XP internet security i więcej wirusów

Neowg1 · 17 Marzec 2010 20:06

Witam

Wpadł mi do kompa XP Internet Security i zrobiło się zamieszanie…wyskakują okna tego programu, skanuje nieustannie pocztę i bóg wie co jeszcze Powiedzcie jak się tego pozbyć, jakie wkleić loga itd ogólnie co zrobić, żeby to ustrojstwo zniknęło z mojego kompa, przestało mi skanować pocztę itp. Prosiłbym o dokładne instrukcje

Z góry dzięki za odp

Pozdrawiam

Gutek · 17 Marzec 2010 20:08

Proszę pobrać i użyć Malwarebytes’ Anti-Malware

Wciskamy Skanuj , wybieramy dyski do skanowania i Rozpoczynamy skanowanie , na końcu wciskamy Usuń zaznaczone jak będą i Ok

Po tym:

Pokaż log z: OTL

Przestawiasz w nim Processes i Modules na All oraz wklejasz w dolne białe okienko Custom Scans/Fixes :

Klikasz Run Scan. - otl-gmer-rsit-dds-inne-instrukcje-t370405.html

Neowg1 · 17 Marzec 2010 22:31

program coś tam znalazł ale problem jest nadal

oto log

http://wklej.org/id/298952/

jessica · 18 Marzec 2010 07:14

Masz zarażony plik Systemowy " cdrom.sys"

Niestety, trzeba go usunąć.

Dodatkowo każdy plik .exe jest u Ciebie uruchamiany za pomocą pliku Trojana: ave.exe

Innymi słowy: uruchomienie czegokolwiek wymaga zgody tego Trojana.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL IE - HKCU…\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - Reg Error: Key error. File not found O3 - HKCU…\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O3 - HKCU…\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found. O4 - HKLM…\Run: [Regedit32] C:\WINDOWS\System32\regedit.exe File not found O4 - HKCU…\Run: [syncman] c:\documents and settings\wojtek\wuaucldt.exe File not found O4 - Startup: C:\Documents and Settings\Wojtek\Menu Start\Programy\Autostart\ihaupd32.exe (Portable Library) O4 - Startup: C:\Documents and Settings\Wojtek\Menu Start\Programy\Autostart\zipdkg32.exe () O33 - MountPoints2{ced03a53-2349-11de-bda8-00e04ceb729c}\Shell\AutoRun\command - “” = WScript.exe .`.vbs O33 - MountPoints2{ced03a53-2349-11de-bda8-00e04ceb729c}\Shell\open\Command - “” = WScript.exe .`.vbs O37 - HKLM…exe [@ = secfile] – “C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ave.exe” /START “%1” %* () O37 - HKCU…exe [@ = secfile] – “C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\ave.exe” /START “%1” %* () MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^LUMIX Simple Viewer.lnk - Reg Error: Value error. - File not found MsConfig - StartUpReg: ISTray - hkey= - key= - D:\Program Files\Spyware Doctor\pctsTray.exe File not found [2010-03-17 20:13:43 | 000,135,168 | RHS- | C] (PcpMUQ) – C:\WINDOWS\cidrive32.exe [2010-03-17 23:19:39 | 000,084,800 | ---- | M] () – C:\WINDOWS\System32\drivers\cdrom.sys [2010-03-17 23:19:39 | 000,084,800 | ---- | M] () – C:\WINDOWS\System32\dllcache\cdrom.sys [2010-03-17 22:55:07 | 000,013,354 | -HS- | M] () – C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\1426613657 [2010-03-17 22:55:07 | 000,013,354 | -HS- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\1426613657 [2010-03-17 22:53:16 | 000,013,346 | -HS- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\2920953817 [2010-03-17 22:53:15 | 000,013,346 | -HS- | M] () – C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\2920953817 [2010-03-17 22:52:14 | 000,013,354 | -HS- | M] () – C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\6JQ57 [2010-03-17 22:49:53 | 000,013,354 | -HS- | M] () – C:\Documents and Settings\All Users\Dane aplikacji\6JQ57 [2010-03-17 21:37:55 | 000,000,001 | ---- | M] () – C:\Documents and Settings\Wojtek\oashdihasidhasuidhiasdhiashdiuasdhasd [2010-03-17 21:37:52 | 000,000,012 | ---- | M] () – C:\Documents and Settings\Wojtek\Dane aplikacji\zcbmvn.dat [2010-03-17 21:37:34 | 000,200,192 | -HS- | M] () – C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\av.exe [2010-03-17 21:09:43 | 000,200,192 | -HS- | M] () – C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\ave.exe [2010-03-17 20:19:50 | 000,005,312 | ---- | M] () – C:\WINDOWS\System32\drivers\kgpcpy.cfg [2010-03-17 20:13:28 | 000,135,168 | RHS- | M] (PcpMUQ) – C:\WINDOWS\cidrive32.exe [2010-03-17 20:12:50 | 000,000,004 | ---- | M] () – C:\Documents and Settings\Wojtek\Dane aplikacji\avdrn.dat :Files C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\ave.exe C:\Documents and Settings\Wojtek\Ustawienia lokalne\Dane aplikacji\ave.exe :Services Cdrom :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “Regedit32”=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [resethosts] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, i zrób nowy log, ale z dodatkowym ustawieniem:

