Quarri
(Kamilus10)
7 Maj 2010 07:32
#1
Witam mam taki otóż problem. Kiedy chciałem zagrać w grę którą chowam przed młodszymi braćmi za pomocą ukryj teraz nie mogę wejść w opcje folderów i jej przywrócić do pierwotnego stanu. Jeszcze jest taki mankament. Otóż od jakiegoś czasu pojawił mi się program XPCode. Po tym jak niektórzy mi pomagali domyślam się że to jest ten wirus i to on mi nie pozwala podejrzeć ukrytych plików. I jeszcze kiedy podłączam kartę pamięci od aparatu pojawia mi się jakiś śmieszny błąd i folder o nazwie New Folder i jakaś instalka o nazwie autoply.exe. Zaobserwowałem jeszcze że dysk lokalny C i E otwierają się w nowym oknie. Dołączam skan z OTL’a z włączonym Processes i modules na all.
Skan: http://wklej.to/L49O
Extras: http://wklej.to/Twsh
Błąd: http://i41.tinypic.com/105w7cp.png
Pozdrawiam i z góry dziękuje.
Masz wirusa typu autostart - zwykle przenosi się przez pendrivy.
Zobacz tu: nie-moge-podejrzec-ukrytych-plikow-systemie-t394855.html
Quarri
(Kamilus10)
7 Maj 2010 10:01
#3
Wchodziłem na tamtą strone lecz dalej nie wiem co mam zrobić .
Zapoznaj się i wykonaj co jest napisane w tym temacie http://www.searchengines.pl/index.php?a … f=99&id=20 Po tym wykonaj to co poniżej
W okno Custom Scans/Fixes w OTL wklej:
:OTL PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - [2010-04-29 17:00:46 | 000,417,835 | -HS- | M] () – c:\osowsys16.pif PRC - [2007-11-19 15:35:40 | 000,147,456 | ---- | M] () – C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\svchost.exe [LOCALSERVICE] SRV - [2004-08-04 00:44:02 | 000,167,403 | RHS- | M] () [Auto | Stopped] – C:\WINDOWS\system32\kbwjnvxy.dll – (rdmdljc) O4 - HKLM…\Run: [qazxswdfdf] c:\osowsys16.pif () O4 - HKLM…\Run: [soundMax] C:\Documents and Settings\Administrator\userinit.exe () O4 - HKCU…\Run: [CubeDesktop] File not found O32 - AutoRun File - [2007-11-19 15:35:40 | 000,147,456 | RH-- | M] () - C:\autoply.exe – [NTFS] O32 - AutoRun File - [2010-05-05 19:47:56 | 000,000,301 | RH-- | M] () - C:\Autorun.inf – [NTFS] O32 - AutoRun File - [2007-11-19 15:35:40 | 000,147,456 | RH-- | M] () - E:\autoply.exe – [NTFS] O32 - AutoRun File - [2010-05-05 19:48:06 | 000,000,301 | RH-- | M] () - E:\Autorun.inf – [NTFS] O33 - MountPoints2{c8bf0203-5169-11df-888a-806d6172696f}\Shell\AutoRun\command - “” = K:\startuj.exe – File not found O33 - MountPoints2{c8bf020a-5169-11df-888a-806d6172696f}\Shell\AutoPlay\Command - “” = E:\autoply.exe – [2007-11-19 15:35:40 | 000,147,456 | RH-- | M] () O33 - MountPoints2{c8bf020a-5169-11df-888a-806d6172696f}\Shell\AutoRun\command - “” = E:\autoply.exe – [2007-11-19 15:35:40 | 000,147,456 | RH-- | M] () O33 - MountPoints2{c8bf020a-5169-11df-888a-806d6172696f}\Shell\explore\Command - “” = E:\autoply.exe – [2007-11-19 15:35:40 | 000,147,456 | RH-- | M] () O33 - MountPoints2{c8bf020a-5169-11df-888a-806d6172696f}\Shell\open\Command - “” = E:\autoply.exe – [2007-11-19 15:35:40 | 000,147,456 | RH-- | M] () O33 - MountPoints2{c8bf020d-5169-11df-888a-806d6172696f}\Shell\AutoPlay\Command - “” = C:\autoply.exe – [2007-11-19 15:35:40 | 000,147,456 | RH-- | M] () O33 - MountPoints2{c8bf020d-5169-11df-888a-806d6172696f}\Shell\AutoRun\command - “” = C:\autoply.exe – [2007-11-19 15:35:40 | 000,147,456 | RH-- | M] () O33 - MountPoints2{c8bf020d-5169-11df-888a-806d6172696f}\Shell\explore\Command - “” = C:\autoply.exe – [2007-11-19 15:35:40 | 000,147,456 | RH-- | M] () O33 - MountPoints2{c8bf020d-5169-11df-888a-806d6172696f}\Shell\open\Command - “” = C:\autoply.exe – [2007-11-19 15:35:40 | 000,147,456 | RH-- | M] () :Files C:\autoply.exe D:\autoply.exe E:\autoply.exe F:\autoply.exe c:\osowsys16.pif C:\Documents and Settings\Administrator\userinit.exe C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\svchost.exe C:\WINDOWS\system32\kbwjnvxy.dll C:\Autorun.inf D:\Autorun.inf E:\Autorun.inf F:\Autorun.inf :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [start explorer] [Reboot]
Klikasz na Run Fix . Jeśli zajdzie taka potrzeba restartujesz komputer. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Run Scan i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Quarri
(Kamilus10)
7 Maj 2010 11:50
#6
To tak . Wcześniej użyłem flash disfector. A teraz wkleiłem ten skrypt.
