Landuss

Log z Gmer może tak wyglądać, ale chyba zrobiłeś prescan a więc szybki skan. Możesz zrobić dla pewności głęboki. A to w Temp to tymczasowy sterownik Gmer więc nie ma powodów do niepokoju. Generalnie logi z OTL czyste. Zaktualizuj Javę: INSTRUKCJE. Fixa nie warto używać póki rzeczywiście nie zostanie stwierdzona obecność rootkita, a na to raczej się nie zanosi. Dla pewności możesz wykonać log z mbr.exe .

Są ślady rootkita: DRV - File not found [Kernel | System] -- C:\Windows\System32\drivers\gaopdxwtxwtvim.sys -- (gaopdxserv.sys) Możliwe, że w tym problem. Postępuj zgodnie ze wskazówkami poniżej. 1. Skonstruuj skrypt tekstowy, który zostanie załadowany w OTLPE. Otwórz Notatnik i wklej w nim: :OTL IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found IE - HKU\Hania.Agnieszka-PC_ON_C\..\URLSearchHook: *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - Reg Error: Key error. File not found IE - HKU\Hania.Agnieszka-PC_ON_C\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\Agnieszka_ON_C\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\Hania.Agnieszka-PC_ON_C\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\Agnieszka_ON_C..\Run: [Twoje TVN24] File not found O4 - HKU\Hania.Agnieszka-PC_ON_C..\Run: [Twoje TVN24] C:\Program Files\Pasek TVN24\tvn-ustawienia.exe File not found O4 - HKU\Hania.Agnieszka-PC_ON_C..\RunOnce: [shockwave Updater] C:\Windows\System32\Adobe\Shockwave 11\SwHelper_1151601.exe -Update -1151601 -Mozilla\5.0_(Windows;_U;_Windows_NT_6.0;_en-US)_AppleWebKit\533.4_(KHTML,_like_Gecko)_Chrome\5.0.375.99_Safari\533.4 - File not found :Files C:\Users\Agnieszka\AppData\Local\Temp*.html C:\Windows\System32\drivers\gaopdxwtxwtvim.sys :Services gaopdxserv.sys :Commands [emptyflash] [emptytemp] Plik zapisz pod nazwą FIX.TXT 2. Plik FIX.TXT umieść na pendrive lub innym urządzeniu przenośnym, które może być podpięte do komputera. 3. Podpinasz urządzenie przenośne startujesz z płyty OTLPE. 4. Uruchamiasz z Pulpitu program OTLPE zgodnie ze wskazówkami montując rejestr. Klikasz w Wykonaj skrypt (Run Fix). Zostanie zgłoszony komunikat o braku skryptu i wtedy wskazujesz plik o nazwie FIX.TXT. OTLPE wykona zadanie i poda log, który zachowasz bo będziesz go prezentował. 5. Wykonujesz restart komputera. Jeśli całe zadanie się uda, system Windows zastartuje prawidłowo. 6. Wytwarzasz z poziomu systemu już normalny log z OTL + Gmer. Dołączasz także log z OTLPE powstały z czyszczenia.

Logi musimy otrzymać aby sprawdzić co jest w tym systemie. Jest na to inna metoda. Wypal płytkę OTLPE i wykonaj z jej poziomu wymagane logi.

Właściwie ja też nie widzę potrzeby aby coś takiego miało zaistnieć. Osobiście nie korzystam, zwinięte cały czas i tak już raczej zostanie.

Jest w porządku a więc przejdźmy do czynności końcowych. 1. Użyj opcji Sprzątanie z OTL. 2. Użyj opcji Vaccinate z poziomu USBFix w celu nałożenia zabezpieczenia. 3. Przeskanuj się za pomocą Malwarebytes Anti-Malware w celu usunięcia drobnych szczatków po infekcji. 4. Z panelu sterowania dodaj/usuń programy odinstaluj niepotrzebne toolbary - DAEMON Tools Toolbar / Winamp Toolbar / free-downloads.net Toolbar 5. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) "{3248F0A8-6813-11D6-A77B-00B0D0160040}" = Java 6 Update 4 "Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19) "Mozilla Thunderbird (2.0.0.9)" = Mozilla Thunderbird (2.0.0.9) Uzupełnij SP3 i IE8 oraz zaktualizuj pozostałe zakreślone: INSTRUKCJE.

Jeszcze jeden skrypt: :Processes killallprocesses :Files C:\g6jk.exe E:\g6jk.exe F:\g6jk.exe K:\g6jk.exe Nowy log z OTL do oceny.

