arsen11
(Arseniuszkwiatkowski)
12 Styczeń 2011 10:19
#1
Witam!
Mam problem z komputerem, z dużą dozą prawdopodobieństwa stwierdzam, że jest zawirusowany.
Zainstalowałem Avast, wykrył on mi “500” zakażonych plików, m.in. " autorun.inf i x3xh.exe. Ale chyba ich nie usunął.
Komputer po podłączeniu do sieci bardzo zwalnia, a po kilku minutach rozłącza się z netem. Nie mogę zrobić aktualizacji programu antywirusowego i w “opcjach folderów” nie mogę zmienić, żeby pokazywał mi pliki ukryte.
Dodatkowo po podłączeniu pendriva do komputera, pojawiaj się na nim zarażony plik o nazwie “yveqsh93.exe”.
To główne problemy, których chciałbym się pozbyć:P Prosiłbym o pomoc, cenne rady i wskazówki;) [ale jeżeli łatwiej się pozbyć komputera to dajcie znać]
poniżej wklejka z HijackThis:
http://wklej.org/id/455425/
ps.: nie mogę też uruchomić systemu w trybie awaryjnym ( po kliknięciu F8, przy starcie komputera i wybraniu opcji “tryb awaryny” komp sie uruchamia od nowa dochodząc do opcji wyboru trybu pracy ;/)
Pozdrawiam
ahonen97
(ahonen97)
12 Styczeń 2011 10:36
#2
Pokaż logi z narzędzi:
OTL
Ustawiasz go tak jak na tym obrazku. otl-gmer-rsit-dds-inne-instrukcje-t370405.html
Klikasz przycisk “Skanuj”.
Pokazujesz dwa wynikowe logi OTL.txt + Extras.txt.
Na Windows Vista i 7 uruchamiamy programy z menu “Uruchom jako Administrator”.
Przed uruchomieniem powyższych narzędzi odinstaluj (jeśli posiadasz) wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe to OK).
Zawartość logów wklejasz na http://wklej.org/ a w poście dajesz link.
Pobierz i przeskanuj kompa http://www.dobreprogramy.pl/Malwarebyte … 13117.html i usuń wszystko co znajdzie
arsen11
(Arseniuszkwiatkowski)
12 Styczeń 2011 11:39
#3
Dzieki za szybka odpowiedz;)
OTL : http://wklej.org/id/455463/
Extras: http://wklej.org/id/455464/
skan OTL zrobilem przed uruchomieniem Malwarebytes’a,
W związku z tym wpisem podejrzenie pada na wirusa Sality Reszta w chwili obecnej mniej ważna
Spróbujemy usuwania w ten sposoób
W okno Własne opcje skanowania / skrypt w OTL wklej:
:OTL PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) MOD - [2011-01-12 11:58:01 | 000,117,248 | RHS- | M] () – C:\WINDOWS\system32\arking0.dll DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\System32\drivers\iofilo.sys – (aic32p) O4 - HKLM…\Run: [KernelFaultCheck] File not found O4 - HKU\S-1-5-21-1275210071-1614895754-725345543-1003…\Run: [dso32] C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\dsoqq.exe File not found O4 - HKU\S-1-5-21-1275210071-1614895754-725345543-1003…\Run: [King_ar] C:\WINDOWS\system32\arking.exe () O4 - HKU\S-1-5-21-1275210071-1614895754-725345543-1003…\Run: [king_mg] C:\WINDOWS\system32\mgking.exe () O32 - AutoRun File - [2011-01-12 10:54:41 | 000,000,063 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2011-01-12 10:54:42 | 000,000,063 | RHS- | M] () - E:\autorun.inf – [FAT32] O33 - MountPoints2{13d20719-4b0d-11df-948a-806d6172696f}\Shell\AutoRun\command - “” = E:\yveqsh93.exe – [2010-11-23 18:33:02 | 000,181,248 | RHS- | M] () O33 - MountPoints2{13d20719-4b0d-11df-948a-806d6172696f}\Shell\open\Command - “” = E:\yveqsh93.exe – [2010-11-23 18:33:02 | 000,181,248 | RHS- | M] () O33 - MountPoints2{13d2071b-4b0d-11df-948a-806d6172696f}\Shell\AutoRun\command - “” = C:\yveqsh93.exe – [2010-11-23 18:33:02 | 000,181,248 | RHS- | M] () O33 - MountPoints2{13d2071b-4b0d-11df-948a-806d6172696f}\Shell\open\Command - “” = C:\yveqsh93.exe – [2010-11-23 18:33:02 | 000,181,248 | RHS- | M] () O33 - MountPoints2\C\Shell\AutoRun\command - “” = C:\yveqsh93.exe – [2010-11-23 18:33:02 | 000,181,248 | RHS- | M] () O33 - MountPoints2\C\Shell\open\Command - “” = C:\yveqsh93.exe – [2010-11-23 18:33:02 | 000,181,248 | RHS- | M] () O33 - MountPoints2\E\Shell\AutoRun\command - “” = E:\yveqsh93.exe – [2010-11-23 18:33:02 | 000,181,248 | RHS- | M] () O33 - MountPoints2\E\Shell\open\Command - “” = E:\yveqsh93.exe – [2010-11-23 18:33:02 | 000,181,248 | RHS- | M] () :Files C:\WINDOWS\System32\arking0.dll C:\WINDOWS\System32\arking1.dll C:\WINDOWS\System32\arking.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [resethosts]
Klikasz na Wykonaj skrypt . Zgadzasz się na restart komputera. Log z usuwania później dasz na forum
Podłącz swoje urządzenia przenośne Następnie pobierz i użyj Sality Killer http://www.softpedia.com/get/Antivirus/ … ller.shtml
Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.
Na koniec proszę o raport Gmera Jak go wykonać opisano tutaj http://www.fixitpc.pl/topic/60-diagnost … u-rootkit/
arsen11
(Arseniuszkwiatkowski)
12 Styczeń 2011 16:02
#5
http://wklej.org/id/455571/ OTL kasowanie
http://wklej.org/id/455641/ OTL po SK
http://wklej.org/id/455644/ Extras po SK
zaraz zrobię raport GMER
– Dodane 12.01.2011 (Śr) 18:08 –
http://www.wklej.org/id/455722/ raport GMAR
Bardzo dziękuję za pomoc, teraz już chyba chodzi bez wirusów. Dajcie znać jeśli dopatrzycie się czegoś ciekawego w tych raportach.
Pozdrawiam i jeszcze raz dziękuję !
Mam nadzieję, że można zamknąć wątek
Usuń ręcznie plik C:\WINDOWS\System32\ Desktop_.ini
Uruchom OTL klikasz Sprzątanie
Pobierz Malwarebytes http://www.dobreprogramy.pl/Malwarebyte … 13117.html Wykonaj pełne skanowanie Usuń co znajdzie program podaj log na forum jeśli program coś znajdzie
Zaktualizuj
Java 6 Update 23