Landuss
-
Postów
6 919 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Landuss
-
-
Są ślady rootkita:
DRV - File not found [Kernel | System] -- C:\Windows\System32\drivers\gaopdxwtxwtvim.sys -- (gaopdxserv.sys)
Możliwe, że w tym problem. Postępuj zgodnie ze wskazówkami poniżej.
1. Skonstruuj skrypt tekstowy, który zostanie załadowany w OTLPE. Otwórz Notatnik i wklej w nim:
:OTL IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found IE - HKU\Hania.Agnieszka-PC_ON_C\..\URLSearchHook: *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - Reg Error: Key error. File not found IE - HKU\Hania.Agnieszka-PC_ON_C\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\Agnieszka_ON_C\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\Hania.Agnieszka-PC_ON_C\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\Agnieszka_ON_C..\Run: [Twoje TVN24] File not found O4 - HKU\Hania.Agnieszka-PC_ON_C..\Run: [Twoje TVN24] C:\Program Files\Pasek TVN24\tvn-ustawienia.exe File not found O4 - HKU\Hania.Agnieszka-PC_ON_C..\RunOnce: [shockwave Updater] C:\Windows\System32\Adobe\Shockwave 11\SwHelper_1151601.exe -Update -1151601 -Mozilla\5.0_(Windows;_U;_Windows_NT_6.0;_en-US)_AppleWebKit\533.4_(KHTML,_like_Gecko)_Chrome\5.0.375.99_Safari\533.4 - File not found :Files C:\Users\Agnieszka\AppData\Local\Temp*.html C:\Windows\System32\drivers\gaopdxwtxwtvim.sys :Services gaopdxserv.sys :Commands [emptyflash] [emptytemp]Plik zapisz pod nazwą FIX.TXT
2. Plik FIX.TXT umieść na pendrive lub innym urządzeniu przenośnym, które może być podpięte do komputera.
3. Podpinasz urządzenie przenośne startujesz z płyty OTLPE.
4. Uruchamiasz z Pulpitu program OTLPE zgodnie ze wskazówkami montując rejestr. Klikasz w Wykonaj skrypt (Run Fix). Zostanie zgłoszony komunikat o braku skryptu i wtedy wskazujesz plik o nazwie FIX.TXT. OTLPE wykona zadanie i poda log, który zachowasz bo będziesz go prezentował.
5. Wykonujesz restart komputera. Jeśli całe zadanie się uda, system Windows zastartuje prawidłowo.
6. Wytwarzasz z poziomu systemu już normalny log z OTL + Gmer. Dołączasz także log z OTLPE powstały z czyszczenia.
-
Logi musimy otrzymać aby sprawdzić co jest w tym systemie. Jest na to inna metoda. Wypal płytkę OTLPE i wykonaj z jej poziomu wymagane logi.
-
Właściwie ja też nie widzę potrzeby aby coś takiego miało zaistnieć. Osobiście nie korzystam, zwinięte cały czas i tak już raczej zostanie.
-
Jest w porządku a więc przejdźmy do czynności końcowych.
1. Użyj opcji Sprzątanie z OTL.
2. Użyj opcji Vaccinate z poziomu USBFix w celu nałożenia zabezpieczenia.
3. Przeskanuj się za pomocą Malwarebytes Anti-Malware w celu usunięcia drobnych szczatków po infekcji.
4. Z panelu sterowania dodaj/usuń programy odinstaluj niepotrzebne toolbary - DAEMON Tools Toolbar / Winamp Toolbar / free-downloads.net Toolbar
5. Wykonaj obowiązkowe aktualizacje:
Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
"{3248F0A8-6813-11D6-A77B-00B0D0160040}" = Java 6 Update 4
"Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19)
"Mozilla Thunderbird (2.0.0.9)" = Mozilla Thunderbird (2.0.0.9)
Uzupełnij SP3 i IE8 oraz zaktualizuj pozostałe zakreślone: INSTRUKCJE.
-
Jeszcze jeden skrypt:
:Processes killallprocesses :Files C:\g6jk.exe E:\g6jk.exe F:\g6jk.exe K:\g6jk.exe
Nowy log z OTL do oceny.
