Witam, pożyczyłem od kolegi pen-drive. Opaliłem przed otwórz, ale i tak jakiś wir wszedł… Polega na tym że jak klikam na dysk “F” to w ogóle nic nie reaguje, a jak na “C” to pisze jakim programem chcę otworzyć…
Skan z OTL: http://wklej.org/id/301963/
jessica
(jessica)
22 Marzec 2010 19:10
#2
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL MOD - [2010-03-22 17:44:30 | 000,075,776 | RHS- | M] () – C:\Documents and Settings\user\Ustawienia lokalne\Temp\cvasds0.dll O4 - HKCU…\Run: [Auto-Backup] C:\Program Files\Auto-Backup\Auto-Backup.exe File not found O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\user\Ustawienia lokalne\Temp\herss.exe () O4 - HKCU…\Run: [Expressivo] C:\Program Files\ivo\Expressivo\expressivo.exe File not found O4 - HKCU…\Run: [wsctf.exe] File not found 20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - C:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation) O32 - AutoRun File - [2010-03-22 19:34:49 | 000,000,057 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-03-22 19:34:49 | 000,000,057 | RHS- | M] () - F:\autorun.inf – [NTFS] O33 - MountPoints2{0a29aa2b-487a-11de-a164-0060b3606226}\Shell - “” = AutoRun O33 - MountPoints2{223d45c6-04f5-11df-b25b-0060b3606226}\Shell - “” = AutoRun O33 - MountPoints2{30e19008-f832-11dd-a068-0060b3606226}\Shell - “” = AutoRun O33 - MountPoints2{6dbb34e6-7ae3-11de-b11f-0060b3606226}\Shell - “” = AutoRun O33 - MountPoints2{72cdfe32-f7a5-11dd-a066-0060b3606226}\Shell - “” = AutoRun O33 - MountPoints2{72cdfe33-f7a5-11dd-a066-0060b3606226}\Shell - “” = AutoRun O33 - MountPoints2{b0e1e46d-35ba-11df-b2be-0060b3606226}\Shell\AutoRun\command - “” = H:\ji83j.exe – File not found O33 - MountPoints2{b0e1e46d-35ba-11df-b2be-0060b3606226}\Shell\open\Command - “” = H:\ji83j.exe – File not found O33 - MountPoints2{c3680ce2-79c1-11de-b11c-0060b3606226}\Shell - “” = AutoRun O33 - MountPoints2{ca4a4fc6-49f6-11de-a168-0060b3606226}\Shell - “” = AutoRun O33 - MountPoints2{cfed0196-ef2b-11dd-bac8-806d6172696f}\Shell\AutoRun\command - “” = ji83j.exe O33 - MountPoints2{cfed0196-ef2b-11dd-bac8-806d6172696f}\Shell\open\Command - “” = ji83j.exe O33 - MountPoints2{cfed0197-ef2b-11dd-bac8-806d6172696f}\Shell\AutoRun\command - “” = F:\ji83j.exe – [2010-03-22 15:42:37 | 000,111,616 | RHS- | M] () O33 - MountPoints2{cfed0197-ef2b-11dd-bac8-806d6172696f}\Shell\open\Command - “” = F:\ji83j.exe – [2010-03-22 15:42:37 | 000,111,616 | RHS- | M] () [2010-03-22 15:42:22 | 000,000,057 | RHS- | C] () – C:\autorun.inf :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Userinit”=“C:\WINDOWS\system32\userinit.exe,” [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
Hmmm, a co mam robić jeśli reboot już się zakończył, a raport nie wychodzi?
http://wklej.org/id/302044/
Przy starcie systemu wyskakuje wirus “explorer” :roll:
jessica
(jessica)
22 Marzec 2010 20:17
#6
Tak, ten fałszywy “explorer.exe” nie usunął się, więc:
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL O4 - HKCU…\Run: [wsctf.exe] File not found O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - C:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation) :Files C:\WINDOWS\System32\EXPLORER.EXE :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Userinit”=“C:\WINDOWS\system32\userinit.exe,” [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Shell”=“explorer.exe” :Commands [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
Po uruchomienia komputera ponownie, nie wyskoczył żaden raport… ale wirusa dalej wykryło.
Skan: http://wklej.org/id/302076/
jessica
(jessica)
22 Marzec 2010 20:50
#8
Masz jakiś dziwny System: nie pozwala na usuwanie wirusów.
Zmieniemy metodę:
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“EXPLORER.EXE”=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“wsctf.exe”=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“Userinit”=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“Userinit”=“C:\WINDOWS\system32\userinit.exe,”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“Shell”=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“Shell”=“explorer.exe”
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >> plik uruchom (dwuklik i OK). 2) Ściągnij -->Avenger . wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\system32\EXPLORER.EXE
Kliknij w " Execute " i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt .
Daj też nowy log z OTL.
jessi
avender: http://wklej.org/id/302272/
OTL: http://wklej.org/id/302273/
Tylko nie wiem bo jak system mi się uruchomił to “Moje dokumenty” się same x2 otworzyły.
jessica
(jessica)
23 Marzec 2010 07:44
#10
To efekt infekcji, bo widać, że infekcja dalej jest:
Twój System dziwny, nie pozwala na usuwanie wirusów.
Plik infekcji został usunięty przez Avenger, ale w Rejestrze są dalej klucze infekcji.
Spróbuj ręcznie:
>>Start >>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK> >rozwiń ten klucz,klikając na (+): >(+)HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion> >zaznacz Run > >w okienku po prawej zaznacz: EXPLORER.EXE>>prawoklik>>Modyfikuj>>w okienku, które wyskoczy zaznacz: C:\WINDOWS\explorer.exe>>prawoklik>>usuń >zwiń ten klucz, klikając na (-).
>>Start >>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK> >rozwiń ten klucz,klikając na (+): >(+)HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion> >zaznacz Run > >w okienku po prawej zaznacz: wsctf.exe>>prawoklik>>>>usuń >zwiń ten klucz, klikając na (-).
>>Start >>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK> >rozwiń ten klucz,klikając na (+): >(+)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion >zaznacz: Winlogon >w okienku po prawej zaznacz: Userinit>>prawoklik>>Modyfikuj>>w okienku, które wyskoczy zaznacz: zaznacz: C:\WINDOWS\explorer.exe>>prawoklik>>usuń (tak, by zostało tam tylko C:\WINDOWS\system32\userinit.exe, z tym przecinkiem na końcu) >zwiń ten klucz, klikając na (-).
Potem pokażesz tu nowy log z OTL -sprawdzimy, czy to coś dało.
jessi