miras1309
(Mirek Makulik)
22 Sierpień 2010 21:13
#1
Witam!
Mam problem, otóż: Nie dawno siostra dostała lapka z pracy, Ja jako maniak gier i itp. powgrywałem sobie to i owo. Pewnego dnia podczas pracy na lapku chciałem włączyć “Pokazuj ukryte pliki” w opcjach folderów, po kliknięciu “Zastosuj” nic sie nie zmieniało dalej pliki były ukryte. Kilkanaście dni później miałem problem z am.exe
nie raz go miałem więc wrzucam logi… ale dosłownie jakieś 20 minut temu po uruchomieniu laptopa nie moge włączyć Firefoxa i Menedżera Zadań, tak samo jak gier na steam’ie, nie włącza sie jakieś 50% programów “Windowsowskich” (notatnik i itp…)
P.S: nie śmiać sie z nazwy konta bo lapek nie mój
Log OTL:
http://wklej.to/J3g4
http://wklej.to/uFOi
_i_DAEMON
([i]DAEMON)
22 Sierpień 2010 22:37
#2
W Custom Scans/Fixes wklej:
:Processes
killallprocesses
:OTL
DRV - [2010-07-27 18:02:42 | 000,020,992 | ---- | M] () [Kernel | Auto | Running] -- C:\Program Files\Temporary\cpu.sys -- (cpudriver)
O4 - HKCU..\Run: [dso32] C:\Users\PRZEDS~1\AppData\Local\Temp\dsoqq.exe ()
O33 - MountPoints2\{4e0dc0e7-f160-11de-a417-000000000000}\Shell\AutoRun\command - "" = J:\qhbfqx.exe -- File not found
O33 - MountPoints2\{4e0dc0e7-f160-11de-a417-000000000000}\Shell\open\Command - "" = J:\qhbfqx.exe -- File not found
O33 - MountPoints2\{8d5fad4e-39d9-11df-be77-00245409ec76}\Shell\AutoRun\command - "" = 6ruaqx.exe
O33 - MountPoints2\{8d5fad4e-39d9-11df-be77-00245409ec76}\Shell\open\Command - "" = 6ruaqx.exe
O33 - MountPoints2\{9b8846fc-0b07-11df-a7d1-00245409ec76}\Shell\AutoRun\command - "" = I:\mk28sp.exe -- File not found
O33 - MountPoints2\{9b8846fc-0b07-11df-a7d1-00245409ec76}\Shell\open\Command - "" = I:\mk28sp.exe -- File not found
O33 - MountPoints2\H\Shell\AutoRun\command - "" = H:\krwyrv0d.exe -- File not found
O33 - MountPoints2\H\Shell\open\Command - "" = H:\krwyrv0d.exe -- File not found
O33 - MountPoints2\{125f82f0-72bb-11df-8aba-00245409ec76}\Shell\AutoRun\command - "" = xs6kpr0.exe
O33 - MountPoints2\{125f82f0-72bb-11df-8aba-00245409ec76}\Shell\open\Command - "" = xs6kpr0.exe
O33 - MountPoints2\{125f82f6-72bb-11df-8aba-00245409ec76}\Shell\AutoRun\command - "" = c2e.exe
O33 - MountPoints2\{125f82f6-72bb-11df-8aba-00245409ec76}\Shell\open\Command - "" = c2e.exe
O33 - MountPoints2\{13fbc94e-9583-11de-bbae-806e6f6e6963}\Shell - "" = AutoRun
:Commands
[emptytemp]
[reboot]
Następnie naciśnij Runfix/Wykonaj skrypt.
Podaj log z usuwania i nowy log z OTL.
Przeskanuj system programem MalwareBytes . Podaj z niego log na forum.
deFco247
(deFco247)
23 Sierpień 2010 08:45
#3
Nie stosować powyższego skryptu, gdyż jest niekompletny.
Tutaj jest infekcja rootkitowa + infekcje z pendrive, więc musisz koniecznie podać dodatkowe logi, aby wszystko usunąć od razu.
GMER
Nic nie zmieniasz w ustawieniach, po prostu uruchamiasz skanowanie. Po skanie kopiujesz log.
Przed uruchomieniem powyższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
Z podłączonymi pendrive zaprezentuj raport ze skanowania UsbFix z opcji Listing .
miras1309
(Mirek Makulik)
1 Wrzesień 2010 17:07
#4
Sorki że nie odpowiadałem na temat ale wyjechałem i wczoraj wróciłem
Logi:
GMER: http://wklej.to/JDg2
USBFix:
Listing: http://wklej.to/ePWI
Reserach: http://wklej.to/8ejl
Jak coś jeszcze to piszcie
Kasar1
(Kasar1)
1 Wrzesień 2010 17:32
#5
Found ! HKLM\Software\Classes\CLSID\MADOWN
Worm magania
Przeskanuj komputer mbamem.
deFco247
(deFco247)
1 Wrzesień 2010 18:29
#6
W białe dolne okno Własne opcje skanowania/skrypt w OTL wklej:
Wykonaj skrypt i zatwierdź restart.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Skanuj .
miras1309
(Mirek Makulik)
1 Wrzesień 2010 19:03
#7
deFco247
(deFco247)
2 Wrzesień 2010 11:39
#8
Na czas uruchomienia skryptu należało zostawić podłączone wszystkie pendrive, gdyż skrypt zawierał komendy usunięcia plików infekcji z nich.
Wykonaj jeszcze nowy log z UsbFix, gdyż nie wiemy do końca jak teraz wygląda sytuacja.