Problem - TR/Crypt.ZPACK.Gen i przyjaciele :) Jak się pozbyć

Zwierzaczek · 17 Sierpień 2009 18:49

Witam.

Zazwyczaj sobie radzę sam ze swoim piecykiem, ale z wirusami do czynienia jeszcze nie miałem…ale ostatnio zaczęły dziać się dziwne rzeczy. Najpierw zauważyłem, że zepsuł mi się boot.ini - przy uruchamianiu systemu pojawia się napis “Nieprawidłowy boot.ini, rozruch z C:\Windows”. Gdy chciałem samemu zajrzeć co z tym pliczkiem okazało się, że mi się wyłączył podgląd plików ukrytych i systemowych. Gdy chciałem to zmienić w opcjach folderów, okazało się, że się nie da, tzn. zaraz po zatwierdzeniu z powrotem wyłącza się podgląd ukrytych plików. Kilka dni zostawiłem to w spokoju, jednak dzisiaj po włożeniu pendrive’a kolegi, gdzieś po minucie nie dało się uruchomić z eksploratora okienka pendrive’a. Uruchamiał się tylko DOS-owy program “wbj.exe”, od razu się zamykał jak to zwykle bywa, a okno z plikami z pendrive się nie uruchamiało. Oprócz tego zauważyłem też, że nie mogę zaktualizować Aviry…niby miała się automatycznie uaktualniać, ale mimo to pojawiło się okienko upominające się o aktualizację. Kliknąłem “Update”, a wtedy pojawił się komunikat z informacją o jakimś problemie z uruchomieniem programu…nie pamiętam, po reinstalacji Aviry było OK. Później, jeszcze przed ponowną jej instalacją (wywaliłem chyba Avirę i miałem restartować, ale w tym czasie skanowałem coś dla kolegi i zeszło mi z godzinę), problem z dyskiem osiągnął następny poziom - nie dało się w ogóle uruchomić dysku - pojawiało się okienko wyboru programu do otwarcia pliku C:. Z resztą - jest tak do tej pory.

Po ponownej instalacji Aviry zrobiłem całogodzinny skan systemu, i oto log:

http://wklej.org/hash/5feb9cd561/ (jest dość długi)

Ponoć przydadzą się też logi z Hijacka i SilentRunners:

http://wklej.org/hash/596dc4bb4e/ - Hijack

http://wklej.org/hash/826bd08cdd/ - Log z Silenta

Oczywiście, Avirze kazałem wszystkie błędy naprawić, i - oczywiście - nie podziałało Ja się już w tym wszystkim gubię, a i logów nie umiem czytać, poza tym na malware się nie znam, więc mógłby mi ktoś powiedzieć co zrobić, żeby wyleczyć swój komputer? Format nie odpada, ale chyba można go uniknąć Tongue

Pozdrawiam.

deFco247 · 17 Sierpień 2009 18:57

Wyłącz Przywracanie systemu na wszystkich dyskach. Instrukcja XP.

Fix w HiJackThis: ( Do a system scan only -> zaznaczasz pola przy podanych niżej wpisach -> Fix checked )

O4 - HKLM…\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /install O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM…\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM…\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM…\Run: [Tlen.pl] c:\program files\tlen.pl\tlen.exe O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe” O4 - HKLM…\Run: [sunJavaUpdateSched] “C:\Program Files\Java\jre6\bin\jusched.exe” O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\QTTask.exe” -atboottime O4 - HKCU…\Run: [cdoosoft] C:\DOCUME~1\Ja\USTAWI~1\Temp\herss.exe O4 - HKCU…\Run: [ALLUpdate] “C:\Program Files\ALLPlayer\ALLUpdate.exe” “sleep”

Pokaż log OTL.

Zwierzaczek · 17 Sierpień 2009 19:30

Zrobione.

Trochę jest tego logu, ale OK

http://wklej.org/hash/a24edbcac9/

Pozdro.

jasio96 · 17 Sierpień 2009 19:37

Wklej w oknie Custom Scans/Fixes wklej :

Kliknij Run Fix.

Daj log z usuwania i nowy log z OTL

deFco247 · 17 Sierpień 2009 19:44

W Custom Scans/Fixes w OTL wklej:

:OTL PRC - [2008-04-14 19:21:16 | 01,035,264 | ---- | M] (Microsoft Corporation) – C:\windows\Explorer.EXE O32 - AutoRun File - [2009-08-17 18:37:21 | 00,000,053 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-08-17 18:37:21 | 00,000,053 | RHS- | M] () - D:\autorun.inf – [NTFS] O33 - MountPoints2{60d7ae7a-85c0-11de-a813-4d6564696130}\Shell\AutoRun\command - “” = J:\lcw.exe – File not found O33 - MountPoints2{60d7ae7a-85c0-11de-a813-4d6564696130}\Shell\open\Command - “” = J:\lcw.exe – File not found O33 - MountPoints2{b73d33a3-7d41-11de-b761-806d6172696f}\Shell\AutoRun\command - “” = lcw.exe O33 - MountPoints2{b73d33a3-7d41-11de-b761-806d6172696f}\Shell\open\Command - “” = lcw.exe O33 - MountPoints2{b73d33a4-7d41-11de-b761-806d6172696f}\Shell\AutoRun\command - “” = lcw.exe O33 - MountPoints2{b73d33a4-7d41-11de-b761-806d6172696f}\Shell\open\Command - “” = lcw.exe :Files C:\windows\tasks\User_Feed_Synchronization-{B070BAAD-6B1F-4F3F-954D-44496E3495E7}.job :Commands [emptytemp] [start explorer]

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania oraz nowy OTL.txt

Zwierzaczek · 17 Sierpień 2009 23:13

Witam ponownie.

Temat niepotrzebnie dałem na kilka for naraz. Dzięki za pomoc, ale wystarczyła chyba tylko interwencja Aviry i działanie ComboFixa. Może HijackThis też pomógł, tak czy inaczej dziękuję, już Avira nic nie wykryła.