grzecchu
(Grzecchu)
28 Kwiecień 2010 22:39
#1
Witam,
mksvir ciągle znajduje mi takie wirusy: C:/WINDOWS/system32/EXPLORER.EXE <<-- Psw.SBoy.a i H:/EXPLORER.EXE
Zrobiłem ponownie scan OTL i raport zamieszczam w pliku OTL.Txt, w serwisie wysllijto.pl: http://wyslijto.pl/plik/iaganub9un
Bardzo proszę o pomoc w usuwaniu… Już parę razy usuwałem lecząc komputer + pendrive’a i przez miesiąc w ogóle nie podłączałem go do komputera, a mimo wszystko znowu infekcja…
Z góry dzięki za pomoc
jessica
(jessica)
28 Kwiecień 2010 23:37
#2
Jeśli przez ostatni miesiąc nie podpinałeś żadnego zewnętrznęgo nośnika pamięci, to rzeczywiście zagadkowa sprawa, skąd infekcja wróciła.
Zakładam, że komputer nie jest połączony z innym komputerem poprzez USB.
W logu nie widać akurat tej infekcji, ale to pewnie dlatego, że MKS ją usunął.
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll (Spigot, Inc.) O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll (Spigot, Inc.) O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM…\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll (Spigot, Inc.) O3 - HKCU…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () IE - HKCU…\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll (Spigot, Inc.) O4 - HKLM…\Run: [searchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe (Spigot, Inc.) O32 - AutoRun File - [2010-04-28 23:55:04 | 000,000,165 | RHS- | M] () - H:\AutoRun.inf – [FAT32] [2010-04-28 23:56:52 | 000,000,000 | —D | C] – C:\Documents and Settings\grzesko\Dane aplikacji\Search Settings [2010-04-28 23:56:52 | 000,000,000 | —D | C] – C:\Documents and Settings\grzesko\Dane aplikacji\pdfforge [2010-04-28 23:30:47 | 000,000,000 | —D | C] – C:\Program Files\pdfforge Toolbar [2010-04-18 13:50:54 | 000,000,000 | -HSD | C] – C:\RECYCLER :Files C:\Program Files\pdfforge Toolbar C:\Program Files\DAEMON Tools Toolbar :Services :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Userinit”=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “Userinit”=“C:\WINDOWS\system32\userinit.exe,” [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “EXPLORER.EXE”=- :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
Monczkin
(Monczkin)
29 Kwiecień 2010 06:10
#3
grzecchu , , nazwij proszę temat konkretnie, zgodnie z zasadami pisania na forum. Popraw błędy, na forum używamy polskiej psiowni.Inaczej temat zostanie usunięty. Przeczytaj proszę regulamin forum.
grzecchu
(Grzecchu)
29 Kwiecień 2010 07:14
#4
Poprawiłem nazwę tematu i zmieniłem treść.
Wracając do wirusa/trojana:
log extras.txt : http://wyslijto.pl/plik/dkgh9holrr
OTL.txt : http://wyslijto.pl/plik/ja21idm61l
Log po restarcie komputera: http://wyslijto.pl/plik/7eld1tz1sw
Jeśli to nie problem to bardzo bym prosił o pomoc przy usunięciu wirusa/trojana od razu z pendrive’a. Podejrzewam, że w momencie kiedy podłącze go do komputera - komputer znowu zostanie zainfekowany i tak na okrągło… Korzystam jeszcze z innego komputera w domu, który zapewne również jest zainfekowany… Czy zrobić na nim to samo, czy na nowo założyć temat z jego logiem z OTL ?
jessica
(jessica)
29 Kwiecień 2010 08:18
#5
Nowy log jest czysty.
Podepnij tego pena pod drugi komputer, użyj Flash Disinfector (cały czas z podpiętym penem), potem zrób log z OTL i pokaż go tu.
jessi