zuo_1337
(St0pr0)
24 Czerwiec 2010 08:27
#1
Witam. Dzisiaj rano serfując po internecie nagle otworzyła się java i z firefox’a wyskoczyło że strona ma wirusa, po chwili mój anty-virus znalazł plik z rozszerzeniem .bat w plikach winodowsa (nazwa pliku jakaś dziwna była coś w stylu “jghisk”). Nacisnąłem żeby od razu usunąć plik i myślałem że jest po sprawie… Gdy już wyłączałem komputer na samym końcu wyłączania windowsa wyskoczył bluescren, lecz komputer się wyłączył. Odpaliłem go znowu, i gdy ładuję się system to od razu po tym resetuje się komputer.
OTL–> http://wklej.org/id/355666/
Piszę teraz z systemu awaryjnego i mam widnowsa XP.
PROSZĘ SZYBKO O POMOC.
jessica
(jessica)
24 Czerwiec 2010 09:19
#2
Najpierw użyj TDSKiller >http://support.kaspersky.com/pl/faq/?qid=208280681
Uwaga: jeśli TDSKiller usunie plik “blmydaj.sys” oraz jego usługę “blmydaj” , to tego z Avengerem nie musisz wykonywać:
Ściągnij -->Avenger .
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\System32\drivers\blmydaj.sys
C:\Documents and Settings\LocalService\Dane aplikacji\qcopjv.dat
C:\Documents and Settings\user\Dane aplikacji\avdrn.dat
C:\Documents and Settings\user\Menu Start\Programy\Autostart\siszpe32.exe
Drivers to delete:
blmydaj
Kliknij w " Execute " i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt .
Natomiast to poniższe wykonaj bez względu na to, co usunie TDSKiller:
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL [2010-06-24 10:01:15 | 000,000,232 | ---- | M] () – C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job [2010-06-24 09:19:10 | 000,772,096 | ---- | C] () – C:\WINDOWS\System32\drivers\blmydaj.sys [2010-06-24 09:18:53 | 000,000,012 | ---- | C] () – C:\Documents and Settings\LocalService\Dane aplikacji\qcopjv.dat [2010-06-24 09:18:48 | 000,000,008 | ---- | C] () – C:\Documents and Settings\user\Dane aplikacji\avdrn.dat O4 - Startup: C:\Documents and Settings\user\Menu Start\Programy\Autostart\siszpe32.exe () O4 - HKCU…\Run: [wsctf.exe] File not found O4 - Startup: C:\Documents and Settings\user\Menu Start\Programy\Autostart\IMVU.lnk = C:\Documents and Settings\user\Dane aplikacji\IMVUClient\IMVUQualityAgent.exe File not found IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=15183&l=dis IE - HKCU…\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask.com ) FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultenginename: “Ask.com ” FF - prefs.js…browser.search.order.1: “Ask.com ” FF - prefs.js…browser.search.selectedEngine: “Ask.com ” FF - prefs.js…extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185 FF - prefs.js…extensions.enabledItems: toolbar@ask.com:3.5.0.145 FF - prefs.js…keyword.URL: “http://supertoolbar.ask.com/redirect?client=ff&src=kw&tb=PF&o=15180&locale=en_US&q= ” [2010-05-15 19:06:56 | 000,000,000 | —D | M] – C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\phgue41h.default\extensions\DTToolbar@toolbarnet.com [2010-05-22 13:29:20 | 000,000,000 | —D | M] – C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\phgue41h.default\extensions\toolbar@ask.com [2010-05-22 13:29:22 | 000,002,426 | ---- | M] () – C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\phgue41h.default\searchplugins\askcom.xml [2010-05-15 19:06:46 | 000,002,059 | ---- | M] () – C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\phgue41h.default\searchplugins\daemon-search.xml O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask.com ) O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask.com ) O3 - HKCU…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKCU…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask.com ) :Files C:\Program Files\Ask.com C:\Program Files\DAEMON Tools Toolbar :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Userinit”=“C:\WINDOWS\system32\userinit.exe,” [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “EXPLORER.EXE”=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij w Run Fix . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
zuo_1337
(St0pr0)
24 Czerwiec 2010 09:31
#3
Przepraszam, tak na boku zapytam co mam wpisać jak wyskakuje coś takiego?
jessica
(jessica)
24 Czerwiec 2010 09:38
#4
wpisz delete i wciśnij ENTER,
zuo_1337
(St0pr0)
24 Czerwiec 2010 09:45
#5
jessica
(jessica)
24 Czerwiec 2010 10:13
#6
Jeszcze nowy log z OTL
I raport z TDSKiller, jeśli powstał
zuo_1337
(St0pr0)
24 Czerwiec 2010 10:22
#7
jessica
(jessica)
24 Czerwiec 2010 10:37
#8
Chyba TDSKiller uruchomiłeś drugi raz, bo tym razem nic nie wykrył?
Chciałam zobaczyć ten poprzedni raport, z usuwania.
Ale teraz to nieważne, bo w nowym logu OTL nie widzę już niczego szkodliwego.
W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.
Zniknie też jednocześnie Avenger.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
To wszystko.
jessi
zuo_1337
(St0pr0)
24 Czerwiec 2010 10:51
#9
Wielkie podziękowania dla użytkownika jessica !
Wszystko działa tak jak powinno. Jeszcze raz dziękuje.