Zainfekowany komputer ukrytymi procesami

dogtired23 · 18 Maj 2010 21:12

Witam, proszę o rozwiązanie mojego problemu z wirusem ws.exe i innymi, komputer jest nieźle zaśmiecony, sam sobie z tym nie radzę. Za pomoc z góry bardzo dziękuję!

Oto log z OTL:

http://wklej.org/id/336407/

Pozdrawiam!

jessica · 18 Maj 2010 21:33

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL O4 - HKCU…\Run: [cdoosoft] C:\Documents and Settings\Dogtired\Ustawienia lokalne\Temp\herss.exe () O32 - AutoRun File - [2010-05-18 22:52:34 | 000,000,051 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-05-18 22:52:08 | 000,000,051 | RHS- | M] () - D:\autorun.inf – [FAT32] O32 - AutoRun File - [2010-05-18 22:52:36 | 000,000,051 | RHS- | M] () - F:\autorun.inf – [FAT32] O33 - MountPoints2{2280684c-52ef-11df-a80c-806d6172696f}\Shell\AutoRun\command - “” = C:\ws.exe – [2010-02-06 22:05:16 | 000,090,624 | RHS- | M] () O33 - MountPoints2{2280684c-52ef-11df-a80c-806d6172696f}\Shell\open\Command - “” = C:\ws.exe – [2010-02-06 22:05:16 | 000,090,624 | RHS- | M] () O33 - MountPoints2{2280684d-52ef-11df-a80c-806d6172696f}\Shell\AutoRun\command - “” = D:\ws.exe – [2010-02-06 22:05:16 | 000,090,624 | RHS- | M] () O33 - MountPoints2{2280684d-52ef-11df-a80c-806d6172696f}\Shell\open\Command - “” = D:\ws.exe – File not found O33 - MountPoints2{25ad6a71-52ef-11df-937f-ebdfb678bbc0}\Shell\AutoRun\command - “” = ws.exe O33 - MountPoints2{25ad6a71-52ef-11df-937f-ebdfb678bbc0}\Shell\open\Command - “” = ws.exe O33 - MountPoints2{25ad6a73-52ef-11df-937f-ebdfb678bbc0}\Shell\AutoRun\command - “” = ws.exe O33 - MountPoints2{25ad6a73-52ef-11df-937f-ebdfb678bbc0}\Shell\open\Command - “” = ws.exe O33 - MountPoints2{3e037622-5464-11df-9383-ab5aa02661e9}\Shell\AutoRun\command - “” = F:\ws.exe – [2010-02-06 22:05:16 | 000,090,624 | RHS- | M] () O33 - MountPoints2{3e037622-5464-11df-9383-ab5aa02661e9}\Shell\open\Command - “” = F:\ws.exe – File not found O33 - MountPoints2{ba0875b8-5c68-11df-938f-b444c9e3c4ee}\Shell\AutoRun\command - “” = F:\ws.exe – File not found O33 - MountPoints2{ba0875b8-5c68-11df-938f-b444c9e3c4ee}\Shell\open\Command - “” = F:\ws.exe – File not found [2010-05-17 20:50:20 | 000,000,000 | -HSD | C] – C:\RECYCLER [2010-04-28 18:34:49 | 000,090,624 | RHS- | C] () – C:\ws.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

JESSI

dogtired23 · 18 Maj 2010 21:53

Oto log po fixie:

http://wklej.org/id/336434/

Raport z usuwania niestety po restarcie się nie pokazał (nie wiem z jakiego powodu…)

jessica · 18 Maj 2010 21:59

W logu nie widać już nic szkodliwego.

Możesz, tak na wszelki wypadek, użyć jeszcze > MBAM http://www.dobreprogramy.pl/Malwarebytes-AntiMalware,Program,Windows,13117.html

Co wykryje, niech usuwa, a raport tu dasz.

jessi

dogtired23 · 18 Maj 2010 23:53

Raport z malwarebytes:

http://wklej.org/id/336469/

Znalazło się jeszcze ok 60 zainfekowanych plików w System Volume Information (na obu partycjach), wszystkie dałem do kwarantanny, po czym usunę, ok?

jessica · 19 Maj 2010 04:56

Tak, teraz będzie OK.

dogtired23 · 19 Maj 2010 09:30

Ogromne dzięki!

jessica · 19 Maj 2010 10:32

Jak uważasz,.

Jeśli dodasz tu, to wyraźnie zaznacz, że to inny komputer

dogtired23 · 19 Maj 2010 12:17

W takim razie oto log OTL z mojego drugiego komputera :

http://wklej.org/id/336610/

Tak naprawdę nie wiem co w nim “siedzi” gdyż przez bardzo długi czas nie był chroniony żadnym programem antywirusowym (dopiero dziś zainstalowałem avasta).Ten komputer bardzo “muli”, przywiesza się i czasami bardzo wolno reaguje, nic więcej nie jestem w stanie powiedzieć na temat stanu tego komputera.

Proszę o pomoc i ewentualnie o radę w celu usprawnienia tego kompa.

jessica · 19 Maj 2010 12:30

Widzę, że dziś używany był MBAM - więc pozostała tylko kosmetyka:

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL IE - HKCU…\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found O20 - Winlogon\Notify__c00F7E10: DllName - C:\WINDOWS\system32__c00F7E10.dat - C:\WINDOWS\System32__c00F7E10.dat File not found O33 - MountPoints2{04357d16-99e6-11dd-9d59-00a024e7d0ba}\Shell\AutoRun\command - “” = F:\ws.exe – File not found O33 - MountPoints2{04357d16-99e6-11dd-9d59-00a024e7d0ba}\Shell\open\Command - “” = F:\ws.exe – File not found O33 - MountPoints2{5837114e-6333-11dd-9ca6-00a024e7d0ba}\Shell\AutoRun\command - “” = F:\ws.exe – File not found O33 - MountPoints2{5837114e-6333-11dd-9ca6-00a024e7d0ba}\Shell\open\Command - “” = F:\ws.exe – File not found O33 - MountPoints2{70c8b762-037a-11df-a2e9-4d6564696130}\Shell\AutoRun\command - “” = F:\ws.exe – File not found O33 - MountPoints2{70c8b762-037a-11df-a2e9-4d6564696130}\Shell\open\Command - “” = F:\ws.exe – File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Pokaż raport, który pokaże się po restarcie.

jessi

dogtired23 · 19 Maj 2010 13:00

Oto raport z OTL po Fixie:

http://wklej.org/id/336635/

Jeśli wszystko wygląda ok to jeszczę raz użyję MBAM’a, bo szczerze mówiąc nie dokończyłem ostatniego skanu;)

Dogi

jessica · 19 Maj 2010 13:05

Usunięte.

Tak, możesz jeszcze dokończyć MBAM.

jessi

dogtired23 · 19 Maj 2010 14:11

Wszystko gra! Jestem bardzo, bardzo wdzięczny za pomoc! Pozwolę sobię tak profilaktycznie wrzucić na dniach logi z kolejnego komputera, żeby ten syf już mi się nie roznosił…

Pozdrawiam serdecznie

Dog