W pole Custom Scans/Fixes wklej:

i dopiero wtedy kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

Neowg1 · 18 Marzec 2010 14:51

problem zniknął

daję nowy log :

http://wklej.org/id/299201/

raport z usuwania :

http://wklej.org/id/299203/

Tyle że wcięło mi dysk CD-ROM, domyślam się że to w związku z usunięciem tego pliku

Co robić ?

jessica · 18 Marzec 2010 15:06

W dalszym ciągu jest niewłaściwy “cdrom.sys”.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Ten nowy log ma być też na tym dodatkowym ustawieniu, bo na końcu trzeba będzie skopiować zapasowy plik “cdrom.sys” do właściwej lokalizacji.

EDIT:

Ten plik też został zmodyfikowany w tej samej minucie, co pojawiła się infekcja.

Sprawdź je na --> JOTTI/ albo na VIRUSTOTAL.

jessi

Neowg1 · 18 Marzec 2010 15:34

nowy log :

http://wklej.org/id/299239/

raport z usuwania :

http://wklej.org/id/299240/

Co do pliku, oba skanery stwierdziły że jest pusty

jessica · 18 Marzec 2010 16:04

Plik “cdrom.sys” już jest prawidłowy,chyba po usunięciu szkodliwgo System sam wyszukał kopię prawidłowego i zainstalował we właściwych lokalizacjach.

Jest jeszcze wpis “z regedit.exe”, to niby było już usuwane, ale dalej jest.

Ma adnotację “file not found”, ale taka sama adnotacja pojawia się gdy plik jest ukryty, bo OTL nie widzi plików ukrytych.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

Neowg1 · 18 Marzec 2010 16:29

nowy log :

http://wklej.org/id/299275/

log z usuwania :

http://wklej.org/id/299278/

,ale póki co CD ROM mi jeszcze ,nie wrócił"

jessica · 18 Marzec 2010 17:00

No to niedobrze.

Może po prostu usługa jest wyłączona?

Spróbuj:

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cdrom]

"START"=dword:00000001

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >>

plik uruchom (dwuklik i OK).

Zrestartuj komputer.

jessi

Neowg1 · 18 Marzec 2010 17:10

dalej jest niewidoczny

jessica · 18 Marzec 2010 17:26

No to fatalnie - infekcja usunięta, ale co z tego?

Trudno, zrób reinstalację Systemu bez utraty danych wg >http://www.searchengines.pl/phpbb203/index.php?showtopic=24500&st=0&p=109540?entry109540.

Szkoda całego wysiłku.

EDIT:

Jeśli nie zdążyłeś jeszcze zrobić nakładki na System, to spróbuj to:

>>Panel Sterowania>>System>>Menedźer Urządzeń>Stacje Dysków CD/DVD>>zaznacz nazwę dysku>>prawoklik>>Odinstaluj.

Zrestartuj komputer. System sam zainstaluje od nowa CDROM, wprowadzi zmiany w Rejestrze i wyszuka sterownik.

jessi