Martinan
(Martinan)
22 Styczeń 2010 23:19
#1
Witam,
ostatnio byłem długo zadowolony, że nie mam wirusów, a tu nagle - herss.exe. Natrafiłem na niego przypadkiem wyłączając niepotrzebne rzeczy z autostartu przez msconfig. Oczywiście jego też wyłączyłem, ale na pewno to nic nie da, bo już nie mogę pokazać wszystkich plików ukrtych z menu opcje folderów. Zaczyna się coś mieszać. Proszę o sprawdzenie logów z OTL i HiJackThis.
OTL http://wklej.org/id/266796/
OTL Extras http://wklej.org/id/266797/
HiJackThis http://wklej.org/id/266795/
jessica
(jessica)
22 Styczeń 2010 23:36
#2
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL MOD - [2010-01-22 18:53:02 | 00,100,352 | RHS- | M] () – C:\Documents and Settings\Robert\Ustawienia lokalne\Temp\cvasds1.dll O32 - AutoRun File - [2010-01-22 23:49:22 | 00,000,053 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-01-22 23:49:22 | 00,000,053 | RHS- | M] () - D:\autorun.inf – [NTFS] O33 - MountPoints2{7d9a647c-fb03-11de-ae47-001f3b7ecea1}\Shell\AutoRun\command - “” = G:\mbdm.exe – File not found O33 - MountPoints2{7d9a647c-fb03-11de-ae47-001f3b7ecea1}\Shell\open\Command - “” = G:\mbdm.exe – File not found O33 - MountPoints2{99af280a-fb17-11de-ae48-001f3b7ecea1}\Shell\AutoRun\command - “” = G:\m.com – File not found O33 - MountPoints2{99af280a-fb17-11de-ae48-001f3b7ecea1}\Shell\open\Command - “” = G:\m.com – File not found [2010-01-22 18:53:02 | 00,096,768 | RHS- | M] () – C:\qkm.exe [2010-01-20 22:27:59 | 00,118,272 | RHS- | M] () – C:\9fo3ar0j.exe [2010-01-20 22:27:45 | 00,114,089 | RHS- | C] () – C:\mbdm.exe :Files D:\qkm.exe D:\9fo3ar0j.exe D:\mbdm.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz log z usuwania.
jessi
Martinan
(Martinan)
23 Styczeń 2010 09:51
#3
Oto logi:
OTL: http://wklej.org/id/266871/
OTL Extras: http://wklej.org/id/266872/
Log z usuwania: http://wklej.org/id/266873/
Użyłem w międzyczasie antywira, stąd te “pliku nie znaleziono”, jest usunięty.
HiJackThis: http://wklej.org/id/266879/
jessica
(jessica)
23 Styczeń 2010 10:06
#4
OK.
W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
jessi
Gutek
(Gutek)
23 Styczeń 2010 22:15
#5
Zastosuj się do tego Tematu i zmień tytuł tematu na konkretny.
Pozdrawiam Gutek