Log z usuwania: http://wklej.to/RV8l
Log po usunięciu: http://wklej.to/ZG80
Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja
Pobierz Malwarebytes’ Anti-Malware przeskanuj wszystkie dyski usuń co znajdzie daj log na forum
Następnie w okno Custom Scans/Fixes w OTL wklej:
:OTL PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - [2007-11-19 15:35:40 | 000,147,456 | ---- | M] () – C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\svchost.exe [LOCALSERVICE] O4 - HKLM…\Run: [soundMax] C:\Documents and Settings\Administrator\userinit.exe () :Files C:\autoply.exe C:\Autorun.inf E:\autoply.exe E:\Autorun.inf C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\svchost.exe :Commands [emptytemp] [start explorer] [Reboot]
Klikasz na Run Fix . Jeśli zajdzie taka potrzeba restartujesz komputer. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Run Scan i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Quarri
(Kamilus10)
7 Maj 2010 17:29
#8
Log z Fixovania: http://wklej.to/cwMA
Log po Fixovaniu: http://wklej.to/qwJV
Log z M-bam po fixovaniu: http://wklej.to/5p3I
Uważasz że kolejność nie ma znaczenia to powiem Ci, że ma i to duże. Zrobiłeś nowy log OTL przed Malwarebytes który znalazł część infekcji ale nawet nie wiem czy to usunąłeś bo w logu MBAM jest No action taken Miało być dokładnie odwrotnie Poza tym nie zastosowałeś się do tego http://www.searchengines.pl/index.php?a … f=99&id=20
Pobierz The Avenger zaznacz poniższy tekst
kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt
Instrukcja obsługi programu http://cybertrash.pl/images/tata/Avenger/Avenger.html
Po tym proszę podać nowy log OTL Zobacz w poradniku co wkleić do OTL przed kliknięciem w RunScan oraz GMER otl-gmer-rsit-dds-inne-instrukcje-t370405.html
Quarri
(Kamilus10)
8 Maj 2010 16:25
#10
W okno Custom Scans/Fixes w OTL wklej:
:OTL PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) PRC - [2007-11-19 15:35:40 | 000,147,456 | ---- | M] () – C:\Documents and Settings\Kamil\Ustawienia lokalne\Temp\svchost.exe [LOCALSERVICE] O4 - HKLM…\Run: [qazxswdfdf] c:\osowsys16.pif File not found O4 - HKLM…\Run: [soundMax] C:\Documents and Settings\Administrator\userinit.exe File not found O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Office Update.lnk = C:\WINDOWS\Web\OfficeUpdate.exe () :Files C:\Documents and Settings\Kamil\Ustawienia lokalne\Temp\svchost.exe C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Office Update.lnk c:\osowsys16.pif C:\WINDOWS\system32\kbwjnvxy.dll C:\Documents and Settings\Administrator\userinit.exe C:\autoply.exe C:\Autorun.inf E:\autoply.exe E:\Autorun.inf C:\Program Files\XPCode C:\WINDOWS\Web\OfficeUpdate.exe D:\autoply.exe D:\Autorun.inf F:\autoply.exe F:\Autorun.inf C:\WINDOWS\Temp C:\Documents and Settings\Chłopaki\userinit.exe C:\Documents and Settings\Ogólne\userinit.exe :Services rdmdljc fjhzg :Commands [emptytemp] [start explorer] [Reboot]
Klikasz na Run Fix . Jeśli zajdzie taka potrzeba restartujesz komputer. Log z usuwania na forum
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Run Scan i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Quarri
(Kamilus10)
8 Maj 2010 17:27
#12
Log z usuwania: http://wklej.to/kbHE
Log po usuwaniu: http://wklej.to/V2eU
Z tym skryptem
Uruchom OTL klikasz CLeanUp
Zastosuj Windows Worms Doors Cleaner http://www.dobreprogramy.pl/Windows-Wor … 11744.html
Przeczyść system oraz rejestr CCleaner
Przeskanuj system Dr.WEB CureIt! jak coś znajdzie podaj raport na forum
Obowiązkowo zaktualizuj
Internet Explorer 8
NET Framework 3.5
Zainstaluj jakieś oprogramowanie zabezpieczające (antywirus firewall)
Quarri
(Kamilus10)
9 Maj 2010 18:11
#14
Log z Dr.WEB CureIt! : http://wklej.to/QipD
Wszystko zainstalowane
IE 8
NET FrameWork 3.5
CCleaner
Dr.WEB CureIt!
Tylko teraz nie wiem jakiego Antyvirusa z firewallem zainstalować . Mógłbyś doradzić?
Ja używam jako antyvira płatnego Kaspersky Antiyvrius i darmowego ZoneAlarm jako firewalla choć standardowo nie chcą się instalować razem (trzeba zrobić mały trick aby obejść ich mechanizmy wykrywania niekompatybilnego oprogramowania - jakby co to podpowiem jak).
I uważaj na darmówki bo dużo się namnożyło fałszywych antywirusów.