Virut.5


(Wolek141) #1

Złapałem takie coś. Przy skanowaniu DrWeb wyłączyło mi PC. Grubsza sprawa.

OTL

Extras

FRST

Addition


(Atis) #2

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

(APN LLC.) D:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe
() D:\Users\wolekj\AppData\Local\winlogon.exe
() D:\Users\wolekj\AppData\Local\services.exe
() D:\Users\wolekj\AppData\Local\lsass.exe
(Microsoft Corporation) D:\Windows\SysWOW64\PING.EXE
HKLM-x32\...\Winlogon: [Shell] Explorer.exe "D:\Windows\eksplorasi.exe" [42713] () <=== ATTENTION
HKU\S-1-5-21-2032821588-2368036543-1093197115-1000\...\Run: [] => [X]
HKU\S-1-5-21-2032821588-2368036543-1093197115-1000\...\Run: [Tok-Cirrhatus] => D:\Users\wolekj\AppData\Local\smss.exe [42713 2010-11-04] ()
HKU\S-1-5-21-2032821588-2368036543-1093197115-1000\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-2032821588-2368036543-1093197115-1000\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-2032821588-2368036543-1093197115-1000\...\Policies\Explorer: [NoFolderOptions] 1
Startup: D:\Users\wolekj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()
S1 ensqio; system32\DRIVERS\ensqio.sys [X]
S1 sbpcint4; system32\DRIVERS\sbpcint4.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
D:\Users\wolekj\AppData\Local\Bron.tok.A12.em.bin
D:\Users\wolekj\AppData\Local\Bron.tok-12-30
D:\ProgramData\Doctor Web
D:\Program Files (x86)\AskPartnerNetwork
D:\Users\wolekj\AppData\Local\Bron.tok-12-29
D:\Users\wolekj\AppData\Local\Bron.tok-12-28
D:\Users\wolekj\AppData\Local\Bron.tok-12-27
D:\Users\wolekj\AppData\Local\Bron.tok-12-26
D:\Users\wolekj\AppData\Local\Bron.tok-12-25
D:\Users\wolekj\AppData\Local\Bron.tok-12-24
D:\Users\wolekj\AppData\Local\Bron.tok-12-23
D:\Users\wolekj\AppData\Local\Bron.tok-12-22
D:\Users\wolekj\AppData\Local\Bron.tok-12-21
D:\Users\wolekj\AppData\Local\Bron.tok-12-20
D:\Users\wolekj\AppData\Local\Bron.tok-12-19
D:\Users\wolekj\AppData\Local\Bron.tok-12-18
D:\Users\wolekj\AppData\Local\Bron.tok-12-17
D:\Users\wolekj\AppData\Local\Bron.tok-12-16
D:\Users\wolekj\AppData\Local\Bron.tok-12-15      
D:\Users\wolekj\AppData\Local\Bron.tok-12-14      
D:\Users\wolekj\AppData\Local\Bron.tok-12-13      
D:\Users\wolekj\AppData\Local\Bron.tok-12-12      
D:\Users\wolekj\AppData\Local\Loc.Mail.Bron.Tok   
D:\Users\wolekj\AppData\Local\Kosong.Bron.Tok.txt 
D:\Users\wolekj\AppData\Local\Ok-SendMail-Bron-tok
D:\Users\wolekj\AppData\Local\ListHost12.txt      
D:\Users\wolekj\AppData\Local\Bron.tok-12-11     
D:\Windows\eksplorasi.exe
D:\Users\wolekj\AppData\Local\*.exe
Hosts:
CMD: del /f /s /q %TEMP%\*.*
Reboot:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Wolek141) #3

