Mam taki problem:
Na dysku zagnieździł mi się plik o nazwie ws.exe
Kiedy skanuję dyski avastem! wyskakuje mi coś takiego:
Znaleziono podejrzany plik! Podejrzany plik został wykryty dzięki metodzie heurystycznej. Możliwe, że jest to symptom zarażenia szkodliwym oprogramowaniem. Prosimy o zgodę na przekazanie tego pliko do naszego laboratorium w celu zbadania. Plik C:\ws.exe Typ: Rootkit: ukryty proces Możliwe działania: Usuń teraz Zignoruj (Zalecana akcja - zignoruj)
Nawet kiedy wybiorę usunięcie nic to nie daje, bo po restarcie systemu wciąż odnajduje mi ten sam plik na nowo.
Niezależnie którą z opcji powyżej wybiorę (usuń/zignoruj) zaraz potem pojawia mi się drugi komunikat:
Avast! wykrył wirusa w pamięci operacyjnej. Ponieważ praca na komputerze z aktywnym wirusem jest bardzo niebezpieczna, zaleca się usilnie ponowne uruchomienie komputera i umomżliwienia programowi avast! przeskanowanie wszystkich danych w fazie rozruchu, zanim wirus się uaktywni. Czy chcesz ustawić skanowanie w fazie rozruchu i ponownie uruchomić komputer?
Kiedy uruchamiam ponownie avast skanuje mi całość w rozruchu, ale niczego nie znajduje (za pierwszym razem znalazł parę plików i je odesłał do kwarantanny).
Pliku nie mogę usunąć “ręcznie”, bo kiedy zaznaczam w opcjach folderów=>widok=>“pokaż ukryte pliki i foldery” nic się nie zmienia - ukryte rzeczy się nie pojawiają, a jak wchodzę do tego menu jeszcze raz wszystko jest tak jak gdybym nic nie zmieniał w tym zakresie.
Generalnie mam chyba podobny problem jak pan stąd : problem-exe-t380021.html
Link do loga z OTL: http://www.wklejto.pl/56765
Z góry dziękuję za jakąkolwiek pomoc. ( i przepraszam za zamieszanie związane z pierwszym postem. )
jessica
7 Luty 2010 00:05
#2
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL MOD - [2010-02-06 23:46:53 | 000,085,504 | RHS- | M] () – C:\Documents and Settings\Jasiek\Ustawienia lokalne\Temp\cvasds0.dll O4 - HKCU…\Run: [cdoosoft] C:\DOCUME~1\Jasiek\USTAWI~1\Temp\herss.exe () O4 - HKCU…\Run: [MSMSGS] C:\Program Files\Messenger\msmsgs.exe File not found O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found O9 - Extra ‘Tools’ menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe File not found O32 - AutoRun File - [2010-02-07 00:32:38 | 000,000,051 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-02-07 00:32:38 | 000,000,051 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-02-07 00:32:38 | 000,000,051 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-02-07 00:32:38 | 000,000,051 | RHS- | M] () - G:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-02-07 00:32:40 | 000,000,051 | RHS- | M] () - H:\autorun.inf – [FAT32] O32 - AutoRun File - [2010-02-07 00:32:40 | 000,000,051 | RHS- | M] () - I:\autorun.inf – [FAT32] O33 - MountPoints2{159cd830-f79e-11de-9688-001fd05efb10}\Shell - “” = AutoRun O33 - MountPoints2{159cd830-f79e-11de-9688-001fd05efb10}\Shell\AutoRun\command - “” = J:\LaunchU3.exe – File not found O33 - MountPoints2{90b5f1df-a3aa-11dd-a3c0-806d6172696f}\Shell\AutoRun\command - “” = D:\ws.exe – [2010-02-06 09:57:06 | 000,114,176 | RHS- | M] () O33 - MountPoints2{90b5f1df-a3aa-11dd-a3c0-806d6172696f}\Shell\open\Command - “” = D:\ws.exe – [2010-02-06 09:57:06 | 000,114,176 | RHS- | M] () O33 - MountPoints2{bb6a6fb8-c04d-11dd-93bf-001fd05efb10}\Shell\AutoRun\command - “” = J:\ws.exe – File not found O33 - MountPoints2{bb6a6fb8-c04d-11dd-93bf-001fd05efb10}\Shell\open\Command - “” = J:\ws.exe – File not found O33 - MountPoints2{d4998464-e660-11dd-9419-001fd05efb10}\Shell\AutoRun\command - “” = J:\wd_windows_tools\WDSetup.exe – File not found O33 - MountPoints2{dff3da9a-e732-11de-966c-001fd05efb10}\Shell\AutoRun\command - “” = J:\curice\elena.exe – File not found O33 - MountPoints2{dff3da9a-e732-11de-966c-001fd05efb10}\Shell\explore\command - “” = J:\curice\elena.exe – File not found O33 - MountPoints2{dff3da9a-e732-11de-966c-001fd05efb10}\Shell\open\command - “” = J:\curice\elena.exe – File not found [2010-02-06 09:57:06 | 000,114,176 | RHS- | M] () – C:\ws.exe :Files D:\ws.exe E:\ws.exe G:\ws.exe H:\ws.exe I:\ws.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [resethosts] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
jessica
7 Luty 2010 07:30
#4
Jest OK.
Użyj którąś z tych szczepionek:
>Flash Disinfector
>Panda Vaccine
W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
jessi
Super - wszystko działa już jak należy.
Bardzo dziękuję za pomoc!
Pozdrawiam!
