Quarri
(Kamilus10)
24 Styczeń 2010 12:55
#1
Witam.
Mam problem.Nie mogę zmienić widoku ukrytych plików żeby były widoczne. A kiedy klikam na dany dysk otwiera mi się w nowym oknie.
Log z OTL z Processes na All i Modules też na All: http://wklej.to/fTHo
Extras : http://wklej.to/wKT0
W Documents And Settings mam jakiś plik userinit.exe nie wiem do czego on służy ponieważ go widze pierwszy raz
deFco247
(deFco247)
24 Styczeń 2010 15:09
#2
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:Processes Explorer.EXE :OTL PRC - [2007-11-19 13:35:40 | 00,147,456 | ---- | M] () – C:\Documents and Settings\Kamil\Ustawienia lokalne\Temp\svchost.exe [imgSVC] O4 - HKLM…\Run: [soundMax] C:\Documents and Settings\Kamil\userinit.exe () O32 - AutoRun File - [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () - C:\autoply.exe – [NTFS] O32 - AutoRun File - [2010-01-23 19:39:58 | 00,000,301 | RH-- | M] () - C:\Autorun.inf – [NTFS] O32 - AutoRun File - [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () - D:\autoply.exe – [NTFS] O32 - AutoRun File - [2010-01-23 19:40:03 | 00,000,301 | RH-- | M] () - D:\Autorun.inf – [NTFS] O32 - AutoRun File - [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () - E:\autoply.exe – [NTFS] O32 - AutoRun File - [2010-01-23 19:40:08 | 00,000,301 | RH-- | M] () - E:\Autorun.inf – [NTFS] O32 - AutoRun File - [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () - F:\autoply.exe – [NTFS] O32 - AutoRun File - [2010-01-23 19:40:13 | 00,000,301 | RH-- | M] () - F:\Autorun.inf – [NTFS] O33 - MountPoints2{6b3b07cb-084e-11df-a1b2-0008a16aeab1}\Shell\AutoPlay\Command - “” = L:\autoply.exe – File not found O33 - MountPoints2{6b3b07cb-084e-11df-a1b2-0008a16aeab1}\Shell\AutoRun\command - “” = L:\autoply.exe – File not found O33 - MountPoints2{6b3b07cb-084e-11df-a1b2-0008a16aeab1}\Shell\explore\Command - “” = L:\autoply.exe – File not found O33 - MountPoints2{6b3b07cb-084e-11df-a1b2-0008a16aeab1}\Shell\open\Command - “” = L:\autoply.exe – File not found O33 - MountPoints2{8922a6af-084e-11df-a18a-806d6172696f}\Shell\AutoPlay\Command - “” = D:\autoply.exe – [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () O33 - MountPoints2{8922a6af-084e-11df-a18a-806d6172696f}\Shell\AutoRun\command - “” = D:\autoply.exe – [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () O33 - MountPoints2{8922a6af-084e-11df-a18a-806d6172696f}\Shell\explore\Command - “” = D:\autoply.exe – [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () O33 - MountPoints2{8922a6af-084e-11df-a18a-806d6172696f}\Shell\open\Command - “” = D:\autoply.exe – [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () O33 - MountPoints2{8922a6b0-084e-11df-a18a-806d6172696f}\Shell\AutoPlay\Command - “” = E:\autoply.exe – [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () O33 - MountPoints2{8922a6b0-084e-11df-a18a-806d6172696f}\Shell\AutoRun\command - “” = E:\autoply.exe – [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () O33 - MountPoints2{8922a6b0-084e-11df-a18a-806d6172696f}\Shell\explore\Command - “” = E:\autoply.exe – [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () O33 - MountPoints2{8922a6b0-084e-11df-a18a-806d6172696f}\Shell\open\Command - “” = E:\autoply.exe – [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () O33 - MountPoints2{8922a6b1-084e-11df-a18a-806d6172696f}\Shell\AutoPlay\Command - “” = F:\autoply.exe – [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () O33 - MountPoints2{8922a6b1-084e-11df-a18a-806d6172696f}\Shell\AutoRun\command - “” = F:\autoply.exe – [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () O33 - MountPoints2{8922a6b1-084e-11df-a18a-806d6172696f}\Shell\explore\Command - “” = F:\autoply.exe – [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () O33 - MountPoints2{8922a6b1-084e-11df-a18a-806d6172696f}\Shell\open\Command - “” = F:\autoply.exe – [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () O33 - MountPoints2{8922a6b3-084e-11df-a18a-806d6172696f}\Shell\AutoPlay\Command - “” = C:\autoply.exe – [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () O33 - MountPoints2{8922a6b3-084e-11df-a18a-806d6172696f}\Shell\AutoRun\command - “” = C:\autoply.exe – [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () O33 - MountPoints2{8922a6b3-084e-11df-a18a-806d6172696f}\Shell\explore\Command - “” = C:\autoply.exe – [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () O33 - MountPoints2{8922a6b3-084e-11df-a18a-806d6172696f}\Shell\open\Command - “” = C:\autoply.exe – [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania oraz nowy log robiony opcją Run Scan .
