visper94
(Kamii1234)
22 Kwiecień 2010 18:19
#1
Nie mam pojecia co sie stalo gdy chce otworzyc jeden z moich dyskow za kazdym razem zamiast otworz są jakies “chinskie” znaki?
Rowniez nieda sie otworzyc poprzez dwukrotne klikniecie. Oto screen mam nadzieje ze ktos mi pomoze.
Wklejam tutaj potrzebne logi
OTL.txt
http://www.speedyshare.com/files/22075970/OTL.Txt
Extras.txt
http://www.speedyshare.com/files/22083598/Extras.Txt
laszjwrz
(Laszjwrz)
22 Kwiecień 2010 18:27
#2
deFco247
(deFco247)
22 Kwiecień 2010 18:29
#3
To jest infekcja z pendrive.
Poza tym skoro piszesz w tym dziale z takim problemem, to należy wstawić obowiązkowe logi.
Pokaż logi z narzędzia OTL .
Ustawiasz go jak na tym obrazku .
Klikasz Run Scan .
Pokazujesz dwa wynikowe logi OTL.txt + Extras.txt
visper94
(Kamii1234)
22 Kwiecień 2010 19:05
#4
Zgadzam sie jest to infekcja z pendrive, stalo sie to po wlasnie jego wlozeniu oto LOG
Bylo tego zbyt duzo, nie chcialem spamowac, więc wrzucilem na speedyshare.com
oto linki
OTL.txt
http://www.speedyshare.com/files/22075970/OTL.Txt
Extras.txt
http://www.speedyshare.com/files/22075997/Extras.Txt
visper94
(Kamii1234)
22 Kwiecień 2010 19:27
#5
Ale co mam z tym zrobic? niemam pojecia jestem zielony w tej sprawie ;d
Moglbys objasnic jak to wylaczyc, usunac czy co z tym zrobic?
laszjwrz
(Laszjwrz)
22 Kwiecień 2010 19:34
#6
Nic z tym nie rób, ta wypowiedź nie ma sensu.
visper94 , proszę zapoznaj się z tą stroną oraz tym tematem , a następnie popraw tytuł tematu, używając przycisku
deFco247
(deFco247)
23 Kwiecień 2010 14:01
#8
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:OTL PRC - [2007-01-05 17:41:02 | 000,049,242 | RHS- | M] () – C:\WINDOWS\SVCHOST.EXE [LOCALSERVICE] O4 - HKLM…\Run: [services] C:\WINDOWS\system\svchost.exe () O4 - HKLM…\Run: [sVCHOST] C:\WINDOWS\MDM.EXE () O32 - AutoRun File - [2010-04-20 18:36:15 | 000,000,149 | RHS- | M] () - C:\AutoRun.inf – [NTFS] O32 - AutoRun File - [2010-04-20 18:36:15 | 000,000,149 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-04-20 18:36:15 | 000,000,149 | RHS- | M] () - E:\autorun.inf – [NTFS] O33 - MountPoints2{003b5c6c-4929-11df-8e70-000e50e8032c}\Shell\AutoRun\command - “” = RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhx32.exe O33 - MountPoints2{003b5c6c-4929-11df-8e70-000e50e8032c}\Shell\open\command - “” = RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhx32.exe O33 - MountPoints2{5fbb675c-4552-11df-bb8f-806d6172696f}\Shell\AutoRun\command - “” = C:\RavMon.exe – [2007-01-05 17:41:02 | 000,049,242 | RHS- | M] () O33 - MountPoints2{5fbb675c-4552-11df-bb8f-806d6172696f}\Shell\explore\Command - “” = C:\RavMon.exe – [2007-01-05 17:41:02 | 000,049,242 | RHS- | M] () O33 - MountPoints2{5fbb675c-4552-11df-bb8f-806d6172696f}\Shell\open\Command - “” = C:\RavMon.exe – [2007-01-05 17:41:02 | 000,049,242 | RHS- | M] () O33 - MountPoints2{5fbb675d-4552-11df-bb8f-806d6172696f}\Shell\AutoRun\command - “” = D:\RavMon.exe – [2007-01-05 17:41:02 | 000,049,242 | RHS- | M] () O33 - MountPoints2{5fbb675d-4552-11df-bb8f-806d6172696f}\Shell\explore\Command - “” = D:\RavMon.exe – [2007-01-05 17:41:02 | 000,049,242 | RHS- | M] () O33 - MountPoints2{5fbb675d-4552-11df-bb8f-806d6172696f}\Shell\open\Command - “” = D:\RavMon.exe – [2007-01-05 17:41:02 | 000,049,242 | RHS- | M] () O33 - MountPoints2{5fbb675e-4552-11df-bb8f-806d6172696f}\Shell\AutoRun\command - “” = E:\RavMon.exe – [2007-01-05 17:41:02 | 000,049,242 | RHS- | M] () O33 - MountPoints2{5fbb675e-4552-11df-bb8f-806d6172696f}\Shell\explore\Command - “” = E:\RavMon.exe – [2007-01-05 17:41:02 | 000,049,242 | RHS- | M] () O33 - MountPoints2{5fbb675e-4552-11df-bb8f-806d6172696f}\Shell\open\Command - “” = E:\RavMon.exe – [2007-01-05 17:41:02 | 000,049,242 | RHS- | M] () O33 - MountPoints2{d4a9c206-4c88-11df-8e79-000e50e8032c}\Shell\AutoRun\command - “” = G:\RavMon.exe – File not found O33 - MountPoints2{d4a9c206-4c88-11df-8e79-000e50e8032c}\Shell\explore\Command - “” = G:\RavMon.exe – File not found O33 - MountPoints2{d4a9c206-4c88-11df-8e79-000e50e8032c}\Shell\open\Command - “” = G:\RavMon.exe – File not found O33 - MountPoints2{d4a9c207-4c88-11df-8e79-000e50e8032c}\Shell\AutoRun\command - “” = G:\RavMon.exe – File not found O33 - MountPoints2{d4a9c207-4c88-11df-8e79-000e50e8032c}\Shell\explore\Command - “” = G:\RavMon.exe – File not found O33 - MountPoints2{d4a9c207-4c88-11df-8e79-000e50e8032c}\Shell\open\Command - “” = G:\RavMon.exe – File not found [2010-04-20 18:36:15 | 000,049,242 | RHS- | C] () – C:\RavMon.exe [2010-04-20 18:35:44 | 000,049,242 | RHS- | C] () – C:\WINDOWS\SVCHOST.EXE [2010-04-20 18:35:44 | 000,000,043 | -HS- | C] () – C:\WINDOWS\SVCHOST.INI :Files C:\RECYCLER :Commands [emptytemp] [clearallrestorepoints] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan .
visper94
(Kamii1234)
23 Kwiecień 2010 14:14
#9
Dziekuje deFco247!! Wszystko dziala teraz jak nalezy.
deFco247
(deFco247)
23 Kwiecień 2010 14:18
#10
visper94 , to nie koniec…
visper94
(Kamii1234)
24 Kwiecień 2010 06:40
#11
deFco247
(deFco247)
24 Kwiecień 2010 08:21
#12
Wszystko co trzeba się usunęło.
W OTL kliknij CleanUp .
Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.
Gdy będą wirusy pokaż raport z usuwania.
Przeczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).
No i niezbędne aktualizacje:
XP Service Pack 3 + Internet Explorer 8 (nawet nieużywany wymaga aktualizacji, gdyż wpływa on na pewną część funkcji w systemie)
Adobe Reader 9.3.2
Wywalić koniecznie ten syf:
visper94
(Kamii1234)
24 Kwiecień 2010 08:34
#13
Oke, Zabieram sie do roboty jak skoncze dam znac
– Dodane 24.04.2010 (So) 14:22 –
Ok Zaktualizowalem IE 8 , SP 3
Rowniez zeskanowalem (pelnym skanem) komputer, cos wykrylo tutaj masz raport o ktorym wspominales
mbam-log
http://www.speedyshare.com/files/220987 … 50-49_.txt
Wszystko dziala okej i sprawnie mysle ze to chyba wszystko, jeszcze raz Ci dziekuje
laszjwrz
(Laszjwrz)
24 Kwiecień 2010 21:48
#14
Wyłącz przywracanie systemu. Lewoklik na Mój komputer -> właściwości -> zakładka: Przywracanie systemu -> zaznaczasz “Wyłącz przywracanie systemu na wszystkich dyskach”. Jeśli zależy Ci na punktach przywracania, to możesz je uruchomić tą samą procedurą po paru minutach
visper94
(Kamii1234)
25 Kwiecień 2010 00:14
#15
Ale po co mam to zrobic? Komp bedzie szybciej chodzic czy cus? ;p
laszjwrz
(Laszjwrz)
25 Kwiecień 2010 08:16
#16
Zainfekowanych plików:
C:\System Volume Information\_restore{6BBCDD82-4B72-45F2-B138-7EB17B72BB0E}\RP0\A0000087.exe (Worm.AutoRun) -> No action taken.
C:\System Volume Information\_restore{6BBCDD82-4B72-45F2-B138-7EB17B72BB0E}\RP0\A0000089.exe (Worm.AutoRun) -> No action taken.
C:\System Volume Information\_restore{6BBCDD82-4B72-45F2-B138-7EB17B72BB0E}\RP0\A0000091.EXE (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{6BBCDD82-4B72-45F2-B138-7EB17B72BB0E}\RP0\A0000092.EXE (Worm.AutoRun) -> No action taken.
C:\System Volume Information\_restore{6BBCDD82-4B72-45F2-B138-7EB17B72BB0E}\RP0\A0000096.exe (Worm.AutoRun) -> No action taken.
Infekcje w punktach przywracania systemu. Dochodzi do nich kiedy system tworzy punkt przywracania, a na komputerze obecne są jakieś śmieci.
visper94
(Kamii1234)
25 Kwiecień 2010 09:25
#17
Okej wyłączylem dzieki : )