Zawirusowany system

Dla specjalistów Bezpieczeństwo
#1

Witam,

proszę o pomoc. Od paru dni system Windows Xp krzyczy mi o dużej ilości wirusów i poblokował wszystkie programu, których nie moge otworzyć, bo się mnie pyta w jakim programie je otworzyć. Udało mi się zainstalować Nod 32 i przeskanować komputer, pomimo iż wszystkie ywkryte wirusy zostały usunięte komputer nadal warjuje.

Proszę o pomoc.

update

http://wklejto.pl/60814

to jest log z otl

#2

Z tego, co mi wiadomo, to teraz każdy program jest u Ciebie uruchamiany dopiero po uzyskaniu zgody od tego powyższego pliku - dlatego pliki .exe są u Ciebie jakby zablokowane.

EDIT:

Ściągnij plik cdrom.sys stąd >http://www.speedyshare.com/files/21476575/cdrom.sys i umieść go na C:\

Potem:

Ściągnij -->Avenger.

wklej do niego ten tekst:

Files to delete:

C:\WINDOWS\cidrive32.exe

C:\Documents and Settings\Agata\csrss.exe

C:\WINDOWS\System32\drivers\mzducx.sys

C:\Documents and Settings\Agata\oashdihasidhasuidhiasdhiashdiuasdhasd

C:\Documents and Settings\Agata\Ustawienia lokalne\Dane aplikacji\1191510367.dll

C:\WINDOWS\cidrive32.exe

C:\Documents and Settings\Agata\Dane aplikacji\avdrn.dat

C:\Documents and Settings\Agata\csrss.exe

C:\Documents and Settings\NetworkService\Dane aplikacji\zcbmvn.dat


Files to move:

c:\cdrom.sys | C:\WINDOWS\system32\drivers\cdrom.sys


Folders to delete:

C:\Documents and Settings\Agata\oashdihasidhasuidhiasdhiashdiuasdhasd

C:\Documents and Settings\All Users\Dane aplikacji\qGPvEh

C:\Documents and Settings\Agata\Ustawienia lokalne\Dane aplikacji\qGPvEh

C:\Documents and Settings\All Users\Dane aplikacji\6JQ57


Drivers to delete:

mzducx

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Daj Raport z Avengera z C:\avenger.txt.

Potem:

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

Daj też log z SRENG.

jessi

#3

tu log http://wklejto.pl/60824

sreng

#4

Ja edytowałam swój poprzedni post w tym samym czasie, więc wykonaj, to co tam napisałam.

jessi

#5

avenger

http://wklejto.pl/60865

Dodane 17.03.2010 (Śr) 18:16

http://wklejto.pl/60867

to z otl

i jest jeszcze jeden problem juz mi dziala po zrobieniu tego wsztstko tylko komputer sie po jakims czasie ylacza i sie nie chce uruchomic w trybie normlanym, albo dopiero po10 razie

Dodane 17.03.2010 (Śr) 18:18

tu jeszcze otl

http://wklejto.pl/60869

#6

Co jest “grane” ? Czy kolejność (Avenger, potem OTL) została zachowana? Czy może czymś innym było już usuwane?

EDIT:

widzę logi z OTL - zaraz przejrzę

jessi

Dodane 17.03.2010 (Śr) 18:47

Widzę, że “cdrom.sys” spowrotem jest już zarażony.

  1. ściągnij znów ten plik z http://www.speedyshare.com/files/21476575/cdrom.sys i umieść na C:\

  2. Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

  1. ten plik “cdrom.sys” skopiuj z C:\ do C:\WINDOWS\system32\drivers oraz do C:\WINDOWS\system32\dllcache

Jeśli się to nie uda, to zrobisz to:

>Avenger>

wkleisz do niego ten tekst:

Files to move:

c:\cdrom.sys | C:\WINDOWS\system32\drivers\cdrom.sys

Kliknij w " Execute" i zatwierdź restart komputera.

Zrestartuj komputer.

Dasz Raport z Avengera z C:\avenger.txt (tylko w przypadku, gdy zajdzie konieczność użycia Avengera).

  1. Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

  1. Uruchom System Repair Engineer > zakładka “System Repair” >>karta “BrowserAdd-ons”>

>wyszukaj i zaznaczaj w polu “CLSID 1” po kolei te:

i klikaj na przycisk “Delete Selected”.

jessi

#7

tutaj otl

http://wklejto.pl/60881

ten plik “cdrom.sys” skopiuj z C:\ do C:\WINDOWS\system32\drivers oraz do C:\WINDOWS\system32\dllcache

wkleiłam do 1 miejsca drugiego nie mam takiego folderu dllcache w tym miejscu co piszesz :frowning:

tutak otl txt

http://wklejto.pl/60884

po zeskanowaniu mam tylko to nie ma raportu

jesli chodzi o punkt piąty możesz wyjasnić gdzie mam to znleść??

#8

Powtórz punkty 2, 3, 4, 5, tylko tym razem nie pomiń tego dwukropka na początku scriptu.

Jest, ukryty:

Nie rozumiem pytania. Po prostu szukaj odpowiednich napisów na tym, co widzisz przed sobą.

jessi

#9

ok

więc tak OTL punkt 2

http://wklejto.pl/60887

punkt 3 wykonany

punkt 4

http://wklejto.pl/60888

jesli chodzi o punkt piaty ja nic takiego nie widze i pytałam gdzie mam to zobaczyć?

System Repair Engineer> zakładka “System Repair” >>karta “BrowserAdd-ons”>

>wyszukaj

#10

W nowym logu nie widzę już nic podejrzanego.

Załatwimy to inaczej:

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3760D689-C63B-4422-9A1D-31CA856CD5C1}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2333EB16-E7A7-4DA8-A5B8-5F2F82A3D9A3}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}]


[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Regedit32"=-


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >>

plik uruchom (dwuklik i OK).

W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.

Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:

jessi

#11

Zrobiłam wszystko co napisałaś. Dziękuję za pomoc. Mam nadziję, że będzie spokój, ale i tak postaram się go sformatować jak tylko będe miała sekunde.

Pozdrawiam i życzę miłego wieczorku