Przed kliknięciem Run Scan wklejasz w OTL taki tekst:
To może być Conficker…
Quarri
(Kamilus10)
24 Styczeń 2010 15:41
#3
Log z usuwania: http://wklej.to/al2V
Log po usunięciu: http://wklej.to/oQGi
Extras: http://wklej.to/o7FG
Po uruchomieniu systemu Windows pojawił mi się następujący komunikat:
deFco247
(deFco247)
24 Styczeń 2010 15:47
#4
Coś to schodzić nie chce…
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:Processes Explorer.EXE :OTL SRV - [2004-08-04 00:44:02 | 00,167,403 | RHS- | M] () [Auto | Stopped] – C:\WINDOWS\system32\dwujqlng.dll – (rrfcnil) O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKCU…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O4 - HKLM…\Run: [soundMax] C:\Documents and Settings\Kamil\userinit.exe () O32 - AutoRun File - [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () - C:\autoply.exe – [NTFS] O32 - AutoRun File - [2010-01-24 16:34:22 | 00,000,301 | RH-- | M] () - C:\Autorun.inf – [NTFS] O32 - AutoRun File - [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () - D:\autoply.exe – [NTFS] O32 - AutoRun File - [2010-01-24 16:34:27 | 00,000,301 | RH-- | M] () - D:\Autorun.inf – [NTFS] O32 - AutoRun File - [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () - E:\autoply.exe – [NTFS] O32 - AutoRun File - [2010-01-24 16:34:32 | 00,000,301 | RH-- | M] () - E:\Autorun.inf – [NTFS] O32 - AutoRun File - [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () - F:\autoply.exe – [NTFS] O32 - AutoRun File - [2010-01-24 16:34:37 | 00,000,301 | RH-- | M] () - F:\Autorun.inf – [NTFS] O33 - MountPoints2{8922a6b3-084e-11df-a18a-806d6172696f}\Shell\AutoPlay\Command - “” = C:\autoply.exe – [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () O33 - MountPoints2{8922a6b3-084e-11df-a18a-806d6172696f}\Shell\AutoRun\command - “” = C:\autoply.exe – [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () O33 - MountPoints2{8922a6b3-084e-11df-a18a-806d6172696f}\Shell\explore\Command - “” = C:\autoply.exe – [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () O33 - MountPoints2{8922a6b3-084e-11df-a18a-806d6172696f}\Shell\open\Command - “” = C:\autoply.exe – [2007-11-19 13:35:40 | 00,147,456 | RH-- | M] () NetSvcs: rrfcnil - C:\WINDOWS\system32\dwujqlng.dll () :Reg [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] “2052:TCP”=-
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania oraz nowy log robiony opcją Run Scan .
Quarri
(Kamilus10)
24 Styczeń 2010 16:03
#5
deFco247
(deFco247)
24 Styczeń 2010 16:08
#6
Coś oporna ta infekcja. Co usunę, to wraca ona ekspresowo na swoje miejsce.
Zastosuj Combofix .
Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).
