malakaj81
(malakaj81)
23 Czerwiec 2010 05:44
#1
Witam
Mam taki problem, że ukryłem folder, którego teraz w żaden sposób nie mogę ujawnić. nie działa opcja pokaż ukryte pliki. Folder widać przez Total Commandera .
Chciałem prosić o sprawdzenie loga z OTL i pomoc w usunięciu wirusów.
Log z OTL: http://www.wklej.eu/index.php?id=d09fe9a86f
Proszę o pomoc
jessica
(jessica)
23 Czerwiec 2010 05:48
#2
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL MOD - [2010-06-23 06:27:07 | 000,078,336 | RHS- | M] () – C:\Documents and Settings\Komp\Ustawienia lokalne\Temp\dsoqq0.dll MOD - [2010-04-20 19:53:15 | 000,045,134 | ---- | M] (MyWebSearch.com ) – C:\Program Files\MyWebSearch\bar\1.bin\MWSOESTB.DLL SRV - [2010-04-20 19:53:15 | 000,028,762 | ---- | M] (MyWebSearch.com ) [Auto | Stopped] – C:\Program Files\MyWebSearch\bar\1.bin\MWSSVC.EXE – (MyWebSearchService) IE - HKCU…\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com ) FF - prefs.js…browser.search.selectedEngine: “MyWebSearch” FF - prefs.js…browser.startup.homepage: “http://home.mywebsearch.com/index.jhtml?n=77C09F4F&ptnrS=ZKfox000&ptb=oUaGnelGf0v6g.W7PPUWaA ” FF - prefs.js…extensions.enabledItems: m3ffxtbr@mywebsearch.com:1.1 FF - prefs.js…keyword.URL: “http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZKfox000&ptb=oUaGnelGf0v6g.W7PPUWaA&psa=&ind=2010042014&ptnrS=ZKfox000&si=&st=kwd&n=77cece9e&searchfor= ” FF - HKLM\software\mozilla\Firefox\extensions\m3ffxtbr@mywebsearch.com: C:\Program Files\MyWebSearch\bar\1.bin [2010-04-20 19:53:18 | 000,000,000 | —D | M] O2 - BHO: (MyWebSearch Search Assistant BHO) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com ) O2 - BHO: (mwsBar BHO) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com ) O3 - HKLM…\Toolbar: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com ) O3 - HKCU…\Toolbar\WebBrowser: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com ) O4 - HKLM…\Run: [hpqSRMon] File not found O4 - HKLM…\Run: [My Web Search Bar] C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com ) O4 - HKLM…\Run: [MyWebSearch Email Plugin] C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE (MyWebSearch.com ) O4 - HKLM…\Run: [nwiz] File not found O4 - HKCU…\Run: [dso32] C:\Documents and Settings\Komp\Ustawienia lokalne\Temp\dsoqq.exe () O4 - HKCU…\Run: [MyWebSearch Email Plugin] C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE (MyWebSearch.com ) O32 - AutoRun File - [2010-06-23 06:32:37 | 000,000,055 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-06-23 06:32:37 | 000,000,055 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-06-23 06:32:37 | 000,000,055 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-06-23 06:32:37 | 000,000,055 | RHS- | M] () - F:\autorun.inf – [NTFS] O33 - MountPoints2{9ab880f7-4543-11df-ad2a-806d6172696f}\Shell\AutoRun\command - “” = E:\09lf.exe – [2010-06-22 17:26:37 | 000,117,248 | RHS- | M] () O33 - MountPoints2{9ab880f7-4543-11df-ad2a-806d6172696f}\Shell\open\Command - “” = E:\09lf.exe – [2010-06-22 17:26:37 | 000,117,248 | RHS- | M] () [2010-06-22 17:26:37 | 000,117,248 | RHS- | M] () – C:\09lf.exe [2010-05-27 06:09:27 | 000,114,176 | RHS- | M] () – C:\wa.exe :Files C:\Program Files\MyWebSearch D:\09lf.exe E:\09lf.exe F:\09lf.exe D:\wa.exe E:\wa.exe F:\wa.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
malakaj81
(malakaj81)
23 Czerwiec 2010 06:04
#3
jessica
(jessica)
23 Czerwiec 2010 06:10
#4
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix .
Logu już nie musisz dawać - wierzę, że wykonasz.
W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
Użyj szczepionki >Flash Disinfector
Użyj MBAM http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html
Co wykryje, niech usunie.
jessi
malakaj81
(malakaj81)
23 Czerwiec 2010 06:35
#5
Zrobione. Włączyłem skanowanie w MBAM.
Bardzo Ci dziękuje za pomoc.
Jak się przeskanuje to dam znać czy jest dobrze.
Jest jakieś narzędzie skutecznie skanujące pendrive, bo Kaspersky i AdAware mi przepuściły tego robala?
właśnie Flash Disinfector chroni twojego pena
jessica
(jessica)
23 Czerwiec 2010 08:04
#7
Nie, nie ma takiego narzędzia, które by na 100% było skuteczne przy skanowaniu pendrive.
Flash Disinfector tylko częściowo chroni prze tymi infekcjami, bo praktyka pokazuje, że pomimo użycia Flasha infekcje te i tak przedostają się na dysk twardy - ale mają przynajmniej utrudnienie.
Pendrive to “imperium zła”, nawet najlepsze Antivirusy są bezsilne, czego dowodem jest Twój Kaspersky.
Na Forum łatwo można znaleźć tematy, w których te infekcje były, a Antivirusy były chyba wszystkie, oczywiście w każdym temacie inny.
Jedynym sposobem, na 100% skutecznym, jest zrezygnowanie z używania pendrive’a. W tej chwili to wydaje się niedorzeczne, ale użytkownicy zaczynają powoli to rozumieć, że kiedyś będą musieli z penów zrezygnować, bo infekcje będą coraz gorsze z upływem czasu. Jeśli ktoś codziennie będzie musiał formatować dysk, bo zaraża się codziennie jakimś wirusem w rodzaju VIRUT’a, to …
malakaj81
(malakaj81)
24 Czerwiec 2010 08:29
#8
Wszystko działa. Wielkie podziękowania dla jessici
Pozdrawiam