wacki
(Grzelski)
5 Listopad 2009 10:53
#1
Witam, mam taki o to problem. Antywir wykrywa mi jakiegoś rootkita, ale nie wyrzuca go, nawet jak robi scana przed uruchomieniem windowsa. I chyba właśnie z jego powodu m.in nie pokazują mi się pliki ukryte.
log http://www.wklej.org/id/195935/
jessica
(jessica)
5 Listopad 2009 11:11
#2
Infekcja “pendrivowa”
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL O3 - HKLM…\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Grzelski\Ustawienia lokalne\Temp\herss.exe () O32 - AutoRun File - [2009-11-05 11:45:36 | 00,000,055 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-11-05 11:45:38 | 00,000,055 | RHS- | M] () - D:\autorun.inf – [FAT32] O32 - AutoRun File - [2009-11-05 11:45:36 | 00,000,055 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-11-05 11:45:38 | 00,000,055 | RHS- | M] () - F:\autorun.inf – [FAT32] O32 - AutoRun File - [2009-11-05 11:45:38 | 00,000,055 | RHS- | M] () - G:\autorun.inf – [FAT32] O33 - MountPoints2{5e645da4-6b2c-11de-b0f5-0018f380ddda}\Shell\AutoRun\command - “” = L:\gcq6.exe – File not found O33 - MountPoints2{5e645da4-6b2c-11de-b0f5-0018f380ddda}\Shell\open\Command - “” = L:\gcq6.exe – File not found :Files C:\Documents and Settings\Grzelski\Ustawienia lokalne\Temp\cvasds0.dll C:\autorun.inf d:\autorun.inf e:\autorun.inf f:\autorun.inf g:\autorun.inf C:\gcq6.exe D:\gcq6.exe E:\gcq6.exe F:\gcq6.exe G:\gcq6.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [resethosts] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessi
wacki
(Grzelski)
5 Listopad 2009 11:49
#3
jessica
(jessica)
5 Listopad 2009 12:08
#4
Wg mnie - jest OK.
Użyj >Panda Vaccine - to trochę utrudni ponowne zarażenie.
W OTL kliknij na przycisk “CleanUp” - to go usunie.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
jessi