mar2507
(Mariolkaz)
23 Październik 2009 11:21
#1
Proszę o pomoc w usunięciu wirusa win32:amvo. najpierw pojawil sie komunikat avasta o rootkicie, a po kliknieciu w opcje usun posypał się grad trojanow, które nie chcą sie usunąc. Nie znam sie na tym kompletnie więc nie wiem jakie informacje moga byc potrzebne. Poki co załączam logi
log z hijackthis: http://www.wklej.org/id/183252/
log z OTL: http://www.wklej.org/id/183255/
log z silent runners: http://www.wklej.org/id/183256/
prosze o pomoc i w miarę prosty język
sohei
(Baster 22)
23 Październik 2009 13:00
#2
Infekcja z pendrive. Zastosuj narzedzie Flash desinfector a zaraz zobacze do loga dalej
ciemnowidz
(Henio Mazurek)
23 Październik 2009 13:01
#3
W OTL w dolne białe okno wklej taki tekst
:Processes explorer.exe :OTL IE - HKU\S-1-5-21-583907252-1214440339-839522115-1003…\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net \tbfree.dll (Conduit Ltd.) FF - prefs.js…browser.search.defaultengine: “Ask.com ” FF - prefs.js…browser.search.defaultenginename: “Ask.com ” FF - prefs.js…browser.search.order.1: “Ask.com ” FF - prefs.js…keyword.URL: “http://supertoolbar.ask.com/redirect?client=ff&src=kw&tb=BT3&o=14979&locale=en_US&q= ” O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask.com ) O2 - BHO: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net \tbfree.dll (Conduit Ltd.) O3 - HKLM…\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask.com ) O3 - HKLM…\Toolbar: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net \tbfree.dll (Conduit Ltd.) O3 - HKU\S-1-5-21-583907252-1214440339-839522115-1003…\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll (Ask.com ) O3 - HKU\S-1-5-21-583907252-1214440339-839522115-1003…\Toolbar\WebBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net \tbfree.dll (Conduit Ltd.) O4 - HKU\S-1-5-21-583907252-1214440339-839522115-1003…\Run: [cdoosoft] C:\DOCUME~1\MARIOL~1.MAR\USTAWI~1\Temp\herss.exe File not found O32 - AutoRun File - [2009-10-23 10:49:59 | 00,000,059 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-10-23 10:49:59 | 00,000,059 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-10-23 10:49:59 | 00,000,059 | RHS- | M] () - E:\autorun.inf – [NTFS] :Services :Files C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job C:\wcgswa.exe C:\qbr2q.exe C:\nds0q.exe C:\se12ydam.exe d:\wcgswa.exe d:\qbr2q.exe d:\nds0q.exe d:\se12ydam.exe e:\wcgswa.exe e:\qbr2q.exe e:\nds0q.exe e:\se12ydam.exe C:\Program Files\Ask.com C:\Program Files\free-downloads.net :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [start explorer] [Reboot]
Kliknij Run Fix. Pokaż log z usuwania i nowy robiony z opcji Run Scan.
asterisk
(Asterisk)
23 Październik 2009 13:10
#4
Proszę zastosować się do tego Tematu i edytować własnego posta
w celu zmiany jego tytułu na konkretny.
W przeciwnym razie topic wyląduje w Śmietniku.
mar2507
(Mariolkaz)
23 Październik 2009 13:46
#5
Oto logi z OTL
z usuwania: http://www.wklej.org/id/183358/
z ponownego skanowania: http://www.wklej.org/id/183360/
A jak “wyczyścić” pendrive’a? nie mogę ściągnąć programu Flash Desinfector…
– Dodane 24.10.2009 (So) 14:39 –
Tak się zastanawiam, czy mam już problem z głowy? Wprawdzie Avast się uspokoił, ale nie wiem czy to dostatecznie silny argument na rzecz uwolnienia się od się wirusów… A, i jeszcze takie pytanko: czy mogę pousuwać różne dziwne foldery, które powstały po skanowaniu, np: folder OTL na dysku C??
Będę wdzięczna, jeśli ktoś rzuci okiem na logi z OTL (poprzedni post). No i oczywiście bardzo dziękuję za dotychczasową pomoc:)
ciemnowidz
(Henio Mazurek)
28 Październik 2009 06:13
#6
Wygląda na skasowane.
Kliknij w OTL CleanUp.
Wyłącz na chwilę przywracanie systemu - XP /Vista
Wykonaj pełny skan Malwarebytes Anti-Malware , jeśli coś znajdzie - usuń i wklej log.
Przeczyść dysk i rejestr CCleaner’em .
Podepnij pamięci przenośne i zastosuj FlashDisinfector