wirus win32: patched-HN usuwanie

Post14 gru 2009, 22:14

Witam
Załapalem wirusa o nazwie win32: patched-HN
Avast nie chce go usunąć
prosze o pomoc
Log z otl:
Dostępne tylko dla zarejestrowanych użytkowników
i z HijackThis:
Dostępne tylko dla zarejestrowanych użytkowników
Prosze o pomoc bo avast wariuje

Post15 gru 2009, 10:48

Infekcja pendrivowa.
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL
O32 - AutoRun File - [2009-12-14 21:53:22 | 00,000,055 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009-12-14 21:53:22 | 00,000,055 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{2eb3a522-e8b9-11de-b480-00016c108205}\Shell\AutoRun\command - "" = G:\mbvd.exe -- File not found
O33 - MountPoints2\{2eb3a522-e8b9-11de-b480-00016c108205}\Shell\open\Command - "" = G:\mbvd.exe -- File not found

:Files
C:\RECYCLER

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]
[Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
W OTL przed skanowaniem, ustaw jeszcze dodatkowe opcje poprzez wklejenie do pola "Custom Scans/Fixes":

netsvcs
%systemdrive%\*.*

i potem kliknij "Run Scan"
Pokaż nowy log OTL.txt oraz log z czyszczenia.

F.

Post15 gru 2009, 14:09

już oto log z otl po napisaniu tego co ty napisałaś:

Kod: Zaznacz cały

http://wklejto.pl/50339

a teraz ponowny log po usuwaniu:
Dostępne tylko dla zarejestrowanych użytkowników

Post15 gru 2009, 14:49

Jest czysto.
Zastanawiam się tylko, gdzie zniknęły pliki "autorun.inf"? W poprzednim logu były widoczne, a OTL podał w usuwaniu, że ich już nie było.

Użyj szczepionki >Dostępne tylko dla zarejestrowanych użytkowników

W OTL kliknij na przycisk "CleanUp" - to go usunie.

Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy "Wyłącz przywracanie na wszystkich dyskach">Zastosuj>OK.
(W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.)
Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).

F.

Post16 gru 2009, 17:14

jeszcze coś mi mozille blokuje i wszystkie przeglądarki tylko tą portable nie... otl log:
Dostępne tylko dla zarejestrowanych użytkowników

Post20 gru 2009, 23:39

wg mnie czysto
blokuje tzn? próbowałeś przeinstalować?