Witam, ostatnio zauważyłem że coś internet jest strasznie zmulony. niby mam 1 mb, bez rewelacji ale jak oglądam np video na youtube to musze dość długo czekać żeby mi sie załadowało, a wcześniej szło jak po maśle. może to wina dostawcy, ale pierw wolę sie upewnić czy to od mojego kompa pochodzi owe zmulenie. Prosze o sprawdzenie logów
http://www.wklej.org/id/197221/
http://www.wklej.org/id/197222/
jessica
(jessica)
6 Listopad 2009 17:10
#2
HKLM\SOFTWA RE\Microsoft\Windows NT\CurrentVersion\Winlogon\ <> “Userinit” = “C:\WINDOWS\system32\userinit.exe, explorer.exe” [MS], [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} “Barsaka” = “explorer.exe” [MS] O4 - HKCU…\Run: [cdoosoft] C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\herss.exe
W logach jest widoczna infekcja z pendrive.
Daj log z OTL (na samym dole strony)
Ale oprócz normalnych ustawień, dodaj jeszcze dwa:
W pole Custom Scans/Fixes wklej:
i dopiero wtedy kliknij “Run Scan”.
jessi
jessica
(jessica)
6 Listopad 2009 22:22
#4
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL MOD - [2009-11-04 21:57:00 | 00,077,253 | RHS- | M] () – C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\cvasds0.dll O4 - HKCU…\Run: [AdobeBridge] File not found O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\herss.exe () O33 - MountPoints2{09ae4333-a630-11de-b4e5-0021003e3c3f}\Shell\AutoRun\command - “” = K:\srgo.exe – [2009-11-04 21:04:48 | 00,114,304 | RHS- | M] () O33 - MountPoints2{09ae4333-a630-11de-b4e5-0021003e3c3f}\Shell\open\Command - “” = K:\srgo.exe – [2009-11-04 21:04:48 | 00,114,304 | RHS- | M] () O33 - MountPoints2{09ae4356-a630-11de-b4e5-0021003e3c3f}\Shell\AutoRun\command - “” = H:\ycvvj.exe – File not found O33 - MountPoints2{09ae4356-a630-11de-b4e5-0021003e3c3f}\Shell\open\Command - “” = H:\ycvvj.exe – File not found O33 - MountPoints2{25bfe2ac-b00a-11de-b4eb-0021003e3c3f}\Shell\AutoRun\command - “” = I:\t2hjo0.exe – File not found O33 - MountPoints2{25bfe2ac-b00a-11de-b4eb-0021003e3c3f}\Shell\open\Command - “” = I:\t2hjo0.exe – File not found O33 - MountPoints2{c02972d7-a846-11de-b4e7-0021003e3c3f}\Shell\AutoRun\command - “” = H:\fooool.exe – File not found O33 - MountPoints2{c02972d7-a846-11de-b4e7-0021003e3c3f}\Shell\explore\Command - “” = H:\fooool.exe – File not found O33 - MountPoints2{c02972d7-a846-11de-b4e7-0021003e3c3f}\Shell\open\Command - “” = H:\fooool.exe – File not found O33 - MountPoints2{c4078c04-a635-11de-a89c-806d6172696f}\Shell\AutoRun\command - “” = F:\srgo.exe – [2009-11-04 21:04:48 | 00,114,304 | RHS- | M] () O33 - MountPoints2{c4078c04-a635-11de-a89c-806d6172696f}\Shell\open\Command - “” = F:\srgo.exe – [2009-11-04 21:04:48 | 00,114,304 | RHS- | M] () O33 - MountPoints2{c4078c06-a635-11de-a89c-806d6172696f}\Shell\AutoRun\command - “” = C:\srgo.exe – [2009-11-04 21:04:48 | 00,114,304 | RHS- | M] () O33 - MountPoints2{c4078c06-a635-11de-a89c-806d6172696f}\Shell\open\Command - “” = C:\srgo.exe – [2009-11-04 21:04:48 | 00,114,304 | RHS- | M] () :Files C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\cvasds0.dll C:\autorun.inf D:\autorun.inf E:\autorun.inf F:\autorun.inf K:\autorun.inf C:\srgo.exe D:\srgo.exe E:\srgo.exe F:\srgo.exe K:\srgo.exe C:\9b9w3.exe D:\9b9w3.exe E:\9b9w3.exe F:\9b9w3.exe K:\9b9w3.exe C:\a2g21.exe C:\uqgvf.exe D:\a2g21.exe D:\uqgvf.exe E:\a2g21.exe E:\uqgvf.exe F:\a2g21.exe F:\uqgvf.exe K:\a2g21.exe K:\uqgvf.exe C:\3n8awsyg.exe D:\3n8awsyg.exe E:\3n8awsyg.exe F:\3n8awsyg.exe K:\3n8awsyg.exe C:\eexyv.exe C:\b00ijwpu.exe C:\wcgswa.exe C:\qbr2q.exe D:\eexyv.exe D:\b00ijwpu.exe D:\wcgswa.exe D:\qbr2q.exe E:\eexyv.exe E:\b00ijwpu.exe E:\wcgswa.exe E:\qbr2q.exe F:\eexyv.exe F:\b00ijwpu.exe F:\wcgswa.exe F:\qbr2q.exe K:\eexyv.exe K:\b00ijwpu.exe K:\wcgswa.exe K:\qbr2q.exe C:\nds0q.exe C:\se12ydam.exe C:\vb0hsoay.exe C:\ycvvj.exe D:\nds0q.exe D:\se12ydam.exe D:\vb0hsoay.exe D:\ycvvj.exe E:\nds0q.exe E:\se12ydam.exe E:\vb0hsoay.exe E:\ycvvj.exe F:\nds0q.exe F:\se12ydam.exe F:\vb0hsoay.exe F:\ycvvj.exe K:\nds0q.exe K:\se12ydam.exe K:\vb0hsoay.exe K:\ycvvj.exe C:\mje12tni.exe C:\vlvtdflx.exe D:\mje12tni.exe D:\vlvtdflx.exe E:\mje12tni.exe E:\vlvtdflx.exe F:\mje12tni.exe F:\vlvtdflx.exe K:\mje12tni.exe K:\vlvtdflx.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Barsaka”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Userinit”=“C:\WINDOWS\system32\userinit.exe,” :Commands [emptytemp] [resethosts] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessi
jessica
(jessica)
8 Listopad 2009 20:54
#6
Wg mnie - jest czysto.
W OTL kliknij na przycisk “CleanUp” - to go usunie.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
Użyj >Panda Vaccine - to trochę utrudni w przyszłości reinfekcję.
jessi