system
(system)
17 Marzec 2010 22:41
#1
Witam. Mam problem, mianowicie komputer przy uruchomieniu co jakiś czas się resetuje oraz mam problem z plikami exe, wszystkie pliki jakie chce uruchomić wyskakuje “otworz za pomocą…” i avast ciągle wykrywa wirusa : win32.malware-gen . Proszę o pomoc
OTL: http://wklej.to/qt9i
Hijack : http://wklej.to/Nz6C
jessica
(jessica)
18 Marzec 2010 06:50
#2
Masz zarażony plik Systemowy “cdrom.sys”
Niestety, trzeba go usunąć.
Dodatkowo każdy plik .exe jest u Ciebie uruchamiany za pomocą pliku Trojana: ave.exe
Innymi słowy: uruchomienie czegokolwiek wymaga zgody tego Trojana.
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL O3 - HKCU…\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O4 - HKLM…\Run: [Cmaudio] File not found O4 - HKLM…\Run: [KernelFaultCheck] File not found O4 - HKCU…\Run: [syncman] C:\WINDOWS\System32\config\systemprofile\wuaucldt.exe File not found O4 - Startup: C:\Documents and Settings\Robert\Menu Start\Programy\Autostart\monnwb32.exe () O37 - HKLM…com [@ = comfile] – “%1” %* O37 - HKLM…exe [@ = secfile] – “%1” %* O37 - HKCU…exe [@ = secfile] – “C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\ave.exe” /START “%1” %* File not found [2010-03-17 23:27:59 | 000,098,240 | ---- | M] () – C:\WINDOWS\System32\drivers\cdrom.sys [2010-03-17 23:27:59 | 000,098,240 | ---- | M] () – C:\WINDOWS\System32\dllcache\cdrom.sys [2010-03-17 22:49:57 | 000,000,000 | ---- | M] () – C:\Documents and Settings\Robert\Ustawienia lokalne\Dane aplikacji\ave.exe [2010-03-17 22:26:07 | 000,010,244 | -HS- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\6JQ57 [2010-03-17 12:48:23 | 000,000,000 | -HS- | M] () – C:\Documents and Settings\Robert\Ustawienia lokalne\Dane aplikacji\6JQ57 [2010-03-17 12:08:38 | 000,000,004 | ---- | M] () – C:\Documents and Settings\Robert\Dane aplikacji\avdrn.dat [2010-03-17 12:50:35 | 000,010,244 | -HS- | C] () – C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\6JQ57 :Files C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\ave.exe :Services Cdrom :Commands [emptytemp] [resethosts] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, i zrób nowy log, ale z dodatkowym ustawieniem:
W pole Custom Scans/Fixes wklej:
i dopiero wtedy kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
system
(system)
18 Marzec 2010 08:20
#3
jessica
(jessica)
18 Marzec 2010 08:50
#4
Jeden plik cdrom.sys" jest dalej zarażony, mimo iż był usuwany.
Podmienimy go teraz:
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie (o ile się pokaże).
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz raport z podmiany (o ile był taki).
Nowy log na takim ustawieniu, jak ostatnio.
jessi
system
(system)
18 Marzec 2010 08:58
#5
jessica
(jessica)
18 Marzec 2010 09:11
#6
Plik został podmieniony, ale teraz nie wiem, czy w lokalizacji C:\WINDOWS\ServicePackFiles\i386\ jest teraz ten zarażony plik pochodzący z zamiany, czy też OTL go automatycznie usunął - nie jestem jeszcze z tym obeznana. Dlatego zależało mi, by nowy log był zrobiony na dodatkowym ustawieniu, czyli:
W pole Custom Scans/Fixes wklej:
i dopiero wtedy kliknij “Run Scan”.
jessi
jessica
(jessica)
18 Marzec 2010 09:30
#8
W ServicePack jest prawidłowa kopia, więc tego zarażonego plika musiał OTL automatycznie usunąć.
Teraz jest czysto.
W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
To wszystko.
jessi
system
(system)
18 Marzec 2010 09:36
#9
Wszystko gra:). Dziękuje bardzo.