bzzik
(A Bzibziak)
10 Wrzesień 2009 10:02
#1
Cześć,
Ostatnio strasznie wolno zaczął mi pracować laptop (otwieranie programów, ładowanie www), od dawna pod prawym przyciskiem myszki w momencie otwierania którykolwiek z dysków, zamiast polecenia “Otwórz” mam “Autoodtwarzanie”.
Zrobiłam sobie scan ArcaMicroScan (z onetu) i wyłapało mi prawie 200 wirusow i trojanow. Większosc plikow usunęłam ale np. przy próbie usunięcia pliku MS32DLL.dll.vbs "mówi mi “że komputer lub programy mogą nie działać poprawnie”. Bardzo proszę o pomoc jak mam się pozbyć tego “badziewia” Z góry dziękuję, Anka
Log: http://wklej.org/id/147782/
ciemnowidz
(Henio Mazurek)
10 Wrzesień 2009 10:11
#2
Wklej logi z OTL , GMER i System Repair Engineer
Logi wklej na wklej.to a tutaj tylko link do wklejki.
Umpfh
(Umpfh)
10 Wrzesień 2009 13:16
#4
Usuń Bonjour, według 1 i 2 posta z tego tematu: http://www.searchengines.pl/Usuwanie-Bo … 03177.html
W OTL wklej poniższe i kliknij na Run Fix:
:Processes explorer.exe :OTL O4 - HKLM…\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs () O32 - AutoRun File - [2009-09-10 12:14:32 | 00,000,104 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-09-10 12:14:32 | 00,000,104 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-09-10 12:14:34 | 00,000,104 | RHS- | M] () - E:\autorun.inf – [FAT32] O33 - MountPoints2{04286111-18a1-11de-830c-806d6172696f}\Shell - “” = AutoRun O33 - MountPoints2{08699c0c-82b0-11de-bcc3-000e2ecd6f36}\Shell - “” = AutoRun O33 - MountPoints2{08699c12-82b0-11de-bcc3-000e2ecd6f36}\Shell - “” = AutoRun O33 - MountPoints2{934982f0-5b60-11de-bc95-000e2ecd6f36}\Shell - “” = AutoRun O33 - MountPoints2{c48d3098-778d-11de-bcb8-000e2ecd6f36}\Shell - “” = AutoRun O33 - MountPoints2{c5bb3ccd-18b8-11de-bc5a-000e2ecd6f36}\Shell - “” = AutoRun O33 - MountPoints2{caa344e4-1d58-11de-bc62-000e2ecd6f36}\Shell\Open(&0)\command - “” = Recycled\ctfmon.exe :Files C:\Recycled C:\autorun.inf C:\MS32DLL.dll.vbs C:\WINDOWS\System32\1CF9FA136F.sys C:\WINDOWS\MS32DLL.dll.vbs :Drivers 1CF9FA136F.sys :Commands [emptytemp] [start explorer] [Reboot]
Dajesz loga powstałego po usuwaniu + nowego
3.Następnie musisz usunąć klucz: MountPoints2 .
Wejdź w: Start>>>Uruchom>>> wpisz: regedit
poszukaj klucza: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Explorer\MountPoints2
Usuwasz MountPoints2
ciemnowidz
(Henio Mazurek)
10 Wrzesień 2009 14:19
#5
Jestem ciekaw po co to usuwasz
Może tym razem doczekam się odpowiedzi.
Nie stosować tamtego skryptu.
bzzik , wklej w OT:
:Processes explorer.exe :OTL O4 - HKLM…\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs () O32 - AutoRun File - [2009-09-10 12:14:32 | 00,000,104 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-09-10 12:14:32 | 00,000,104 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-09-10 12:14:34 | 00,000,104 | RHS- | M] () - E:\autorun.inf – [FAT32] :Files C:\MS32DLL.dll.vbs C:\WINDOWS\MS32DLL.dll.vbs c:\recycled c:\recycler :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [start explorer] [Reboot]
Kliknij Run Fix. Pokazujesz log z usuwania i nowy z OTL.
bzzik
(A Bzibziak)
10 Wrzesień 2009 15:35
#6
oki - mam nadzieję, że zrobiłam wszystko dobrze :? :
Najpierw usunęłam Bonjour jak poradził Umpfh - wydaje się że wszystko gra
Wkleiłam skrypt od Ciebie, Ciemnowidzu - tutaj log z usuwania: http://wklej.to/MjTr; tutaj nowy log: http://wklej.to/a8ey
Mam usuwać klucz, o którym pisze Umpfh w pkt 3?
ciemnowidz
(Henio Mazurek)
10 Wrzesień 2009 15:45
#7
Wygląda na to, że OTL miał problem z usunięciem.
Pobierz Avenger i wklej do niego
Kliknij Execute. Pokaż log z usuwania z Avengera i nowy z OTL.
bzzik
(A Bzibziak)
10 Wrzesień 2009 15:56
#8
Zajebiscie - już nie mam polecenia “Autoodtwarzanie” tylko “Otwórz”
Log z usuwania z Avengera: http://wklej.to/SCdz
Nowy z OTL: http://wklej.to/UtGT
ciemnowidz
(Henio Mazurek)
10 Wrzesień 2009 16:01
#9
Skasowane. Kroki końcowe.
Pozbądź się folderu C:\Avenger, w OTL kliknij CleanUp.
Wyłącz na chwilę przywracanie systemu - XP /Vista
Wykonaj pełny skan Malwarebytes Anti-Malware , jeśli coś znajdzie - usuń i wklej log.
Przeczyść dysk i rejestr CCleaner’em .
Podepnij pamięci przenośne i zastosuj FlashDisinfector
bzzik
(A Bzibziak)
10 Wrzesień 2009 17:11
#10
Done: Folder Avenger usunięty, CleanUp wykonany, przywracanie sys. wyłączone, skan zrobiony (2 zainfekowane pliki usunięte: log http://wklej.to/SdW1 ), dysk i rejestr przczyszczone CCleanerem.
Koniec?
A jaką ochronę polecasz na przyszłość?
ciemnowidz
(Henio Mazurek)
10 Wrzesień 2009 17:47
#11
Zastosuj jeszcze FlashDisinfector bo to dobra ochrona przed tego typu infekcjami.
Dobrze by było też zaktualizować system do stanu SP3
bzzik
(A Bzibziak)
10 Wrzesień 2009 18:04
#12
Aha - zapomniałam napisać: FlashDisinfector na pewno zastosuje ale dopiero jak dostane z powrotem moje pendrive’y (bo pożyczyłam).
Dziękuję Ci baaaardzo za pomoc, miłego wieczoru,
Anka