szarosci
(Hard Luck Woman)
10 Luty 2010 20:55
#1
W poniedziałek został zrobiony format dysku i instalacja WinXp, jednak bardzo szybko (już an drugi dzień) pojawiły się powiadomienia z antywirusa o zainfekowanie trojanami, wirusami, m.in.: ws.exe (jakoś się to usunęło, ale czy poprawie to nie mam pojęcia). Teraz jednak wyskakują powiadomienia o innych trojanach.
Na kompie nie było nic takiego instalowanego oprócz przydatnych programów itp.
Zamieszczam log z OTL i proszę o pomoc - co mam zrobić, jak zrobić i czy mam coś wklejać w miejsce Custom Scans/Fixes, bo log jest teraz zrobiony na hm… czysto.
Z góry dziękuję za pomoc.
http://www.wklej.eu/index.php?id=11805696ef
jessica
(jessica)
10 Luty 2010 21:06
#2
Log nie zmieścił się cały.
Infekcja pendrivowa, więc po formacie został użyty pendrive lub inny nośnik pamięci.
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL O4 - HKCU…\Run: [cdoosoft] C:\DOCUME~1\Klaudia\USTAWI~1\Temp\herss.exe File not found O32 - AutoRun File - [2010-02-09 21:32:23 | 000,000,051 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-02-09 21:32:23 | 000,000,051 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-02-09 21:32:23 | 000,000,051 | RHS- | M] () - E:\autorun.inf – [NTFS] [2010-02-08 21:05:39 | 000,000,000 | -HSD | C] – C:\RECYCLER :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
Może masz trojana typu VITRO na jamims z nosników przenosnych (CD,Pendrive)
szarosci
(Hard Luck Woman)
10 Luty 2010 21:50
#4
Faktycznie, wrzuciłam płytkę na którą nagrywałam materiały z uczelni.
Log po restarcie:
http://wklej.org/id/277397/txt/
Raport:
http://wklej.org/id/277400/txt/
Masz VIRUT VITRO na 100 %. Usuń wszystkie partycje. Wyłacz komp. Włacz ponownie, utwórz partycje, format i instalka. I wyrzuć ta płyte bo masz na niej pewnie autorun.inf z biblioteka witro i zarazone wszystkie pliki EXE
Sam format nic nie pomoże. I pamietaj wyłacz i włacz bo przy uruchom ponownie zostaje w RAM i po formacie i instalce będziesz miał go spowrotem
Są niby sposoby na pozbycie sie jego ale tak naprawde to skuczeczne na 20% i nigdy nie ma pewności.
jessica
(jessica)
10 Luty 2010 22:50
#6
@ darek0107 - Proszę nie straszyć forumowiczów.
Ja tu nie widzę żadnych oznak VIRUTA.
Oczywiście zalecę, na wszelki wypadek, sprawdzenie tego.
Ale proszę bez uzasadnionego powodu nie zalecać formatowania dysku.
Nie chciałabym w przyszłości zgłaszać Cię do raportu za takie zachowanie.
==============================================
@ szarosci
Log jest czysty.
W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
Sprawdzimy, czy nie masz tego VIRUTA:
Użyj >http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html
Napisz, co wykrył.
jessi