Witam, mam problem z wirusem, gdy wlaczam jakis program uruchamia sie proces ave.exe, mam jeszcze problem z procesem svchost.exe
Daj log z OTL otl-gmer-rsit-dds-inne-instrukcje-t370405.html
Zasady wklejania logów: zasady-wklejania-logow-forum-tytulowania-tematow-t253052.html
Znasz to?
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz raport z usuwania.
Ale ten nowy log zrób z dodatkowym ustawieniem:
W pole Custom Scans/Fixes wklej:
i dopiero wtedy kliknij “Run Scan”.
jessi
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz raport z usuwania.
Nowy log na poprzednim, dodatkowym ustawieniu.
Napisz też, czy wykrywany jest napęd CD/DVD?
jessi
– Dodane 22.03.2010 (Pn) 18:36 –
napęd wykrywa ale nowego logu mi nie pokazało, pisze “scans complete!” ale notatnik sie nie pokazuje
Poszukaj, powinien być w tej samej lokalizacji, gdzie jest OTL
jessi
To jest raport z usuwania, a nie nowy log.
jessi
Infekcja jest nadal.
Ściągnij plik “cdrom.sys” stąd> http://www.speedyshare.com/files/21581394/cdrom.sys, i umieść go na C:\
Potem:
Ściągnij -->Avenger.
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\System32\drivers\d779ee56.sys
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\VH56DJI7u87yo
C:\WINDOWS\System32\dllcache\cdrom.sys
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ave.exe
C:\Documents and Settings\All Users\Dane aplikacji\VH56DJI7u87yo
C:\WINDOWS\System32\regedit.exe
Folders to delete:
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\VH56DJI7u87yo
C:\Documents and Settings\All Users\Dane aplikacji\VH56DJI7u87yo
Files to move:
C:\cdrom.sys | C:\Windows\system32\drivers\cdrom.sys
Registry keys to delete:
HKLM\Software\Classes\secfile
Registry values to delete:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | Regedit32
Drivers to delete:
d779ee56
Kliknij w " Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
Oraz nowy log z OTL.
EDIT:
Znasz to ?
jessi
Logfile of The Avenger Version 2.0, © by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
File “C:\WINDOWS\System32\drivers\d779ee56.sys” deleted successfully.
File “C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\VH56DJI7u87yo” deleted successfully.
File “C:\WINDOWS\System32\dllcache\cdrom.sys” deleted successfully.
File “C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ave.exe” deleted successfully.
File “C:\Documents and Settings\All Users\Dane aplikacji\VH56DJI7u87yo” deleted successfully.
Error: file “C:\WINDOWS\System32\regedit.exe” not found!
Deletion of file “C:\WINDOWS\System32\regedit.exe” failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
–> the object does not exist
Error: folder “C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\VH56DJI7u87yo” not found!
Deletion of folder “C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\VH56DJI7u87yo” failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
–> the object does not exist
Error: folder “C:\Documents and Settings\All Users\Dane aplikacji\VH56DJI7u87yo” not found!
Deletion of folder “C:\Documents and Settings\All Users\Dane aplikacji\VH56DJI7u87yo” failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
–> the object does not exist
File move operation “C:\cdrom.sys|C:\Windows\system32\drivers\cdrom.sys” completed successfully.
Driver “d779ee56” deleted successfully.
Registry key “HKLM\Software\Classes\secfile” deleted successfully.
Registry value “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run|Regedit32” deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
to jest proces internet explorera??v za chwile dam loga z OTL
– Dodane 23.03.2010 (Wt) 19:36 –
tego loga dać z dodatkowym ustawieniem?
– Dodane 23.03.2010 (Wt) 19:40 –
Tak, do końca tego tematu masz dawać log na tym dodatkowym ustawieniu, bo chće widzieć, czy znowu “cdrom.sys” nie został zarażony.
W tej lokalizacji? To raczej jakiś Robak.
Prawidłowy powinien być w C:\Propgram Files\Internet Explorer\ i powinien mieć inny rozmiar.
Najedź myszką na ten rzekomy Ie, i zobacz, co tam napisane,
Sprawdź go na --> JOTTI/albo na VIRUSTOTAL.
Avenger.
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\System32\drivers\yjnncuc.sys
C:\Documents and Settings\All Users\Dane aplikacji\Mh3jm32txN
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Mh3jm32txN
Folders to delete:
C:\Documents and Settings\All Users\Dane aplikacji\Mh3jm32txN
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Mh3jm32txN
Drivers to delete:
yjnncuc
Kliknij w " Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Potem:
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Pokaż nowy log OTL.txt oraz raport z usuwania.
Daj Raport z Avengera z C:\avenger.txt.
jessi
ten ostatni log jest zły bo nie wklejałem tamtego hasła
– Dodane 23.03.2010 (Wt) 20:04 –
http://www.wklej.org/id/302666/, ten log jest dobry, sorki za problemy
– Dodane 23.03.2010 (Wt) 20:14 –
http://www.wklej.org/id/302687/ - raport z avangera
– Dodane 23.03.2010 (Wt) 20:29 –
http://www.wklej.org/id/302694/ - raport z usuwania
http://www.wklej.org/id/302702/ - i nowy log
Nie napisałeś jeszcze o “iexplore.exe”
jessi
Nazwa pliku: iexplore.exe
Stan:
Skanowanie zakończone. 0 z 20 skanerów zgłaszają wirusy.
Skanowanie podjęte w: czw 18 mar 2010 11:53:04 (CET)
Rozmiar pliku: 638816 bajtów
Typ pliku: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5: b60dddd2d63ce41cb8c487fcfbb6419e
SHA1: eadce51c88c8261852c1903399dde742fba2061b
to mi się pojawiło
W takim razie zostawiamy to w spokoju.
W nowym logu nie widać już nic więcej podejrzanego.
W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną. Zniknie też …Avenger.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
Sprawdź jeszcze raz, czy wykrywany jest napę CD/DVD?
To wszystko z mojej strony.
jessi
napęd jest wykrywany, dzięki serdeczne