Przy podpiętym urządzeniu przenośnym uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultenginename: "Winamp Search" FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=" O4 - HKCU..\Run: [cdoosoft] C:\DOCUME~1\JA\USTAWI~1\Temp\herss.exe File not found O4 - HKCU..\RunOnce: [shockwave Updater] C:\WINDOWS\System32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1103470 -Mozilla\5.0 ( File not found O18 - Protocol\Handler\about {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll File not found O18 - Protocol\Handler\javascript {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll File not found O18 - Protocol\Handler\mailto {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll File not found O18 - Protocol\Handler\res {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll File not found O18 - Protocol\Handler\vbscript {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll File not found :Files C:\WINDOWS\system32\afmain0.dll C:\WINDOWS\system32\afmain1.dll C:\WINDOWS\system32\e8main0.dll C:\WINDOWS\AhnRpta.exe C:\WINDOWS\Temp C:\p3vwxx.exe C:\Autorun.inf E:\Autorun.inf F:\Autorun.inf H:\Autorun.inf K:\Autorun.inf C:\08dgu.com C:\0bcobed.exe C:\0fkk02x.exe C:\0qw6vege.exe C:\0u.cmd C:\0w.com C:\0xuc.com C:\10nb.exe C:\1a1dndah.exe C:\1di1w.exe C:\1f.bat C:\1hqup.exe C:\1ogf.exe C:\1utbfd.bat C:\2.bat C:\22yj2fy1.exe C:\2a.exe C:\2aaxaiy.exe C:\2buirw.exe C:\2fiji.com C:\2id9.exe C:\2nuk.com C:\2o1ajagt.exe C:\2sm66r.exe C:\2u923g01.exe C:\31lyx.exe C:\3c.exe C:\3dcs9.exe C:\3j2h0tf.bat C:\3n8awsyg.exe C:\3yalgc.exe C:\601ugf.exe C:\62.exe C:\68.exe C:\6phx.com C:\6rxt26.exe C:\8.bat C:\8.exe C:\86.exe C:\8dtyjjf.exe C:\8paf1d.com C:\8xcrbho6.exe C:\9b9w3.exe C:\9d6tpg.exe C:\9dlvtiil.exe C:\9fo3ar0j.exe C:\9g86.exe C:\9jyhdim8.exe C:\9kretct.exe C:\9qqigqwf.exe C:\9u.exe C:\9xf8.exe C:\a1.bat C:\a2g21.exe C:\a2h2.com C:\abk.bat C:\affi8l.exe C:\anoataly.exe C:\b.bat C:\b.com C:\b.exe C:\b00ijwpu.exe C:\ba.exe C:\bbjl2g.exe C:\bo1dhu.bat C:\boyedt.com C:\bveijo.exe C:\bycfht.exe C:\c2e.exe C:\cahpcg.cmd C:\cfrdbyrp.bat C:\chxnxyx.exe C:\cj1m.com C:\cj3k.exe C:\cqb6wo.exe C:\cqxj.exe C:\cs6phv6d.exe C:\ctu8r.exe C:\curqp.exe C:\cv8j.exe C:\d9c.bat C:\dbrxubcw.com C:\df.exe C:\dogyx90.exe C:\e2.cmd C:\e9naq.exe C:\eexyv.exe C:\ej10fkdo.bat C:\em8tqm.cmd C:\ev60a2.cmd C:\ewqij.bat C:\ey.exe C:\eyruu.exe C:\eyt.exe C:\f.bat C:\f2kmj.exe C:\f9o8o.exe C:\fbak.exe C:\fk.exe C:\fsaht.cmd C:\g12g.exe C:\g1ljsm.com C:\g2.bat C:\g8k.exe C:\gbm6n.exe C:\gclwpivc.cmd C:\gcq6.exe C:\ggpw.exe C:\gi2ky.exe C:\gpcdt.cmd C:\gy.exe C:\h0.exe C:\hjvjte.exe C:\hkn6k.bat C:\hl80c6b1.com C:\hm1bfpuj.exe C:\hqy.exe C:\husyu8n.exe C:\hx.exe C:\i.com C:\i0yva6.exe C:\i6g6x.cmd C:\i9bwjpqc.exe C:\icxpa.cmd C:\img8hi.exe C:\imghyva6.exe C:\ix8bmwx.bat C:\j60osk9.cmd C:\jeorels.cmd C:\ji83j.exe C:\jm3cx96.bat C:\k1d.exe C:\k8jc.exe C:\kgji.exe C:\kmj.exe C:\ktly.exe C:\l61yyp.exe C:\l6jj.exe C:\lad.bat C:\lc.exe C:\lcw.exe C:\lhh3v.exe C:\lhhr8.exe C:\lky.exe C:\lphfa.exe C:\m.com C:\m0vnonh.bat C:\mb9x.exe C:\mbvd.exe C:\metdgv.bat C:\mh.exe C:\mi9al8rs.exe C:\minm.cmd C:\mjafm.exe C:\mje12tni.exe C:\mltox.exe C:\mqhnawe.bat C:\mranjm.exe C:\mt.bat C:\mt2.exe C:\mvmdh.exe C:\mwfubaob.exe C:\n0euybx.exe C:\n68mqcra.exe C:\n6t1h.cmd C:\nds0q.exe C:\ngp8l.exe C:\nhx.exe C:\npee.com C:\nqdymj.exe C:\nu.cmd C:\o.exe C:\o3n9k.com C:\o8tf6l.exe C:\o9bxu.exe C:\olu392qj.exe C:\otyh.cmd C:\p.exe C:\pbudsara.exe C:\pbyqfn.exe C:\pcxis.exe C:\ph.exe C:\pkkwng.exe C:\q1alx.exe C:\q3kku.exe C:\q9.cmd C:\q93fi6kf.exe C:\qbr2q.exe C:\qcoageh.exe C:\qcod.exe C:\qkm.exe C:\qwtb.com C:\qxty9be.cmd C:\r2g20.exe C:\rbj9jn1n.bat C:\rg9g9bgq.exe C:\rwj0.cmd C:\s.exe C:\s1.exe C:\s3ek.exe C:\sdfqh.exe C:\sm.exe C:\sp1jensi.exe C:\sq.com C:\srgo.exe C:\sv8c2bjw.bat C:\svdioajm.cmd C:\sywyrl0q.exe C:\t2hjo0.exe C:\t8g.exe C:\t8s2x.exe C:\tgt.exe C:\u16sqrqn.exe C:\ucivd6xi.bat C:\uhoxajc.cmd C:\ukfbi3aw.exe C:\uo10sn.cmd C:\upw.bat C:\uqgvf.exe C:\uvsqfgwd.cmd C:\v1cbvsmq.exe C:\vb0hsoay.exe C:\vk0w.exe C:\vlvtdflx.exe C:\vva0hc0p.cmd C:\vwewav8.com C:\w.com