Reevan
(Jedrzejczykpiotr1)
15 Czerwiec 2011 17:50
#1
Witam, dziś na swoim netbooku załapałem to paskudztwo - Win 7 Security 2012. Miałem już z tym dziadostwem do czynienia, ale w nieco starszej wersji - wcześniej samo uruchomienie Combofixa usuwało problem - teraz - Combofixa nie mogę nawet uruchomić, tak jak w przypadku przeglądarki internetowej.
Udało mi się natomiast zrobić logi z OTL’a
http://wklej.eu/index.php?id=d39acfdf10 OTL
http://wklej.eu/index.php?id=7f7d4bef0d Extras
Proszę o sprawdzenie logów i dalszych instrukcji co do usunięcia wirusa.
Bardzo mi zależy na czasie gdyż lada dzień wyjeżdżam - będę ogromnie wdzięczny za szybką pomoc!
Przepraszam jeśli temat się niepotrzebnie powtarza
Z góry dziękuję i pozdrawiam
Reevan
Leon1
(Leon$)
15 Czerwiec 2011 18:11
#2
OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:
:OTL PRC - [2011-06-15 11:43:43 | 000,331,776 | ---- | M] (Microsoft Corporation) – C:\Users\Reevan\AppData\Local\qyg.exe O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-626330929-3201717407-3728382220-1000…\Run: [3441255494] C:\Users\Reevan\AppData\Local\qyg.exe (Microsoft Corporation) O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O35 - HKU\S-1-5-21-626330929-3201717407-3728382220-1000…exefile [open] – “C:\Users\Reevan\AppData\Local\qyg.exe” -a “%1” %* (Microsoft Corporation) O37 - HKU\S-1-5-21-626330929-3201717407-3728382220-1000…exe [@ = exefile] – “C:\Users\Reevan\AppData\Local\qyg.exe” -a “%1” %* (Microsoft [2011-06-15 11:43:43 | 000,331,776 | ---- | C] (Microsoft Corporation) – C:\Users\Reevan\AppData\Local\qyg.exe [2011-06-15 14:31:52 | 000,009,058 | -HS- | M] () – C:\Users\Reevan\AppData\Local\gl78a8vsg80e0mycqnh5mo60psgh4pk225447up56h0l [2011-06-15 14:31:52 | 000,009,058 | -HS- | M] () – C:\ProgramData\gl78a8vsg80e0mycqnh5mo60psgh4pk225447up56h0l :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [CLEARALLRESTOREPOINTS] [emptytemp]
Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.
Pokaż log z usuwania.
potem nowy log OTL robiony opcją Run Scan (Skanuj)
Usuń Combofix i pozostałości po nim tym http://oldtimer.geekstogo.com/OTC.exe
Reevan
(Jedrzejczykpiotr1)
15 Czerwiec 2011 19:20
#3
Właśnie przed chwilą udało mi się uruchomić Mbam’a i program ten usunął win7 security ^^
Dla pewności wykonam to co napisałeś
Dzięki ogromne!