biartikej
(Bartas 007)
25 Styczeń 2010 16:26
#1
Witam
Kolega przyniósł do mnie pendrive i od tamtej pory obojętnie w który folder wejdę infekuje go od razu i pokazuje się folder WINFILE.EXE.Przeskanowałem dyski avastem i wykrywa mi tego typu virusy które są wymienione w tytule.Nie mam pojęcia co robić nie chcę stracić tych danych.
Bardzo bardzo proszę o pomoc :(.Z góry dziękuję za odpowiedz
Loga OTL http://wklej.org/id/268483/
jessica
(jessica)
25 Styczeń 2010 16:39
#2
Ponieważ wiem, że u Ciebie OTL nie usuwa niczego, więc:
Do Notatnika wklej:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{00A6FAF6-072E-44cf-8957-5838F569A31D}"=-
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00A6FAF1-072E-44cf-8957-5838F569A31D}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{07B18EA1-A523-4961-B6BB-170DE4475CCA}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{07B18EA9-A523-4961-B6BB-170DE4475CCA}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{07B18EA9-A523-4961-B6BB-170DE4475CCA}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"My Web Search Bar Search Scope Monitor"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MyWebSearch Email Plugin"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RavTimeXP"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cdoosoft"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MyWebSearch Email Plugin"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >> plik uruchom (dwuklik i OK). Potem: Ściągnij -->Avenger . wklej do niego ten tekst:
Files to delete:
C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\cvasds0.dll
C:\WINDOWS\Mstray.exe
C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\herss.exe
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf
C:\comment.htt
C:\c2e.exe
C:\qkm.exe
D:\c2e.exe
E:\c2e.exe
F:\c2e.exe
D:\qkm.exe
E:\qkm.exe
F:\qkm.exe
Folders to delete:
C:\Program Files\MyWebSearch
Kliknij w " Execute " i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt .
Oraz nowy log z OTL.
WUKILL będzie ciężko usunąć, bo jego niektóre pliki nie są widzialne w logach.
Daj raport z >http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html
Użyj >http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html
Napisz, co wykrył.
Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >http://www.speedyshare.com/files/20449832/launch.com
biartikej
(Bartas 007)
25 Styczeń 2010 17:42
#3
hej skanowałem kompa combofixem i nie wiem czy mogę postępować w ten sposób jak mi kazałaś.Nie wiem czy combofix czegoś nie pozmieniał?
ps.zaraz chyba porąbie kompa siekierką
jessica
(jessica)
25 Styczeń 2010 17:49
#4
A siekierka jakiej marki?
Wykonaj wszystko, co napisałam, z tą różnicą, że dołącz tu potem także ten log z ComboFixa.
jessi
biartikej
(Bartas 007)
25 Styczeń 2010 18:20
#5
Siekierka marki do rąbania drzewa
Log z ComboFixa http://wklej.org/id/268502/ (ten który robiłem przedtem)
Raport z Avengera http://wklej.org/id/268551/
Log z OTL http://wklej.org/id/268562/
jessica
(jessica)
25 Styczeń 2010 19:03
#6
Wygląda na to, że ComboFix już sobie poradził z główną infekcją.
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix .
Mimo usunięcia infekcji lepiej jednak chyba będzie użyć jeszcze “Dr.WebCureIt”, do którego dałam link już wcześniej.
jessi
biartikej
(Bartas 007)
25 Styczeń 2010 21:17
#7
raport ze skanu Malwarebytes Anti-Malware http://wklej.org/id/268692/ (usunąłem zarażone)
A skanowanie “Dr.WebCureIt” nic nie wykryło:)
Gutek
(Gutek)
25 Styczeń 2010 21:20
#8
zamykam - piratom nie pomagamy!