C:\w3.exe C:\w98.com C:\w9uxx92.exe C:\wbj.exe C:\wcgswa.exe C:\wfx062.exe C:\whi.com C:\wrsf.exe C:\ws.exe C:\wu1n.exe C:\wx8o0bt1.com C:\wyskq6lt.exe C:\xbvv0.exe C:\xbvv6o.com C:\xdglur.bat C:\xerp8nj.exe C:\xh319r9b.bat C:\xih9.cmd C:\xmor.exe C:\xs6kpr0.exe C:\y.bat C:\y6cqb2is.exe C:\y6yol.exe C:\y8.exe C:\ycvvj.exe C:\ymxf2.exe C:\ysyjq1bs.exe C:\yugu9ups.bat E:\1hqup.exe E:\anoataly.exe E:\p3vwxx.exe F:\08dgu.com F:\0bcobed.exe F:\0fkk02x.exe F:\0qw6vege.exe F:\0u.cmd F:\0w.com F:\0xuc.com F:\10nb.exe F:\1a1dndah.exe F:\1di1w.exe F:\1f.bat F:\1hqup.exe F:\1ogf.exe F:\1utbfd.bat F:\2.bat F:\22yj2fy1.exe F:\2a.exe F:\2aaxaiy.exe F:\2buirw.exe F:\2fiji.com F:\2id9.exe F:\2nuk.com F:\2o1ajagt.exe F:\2sm66r.exe F:\2u923g01.exe F:\31lyx.exe F:\3c.exe F:\3dcs9.exe F:\3j2h0tf.bat F:\3n8awsyg.exe F:\3yalgc.exe F:\601ugf.exe F:\62.exe F:\68.exe F:\6phx.com F:\6rxt26.exe F:\8.bat F:\8.exe F:\86.exe F:\8dtyjjf.exe F:\8paf1d.com F:\8xcrbho6.exe F:\9b9w3.exe F:\9d6tpg.exe F:\9dlvtiil.exe F:\9fo3ar0j.exe F:\9g86.exe F:\9jyhdim8.exe F:\9kretct.exe F:\9qqigqwf.exe F:\9u.exe F:\9xf8.exe F:\a1.bat F:\a2g21.exe F:\a2h2.com F:\abk.bat F:\affi8l.exe F:\anoataly.exe F:\b.bat F:\b.com F:\b.exe F:\b00ijwpu.exe F:\ba.exe F:\bbjl2g.exe F:\bo1dhu.bat F:\boyedt.com F:\bveijo.exe F:\bycfht.exe F:\c2e.exe F:\cahpcg.cmd F:\cfrdbyrp.bat F:\chxnxyx.exe F:\cj1m.com F:\cj3k.exe F:\cqb6wo.exe F:\cqxj.exe F:\cs6phv6d.exe F:\ctu8r.exe F:\curqp.exe F:\cv8j.exe F:\d9c.bat F:\dbrxubcw.com F:\df.exe F:\dogyx90.exe F:\e2.cmd F:\e9naq.exe F:\eexyv.exe F:\ej10fkdo.bat F:\em8tqm.cmd F:\ev60a2.cmd F:\ewqij.bat F:\ey.exe F:\eyruu.exe F:\eyt.exe F:\f.bat F:\f2kmj.exe F:\f9o8o.exe F:\fbak.exe F:\fk.exe F:\fsaht.cmd F:\g12g.exe F:\g1ljsm.com F:\g2.bat F:\g8k.exe F:\gbm6n.exe F:\gclwpivc.cmd F:\gcq6.exe F:\ggpw.exe F:\gi2ky.exe F:\gpcdt.cmd F:\gy.exe F:\h0.exe F:\hjvjte.exe F:\hkn6k.bat F:\hl80c6b1.com F:\hm1bfpuj.exe F:\hqy.exe F:\husyu8n.exe F:\hx.exe F:\i.com F:\i0yva6.exe F:\i6g6x.cmd F:\i9bwjpqc.exe F:\icxpa.cmd F:\img8hi.exe F:\imghyva6.exe F:\ix8bmwx.bat F:\j60osk9.cmd F:\jeorels.cmd F:\ji83j.exe F:\jm3cx96.bat F:\k1d.exe F:\k8jc.exe F:\kgji.exe F:\kmj.exe F:\ktly.exe F:\l61yyp.exe F:\l6jj.exe F:\lad.bat F:\lc.exe F:\lcw.exe F:\lhh3v.exe F:\lhhr8.exe F:\lky.exe F:\lphfa.exe F:\m.com F:\m0vnonh.bat F:\mb9x.exe F:\mbvd.exe F:\metdgv.bat F:\mh.exe F:\mi9al8rs.exe F:\minm.cmd F:\mjafm.exe F:\mje12tni.exe F:\mltox.exe F:\mqhnawe.bat F:\mranjm.exe F:\mt.bat F:\mt2.exe F:\mvmdh.exe F:\mwfubaob.exe F:\n0euybx.exe F:\n68mqcra.exe F:\n6t1h.cmd F:\nds0q.exe F:\ngp8l.exe F:\nhx.exe F:\npee.com F:\nqdymj.exe F:\nu.cmd F:\o.exe F:\o3n9k.com F:\o8tf6l.exe F:\o9bxu.exe F:\olu392qj.exe F:\opgde.exe F:\otyh.cmd F:\p.exe F:\p3vwxx.exe F:\pbudsara.exe F:\pbyqfn.exe F:\pcxis.exe F:\ph.exe F:\pkkwng.exe F:\q1alx.exe F:\q3kku.exe F:\q9.cmd F:\q93fi6kf.exe F:\qbr2q.exe F:\qcoageh.exe F:\qcod.exe F:\qkm.exe F:\qwtb.com F:\qxty9be.cmd F:\r2g20.exe F:\rbj9jn1n.bat F:\rg9g9bgq.exe F:\rwj0.cmd F:\s.exe F:\s1.exe F:\s3ek.exe F:\sdfqh.exe F:\se12ydam.exe F:\sm.exe F:\sp1jensi.exe F:\sq.com F:\srgo.exe F:\sv8c2bjw.bat F:\svdioajm.cmd F:\sywyrl0q.exe F:\t2hjo0.exe F:\t8g.exe F:\t8s2x.exe F:\tgt.exe F:\u16sqrqn.exe F:\ucivd6xi.bat F:\uhoxajc.cmd F:\ukfbi3aw.exe F:\uo10sn.cmd F:\upw.bat F:\uqgvf.exe F:\ur0.com F:\uvsqfgwd.cmd F:\v1cbvsmq.exe F:\vb0hsoay.exe F:\vk0w.exe F:\vlvtdflx.exe F:\vva0hc0p.cmd F:\vwewav8.com F:\w.com F:\w3.exe F:\w98.com F:\w9uxx92.exe F:\wbj.exe F:\wcgswa.exe F:\wfx062.exe F:\whi.com F:\wrsf.exe F:\ws.exe F:\wu1n.exe F:\wx8o0bt1.com F:\wyskq6lt.exe F:\xbvv0.exe F:\xbvv6o.com F:\xdglur.bat F:\xerp8nj.exe F:\xh319r9b.bat F:\xih9.cmd F:\xmor.exe F:\xs6kpr0.exe F:\y.bat F:\y.exe F:\y6cqb2is.exe F:\y6yol.exe F:\y8.exe F:\ycvvj.exe F:\ymxf2.exe F:\ysyjq1bs.exe F:\yugu9ups.bat K:\0u.cmd K:\1a1dndah.exe K:\a1.bat K:\cv8j.exe K:\eexyv.exe K:\explorer.exe K:\mwfubaob.exe K:\p3vwxx.exe K:\q1alx.exe K:\srgo.exe K:\svdioajm.cmd K:\tgt.exe K:\ur0.com K:\xerp8nj.exe C:\Documents and Settings\JA\Ustawienia lokalne\Temp :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i log z USBFix.

