Prawdopobobieństwo obecności wirusa

Post15 gru 2009, 16:50

Podobno mam wirusa,czy mogli byście to przejrzeć?
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post15 gru 2009, 17:49

Jest "GODZILLA"!
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL
O4 - HKLM..\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs ()
O32 - AutoRun File - [2009-12-15 14:55:21 | 00,000,104 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009-12-15 14:55:21 | 00,000,104 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009-12-15 14:55:21 | 00,000,104 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{6cc43927-dcc8-11de-afb8-fdb3b6c72d9b}\Shell - "" = AutoRun
O33 - MountPoints2\{859bd034-e8ca-11de-afcc-c9272bf85a95}\Shell\Auto\command - "" = H:\auto.exe -- File not found
O33 - MountPoints2\{859bd034-e8ca-11de-afcc-c9272bf85a95}\Shell\AutoRun\command - "" = H:\auto.exe -- File not found
O33 - MountPoints2\{859bd035-e8ca-11de-afcc-c9272bf85a95}\Shell - "" = AutoRun
O33 - MountPoints2\{b89cda9e-d6ca-11de-afa8-028037060300}\Shell - "" = AutoRun
O33 - MountPoints2\{f37aa08a-d6d7-11de-afa9-028037060300}\Shell\AutoRun\command - "" = H:\2fiji.com -- File not found
O33 - MountPoints2\{f37aa08a-d6d7-11de-afa9-028037060300}\Shell\explore\Command - "" = H:\2fiji.com -- File not found
O33 - MountPoints2\{f37aa08a-d6d7-11de-afa9-028037060300}\Shell\open\Command - "" = H:\2fiji.com -- File not found
[2009-11-21 19:27:21 | 00,003,754 | RHS- | C] () -- C:\WINDOWS\MS32DLL.dll.vbs
[2009-11-21 19:27:21 | 00,003,754 | RHS- | C] () -- C:\MS32DLL.dll.vbs

:Files
C:\RECYCLER

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]
[Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
W OTL przed skanowaniem, ustaw jeszcze dodatkowe opcje poprzez wklejenie do pola "Custom Scans/Fixes":

netsvcs
%systemdrive%\*.*

F.

Post15 gru 2009, 20:18

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Post15 gru 2009, 20:42

Zamiast logu z usuwania dałeś log "Extras", ale to nieważne.
Jest czysto.
W OTL kliknij na przycisk "CleanUp" - to go usunie, razem z jego Kwarantanną.

Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy "Wyłącz przywracanie na wszystkich dyskach">Zastosuj>OK.
(W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.)
Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).

F.

Post15 gru 2009, 21:08

Wykonałem wszystko tak jak opisałeś i wygląda na to że wszystko jest ok.