-
Przy podpiętym urządzeniu przenośnym uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
:OTL FF - prefs.js..browser.search.defaultenginename: "Winamp Search" FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=" O4 - HKCU..\Run: [cdoosoft] C:\DOCUME~1\JA\USTAWI~1\Temp\herss.exe File not found O4 - HKCU..\RunOnce: [shockwave Updater] C:\WINDOWS\System32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1103470 -Mozilla\5.0 ( File not found O18 - Protocol\Handler\about {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll File not found O18 - Protocol\Handler\javascript {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll File not found O18 - Protocol\Handler\mailto {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll File not found O18 - Protocol\Handler\res {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll File not found O18 - Protocol\Handler\vbscript {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll File not found :Files C:\WINDOWS\system32\afmain0.dll C:\WINDOWS\system32\afmain1.dll C:\WINDOWS\system32\e8main0.dll C:\WINDOWS\AhnRpta.exe C:\WINDOWS\Temp C:\p3vwxx.exe C:\Autorun.inf E:\Autorun.inf F:\Autorun.inf H:\Autorun.inf K:\Autorun.inf C:\08dgu.com C:\0bcobed.exe C:\0fkk02x.exe C:\0qw6vege.exe C:\0u.cmd C:\0w.com C:\0xuc.com C:\10nb.exe C:\1a1dndah.exe C:\1di1w.exe C:\1f.bat C:\1hqup.exe C:\1ogf.exe C:\1utbfd.bat C:\2.bat C:\22yj2fy1.exe C:\2a.exe C:\2aaxaiy.exe C:\2buirw.exe C:\2fiji.com C:\2id9.exe C:\2nuk.com C:\2o1ajagt.exe C:\2sm66r.exe C:\2u923g01.exe C:\31lyx.exe C:\3c.exe C:\3dcs9.exe C:\3j2h0tf.bat C:\3n8awsyg.exe C:\3yalgc.exe C:\601ugf.exe C:\62.exe C:\68.exe C:\6phx.com C:\6rxt26.exe C:\8.bat C:\8.exe C:\86.exe C:\8dtyjjf.exe C:\8paf1d.com C:\8xcrbho6.exe C:\9b9w3.exe C:\9d6tpg.exe C:\9dlvtiil.exe C:\9fo3ar0j.exe C:\9g86.exe C:\9jyhdim8.exe C:\9kretct.exe C:\9qqigqwf.exe C:\9u.exe C:\9xf8.exe C:\a1.bat C:\a2g21.exe C:\a2h2.com C:\abk.bat C:\affi8l.exe C:\anoataly.exe C:\b.bat C:\b.com C:\b.exe C:\b00ijwpu.exe C:\ba.exe C:\bbjl2g.exe C:\bo1dhu.bat C:\boyedt.com C:\bveijo.exe C:\bycfht.exe C:\c2e.exe C:\cahpcg.cmd C:\cfrdbyrp.bat C:\chxnxyx.exe C:\cj1m.com C:\cj3k.exe C:\cqb6wo.exe C:\cqxj.exe C:\cs6phv6d.exe C:\ctu8r.exe C:\curqp.exe C:\cv8j.exe C:\d9c.bat C:\dbrxubcw.com C:\df.exe C:\dogyx90.exe C:\e2.cmd C:\e9naq.exe C:\eexyv.exe C:\ej10fkdo.bat C:\em8tqm.cmd C:\ev60a2.cmd C:\ewqij.bat C:\ey.exe C:\eyruu.exe C:\eyt.exe C:\f.bat C:\f2kmj.exe C:\f9o8o.exe C:\fbak.exe C:\fk.exe C:\fsaht.cmd C:\g12g.exe C:\g1ljsm.com C:\g2.bat C:\g8k.exe C:\gbm6n.exe C:\gclwpivc.cmd C:\gcq6.exe C:\ggpw.exe C:\gi2ky.exe C:\gpcdt.cmd C:\gy.exe C:\h0.exe C:\hjvjte.exe C:\hkn6k.bat C:\hl80c6b1.com C:\hm1bfpuj.exe C:\hqy.exe C:\husyu8n.exe C:\hx.exe C:\i.com C:\i0yva6.exe C:\i6g6x.cmd C:\i9bwjpqc.exe C:\icxpa.cmd C:\img8hi.exe C:\imghyva6.exe C:\ix8bmwx.bat C:\j60osk9.cmd C:\jeorels.cmd C:\ji83j.exe C:\jm3cx96.bat C:\k1d.exe C:\k8jc.exe C:\kgji.exe C:\kmj.exe C:\ktly.exe C:\l61yyp.exe C:\l6jj.exe C:\lad.bat C:\lc.exe C:\lcw.exe C:\lhh3v.exe C:\lhhr8.exe C:\lky.exe C:\lphfa.exe C:\m.com C:\m0vnonh.bat C:\mb9x.exe C:\mbvd.exe C:\metdgv.bat C:\mh.exe C:\mi9al8rs.exe C:\minm.cmd C:\mjafm.exe C:\mje12tni.exe C:\mltox.exe C:\mqhnawe.bat C:\mranjm.exe C:\mt.bat C:\mt2.exe C:\mvmdh.exe C:\mwfubaob.exe C:\n0euybx.exe C:\n68mqcra.exe C:\n6t1h.cmd