Moongold
(Speeder11)
14 Sierpień 2010 13:51
#1
Od pewnego czasu mam pełno wirusów na komputerze, zaczęło się od ie5unit (chyba tak się nazywało, nie pamiętam dobrze nazwy), następnie mój Avira AntiVir Personal zaczynał blokować jakieś autorun.inf, gdy tylko włączyłem dysk D, czasami przy otwartym folderze Mój Komputer. Później już antywirus wykrywał cały czas jakieś wirusy, wciąż takie same i chociaż naciskałem remove nie usuwało ich. Następnie został zainfekowany exlorer.exe i trzeba go było odpalać ręcznie, co nie zawsze się udawało. Wyczytałem na tym forum o programie HijackThis, logi na dole… dodatkowo zrobiłem także logi z RSIT
Proszę o dokładne i łatwe do zrozumienia instrukcje co zrobić, bo jestem zielony w tym temacie…
Info.txt z RSIT:
http://www.wklejto.pl/74452
log.txt z RSIT:
http://www.wklejto.pl/74454
Log z HijackThis:
http://www.wklejto.pl/74451
Extras.txt z OTL:
http://www.wklejto.pl/74455
OTL.Txt z OTL:
http://www.wklejto.pl/74456
jessica
(jessica)
14 Sierpień 2010 16:11
#2
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL O4 - HKLM…\Run: [system] C:\WINDOWS\System32\ie5unit.exe File not found O4 - HKU\S-1-5-21-1078081533-725345543-1409250453-1003…\Run: [system] C:\WINDOWS\System32\ie5unit.exe File not found O4 - HKU\S-1-5-21-1078081533-725345543-1409250453-1003…\Run: [wsctf.exe] File not found O33 - MountPoints2{64cf6aa6-fe44-11d5-8d7d-0011d8b126b7}\Shell\AutoRun\command - “” = G:\x3xh.exe – File not found O33 - MountPoints2{64cf6aa6-fe44-11d5-8d7d-0011d8b126b7}\Shell\open\Command - “” = G:\x3xh.exe – File not found MsConfig - StartUpReg: LogMeIn Hamachi Ui - hkey= - key= - C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe File not found [2010-08-12 11:28:35 | 000,000,000 | —D | C] – C:\Documents and Settings\Komputer\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-12 [2010-08-08 12:28:17 | 000,000,000 | —D | C] – C:\Documents and Settings\Komputer\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-8 [2010-08-06 09:08:24 | 000,000,000 | —D | C] – C:\Documents and Settings\Komputer\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-6 [2010-08-05 12:56:28 | 000,000,000 | —D | C] – C:\Documents and Settings\Komputer\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-5 [2010-08-04 08:37:14 | 000,000,000 | —D | C] – C:\Documents and Settings\Komputer\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-4 [2010-08-03 07:58:23 | 000,000,000 | —D | C] – C:\Documents and Settings\Komputer\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-3 [2010-08-01 18:58:39 | 000,000,000 | —D | C] – C:\Documents and Settings\Komputer\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-1 :Reg [HKEY_USERS\S-1-5-21-1078081533-725345543-1409250453-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “EXPLORER.EXE”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Userinit”=“C:\WINDOWS\system32\userinit.exe,” [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [resethosts]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj .
Pokaż nowy log OTL.txt oraz raport z usuwania.
Użyj USBFix >http://www.bezpieczenstwosystemow.pl/index.php?topic=7405.0
Kliknij w nim na przycisk DELETION.
Daj z niego raport.
Użyj MBAM http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html
Co wykryje, niech usunie, a raport tu daj.
jessi
Moongold
(Speeder11)
14 Sierpień 2010 18:11
#3
Raport z USBFix’a:
http://www.wklejto.pl/74473
Raport MBAM’u:
http://www.wklejto.pl/74482
Mam rozumieć ze w OTL’u w tym białym polu nic nie wpisywać teraz? Tak zrobiłem i oto raport: (wykonany już po skanach USBFix’a i MBAM’u):
Extras.txt:
http://www.wklejto.pl/74483
OTL.txt:
http://www.wklejto.pl/74484
jessica
(jessica)
14 Sierpień 2010 19:04
#4
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/ IE - HKU\S-1-5-21-1078081533-725345543-1409250453-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/ :Files C:\found.000 D:\found.000 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] “Start Page”=“http://www.stronastartowa.com/ ” [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] “Start Page”=“http://www.stronastartowa.com/ ” :Commands [emptytemp]
Kliknij w Wykonaj Script . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj , ale zaznacz okienko przy “Pomiń pliki Microsoftu”, bo log się nie zmieścił cały.
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
Moongold
(Speeder11)
15 Sierpień 2010 11:55
#5
jessica
(jessica)
15 Sierpień 2010 12:30
#6
Dałeś raport z poprzedniego usuwania.
Zresztą widać, że obecne usuwanie się nie wykonało, więc je powtórz.
Dlaczego taka data?
jessi
Moongold
(Speeder11)
15 Sierpień 2010 18:21
#7
Zeruje sie zegar gdy wyłącze z gniazdka, chociaż bateria wymieniana…