Win32:Malware-gen,Win32:Rootkit-gen[Rtk],Win32:Wukill-B[Wrm]

biartikej · 25 Styczeń 2010 16:26

Witam

Kolega przyniósł do mnie pendrive i od tamtej pory obojętnie w który folder wejdę infekuje go od razu i pokazuje się folder WINFILE.EXE.Przeskanowałem dyski avastem i wykrywa mi tego typu virusy które są wymienione w tytule.Nie mam pojęcia co robić nie chcę stracić tych danych.

Bardzo bardzo proszę o pomoc :(.Z góry dziękuję za odpowiedz

Loga OTL http://wklej.org/id/268483/

jessica · 25 Styczeń 2010 16:39

Ponieważ wiem, że u Ciebie OTL nie usuwa niczego, więc:

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Start Page"="about:blank"


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{00A6FAF6-072E-44cf-8957-5838F569A31D}"=-


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00A6FAF1-072E-44cf-8957-5838F569A31D}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{07B18EA1-A523-4961-B6BB-170DE4475CCA}]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{07B18EA9-A523-4961-B6BB-170DE4475CCA}"=-


[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]

"{07B18EA9-A523-4961-B6BB-170DE4475CCA}"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"My Web Search Bar Search Scope Monitor"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MyWebSearch Email Plugin"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"nwiz"=-


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RavTimeXP"=-


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"cdoosoft"=-


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"MyWebSearch Email Plugin"=-


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"SuperHidden"=dword:00000001


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000001


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"ShowSuperHidden"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >> plik uruchom (dwuklik i OK). Potem: Ściągnij -->Avenger. wklej do niego ten tekst:

Files to delete:

C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\cvasds0.dll

C:\WINDOWS\Mstray.exe

C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\herss.exe

C:\autorun.inf

D:\autorun.inf

E:\autorun.inf 

F:\autorun.inf 

C:\comment.htt

C:\c2e.exe

C:\qkm.exe

D:\c2e.exe

E:\c2e.exe

F:\c2e.exe

D:\qkm.exe

E:\qkm.exe

F:\qkm.exe


Folders to delete:

C:\Program Files\MyWebSearch

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

Oraz nowy log z OTL.

WUKILL będzie ciężko usunąć, bo jego niektóre pliki nie są widzialne w logach.

Daj raport z >http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html

Użyj >http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html

Napisz, co wykrył.

Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >http://www.speedyshare.com/files/20449832/launch.com

biartikej · 25 Styczeń 2010 17:42

hej skanowałem kompa combofixem i nie wiem czy mogę postępować w ten sposób jak mi kazałaś.Nie wiem czy combofix czegoś nie pozmieniał?

ps.zaraz chyba porąbie kompa siekierką

jessica · 25 Styczeń 2010 17:49

A siekierka jakiej marki?

Wykonaj wszystko, co napisałam, z tą różnicą, że dołącz tu potem także ten log z ComboFixa.

jessi

biartikej · 25 Styczeń 2010 18:20

Siekierka marki do rąbania drzewa

Log z ComboFixa http://wklej.org/id/268502/ (ten który robiłem przedtem)

Raport z Avengera http://wklej.org/id/268551/

Log z OTL http://wklej.org/id/268562/

jessica · 25 Styczeń 2010 19:03

Wygląda na to, że ComboFix już sobie poradził z główną infekcją.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix.

Mimo usunięcia infekcji lepiej jednak chyba będzie użyć jeszcze “Dr.WebCureIt”, do którego dałam link już wcześniej.

jessi

biartikej · 25 Styczeń 2010 21:17

raport ze skanu Malwarebytes Anti-Malware http://wklej.org/id/268692/ (usunąłem zarażone)

A skanowanie “Dr.WebCureIt” nic nie wykryło:)

Gutek · 25 Styczeń 2010 21:20

zamykam - piratom nie pomagamy!