Z tego co widzę w logach pojawiła się nowa infekcja, której wcześniej nie było. Prosze sporządzić też nowy log z Gmer. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt (Custom Scan/Fixes) wklej następujący tekst: :OTL IE - HKU\S-1-5-21-839522115-515967899-2146800195-1003\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found O3 - HKU\S-1-5-21-839522115-515967899-2146800195-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-839522115-515967899-2146800195-1003\..\Toolbar\WebBrowser: (Tango) - {4A4B8842-B291-4740-B866-899EF5F2C356} - C:\WINDOWS\System32\2f78.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-839522115-515967899-2146800195-1003..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe File not found O4 - HKU\S-1-5-21-839522115-515967899-2146800195-1003..\Run: [iGoD] D:\DM\iGoDr014.exe File not found O4 - HKU\S-1-5-21-839522115-515967899-2146800195-1003..\Run: [sfKg6wIPuSp] C:\Documents and Settings\Krzysiek\Dane aplikacji\Microsoft\Windows\jnipmo.exe () :Files C:\Program Files\SpaceQuery C:\Documents and Settings\All Users\Dane aplikacji\SpaceQuery C:\Documents and Settings\Krzysiek\Dane aplikacji\Microsoft\Windows\jnipmo.exe :Services SpaceQuery Service :Commands [emptyflash] [emptytemp] [resethosts] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i brakujący log z Gmer.

Masz infekcję z mediów przenośnych a więc pendrive, karty pamięci i wszystkie inne tego typu urządzenia. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

1. Według logów Panda wcale nie jest odinstalowana. Prosze użyć narzędzia Panda Uninstaller pod wersje 2009 taką jaką posiadasz. 2. Tu prawdopodobnie jest nadal infekcja widoczna w Gmer: Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Run@cleansweep.exe C:\cleansweep.exe\cleansweep.exe Zamontuj następujący skrypt do OTL: :Processes killallprocesses :Files C:\cleansweep.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "cleansweep.exe"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] [clearallrestorepoints] 3. Wklejasz nowe logi z OTL i nowy log z Gmer.

Nic tu więcej nie widać więc to by było na tyle. Użyj sobie opcji Sprzątanie (CleanUp) z OTL oraz opcji Vaccinate z poziomu USBFix w celu nałożenia zabezpieczenia.

Według USBFix tym razem na penie nie ma plików infekcji. Zamontuj skrypt: :OTL O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe (WhenU.com) O4 - HKU\S-1-5-21-1256786599-978764117-1879129488-500..\Run: [bitComet] C:\Program Files\BitComet\BitComet.exe File not found :Files C:\Program Files\VVSN :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Nowe logi z OTL do oceny.

Ale to jest ten sam laptop? Jeśli tak to wykonaj skrypt, a jeśli nie to sporządź nowe logi.

Wszystko usunięte. Na koniec do wykonania poniższe czynności: 1. Użyj opcji Sprzątanie z OTL. 2. Użyj opcji Vaccinate z USBFix w celu zabezpieczenia się przed infekcjami z mediów przenośnych. 3. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java 6 Update 12 "avast!" = avast! Antivirus Uzupełnij SP3 i IE8 oraz zaktualizuj pozostałe wymienione: INSTRUKCJE. .

Jeszcze jeden skrypt do wykonania: :Processes killallprocesses :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. :Files C:\rxf.exe D:\rxf.exe F:\rxf.exe Pokazujesz już tylko nowy log z USBFix.

Przy podpiętym pendrive zamontuj taki skrypt do OTL: :OTL O2 - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll File not found O3 - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001..\Run: [RGSC] C:\Program Files (x86)\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe File not found :Files C:\$Recycle.Bin D:\$Recycle.Bin F:\p3vwxx.exe F:\autorun.inf C:\Users\Maryla\AppData\Local\Temp*.html :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i nowy log z USBFix.

Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

Spróbuj wykonać log z Gmer w trybie awaryjnym. Wyłącz też wszelkie programy zabezpieczające bo według logów tu jest Panda a mówisz, że odinstalowałeś więc?. Log ten musimy obejrzeć bo to jest podstawa do stwierdzenia czy tu rzeczywiście jest poważna infekcja czy nie ma. Na samym OTL nie można bazować.