C:\nds0q.exe C:\ngp8l.exe C:\nhx.exe C:\npee.com C:\nqdymj.exe C:\nu.cmd C:\o.exe C:\o3n9k.com C:\o8tf6l.exe C:\o9bxu.exe C:\olu392qj.exe C:\otyh.cmd C:\p.exe C:\pbudsara.exe C:\pbyqfn.exe C:\pcxis.exe C:\ph.exe C:\pkkwng.exe C:\q1alx.exe C:\q3kku.exe C:\q9.cmd C:\q93fi6kf.exe C:\qbr2q.exe C:\qcoageh.exe C:\qcod.exe C:\qkm.exe C:\qwtb.com C:\qxty9be.cmd C:\r2g20.exe C:\rbj9jn1n.bat C:\rg9g9bgq.exe C:\rwj0.cmd C:\s.exe C:\s1.exe C:\s3ek.exe C:\sdfqh.exe C:\sm.exe C:\sp1jensi.exe C:\sq.com C:\srgo.exe C:\sv8c2bjw.bat C:\svdioajm.cmd C:\sywyrl0q.exe C:\t2hjo0.exe C:\t8g.exe C:\t8s2x.exe C:\tgt.exe C:\u16sqrqn.exe C:\ucivd6xi.bat C:\uhoxajc.cmd C:\ukfbi3aw.exe C:\uo10sn.cmd C:\upw.bat C:\uqgvf.exe C:\uvsqfgwd.cmd C:\v1cbvsmq.exe C:\vb0hsoay.exe C:\vk0w.exe C:\vlvtdflx.exe C:\vva0hc0p.cmd C:\vwewav8.com C:\w.com C:\w3.exe C:\w98.com C:\w9uxx92.exe C:\wbj.exe C:\wcgswa.exe C:\wfx062.exe C:\whi.com C:\wrsf.exe C:\ws.exe C:\wu1n.exe C:\wx8o0bt1.com C:\wyskq6lt.exe C:\xbvv0.exe C:\xbvv6o.com C:\xdglur.bat C:\xerp8nj.exe C:\xh319r9b.bat C:\xih9.cmd C:\xmor.exe C:\xs6kpr0.exe C:\y.bat C:\y6cqb2is.exe C:\y6yol.exe C:\y8.exe C:\ycvvj.exe C:\ymxf2.exe C:\ysyjq1bs.exe C:\yugu9ups.bat E:\1hqup.exe E:\anoataly.exe E:\p3vwxx.exe F:\08dgu.com F:\0bcobed.exe F:\0fkk02x.exe F:\0qw6vege.exe F:\0u.cmd F:\0w.com F:\0xuc.com F:\10nb.exe F:\1a1dndah.exe F:\1di1w.exe F:\1f.bat F:\1hqup.exe F:\1ogf.exe F:\1utbfd.bat F:\2.bat F:\22yj2fy1.exe F:\2a.exe F:\2aaxaiy.exe F:\2buirw.exe F:\2fiji.com F:\2id9.exe F:\2nuk.com F:\2o1ajagt.exe F:\2sm66r.exe F:\2u923g01.exe F:\31lyx.exe F:\3c.exe F:\3dcs9.exe F:\3j2h0tf.bat F:\3n8awsyg.exe F:\3yalgc.exe F:\601ugf.exe F:\62.exe F:\68.exe F:\6phx.com F:\6rxt26.exe F:\8.bat F:\8.exe F:\86.exe F:\8dtyjjf.exe F:\8paf1d.com F:\8xcrbho6.exe F:\9b9w3.exe F:\9d6tpg.exe F:\9dlvtiil.exe F:\9fo3ar0j.exe F:\9g86.exe F:\9jyhdim8.exe F:\9kretct.exe F:\9qqigqwf.exe F:\9u.exe F:\9xf8.exe F:\a1.bat F:\a2g21.exe F:\a2h2.com F:\abk.bat F:\affi8l.exe F:\anoataly.exe F:\b.bat F:\b.com F:\b.exe F:\b00ijwpu.exe F:\ba.exe F:\bbjl2g.exe F:\bo1dhu.bat F:\boyedt.com F:\bveijo.exe F:\bycfht.exe F:\c2e.exe F:\cahpcg.cmd F:\cfrdbyrp.bat F:\chxnxyx.exe F:\cj1m.com F:\cj3k.exe F:\cqb6wo.exe F:\cqxj.exe F:\cs6phv6d.exe F:\ctu8r.exe F:\curqp.exe F:\cv8j.exe F:\d9c.bat F:\dbrxubcw.com F:\df.exe F:\dogyx90.exe F:\e2.cmd F:\e9naq.exe F:\eexyv.exe F:\ej10fkdo.bat F:\em8tqm.cmd F:\ev60a2.cmd F:\ewqij.bat F:\ey.exe F:\eyruu.exe F:\eyt.exe F:\f.bat F:\f2kmj.exe F:\f9o8o.exe F:\fbak.exe F:\fk.exe F:\fsaht.cmd F:\g12g.exe F:\g1ljsm.com F:\g2.bat F:\g8k.exe F:\gbm6n.exe F:\gclwpivc.cmd F:\gcq6.exe F:\ggpw.exe F:\gi2ky.exe F:\gpcdt.cmd F:\gy.exe F:\h0.exe F:\hjvjte.exe F:\hkn6k.bat F:\hl80c6b1.com F:\hm1bfpuj.exe F:\hqy.exe F:\husyu8n.exe F:\hx.exe F:\i.com F:\i0yva6.exe F:\i6g6x.cmd F:\i9bwjpqc.exe F:\icxpa.cmd F:\img8hi.exe F:\imghyva6.exe F:\ix8bmwx.bat F:\j60osk9.cmd F:\jeorels.cmd F:\ji83j.exe F:\jm3cx96.bat F:\k1d.exe F:\k8jc.exe F:\kgji.exe F:\kmj.exe F:\ktly.exe F:\l61yyp.exe F:\l6jj.exe F:\lad.bat F:\lc.exe F:\lcw.exe F:\lhh3v.exe F:\lhhr8.exe F:\lky.exe F:\lphfa.exe F:\m.com F:\m0vnonh.bat F:\mb9x.exe F:\mbvd.exe F:\metdgv.bat F:\mh.exe F:\mi9al8rs.exe F:\minm.cmd F:\mjafm.exe F:\mje12tni.exe F:\mltox.exe F:\mqhnawe.bat F:\mranjm.exe F:\mt.bat F:\mt2.exe F:\mvmdh.exe F:\mwfubaob.exe