Wirusy tuż po formacie, ws.exe

szarosci · 10 Luty 2010 20:55

W poniedziałek został zrobiony format dysku i instalacja WinXp, jednak bardzo szybko (już an drugi dzień) pojawiły się powiadomienia z antywirusa o zainfekowanie trojanami, wirusami, m.in.: ws.exe (jakoś się to usunęło, ale czy poprawie to nie mam pojęcia). Teraz jednak wyskakują powiadomienia o innych trojanach.

Na kompie nie było nic takiego instalowanego oprócz przydatnych programów itp.

Zamieszczam log z OTL i proszę o pomoc - co mam zrobić, jak zrobić i czy mam coś wklejać w miejsce Custom Scans/Fixes, bo log jest teraz zrobiony na hm… czysto.

Z góry dziękuję za pomoc.

http://www.wklej.eu/index.php?id=11805696ef

jessica · 10 Luty 2010 21:06

Log nie zmieścił się cały.

Infekcja pendrivowa, więc po formacie został użyty pendrive lub inny nośnik pamięci.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL O4 - HKCU…\Run: [cdoosoft] C:\DOCUME~1\Klaudia\USTAWI~1\Temp\herss.exe File not found O32 - AutoRun File - [2010-02-09 21:32:23 | 000,000,051 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-02-09 21:32:23 | 000,000,051 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-02-09 21:32:23 | 000,000,051 | RHS- | M] () - E:\autorun.inf – [NTFS] [2010-02-08 21:05:39 | 000,000,000 | -HSD | C] – C:\RECYCLER :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

anon53970806 · 10 Luty 2010 21:48

Może masz trojana typu VITRO na jamims z nosników przenosnych (CD,Pendrive)

szarosci · 10 Luty 2010 21:50

Faktycznie, wrzuciłam płytkę na którą nagrywałam materiały z uczelni.

Log po restarcie:

http://wklej.org/id/277397/txt/

Raport:

http://wklej.org/id/277400/txt/

anon53970806 · 10 Luty 2010 22:24

Masz VIRUT VITRO na 100 %. Usuń wszystkie partycje. Wyłacz komp. Włacz ponownie, utwórz partycje, format i instalka. I wyrzuć ta płyte bo masz na niej pewnie autorun.inf z biblioteka witro i zarazone wszystkie pliki EXE

Sam format nic nie pomoże. I pamietaj wyłacz i włacz bo przy uruchom ponownie zostaje w RAM i po formacie i instalce będziesz miał go spowrotem

Są niby sposoby na pozbycie sie jego ale tak naprawde to skuczeczne na 20% i nigdy nie ma pewności.

jessica · 10 Luty 2010 22:50

@ darek0107 - Proszę nie straszyć forumowiczów.

Ja tu nie widzę żadnych oznak VIRUTA.

Oczywiście zalecę, na wszelki wypadek, sprawdzenie tego.

Ale proszę bez uzasadnionego powodu nie zalecać formatowania dysku.

Nie chciałabym w przyszłości zgłaszać Cię do raportu za takie zachowanie.

==============================================

@ szarosci

Log jest czysty.

W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.

Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:

Sprawdzimy, czy nie masz tego VIRUTA:

Użyj >http://www.dobreprogramy.pl/DrWEB-CureIt,Program,Windows,12976.html

Napisz, co wykrył.

jessi