediMail\bin\ImpCnt.exe”=- “C:\Documents and Settings\Tomek\Pulpit\Phone\Skype.exe”=- “C:\Program Files\BearShare\BearShare.exe”=- :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan .
Wyinstalować śmiecie: BearShare + MediaBar 2.0.
Benobama
(Dobra Duszyczka)
4 Kwiecień 2010 12:28
#3
Log z usuwania:
Log z ponownego skanu:
Log ze skanu programu Malwarebytes: