KarolR7
(Karol R 7)
3 Sierpień 2009 10:14
#1
Witam. Po przeskanowaniu komputera KIS pokazał takie oto wirusy:
http://i30.tinypic.com/2ng90ev.jpg
Kiedyś już miałem z tym problem, o ile pamiętam to infekuje wszystkie pliki .exe (bo wtedy po prostu go usuwałem) i chyba prowadzi to tylko do formatu…
Wklejam loga z HJT. Proszę o pomoc
http://www.wklejto.pl/39770
deFco247
(deFco247)
3 Sierpień 2009 10:43
#2
Wyłącz i włącz Przywracanie systemu na wszystkich dyskach. Instrukcja XP .
Pobierz Dr.Web CureIt (zapisz plik jako typ wszystkie pliki po nazwą 123.com ).
Uruchamiasz pełny skan, leczysz co się da, reszta do usunięcia.
Potem pobierz Kaspersky Virus Removal Tool - również pełny skan, usuń co znajdzie.
Potem pokaż logi OTL oraz GMER .
W GMER nic nie zmieniamy -> wciskamy Szukaj (skan potrwa kilkadziesiąt minut) -> po skanie Kopiuj .
KarolR7
(Karol R 7)
3 Sierpień 2009 16:42
#3
Na początku wyłączyć i włączyć za jednym razem, czy tylko wyłączyć te przywracanie?
deFco247
(deFco247)
3 Sierpień 2009 16:46
#4
Lepiej jednak tylko wyłącz.
KarolR7
(Karol R 7)
5 Sierpień 2009 11:21
#5
Więc tak: wyłączyłem przywracanie na wszystkich dyskach, Dr Web po skanie przedstawił takie oto szkodniki -
http://zapodaj.net/aad610d13109.jpg.html
Po drodze pojawił się pewien problem - Firefox nie chce się uruchomić. Sprawdzałem tą bibliotekę nspr4.dll i nie chce się ani usunąć, ani podmienić: http://zapodaj.net/c902b32289b0.jpg.html
Kaspersky Virus Removal Tool nie pokazał już tych Virut.q
Skan OTL - http://www.wklejto.pl/39917
Skan GMER - http://www.wklejto.pl/39938
deFco247
(deFco247)
5 Sierpień 2009 12:06
#6
W Custom Scans/Fixes w OTL wklej:
:OTL PRC - [2007-06-13 15:12:07 | 01,034,752 | ---- | M] (Microsoft Corporation) – C:\WINDOWS\explorer.exe O33 - MountPoints2{6e6f07b3-5430-11de-963e-000feafc3b90}\Shell\AutoRun\command - “” = tjjqtejq.bat O33 - MountPoints2{6e6f07b3-5430-11de-963e-000feafc3b90}\Shell\open\Command - “” = tjjqtejq.bat :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Po tym log z usuwania oraz nowy OTL.txt.
KarolR7
(Karol R 7)
5 Sierpień 2009 12:54
#7
Log z usunięcia:
All processes killed ========== OTL ========== No active process named explorer.exe was found! Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{6e6f07b3-5430-11de-963e-000feafc3b90}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{6e6f07b3-5430-11de-963e-000feafc3b90}\ not found. File tjjqtejq.bat not found. Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2{6e6f07b3-5430-11de-963e-000feafc3b90}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID{6e6f07b3-5430-11de-963e-000feafc3b90}\ not found. File tjjqtejq.bat not found. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Karol ->Temp folder emptied: 705008 bytes ->Temporary Internet Files folder emptied: 317186978 bytes ->Java cache emptied: 25978166 bytes ->FireFox cache emptied: 119928620 bytes User: LocalService ->Temp folder emptied: 0 bytes File delete failed. C:\Documents and Settings\LocalService\Ustawienia lokalne\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot. ->Temporary Internet Files folder emptied: 33170 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 2596 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 442,41 mb OTL by OldTimer - Version 3.0.10.4 log created on 08052009_142029 Files\Folders moved on Reboot… Registry entries deleted on Reboot…
i log z OTL - http://www.wklejto.pl/39952
deFco247
(deFco247)
5 Sierpień 2009 13:03
#8
Log wygląda na czysty.
W OTL kliknij CleanUp .
Wyczyść rejestr i dysk CCleaner .
Usuń zbędniki z autostartu.
Na wszelki wypadek wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.
Gdy będą wirusy pokaż raport.
deFco247
(deFco247)
5 Sierpień 2009 14:27
#10
Usuń wszystko co znalazł Malwarebytes’
KarolR7
(Karol R 7)
5 Sierpień 2009 14:50
#11
Tak, wiem, że miałem usunąć, tylko zauważyłem w międzyczasie, że przy wejściu do “Panelu Sterowania” wyskakuje błąd explorer.exe i się zamyka, więc wolałem się wstrzymać.
edit: może to było chwilowe, bo teraz jest już OK.
– Dodane 05.08.2009 (Śr) 17:07 –
http://www.wklejto.pl/39968 - log po usunięciu elementów z Malwarebytes’
Jeszcze jedno pytanie: co zrobić z tą biblioteką od Firefoxa? Jeżeli przeinstaluję FF, to czy stracę profil i zakładki? (Mam zrobione kopie, ale nie wiem, czy nie będzie problemu z wersją - ostatnio często był aktualizowany).
– Dodane 05.08.2009 (Śr) 18:19 –
Mam jeszcze pytanie: co z wirusami, które wykrył Kaspersky Internet Security ?
Do tego zauważyłem, że pojawiają się Alerty Zabezpieczeń z Centrum Zabezpieczeń Windows (które wcześniej miałem wyłączone).
deFco, prosiłbym o dalsze wskazówki i ewentualne odpowiedzi na moje wątpliwości, z góry dzięki
deFco247
(deFco247)
5 Sierpień 2009 16:33
#12
Jakie wirusy wykrył? W jakich lokalizacjach?
To chyba wina Malwarebytes’, on traktuje wyłączone Centrum zabezpieczeń jako szkodliwe ustawienie.
W ogóle najlepiej jest wyłączyć usługę Centrum Zabezpieczeń, bo to badziewie.
Start -> Uruchom… -> services.msc
Przestawiasz usługę Centrum Zabezpieczeń na wyłączony .
Przy deinstalacji masz wybór -usunąć profil i ustawienia prywatne - oczywiście nie kasujesz.
Potem wystarczy go na nowo zainstalować i ustawienia powinny być tak jak poprzednio.
KarolR7
(Karol R 7)
5 Sierpień 2009 16:35
#13
Chodzi o te wirusy, które dałem na samym początku w pierwszym poście
link do screena - http://i30.tinypic.com/2ng90ev.jpg
deFco247
(deFco247)
5 Sierpień 2009 16:43
#14
Wyłącz i włącz Przywracanie systemu na wszystkich dyskach. Instrukcja XP .
To usunie zawartość folderów System Volume Information razem z syfem w nim się znajdującym.
KarolR7
(Karol R 7)
5 Sierpień 2009 16:46
#15
No tak, wyłączałem na początku Z tym że teraz, Kaspersky nadal pokazuje te zagrożenia, więc nie wiem, czy spokojnie mogę je wyleczyć/usunąć.
deFco247
(deFco247)
5 Sierpień 2009 16:47
#16
Musisz wyłączyć przywracanie po raz kolejny.
Przy włączonym przywracaniu pliki tam są tworzone na bieżąco.
KarolR7
(Karol R 7)
5 Sierpień 2009 16:54
#17
Tak też zrobiłem więc usuwać je w Kasperskym?
Kurcze sorry za pytania, ale te wszystkie skany robiłem od wczoraj w nocy i nie chciałbym teraz czegoś popsuć już prawie na samym końcu
deFco247
(deFco247)
5 Sierpień 2009 16:56
#18
Jak chcesz to usuwaj, chociaż jak wyłączałeś przywracanie od czasu skanu, to tych plików i tak tam nie będzie.
Najlepiej na nowo się przeskanuj.
KarolR7
(Karol R 7)
5 Sierpień 2009 17:42
#19
Dzięki za pomoc, deFco ![-o<