yrpen
(yrpen)
4 Listopad 2009 06:51
#1
Nie mogę zaznaczyć opcji “pokaż ukryte pliki i foldery”
tworzą się dziwne pliki (patrz screan niżej) o tej samej nazwie co folder, w którym się znajdują
podejrzane wpisy wg mnie to: Explorer.EXE, RUNDLL32.EXE, RTHDCPL.EXE, E00DD.com , nwiz.exe /install, ALCMTR.EXE, amvo.exe
Skan z HJT:
http://wklejto.pl/46196
Screan:
http://img43.imageshack.us/img43/4555/wirusa.png
ciemnowidz
(Henio Mazurek)
4 Listopad 2009 06:57
#2
Wklej logi z wymienionych niżej narzędzi:
OTL , uruchom program i pod Custom Scans/Fixes wklej
Następnie przestaw Processes i Modules na All, kliknij Run Scan , wklej log który powstanie ( OTL.txt ) + log Extras.txt który powstanie jako drugi.
GMER , zakładka Rootkit/Malware , klikasz Szukaj , po skanie Kopiuj lub Zapisz .
System Repair Engineer , instrukcja w linku.
Logi wklej na wklejto.pl a tutaj tylko link do wklejki.
yrpen
(yrpen)
4 Listopad 2009 19:27
#3
OTL txt:
http://wklejto.pl/46255
Extras:
http://wklejto.pl/46256
GMER skan:
http://wklejto.pl/46257
SREngLOG:
http://wklejto.pl/46259
PS: Zauważyłem, że winrar też został zablokowany przez wirusy
ciemnowidz
(Henio Mazurek)
5 Listopad 2009 05:54
#4
Przeskanuj ten plik na VirusTotal i pokaż raport.
Log z OTL urwany.
W dolne białe okno OTL wklej
:Processes explorer.exe :OTL MOD - [2009-11-04 18:17:31 | 00,084,992 | RHS- | M] () – C:\WINDOWS\system32\amvo0.dll O4 - HKCU…\Run: [amva] C:\WINDOWS\system32\amvo.exe () :Services :Files C:\WINDOWS\system32\amvo0.dll C:\WINDOWS\system32\amvo.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [purity] [start explorer] [Reboot]
Kliknij Run Fix . pokaż log z usuwania i nowy, robiony z opcji Run Scan .
yrpen
(yrpen)
5 Listopad 2009 14:35
#5
ciemnowidz
(Henio Mazurek)
5 Listopad 2009 18:53
#6
Wygląda na to, że może być modyfikacja na systemowym sterowniku.
Zastosuj ComboFix , w momencie pobierania zmień mu nazwę na losową.
Podczas pobierania i skanu ComboFix’em wyłącz antywirusa i zapory.
yrpen
(yrpen)
6 Listopad 2009 14:50
#7
Wyskakuje mi sporo błędów oraz ComboFix nie chce zacząć działać (nie mam żadnego antywirusa ani zapory poza systemową, zmieniłem też nazwę pliku ComboFixa).
ciemnowidz
(Henio Mazurek)
7 Listopad 2009 06:27
#8
To błąd.
W dolne białe okno OTL wklej
:Processes explorer.exe :OTL PRC - [2007-09-29 09:25:04 | 00,057,344 | ---- | M] (gy) – C:\WINDOWS\Fonts\E00DD.com O4 - HKLM…\Run: [TempCom] C:\WINDOWS\Fonts\E00DD.com (gy) :Services :Files C:\WINDOWS\Fonts\E00DD.com :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [purity] [start explorer] [Reboot]
Kliknij Run Fix .
Potem w OTL wklej
Kliknij Run Scan i pokaż log.