F:\n0euybx.exe F:\n68mqcra.exe F:\n6t1h.cmd F:\nds0q.exe F:\ngp8l.exe F:\nhx.exe F:\npee.com F:\nqdymj.exe F:\nu.cmd F:\o.exe F:\o3n9k.com F:\o8tf6l.exe F:\o9bxu.exe F:\olu392qj.exe F:\opgde.exe F:\otyh.cmd F:\p.exe F:\p3vwxx.exe F:\pbudsara.exe F:\pbyqfn.exe F:\pcxis.exe F:\ph.exe F:\pkkwng.exe F:\q1alx.exe F:\q3kku.exe F:\q9.cmd F:\q93fi6kf.exe F:\qbr2q.exe F:\qcoageh.exe F:\qcod.exe F:\qkm.exe F:\qwtb.com F:\qxty9be.cmd F:\r2g20.exe F:\rbj9jn1n.bat F:\rg9g9bgq.exe F:\rwj0.cmd F:\s.exe F:\s1.exe F:\s3ek.exe F:\sdfqh.exe F:\se12ydam.exe F:\sm.exe F:\sp1jensi.exe F:\sq.com F:\srgo.exe F:\sv8c2bjw.bat F:\svdioajm.cmd F:\sywyrl0q.exe F:\t2hjo0.exe F:\t8g.exe F:\t8s2x.exe F:\tgt.exe F:\u16sqrqn.exe F:\ucivd6xi.bat F:\uhoxajc.cmd F:\ukfbi3aw.exe F:\uo10sn.cmd F:\upw.bat F:\uqgvf.exe F:\ur0.com F:\uvsqfgwd.cmd F:\v1cbvsmq.exe F:\vb0hsoay.exe F:\vk0w.exe F:\vlvtdflx.exe F:\vva0hc0p.cmd F:\vwewav8.com F:\w.com F:\w3.exe F:\w98.com F:\w9uxx92.exe F:\wbj.exe F:\wcgswa.exe F:\wfx062.exe F:\whi.com F:\wrsf.exe F:\ws.exe F:\wu1n.exe F:\wx8o0bt1.com F:\wyskq6lt.exe F:\xbvv0.exe F:\xbvv6o.com F:\xdglur.bat F:\xerp8nj.exe F:\xh319r9b.bat F:\xih9.cmd F:\xmor.exe F:\xs6kpr0.exe F:\y.bat F:\y.exe F:\y6cqb2is.exe F:\y6yol.exe F:\y8.exe F:\ycvvj.exe F:\ymxf2.exe F:\ysyjq1bs.exe F:\yugu9ups.bat K:\0u.cmd K:\1a1dndah.exe K:\a1.bat K:\cv8j.exe K:\eexyv.exe K:\explorer.exe K:\mwfubaob.exe K:\p3vwxx.exe K:\q1alx.exe K:\srgo.exe K:\svdioajm.cmd K:\tgt.exe K:\ur0.com K:\xerp8nj.exe C:\Documents and Settings\JA\Ustawienia lokalne\Temp :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] [clearallrestorepoints]
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i log z USBFix.
-
Z tego co widzę w logach pojawiła się nowa infekcja, której wcześniej nie było. Prosze sporządzić też nowy log z Gmer.
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt (Custom Scan/Fixes) wklej następujący tekst:
:OTL IE - HKU\S-1-5-21-839522115-515967899-2146800195-1003\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found O3 - HKU\S-1-5-21-839522115-515967899-2146800195-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-839522115-515967899-2146800195-1003\..\Toolbar\WebBrowser: (Tango) - {4A4B8842-B291-4740-B866-899EF5F2C356} - C:\WINDOWS\System32\2f78.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-839522115-515967899-2146800195-1003..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe File not found O4 - HKU\S-1-5-21-839522115-515967899-2146800195-1003..\Run: [iGoD] D:\DM\iGoDr014.exe File not found O4 - HKU\S-1-5-21-839522115-515967899-2146800195-1003..\Run: [sfKg6wIPuSp] C:\Documents and Settings\Krzysiek\Dane aplikacji\Microsoft\Windows\jnipmo.exe () :Files C:\Program Files\SpaceQuery C:\Documents and Settings\All Users\Dane aplikacji\SpaceQuery C:\Documents and Settings\Krzysiek\Dane aplikacji\Microsoft\Windows\jnipmo.exe :Services SpaceQuery Service :Commands [emptyflash] [emptytemp] [resethosts] [clearallrestorepoints]Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i brakujący log z Gmer.
-
Masz infekcję z mediów przenośnych a więc pendrive, karty pamięci i wszystkie inne tego typu urządzenia.
Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.
-
1. Według logów Panda wcale nie jest odinstalowana. Prosze użyć narzędzia Panda Uninstaller pod wersje 2009 taką jaką posiadasz.