Pendrive ma być teraz podpięty. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKU\S-1-5-21-1644491937-1004336348-839522115-1003\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O4 - HKLM..\Run: [combofix] C:\ComboFix\CF11872.cfx File not found O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [sVCHOST] C:\WINDOWS\MDM.EXE () O4 - HKLM..\Run: [svchosters] File not found O4 - HKLM..\Run: [WindowsLogon] C:\InternetExplorer.exe () O4 - HKU\S-1-5-21-1644491937-1004336348-839522115-1003..\Run: [AutoConnect] D:\instalki\AutoConnect\AutoConnect.exe File not found O4 - HKU\S-1-5-21-1644491937-1004336348-839522115-1003..\Run: [cdoosoft] C:\Documents and Settings\Koleś GIT\Ustawienia lokalne\Temp\herss.exe () O4 - HKU\S-1-5-21-1644491937-1004336348-839522115-1003..\Run: [dso32] C:\Documents and Settings\Koleś GIT\Ustawienia lokalne\Temp\dsoqq.exe () O4 - HKU\S-1-5-21-1644491937-1004336348-839522115-1003..\Run: [nod32] C:\Documents and Settings\Koleś GIT\Ustawienia lokalne\Temp\nodqq.exe () O28 - HKLM ShellExecuteHooks: {BB4C402F-882A-4526-8C08-51278EA437C1} - C:\WINDOWS\system32\e8main1.dll () :Files C:\09lf.exe C:\0bcobed.exe C:\0fkk02x.exe C:\0qw6vege.exe C:\0xuc.com C:\10nb.exe C:\12gn6id2.exe C:\1a1dndah.exe C:\1di1w.exe C:\1hqup.exe C:\1j038ki.exe C:\1thes92p.exe C:\22yj2fy1.exe C:\2a.exe C:\2buirw.exe C:\2id9.exe C:\2nuk.com C:\2o1ajagt.exe C:\2sm66r.exe C:\2u923g01.exe C:\31lyx.exe C:\3c.exe C:\3dcs9.exe C:\3exi.exe C:\3j2h0tf.bat C:\3n8awsyg.exe C:\3slhl.exe C:\3yalgc.exe C:\601ugf.exe C:\62.exe C:\6ruaqx.exe C:\6rxt26.exe C:\86.exe C:\8dtyjjf.exe C:\8xcrbho6.exe C:\9b9w3.exe C:\9cquqs.exe C:\9d6tpg.exe C:\9g86.exe C:\9jyhdim8.exe C:\9kretct.exe C:\9qqigqwf.exe C:\9rfpp.exe C:\9u.exe C:\a2g21.exe C:\affi8l.exe C:\anoataly.exe C:\autorun.inf C:\b.bat C:\b00ijwpu.exe C:\ba.exe C:\bbjl2g.exe C:\bveijo.exe C:\c2e.exe C:\ca.exe C:\cahpcg.cmd C:\cfrdbyrp.bat C:\cgaqyi.exe C:\chxnxyx.exe C:\cj1m.com C:\cj3k.exe C:\cqb6wo.exe C:\cs6phv6d.exe C:\ctu8r.exe C:\curqp.exe C:\cv8j.exe C:\d9c.bat C:\df.exe C:\dhrhyje.bat C:\dogyx90.exe C:\dqm.exe C:\e2.cmd C:\e9naq.exe C:\eexyv.exe C:\etmt1.bat C:\ewqij.bat C:\ey.exe C:\eyruu.exe C:\f.bat C:\f2kmj.exe C:\f9o8o.exe C:\fk.exe C:\g12g.exe C:\g8k.exe C:\gclwpivc.cmd C:\ggpw.exe C:\h0.exe C:\hc3hvi0.exe C:\hifdmgt.com C:\hjvjte.exe C:\hm1bfpuj.exe C:\hqy.exe C:\hx.exe C:\i0yva6.exe C:\i8ikdjwt.exe C:\i9bwjpqc.exe C:\icxpa.cmd C:\img8hi.exe C:\imghyva6.exe C:\iuvvl9f3.exe C:\ix8bmwx.bat C:\ji83j.exe C:\k0maw.exe C:\k1d.exe C:\k8jc.exe C:\kgji.exe C:\kmj.exe C:\krwyrv0d.exe C:\ktly.exe C:\lcw.exe C:\lhh3v.exe C:\lhhr8.exe C:\ljy.exe C:\lphfa.exe C:\m.com C:\m.exe C:\m1eqos3.exe C:\mb9x.exe C:\mbdm.exe C:\mbvd.exe C:\mi9al8rs.exe C:\mjafm.exe C:\mje12tni.exe C:\mk28sp.exe C:\mqhnawe.bat C:\mranjm.exe C:\mt2.exe C:\mvmdh.exe C:\mwfubaob.exe C:\n0euybx.exe C:\n6eyw.exe C:\nds0q.exe C:\ngp8l.exe C:\nhx.exe C:\nkv.bat C:\nqdymj.exe C:\nx.exe C:\nymdik.exe C:\nyt9mrd3.exe C:\o8tf6l.exe C:\o9bxu.exe C:\olu392qj.exe C:\opdux.exe C:\p.exe C:\p0ijj.bat C:\p3vwxx.exe C:\pbudsara.exe C:\pbyqfn.exe C:\pcxis.exe C:\ph.exe C:\pkkwng.exe C:\q0wfr.exe C:\q1alx.exe C:\q3kku.exe C:\q93fi6kf.exe C:\qbr2q.exe C:\qcod.exe C:\qhbfqx.exe C:\qkm.exe C:\Qoobox C:\qwtb.com C:\r2g20.exe C:\r3fhr.exe C:\RavMon.exe C:\RECYCLER C:\rfg.exe C:\rg9g9bgq.exe C:\rpw.exe C:\rx.exe C:\s.exe C:\s1.exe C:\s3ek.exe C:\sbcatf.exe C:\sdfqh.exe C:\se12ydam.exe C:\sm.exe C:\sp1jensi.exe C:\srgo.exe C:\t2hjo0.exe C:\t8g.exe C:\t8s2x.exe C:\Temp C:\tgt.exe C:\twhvna.exe C:\u0riu2.exe C:\u16sqrqn.exe C:\ukfbi3aw.exe C:\uo10sn.cmd C:\uqgvf.exe C:\v1cbvsmq.exe C:\vb0hsoay.exe C:\vgyn6ewc.exe C:\vi8f.exe C:\vk0w.exe C:\vlvtdflx.exe C:\w.com C:\w3.exe C:\w9uxx92.exe C:\wbj.exe C:\wcgswa.exe C:\wfx062.exe C:\wglb9q.exe C:\wisf1.exe C:\wkimt.exe C:\wrsf.exe C:\ws.exe C:\wu1n.exe C:\wyskq6lt.exe C:\x8sigm.exe C:\xbvv0.exe C:\xbvv6o.com C:\xcr.exe C:\xerp8nj.exe