Widzę, że to dość popularny problem:/
Robiłam już 2 razy skan Malwarebytes' Anti-Malware, za każdym razem znalazło sporo trojanów.
Daje skan z OTLa:
otl: Dostępne tylko dla zarejestrowanych użytkowników
extras: Dostępne tylko dla zarejestrowanych użytkowników
Wanna laugh?Wirus na Facebooku.
-
filutka78
- Posty: 1485
- Rejestracja: 28 sty 2009, 17:40
Wanna laugh?Wirus na Facebooku.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
F.
:OTL
MOD - [2011-08-20 17:04:58 | 000,382,464 | ---- | M] () -- C:\WINDOWS\update.7.1\svchostdriver.exe
SRV - [2011-08-20 17:04:58 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.7.1\svchostdriver.exe -- (ddservice)
SRV - [2011-06-24 17:30:48 | 000,393,112 | ---- | M] (Spigot, Inc.) [Auto | Running] -- C:\Program Files\Application Updater\ApplicationUpdater.exe -- (Application Updater)
SRV - [2011-02-21 19:09:34 | 001,654,784 | ---- | M] () [Auto | Stopped] -- C:/Program Files/Common Files/Akamai/netsession_win_dbc0250.dll -- (Akamai)
IE - HKU\S-1-5-21-3721449867-1509786138-4013852781-1006\..\URLSearchHook: {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - Reg Error: Key error. File not found
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: File not found
O2 - BHO: (no name) - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [avast5] File not found
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico1] File not found
O4 - HKLM..\Run: [tray_ico2] File not found
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [WinampAgent] File not found
O4 - HKLM..\Run: [WOOTASKBARICON] File not found
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O31 - SafeBoot: AlternateShell - services32.exe
O32 - AutoRun File - [2001-11-29 19:30:26 | 000,000,130 | ---- | M] () - D:\autorun.inf -- [ FAT32 ]
O33 - MountPoints2\{3cbe8ebe-0cda-11de-aa90-4d6564696130}\Shell\AutoRun\command - "" = F:\RavMon.exe
O33 - MountPoints2\{3cbe8ebe-0cda-11de-aa90-4d6564696130}\Shell\explore\Command - "" = F:\RavMon.exe -e
O33 - MountPoints2\{3cbe8ebe-0cda-11de-aa90-4d6564696130}\Shell\open\Command - "" = F:\RavMon.exe
O33 - MountPoints2\{7b0a51e6-81a5-11dd-a97f-4d6564696130}\Shell\AutoRun\command - "" = F:\RavMon.exe
O33 - MountPoints2\{7b0a51e6-81a5-11dd-a97f-4d6564696130}\Shell\explore\Command - "" = F:\RavMon.exe -e
O33 - MountPoints2\{7b0a51e6-81a5-11dd-a97f-4d6564696130}\Shell\open\Command - "" = F:\RavMon.exe
O33 - MountPoints2\{8e4a5732-1625-11de-aa9f-4d6564696130}\Shell\AutoRun\command - "" = F:\opgde.exe
O33 - MountPoints2\{8e4a5732-1625-11de-aa9f-4d6564696130}\Shell\open\Command - "" = F:\opgde.exe
O33 - MountPoints2\{bf6daddc-a041-11dd-a9d1-4d6564696130}\Shell\AutoRun\command - "" = 1.bat
O33 - MountPoints2\{bf6daddc-a041-11dd-a9d1-4d6564696130}\Shell\explore\Command - "" = 1.bat
O33 - MountPoints2\{bf6daddc-a041-11dd-a9d1-4d6564696130}\Shell\open\Command - "" = 1.bat
[2011-08-20 17:11:00 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa
[2011-08-20 17:11:00 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix
[2011-08-20 17:08:28 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0
[2011-08-20 17:06:21 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2
[2011-08-20 17:04:58 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.7.1
[2011-08-20 17:02:21 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico
[2011-08-20 17:00:44 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1
[2011-08-20 17:00:41 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0-lnk
[2011-08-20 17:00:41 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-7-0
[2011-08-20 17:10:59 | 005,589,370 | ---- | C] () -- C:\WINDOWS\phoenix.rar
[2011-08-20 17:10:59 | 001,075,284 | ---- | C] () -- C:\WINDOWS\rpcminer.rar
[2011-08-20 17:10:59 | 000,182,617 | ---- | C] () -- C:\WINDOWS\ufa.rar
[2011-08-20 17:04:58 | 000,000,201 | ---- | C] () -- C:\WINDOWS\info1
[2011-08-20 17:04:26 | 004,636,907 | ---- | C] () -- C:\WINDOWS\geoiplist
[2011-08-20 17:04:25 | 000,904,792 | ---- | C] () -- C:\WINDOWS\geoiplist.rar
[2011-08-20 17:04:25 | 000,246,272 | ---- | C] () -- C:\WINDOWS\unrar.exe
[2011-08-20 17:03:38 | 000,000,000 | ---- | C] () -- C:\WINDOWS\loader2.exe_ok
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-e
"C:\WINDOWS\update.tray-7-0\svchost.exe"=-
"C:\WINDOWS\update.2\svchost.exe"=-
:Commands
[emptyflash]
[resethosts]
[emptytemp]
Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
F.
-
deraya
- Posty: 3
- Rejestracja: 22 sie 2011, 19:34
Wanna laugh?Wirus na Facebooku.
Miałam problem z wykonaniem skryptu, musiałam przejść na tryb awaryjny.
Raport: Dostępne tylko dla zarejestrowanych użytkowników
otl: Dostępne tylko dla zarejestrowanych użytkowników
Raport: Dostępne tylko dla zarejestrowanych użytkowników
otl: Dostępne tylko dla zarejestrowanych użytkowników
-
filutka78
- Posty: 1485
- Rejestracja: 28 sty 2009, 17:40
Wanna laugh?Wirus na Facebooku.
W nowym logu nie widzę już nic podejrzanego, więc kończymy:
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
F.
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
F.
-
deraya
- Posty: 3
- Rejestracja: 22 sie 2011, 19:34
Wanna laugh?Wirus na Facebooku.
filutka78 dziękuję Ci bardzo za pomoc;)
-
- Reklama
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 2 gości