2. Tu prawdopodobnie jest nadal infekcja widoczna w Gmer:
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Run@cleansweep.exe C:\cleansweep.exe\cleansweep.exe
Zamontuj następujący skrypt do OTL:
:Processes killallprocesses :Files C:\cleansweep.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "cleansweep.exe"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] [clearallrestorepoints]
3. Wklejasz nowe logi z OTL i nowy log z Gmer.
-
Nic tu więcej nie widać więc to by było na tyle. Użyj sobie opcji Sprzątanie (CleanUp) z OTL oraz opcji Vaccinate z poziomu USBFix w celu nałożenia zabezpieczenia.
-
Według USBFix tym razem na penie nie ma plików infekcji. Zamontuj skrypt:
:OTL O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [VVSN] C:\Program Files\VVSN\VVSN.exe (WhenU.com) O4 - HKU\S-1-5-21-1256786599-978764117-1879129488-500..\Run: [bitComet] C:\Program Files\BitComet\BitComet.exe File not found :Files C:\Program Files\VVSN :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp]
Nowe logi z OTL do oceny.
-
Ale to jest ten sam laptop? Jeśli tak to wykonaj skrypt, a jeśli nie to sporządź nowe logi.
-
Wszystko usunięte. Na koniec do wykonania poniższe czynności:
1. Użyj opcji Sprzątanie z OTL.
2. Użyj opcji Vaccinate z USBFix w celu zabezpieczenia się przed infekcjami z mediów przenośnych.
3. Wykonaj obowiązkowe aktualizacje:
Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java 6 Update 12
"avast!" = avast! Antivirus
Uzupełnij SP3 i IE8 oraz zaktualizuj pozostałe wymienione: INSTRUKCJE.
.
-
Jeszcze jeden skrypt do wykonania:
:Processes killallprocesses :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. :Files C:\rxf.exe D:\rxf.exe F:\rxf.exePokazujesz już tylko nowy log z USBFix.
-
Przy podpiętym pendrive zamontuj taki skrypt do OTL:
:OTL O2 - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll File not found O3 - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-1840690720-2077296785-1266658159-1001..\Run: [RGSC] C:\Program Files (x86)\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe File not found :Files C:\$Recycle.Bin D:\$Recycle.Bin F:\p3vwxx.exe F:\autorun.inf C:\Users\Maryla\AppData\Local\Temp*.html :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp]Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i nowy log z USBFix.
-
Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.
-
Spróbuj wykonać log z Gmer w trybie awaryjnym. Wyłącz też wszelkie programy zabezpieczające bo według logów tu jest Panda a mówisz, że odinstalowałeś więc?. Log ten musimy obejrzeć bo to jest podstawa do stwierdzenia czy tu rzeczywiście jest poważna infekcja czy nie ma. Na samym OTL nie można bazować.
-
Pendrive ma być teraz podpięty.
1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
:OTL O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKU\S-1-5-21-1644491937-1004336348-839522115-1003\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O4 - HKLM..\Run: [combofix] C:\ComboFix\CF11872.cfx File not found O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [sVCHOST] C:\WINDOWS\MDM.EXE () O4 - HKLM..\Run: [svchosters] File not found O4 - HKLM..\Run: [WindowsLogon] C:\InternetExplorer.exe () O4 - HKU\S-1-5-21-1644491937-1004336348-839522115-1003..\Run: [AutoConnect] D:\instalki\AutoConnect\AutoConnect.exe File not found O4 - HKU\S-1-5-21-1644491937-1004336348-839522115-1003..\Run: [cdoosoft] C:\Documents and Settings\Koleś GIT\Ustawienia lokalne\Temp\herss.exe () O4 - HKU\S-1-5-21-1644491937-1004336348-839522115-1003..\Run: [dso32] C:\Documents and Settings\Koleś GIT\Ustawienia lokalne\Temp\dsoqq.exe () O4 - HKU\S-1-5-21-1644491937-1004336348-839522115-1003..