C:\xjb3.exe C:\xmor.exe C:\xs6kpr0.exe C:\y.bat C:\y.exe C:\y6cqb2is.exe C:\y6yol.exe C:\y8.exe C:\ycvvj.exe C:\ymxf2.exe C:\yqq8eqil.exe C:\ysep1.exe C:\ysyjq1bs.exe C:\yu3.exe D:\09lf.exe D:\0bcobed.exe D:\0fkk02x.exe D:\0qw6vege.exe D:\0xuc.com D:\10nb.exe D:\12gn6id2.exe D:\1a1dndah.exe D:\1di1w.exe D:\1hqup.exe D:\1j038ki.exe D:\1thes92p.exe D:\22yj2fy1.exe D:\2a.exe D:\2buirw.exe D:\2id9.exe D:\2nuk.com D:\2o1ajagt.exe D:\2sm66r.exe D:\2u923g01.exe D:\31lyx.exe D:\3c.exe D:\3dcs9.exe D:\3exi.exe D:\3j2h0tf.bat D:\3n8awsyg.exe D:\3slhl.exe D:\3yalgc.exe D:\601ugf.exe D:\62.exe D:\6ruaqx.exe D:\6rxt26.exe D:\86.exe D:\8dtyjjf.exe D:\8xcrbho6.exe D:\9b9w3.exe D:\9cquqs.exe D:\9d6tpg.exe D:\9g86.exe D:\9jyhdim8.exe D:\9kretct.exe D:\9qqigqwf.exe D:\9rfpp.exe D:\9u.exe D:\a2g21.exe D:\affi8l.exe D:\anoataly.exe D:\autorun.inf D:\b.bat D:\b00ijwpu.exe D:\ba.exe D:\bbjl2g.exe D:\bveijo.exe D:\c2e.exe D:\ca.exe D:\cahpcg.cmd D:\cfrdbyrp.bat D:\cgaqyi.exe D:\chxnxyx.exe D:\cj1m.com D:\cj3k.exe D:\cqb6wo.exe D:\cs6phv6d.exe D:\ctu8r.exe D:\curqp.exe D:\cv8j.exe D:\d9c.bat D:\df.exe D:\dhrhyje.bat D:\dogyx90.exe D:\dqm.exe D:\e2.cmd D:\e9naq.exe D:\eexyv.exe D:\etmt1.bat D:\ewqij.bat D:\ey.exe D:\eyruu.exe D:\f.bat D:\f2kmj.exe D:\f9o8o.exe D:\fk.exe D:\g12g.exe D:\g8k.exe D:\gclwpivc.cmd D:\ggpw.exe D:\h0.exe D:\hc3hvi0.exe D:\hifdmgt.com D:\hjvjte.exe D:\hm1bfpuj.exe D:\hqy.exe D:\hx.exe D:\i0yva6.exe D:\i8ikdjwt.exe D:\i9bwjpqc.exe D:\icxpa.cmd D:\img8hi.exe D:\imghyva6.exe D:\iuvvl9f3.exe D:\ix8bmwx.bat D:\ji83j.exe D:\k0maw.exe D:\k1d.exe D:\k8jc.exe D:\kgji.exe D:\kmj.exe D:\krwyrv0d.exe D:\ktly.exe D:\lcw.exe D:\lhh3v.exe D:\lhhr8.exe D:\ljy.exe D:\lphfa.exe D:\m.com D:\m.exe D:\m1eqos3.exe D:\mb9x.exe D:\mbdm.exe D:\mbvd.exe D:\mi9al8rs.exe D:\mjafm.exe D:\mje12tni.exe D:\mk28sp.exe D:\mqhnawe.bat D:\mranjm.exe D:\mt2.exe D:\mvmdh.exe D:\mwfubaob.exe D:\n0euybx.exe D:\n6eyw.exe D:\nds0q.exe D:\ngp8l.exe D:\nhx.exe D:\nkv.bat D:\nqdymj.exe D:\nx.exe D:\nymdik.exe D:\nyt9mrd3.exe D:\o8tf6l.exe D:\o9bxu.exe D:\olu392qj.exe D:\opdux.exe D:\p.exe D:\p0ijj.bat D:\p3vwxx.exe D:\pbudsara.exe D:\pbyqfn.exe D:\pcxis.exe D:\ph.exe D:\pkkwng.exe D:\q0wfr.exe D:\q1alx.exe D:\q3kku.exe D:\q93fi6kf.exe D:\qbr2q.exe D:\qcod.exe D:\qhbfqx.exe D:\qkm.exe D:\qwtb.com D:\r2g20.exe D:\r3fhr.exe D:\RECYCLER D:\rfg.exe D:\rg9g9bgq.exe D:\rpw.exe D:\rx.exe D:\s.exe D:\s1.exe D:\s3ek.exe D:\sbcatf.exe D:\sdfqh.exe D:\se12ydam.exe D:\sm.exe D:\sp1jensi.exe D:\srgo.exe D:\t2hjo0.exe D:\t8g.exe D:\t8s2x.exe D:\tgt.exe D:\twhvna.exe D:\u0riu2.exe D:\u16sqrqn.exe D:\ukfbi3aw.exe D:\uo10sn.cmd D:\uqgvf.exe D:\v1cbvsmq.exe D:\vb0hsoay.exe D:\vgyn6ewc.exe D:\vi8f.exe D:\vk0w.exe D:\vlvtdflx.exe D:\w.com D:\w3.exe D:\w9uxx92.exe D:\wbj.exe D:\wcgswa.exe D:\wfx062.exe D:\wglb9q.exe D:\wisf1.exe D:\wkimt.exe D:\wrsf.exe D:\ws.exe D:\wu1n.exe D:\wyskq6lt.exe D:\x8sigm.exe D:\xbvv0.exe D:\xbvv6o.com D:\xcr.exe D:\xerp8nj.exe D:\xjb3.exe D:\xmor.exe D:\xs6kpr0.exe D:\y.bat D:\y.exe D:\y6cqb2is.exe D:\y6yol.exe D:\y8.exe D:\ycvvj.exe D:\ymxf2.exe D:\yqq8eqil.exe D:\ysep1.exe D:\ysyjq1bs.exe D:\yu3.exe F:\autorun.inf F:\RECYCLER C:\phqgh.exe C:\InternetExplorer.exe C:\WINDOWS\MDM.EXE C:\WINDOWS\System32\e8main1.dll C:\WINDOWS\System32\e8main0.dll C:\WINDOWS\System32\nmdfgds2.dll C:\WINDOWS\System32\nmdfgds1.dll C:\WINDOWS\System32\nmdfgds0.dll C:\WINDOWS\System32\etaeww.dll C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job C:\Documents and Settings\Koleś GIT\Ustawienia lokalne\Temp :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "D:\bzyk 2\Program Files\SopCast\adv\SopAdver.exe"=- "C:\phqgh.exe"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] [resethosts] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu sterowania >>> dodaj/usuń programy odinstaluj śmieci - Google Toolbar / Ask Toolbar / DAEMON Tools Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i USBFix