Podczas pobierania i skanowania Combofixem należy wyłączyć wszelkie antywirusy i firewalle .
Pokaż log.
Quarri
(Kamilus10)
24 Styczeń 2010 17:10
#7
Log z usuwania Combofixa: http://wklej.to/g3s6
deFco247
(deFco247)
24 Styczeń 2010 21:21
#8
Nic już podejrzanego w tym logu nie widzę.
Uruchom OTL i kliknij w nim CleanUp .
Wykonaj pełny skan Dr.Web CureIt .
Gdy będą wirusy, pokaż raport.
Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).
Quarri
(Kamilus10)
25 Styczeń 2010 14:58
#9
Dr.Web mi się zacina przy 2533 pliku.
Zamiast tego zastosowałem MalwareBytes. Tak jak w poprzednim moim problemie.
Log z MalwareBytes: http://wklej.to/2pcL
deFco247
(deFco247)
25 Styczeń 2010 15:01
#10
Tego problemu się chyba nigdy nie pozbędziesz.
Znalezione obiekty usuń.
Quarri
(Kamilus10)
25 Styczeń 2010 15:24
#11
A nie da sie jakoś tego usunąć? Albo podmienić żeby był bez Confickera?
deFco247
(deFco247)
25 Styczeń 2010 15:51
#12
Usunąłeś znalezione w Malwarebytes pliki?
Jeśli tak, to wykonaj następujące:
Otwórz Notatnik i wklej do niego:
Plik zapisz jako typ wszystkie pliki pod nazwą plik.bat -> uruchom powstały plik.
No i nie wiem czy zastosowałeś narzędzia do usuwania Confickera, które podawałem wcześniej , ale zastosuj je z podłączonymi wszystkimi posiadanymi pamięciami przenośnymi .
Quarri
(Kamilus10)
25 Styczeń 2010 20:13
#13
Coś ten Conficker nie chce odpaść… są jakieś inne sposoby? Czy ten Conficker coś mi robi z komputerem ? Bo jak siedze na GG to co chwila mi rozłącza nie wiem czy to Conficker i chciałbym się dowiedzieć
deFco247
(deFco247)
25 Styczeń 2010 20:25
#14
Coś mi się zdaje, ze takim sposobem się tego nie pozbędziemy…
W normalnych warunkach robak ten nie powinien się tak łatwo dostawać na komputer, ale jak Ty nawet nie masz antywirusa, no to… :roll:
http://www.heise-online.pl/security/fea … 78084.html
http://www.microsoft.com/poland/protect … icker.mspx
http://www.microsoft.com/poland/technet … 63_01.mspx
W twoim przypadku radzę wykonać takie coś:
Pobierz i nagraj na płytkę na niezainfekowanym komputerze DR Web LiveCD. Włóż płytkę do zainfekowanego komputera, zakładając, że wcześniej ustawiłeś w BIOS-ie na startowanie kompa z CD/DVD, więc po restarcie powinien się uruchomić się skaner. Wykonujesz pełny skan, leczysz co się da, reszta do usunięcia. Skanujesz tyle razy, aż skaner nic nie znajdzie.
Quarri
(Kamilus10)
25 Styczeń 2010 20:54
#15
Chyba już się usunął ;D Bo żadna ze stron ( Heise Online i MalwareBytes ) nie wykrywają Confickera
Oto dowód m.in log z MalwareBytes: http://wklej.to/6cUU
– Dodane 26.01.2010 (Wt) 19:39 –
Problem został rozwiązany. Dziękuje za pomoc dla Deffcia
Temat można Zamknąć
– Dodane 30.01.2010 (So) 16:37 –
Błąd niestety powrócił:
Zastosowałem się do tego postu. Wkleiłem ten skrypt do OTL
Log z usuwania: http://wklej.to/PFBX
Malwarebytes pokazał mi to: http://wklej.to/Z2js
Quarri
(Kamilus10)
30 Styczeń 2010 16:13
#17
Tamte wirusy usuneło lecz znalazło następne
Log: http://wklej.to/RNM6
Oczywiście kliknąłem żeby to się też usuneło