\Run: [nod32] C:\Documents and Settings\Koleś GIT\Ustawienia lokalne\Temp\nodqq.exe () O28 - HKLM ShellExecuteHooks: {BB4C402F-882A-4526-8C08-51278EA437C1} - C:\WINDOWS\system32\e8main1.dll () :Files C:\09lf.exe C:\0bcobed.exe C:\0fkk02x.exe C:\0qw6vege.exe C:\0xuc.com C:\10nb.exe C:\12gn6id2.exe C:\1a1dndah.exe C:\1di1w.exe C:\1hqup.exe C:\1j038ki.exe C:\1thes92p.exe C:\22yj2fy1.exe C:\2a.exe C:\2buirw.exe C:\2id9.exe C:\2nuk.com C:\2o1ajagt.exe C:\2sm66r.exe C:\2u923g01.exe C:\31lyx.exe C:\3c.exe C:\3dcs9.exe C:\3exi.exe C:\3j2h0tf.bat C:\3n8awsyg.exe C:\3slhl.exe C:\3yalgc.exe C:\601ugf.exe C:\62.exe C:\6ruaqx.exe C:\6rxt26.exe C:\86.exe C:\8dtyjjf.exe C:\8xcrbho6.exe C:\9b9w3.exe C:\9cquqs.exe C:\9d6tpg.exe C:\9g86.exe C:\9jyhdim8.exe C:\9kretct.exe C:\9qqigqwf.exe C:\9rfpp.exe C:\9u.exe C:\a2g21.exe C:\affi8l.exe C:\anoataly.exe C:\autorun.inf C:\b.bat C:\b00ijwpu.exe C:\ba.exe C:\bbjl2g.exe C:\bveijo.exe C:\c2e.exe C:\ca.exe C:\cahpcg.cmd C:\cfrdbyrp.bat C:\cgaqyi.exe C:\chxnxyx.exe C:\cj1m.com C:\cj3k.exe C:\cqb6wo.exe C:\cs6phv6d.exe C:\ctu8r.exe C:\curqp.exe C:\cv8j.exe C:\d9c.bat C:\df.exe C:\dhrhyje.bat C:\dogyx90.exe C:\dqm.exe C:\e2.cmd C:\e9naq.exe C:\eexyv.exe C:\etmt1.bat C:\ewqij.bat C:\ey.exe C:\eyruu.exe C:\f.bat C:\f2kmj.exe C:\f9o8o.exe C:\fk.exe C:\g12g.exe C:\g8k.exe C:\gclwpivc.cmd C:\ggpw.exe C:\h0.exe C:\hc3hvi0.exe C:\hifdmgt.com C:\hjvjte.exe C:\hm1bfpuj.exe C:\hqy.exe C:\hx.exe C:\i0yva6.exe C:\i8ikdjwt.exe C:\i9bwjpqc.exe C:\icxpa.cmd C:\img8hi.exe C:\imghyva6.exe C:\iuvvl9f3.exe C:\ix8bmwx.bat C:\ji83j.exe C:\k0maw.exe C:\k1d.exe C:\k8jc.exe C:\kgji.exe C:\kmj.exe C:\krwyrv0d.exe C:\ktly.exe C:\lcw.exe C:\lhh3v.exe C:\lhhr8.exe C:\ljy.exe C:\lphfa.exe C:\m.com C:\m.exe C:\m1eqos3.exe C:\mb9x.exe C:\mbdm.exe C:\mbvd.exe C:\mi9al8rs.exe C:\mjafm.exe C:\mje12tni.exe C:\mk28sp.exe C:\mqhnawe.bat C:\mranjm.exe C:\mt2.exe C:\mvmdh.exe C:\mwfubaob.exe C:\n0euybx.exe C:\n6eyw.exe C:\nds0q.exe C:\ngp8l.exe C:\nhx.exe C:\nkv.bat C:\nqdymj.exe C:\nx.exe C:\nymdik.exe C:\nyt9mrd3.exe C:\o8tf6l.exe C:\o9bxu.exe C:\olu392qj.exe C:\opdux.exe C:\p.exe C:\p0ijj.bat C:\p3vwxx.exe C:\pbudsara.exe C:\pbyqfn.exe C:\pcxis.exe C:\ph.exe C:\pkkwng.exe C:\q0wfr.exe C:\q1alx.exe C:\q3kku.exe C:\q93fi6kf.exe C:\qbr2q.exe C:\qcod.exe C:\qhbfqx.exe C:\qkm.exe C:\Qoobox C:\qwtb.com C:\r2g20.exe C:\r3fhr.exe C:\RavMon.exe C:\RECYCLER C:\rfg.exe C:\rg9g9bgq.exe C:\rpw.exe C:\rx.exe C:\s.exe C:\s1.exe C:\s3ek.exe C:\sbcatf.exe C:\sdfqh.exe C:\se12ydam.exe C:\sm.exe C:\sp1jensi.exe C:\srgo.exe C:\t2hjo0.exe C:\t8g.exe C:\t8s2x.exe C:\Temp C:\tgt.exe C:\twhvna.exe C:\u0riu2.exe C:\u16sqrqn.exe C:\ukfbi3aw.exe C:\uo10sn.cmd C:\uqgvf.exe C:\v1cbvsmq.exe C:\vb0hsoay.exe C:\vgyn6ewc.exe C:\vi8f.exe C:\vk0w.exe C:\vlvtdflx.exe C:\w.com C:\w3.exe C:\w9uxx92.exe C:\wbj.exe C:\wcgswa.exe C:\wfx062.exe C:\wglb9q.exe C:\wisf1.exe C:\wkimt.exe C:\wrsf.exe C:\ws.exe C:\wu1n.exe C:\wyskq6lt.exe C:\x8sigm.exe C:\xbvv0.exe C:\xbvv6o.com C:\xcr.exe C:\xerp8nj.exe C:\xjb3.exe C:\xmor.exe C:\xs6kpr0.exe C:\y.bat C:\y.exe C:\y6cqb2is.exe C:\y6yol.exe C:\y8.exe C:\ycvvj.exe C:\ymxf2.exe C:\yqq8eqil.exe C:\ysep1.exe C:\ysyjq1bs.exe C:\yu3.exe D:\09lf.exe D:\0bcobed.exe D:\0fkk02x.exe D:\0qw6vege.exe D:\0xuc.com D:\10nb.exe D:\12gn6id2.exe D:\1a1dndah.exe D:\1di1w.exe D:\1hqup.exe D:\1j038ki.exe D:\1thes92p.exe D:\22yj2fy1.exe D:\2a.exe D:\2buirw.exe D:\2id9.exe D:\2nuk.com D:\2o1ajagt.exe D:\2sm66r.exe D:\2u923g01.exe D:\31lyx.exe D:\3c.exe D:\3dcs9.exe D:\3exi.exe D:\3j2h0tf.bat D:\3n8awsyg.exe