Jeśli masz ten pendrive to podepnij go teraz. Następnie użyj narzędzia USBFix z opcji Listing i pokaż wynikowy raport. Jeśli nie masz pendriva to też wykonaj zalecenie.

Tutaj logi masz właściwie czyste, jedynie drobna korekta w rejestrze kasująca te szczątki po infekcji z mediów przenośnych: O33 - MountPoints2\{9262821b-1623-11df-bbed-00142a70c96d}\Shell\AutoRun\command - "" = tezge\\gazda.exe O33 - MountPoints2\{9262821b-1623-11df-bbed-00142a70c96d}\Shell\explore\command - "" = tezge\\\gazda.exe O33 - MountPoints2\{9262821b-1623-11df-bbed-00142a70c96d}\Shell\open\command - "" = tezge\\\gazda.exe Czyli start >>> uruchom >>> regedit i kasujesz z prawokliku ten numeryczny klucz: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9262821b-1623-11df-bbed-00142a70c96d} 1. Wyczyść wszelkie Tempy korzystając z narzędzia TFC - Temp Cleaner 2. Wyzeruj stan przywracania systemu poprzez tymczasowe jego wyłączenie: KLIK 3. Przeanalizuj dysk narzędziem SpaceSniffer w celu sprawdzenia co zajmuje najwięcej miejsca na dysku.

Muzykę oczywiście mógłbyś skopiować bo te infekcje plików muzycznych nie tykają. Jakieś pliki tekstowe też można ewentualnie sobie skopiować. Można wrzucić płytę i przeskanować ją za pomocą jakiegoś skanera np. Dr. Web CureIt

Na C ci przybyło pewnie po ComboFix, ale nie jestem pewny które można usunąć. Napewno ComboFix, cmldr i boot,bak. Reszty bym nie ruszał. To jest właśnie ta konsola ComboFixa. Wyedytuj sobie plik boot.ini, który jest na dysku C. Przestaw tylko opcje widoku na pokazywanie ukrytych plików. W tym pliku trzeba wymazać linijkę Konsoli.

W tych logach już nie widać niczego podejrzanego. Wykonaj na koniec jeszcze poniższe czynności. 1. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\Administrator\Pulpit\ComboFix.exe" /uninstall 2. W kwestii kamerki możesz wejść w start >>> uruchom >>> devmgmt.msc i sprawdź czy tam przypadkiem nie ma jakiegoś pytajnika przy urządzeniu. Może to być też wina samego urządzenia. Jeśli masz ochotę możesz wrzucić też logi ze stacjonarnego do sprawdzenia.

Ja problemu żadnego nie widzę. Były pliki infekcyjne najprawdopodobniej, które usunąłeś skryptem. Jeśli zaatakuje cię infekcja plików .exe dałem ci temat i tam wszystko masz opisane co zrobić. Czyli zalecany skan z płyty boot AV, a nie spod działającego systemu. Inna sprawa to musisz uważać czy sam sobie nie podkładasz wirusa lub nie robisz backupu zainfekowanych obiektów.