Fixlog

FRST


(Atis) #4

Fix wykonaj w trybie awaryjnym.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

http://support.kaspersky.com/pl/general/various/493#q1

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

() D:\Users\wolekj\AppData\Local\winlogon.exe
() D:\Users\wolekj\AppData\Local\services.exe
() D:\Users\wolekj\AppData\Local\lsass.exe
() D:\Users\wolekj\AppData\Local\inetinfo.exe
HKLM-x32\...\Winlogon: [Shell] Explorer.exe "D:\Windows\eksplorasi.exe" [42713] () <=== ATTENTION
HKU\S-1-5-21-2032821588-2368036543-1093197115-1000\...\Run: [Tok-Cirrhatus] => D:\Users\wolekj\AppData\Local\smss.exe [42713 2010-11-04] ()
HKU\S-1-5-21-2032821588-2368036543-1093197115-1000\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-2032821588-2368036543-1093197115-1000\...\Policies\Explorer: [NoFolderOptions] 1
Startup: D:\Users\wolekj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()
ProxyServer: 127.0.0.1:9051
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
CHR HKLM-x32\...\Chrome\Extension: [panpiecllaicaafneoofcmdgmbcihhnd] - D:\ProgramData\AskPartnerNetwork\Toolbar\BTR-V7\CRX\ToolbarCR.crx [2013-08-23]
S2 TVicPort; No ImagePath
S3 GPU-Z; \??\D:\Users\wolekj\AppData\Local\Temp\GPU-Z.sys [X]
D:\Users\wolekj\AppData\Local\Update.12.Bron.Tok.bin
D:\Users\wolekj\AppData\Local\ListHost12.txt
D:\Users\wolekj\AppData\Local\Bron.tok-12-30
D:\AdwCleaner
D:\Users\wolekj\AppData\Local\*.exe
D:\Windows\eksplorasi.exe
Hosts:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Wolek141) #5

Fixlog

FRST

 

Program był odpalany z innej lokalizacji niż wcześniej.


(Atis) #6

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

() D:\Users\wolekj\AppData\Local\winlogon.exe
() D:\Users\wolekj\AppData\Local\services.exe
() D:\Users\wolekj\AppData\Local\lsass.exe
() D:\Users\wolekj\AppData\Local\inetinfo.exe
HKLM-x32\...\Run: [Bron-Spizaetus] => D:\Windows\ShellNew\sempalong.exe [42713 2010-11-04] ()
HKLM-x32\...\Winlogon: [Shell] Explorer.exe "D:\Windows\eksplorasi.exe" [42713] () <=== ATTENTION
HKU\S-1-5-21-2032821588-2368036543-1093197115-1000\...\Run: [Tok-Cirrhatus] => D:\Users\wolekj\AppData\Local\smss.exe [42713 2010-11-04] ()
HKU\S-1-5-21-2032821588-2368036543-1093197115-1000\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-2032821588-2368036543-1093197115-1000\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-2032821588-2368036543-1093197115-1000\...\Policies\Explorer: [NoFolderOptions] 1
Startup: D:\Users\wolekj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()
D:\Windows\ShellNew\sempalong.exe 
D:\Windows\eksplorasi.exe
D:\Users\wolekj\AppData\Local\*.exe
D:\Users\wolekj\AppData\Local\Update.12.Bron.Tok.bin
D:\Users\wolekj\AppData\Local\ListHost12.txt
D:\Users\wolekj\AppData\Local\Bron.tok-12-30
D:\Users\wolekj\AppData\Local\Bron.tok.A12.em.bin
D:\Users\wolekj\AppData\Local\Loc.Mail.Bron.Tok
D:\Users\wolekj\AppData\Local\Kosong.Bron.Tok.txt
D:\Users\wolekj\AppData\Local\Ok-SendMail-Bron-tok

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Wolek141) #7

Fixlog

FRST

 

Brontok też był?


(Atis) #8

Usuwany był tylko Brontok

Viruta nie można wykryć za pomocą logów, wiec musisz skanować cały dysk.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

(Microsoft Corporation) D:\Windows\SysWOW64\PING.EXE
Hosts:

Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.

VirutKiller

Kaspersky Virus Removal Tool

Dr.Web CureIt


(Wolek141) #9
Microsoft Corporation) D:\Windows\SysWOW64\PING.EXE => Error: No automatic fix found for this entry.
D:\Windows\System32\Drivers\etc\hosts => Moved successfully.
Hosts was reset successfully.

Tak ma być?

Biorę się za skanowanie. Leczyć czy usuwać pliki?


(Atis) #10

Lecz pliki jeśli będzie taka możliwość.