D:\3slhl.exe D:\3yalgc.exe D:\601ugf.exe D:\62.exe D:\6ruaqx.exe D:\6rxt26.exe D:\86.exe D:\8dtyjjf.exe D:\8xcrbho6.exe D:\9b9w3.exe D:\9cquqs.exe D:\9d6tpg.exe D:\9g86.exe D:\9jyhdim8.exe D:\9kretct.exe D:\9qqigqwf.exe D:\9rfpp.exe D:\9u.exe D:\a2g21.exe D:\affi8l.exe D:\anoataly.exe D:\autorun.inf D:\b.bat D:\b00ijwpu.exe D:\ba.exe D:\bbjl2g.exe D:\bveijo.exe D:\c2e.exe D:\ca.exe D:\cahpcg.cmd D:\cfrdbyrp.bat D:\cgaqyi.exe D:\chxnxyx.exe D:\cj1m.com D:\cj3k.exe D:\cqb6wo.exe D:\cs6phv6d.exe D:\ctu8r.exe D:\curqp.exe D:\cv8j.exe D:\d9c.bat D:\df.exe D:\dhrhyje.bat D:\dogyx90.exe D:\dqm.exe D:\e2.cmd D:\e9naq.exe D:\eexyv.exe D:\etmt1.bat D:\ewqij.bat D:\ey.exe D:\eyruu.exe D:\f.bat D:\f2kmj.exe D:\f9o8o.exe D:\fk.exe D:\g12g.exe D:\g8k.exe D:\gclwpivc.cmd D:\ggpw.exe D:\h0.exe D:\hc3hvi0.exe D:\hifdmgt.com D:\hjvjte.exe D:\hm1bfpuj.exe D:\hqy.exe D:\hx.exe D:\i0yva6.exe D:\i8ikdjwt.exe D:\i9bwjpqc.exe D:\icxpa.cmd D:\img8hi.exe D:\imghyva6.exe D:\iuvvl9f3.exe D:\ix8bmwx.bat D:\ji83j.exe D:\k0maw.exe D:\k1d.exe D:\k8jc.exe D:\kgji.exe D:\kmj.exe D:\krwyrv0d.exe D:\ktly.exe D:\lcw.exe D:\lhh3v.exe D:\lhhr8.exe D:\ljy.exe D:\lphfa.exe D:\m.com D:\m.exe D:\m1eqos3.exe D:\mb9x.exe D:\mbdm.exe D:\mbvd.exe D:\mi9al8rs.exe D:\mjafm.exe D:\mje12tni.exe D:\mk28sp.exe D:\mqhnawe.bat D:\mranjm.exe D:\mt2.exe D:\mvmdh.exe D:\mwfubaob.exe D:\n0euybx.exe D:\n6eyw.exe D:\nds0q.exe D:\ngp8l.exe D:\nhx.exe D:\nkv.bat D:\nqdymj.exe D:\nx.exe D:\nymdik.exe D:\nyt9mrd3.exe D:\o8tf6l.exe D:\o9bxu.exe D:\olu392qj.exe D:\opdux.exe D:\p.exe D:\p0ijj.bat D:\p3vwxx.exe D:\pbudsara.exe D:\pbyqfn.exe D:\pcxis.exe D:\ph.exe D:\pkkwng.exe D:\q0wfr.exe D:\q1alx.exe D:\q3kku.exe D:\q93fi6kf.exe D:\qbr2q.exe D:\qcod.exe D:\qhbfqx.exe D:\qkm.exe D:\qwtb.com D:\r2g20.exe D:\r3fhr.exe D:\RECYCLER D:\rfg.exe D:\rg9g9bgq.exe D:\rpw.exe D:\rx.exe D:\s.exe D:\s1.exe D:\s3ek.exe D:\sbcatf.exe D:\sdfqh.exe D:\se12ydam.exe D:\sm.exe D:\sp1jensi.exe D:\srgo.exe D:\t2hjo0.exe D:\t8g.exe D:\t8s2x.exe D:\tgt.exe D:\twhvna.exe D:\u0riu2.exe D:\u16sqrqn.exe D:\ukfbi3aw.exe D:\uo10sn.cmd D:\uqgvf.exe D:\v1cbvsmq.exe D:\vb0hsoay.exe D:\vgyn6ewc.exe D:\vi8f.exe D:\vk0w.exe D:\vlvtdflx.exe D:\w.com D:\w3.exe D:\w9uxx92.exe D:\wbj.exe D:\wcgswa.exe D:\wfx062.exe D:\wglb9q.exe D:\wisf1.exe D:\wkimt.exe D:\wrsf.exe D:\ws.exe D:\wu1n.exe D:\wyskq6lt.exe D:\x8sigm.exe D:\xbvv0.exe D:\xbvv6o.com D:\xcr.exe D:\xerp8nj.exe D:\xjb3.exe D:\xmor.exe D:\xs6kpr0.exe D:\y.bat D:\y.exe D:\y6cqb2is.exe D:\y6yol.exe D:\y8.exe D:\ycvvj.exe D:\ymxf2.exe D:\yqq8eqil.exe D:\ysep1.exe D:\ysyjq1bs.exe D:\yu3.exe F:\autorun.inf F:\RECYCLER C:\phqgh.exe C:\InternetExplorer.exe C:\WINDOWS\MDM.EXE C:\WINDOWS\System32\e8main1.dll C:\WINDOWS\System32\e8main0.dll C:\WINDOWS\System32\nmdfgds2.dll C:\WINDOWS\System32\nmdfgds1.dll C:\WINDOWS\System32\nmdfgds0.dll C:\WINDOWS\System32\etaeww.dll C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job C:\Documents and Settings\Koleś GIT\Ustawienia lokalne\Temp :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "D:\bzyk 2\Program Files\SopCast\adv\SopAdver.exe"=- "C:\phqgh.exe"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] [resethosts] [clearallrestorepoints]Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
2. Z panelu sterowania >>> dodaj/usuń programy odinstaluj śmieci - Google Toolbar / Ask Toolbar / DAEMON Tools Toolbar
3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i USBFix
-
Jeśli masz ten pendrive to podepnij go teraz. Następnie użyj narzędzia USBFix z opcji Listing i pokaż wynikowy raport. Jeśli nie masz pendriva to też wykonaj zalecenie.
