Nie wiem, czy w moim przypadku ten plik jest jakimś wirusem czy nie, ale nigdy nie wiadomo.
Oto mój skan programu OTL: http://wklej.to/xB3Q
Możecie zerknąć?
Faktycznie w logu jest pewien nietypowy wpis informujący jednak o braku tego pliku w systemie:
Skoro go brak, to jakim cudem się logujesz do systemu?
W białe dolne okno Custom Scans/Fixes w OTL wklej:
Run Fix. Restart, jeśli będzie potrzebny.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan.
Przed kliknięciem Run Scan wklejasz w OTL poniższy tekst:
O matko! #-o
Wyjdę na idiotę.
Zapomniałem, że już raz zrobiłem to, co mi powiedziałeś i dwa razy wkleiłem to z górnego pola z twojego posta i kliknąłem na “run fix” (tzn. powtórzyłem cały proces) - za drugim razem zaczęło mi coś kasować i się zorientowałem. Przestraszyłem się i zrobiłem restart przyciskiem na obudowie, ale coś tam już się chyba skasowało (zrobiłem restart przy kasowaniu czegoś, co się chyba nazywało “win32x” czy jakoś tak).
Dwa pytania:
Czy skasowało się coś ważnego?
Czy mam powótrzyć cały proces trzeci raz czy od razu wklejać to coś z drugiego pola z twojego posta?
Pierwszy log (bo drugi się nie zrobił, bo zrobiłem twardy reset):
Źle kopiujesz skrypt, gdyż i tak nic się nie wykonało.
Właśnie to wszystko co jest w skrypcie ma być usunięte.
Źle kopiujesz skrypt, przez co niemal nic się nie wykonuje.
Wykonaj to tak:
Otwórz Notatnik i wklej do niego:
Plik zapisz pod nazwą fix.
W OTL-u kliknij Run Fix, w okienku dialogowym z pytaniem o załadowanie skryptu z pliku klikasz Yes.
Wyświetli się okno dialogowe wyboru pliku do otwarcia - wybierz w nim wcześniej zapisany plik fix.txt i klikasz Run Fix.
Zrobiłem tak i program zawiesił się na etapie usuwania procesu win32x.
Zatem zrobi się inaczej.
Pobierz The Avenger i uruchom.
Wklej w niego ten tekst:
Execute i zgadzasz się na restart.
Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt
Po tym również nowy log OTL.
Proszę:
Czy mam teraz zrobić to, co mi tu mówiliście czy po prostu przeskanować system OTL? Dodam, że zaczęły pojawiać mi się ostrzeżenia o trojanie TR/Crypt.ZPACK.Gen w pliku userinit.exe.
Chodzi tu o plik C:\WINDOWS\system32\userinit.exe??
Jeśli tak, to oznacza to zainfekowany plik systemowy.
W takim przypadku zastosuj Combofix.
Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle.
Pokaż log.
Zaraz to zrobię, tylko jedno małe pytanie: Czy mogę odłączyć internet? Wolałbym nie wyłączać firewalla i antywirusa przy podłączonym internecie.
Combofix i tak rozłącza internet, a antywirusa i firewalla trzeba wyłączać.
Nie mogłem wyłączyć antywirusa (odmowa dostępu do procesu avguard.exe - Avira), więc uruchomiłem komputer w trybie awaryjnym z obsługą sieci. Program zrobił swoje, oto log: http://wklej.org/id/296676/
Dodam, że po zakończeniu pracy Combofixa Firefox spytał się mnie czy ma być domyślną przeglądarką (a był) oraz że zaczęły mi się ściągać jakieś aktualizacje Windowsa. Aha, przy pierwszym uruchomieniu Combofix spytał czy ściągnąć najnowszą wersję, a ja kliknąłem na “nie” i ściągnęła mi się jakaś konsola ze strony Microsoftu.
Otwórz Notatnik i wklej do niego:
Plik zapisz pod nazwą CFScript , najlepiej w tym samym folderze co Combofix.exe
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę Combofix.exe
Powinno się rozpocząć usuwanie.
_ Potem dajesz log z usuwania Combofix. _
Zastosuj TFC.
To jest normalne, gdyż Combofix przywraca wiele ustawień systemowych do domyślnych.
Zastosuj TFC, bo nie widać efektów jego działania tzn. usuniętych plików tymczasowych.
Otwórz Notatnik i wklej do niego:
Plik zapisz jako typ wszystkie pliki pod nazwą plik.reg -> uruchom powstały plik, potwierdź chęć dodania do rejestru -> restart.
Wykonaj: Start -> Uruchom… -> Combofix /uninstall
Uruchom OTL i kliknij w nim CleanUp.
Wykonaj pełny skan Dr.Web CureIt.
Gdy będą wirusy, pokaż raport.
Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).
Zastosowałem zaraz po zakończeniu pracy przez combofix. Program zrobił swoje, komputer się zrestartował i tyle. Żadnych raportów.
Program zawiesił się na poziomie “[selfdelete]” (albo “[deleteself]”, już sam nie wiem), udało się w trybie awaryjnym.
Program przy instalacji pisze, żeby odinstalować inne antywirusy. Czemu mam kasować darmową Avirę, żeby zainstalować płatny CureIt? Avira nie wystarczy? Użyłem jej dzisiaj (baza wirusów z wczoraj), brak wirusów, podejrzanych plików, dwa ostrzeżenia:
Grę Red Alert ściągnąłem z legalnego źródła (gra została udostępniona za darmo przez twórców).
Zrobiłem też skan programem Spybot, znalazł trzy błędy i wszystkie usunął.
Aha, wczoraj (przed zrobieniem przeze mnie tego, co w poście na górze tej strony) ściągnęło mi się 51 aktualizacji, które zaczęły się instalować przy wyłączeniu komputera. Jedna z nich instalowała się absurdalnie długo, ponad godzinę, w końcu zresetowałem komputer. Potem nic się nie pokazywało, a za którymś z dzisiejszych restartów znowu zaczęły instalować się aktualizacje, najpierw dwie (wszystko ok), a potem znowu jakaś jedna, która się instalowała i instalowała, dopóki nie zrobiłem twardego resetu.
I jeszcze jedno: firewall pokazał mi, że plik iexplore.exe został zmieniony. (nie używam IE, chciałem wejść w Windows Update) To dobrze, czy źle? 
– Dodane 15.03.2010 (Pn) 21:21 –
Bump
I jeszcze dodam, że chciałem na wszelki wypadek sprawdzić kompa programem Gmer i generalnie się wiesza na pewnym etapie, chociaż nic nie wyświetlało się na czerwono.