-
Tutaj logi masz właściwie czyste, jedynie drobna korekta w rejestrze kasująca te szczątki po infekcji z mediów przenośnych:
O33 - MountPoints2\{9262821b-1623-11df-bbed-00142a70c96d}\Shell\AutoRun\command - "" = tezge\\gazda.exeO33 - MountPoints2\{9262821b-1623-11df-bbed-00142a70c96d}\Shell\explore\command - "" = tezge\\\gazda.exe
O33 - MountPoints2\{9262821b-1623-11df-bbed-00142a70c96d}\Shell\open\command - "" = tezge\\\gazda.exe
Czyli start >>> uruchom >>> regedit i kasujesz z prawokliku ten numeryczny klucz:
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9262821b-1623-11df-bbed-00142a70c96d}
Mam wrazenie graniczące z pewnościa że ubywa mi miejsca na "C", Wiem co tam mam, zdaje sobie sprawe ze wiele "rzeczy" sie moze tam dodatkowo zapisywać" jednak jesli sytuacja bedzie miala nadal takie miejsce to np. za rok pozostanie mi 0bajtów wolnego miejsca na dysku nic tam nie dodajac. Takie wrazenie posiadania tasiemca:) który dodatkowo procz mnie sie zywi tym co na stole. Nie wiem czy dobrze objasniłem, dodam ze odkurzaczem tez operuje, czyszcze "c", cos tam skanuje ale i tak ubywa mimo ze nic nie dodaje a nawet odchudzam dysk "c"/1. Wyczyść wszelkie Tempy korzystając z narzędzia TFC - Temp Cleaner
2. Wyzeruj stan przywracania systemu poprzez tymczasowe jego wyłączenie: KLIK
3. Przeanalizuj dysk narzędziem SpaceSniffer w celu sprawdzenia co zajmuje najwięcej miejsca na dysku.
-
Muzykę oczywiście mógłbyś skopiować bo te infekcje plików muzycznych nie tykają. Jakieś pliki tekstowe też można ewentualnie sobie skopiować.
Czym najlepiej sprawdzić czy pliki, które mam wypalone na cd nie są zainfekowane? Może faktycznie nagrałem już zainfekowane...Można wrzucić płytę i przeskanować ją za pomocą jakiegoś skanera np. Dr. Web CureIt
-
Na C ci przybyło pewnie po ComboFix, ale nie jestem pewny które można usunąć. Napewno ComboFix, cmldr i boot,bak. Reszty bym nie ruszał.
podczas uruchamiana laptopa pojawiają mi sie dwie opcje: windows xp oraz konsola recovery. To tak juz na amen zostanie?To jest właśnie ta konsola ComboFixa. Wyedytuj sobie plik boot.ini, który jest na dysku C. Przestaw tylko opcje widoku na pokazywanie ukrytych plików. W tym pliku trzeba wymazać linijkę Konsoli.
-
W tych logach już nie widać niczego podejrzanego. Wykonaj na koniec jeszcze poniższe czynności.
1. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\Administrator\Pulpit\ComboFix.exe" /uninstall
2. W kwestii kamerki możesz wejść w start >>> uruchom >>> devmgmt.msc i sprawdź czy tam przypadkiem nie ma jakiegoś pytajnika przy urządzeniu. Może to być też wina samego urządzenia. Jeśli masz ochotę możesz wrzucić też logi ze stacjonarnego do sprawdzenia.
-
Ja problemu żadnego nie widzę. Były pliki infekcyjne najprawdopodobniej, które usunąłeś skryptem. Jeśli zaatakuje cię infekcja plików .exe dałem ci temat i tam wszystko masz opisane co zrobić. Czyli zalecany skan z płyty boot AV, a nie spod działającego systemu. Inna sprawa to musisz uważać czy sam sobie nie podkładasz wirusa lub nie robisz backupu zainfekowanych obiektów.
Sektor MBR 2 dysku fizycznego zawiera wirus Spirit.
w Dział pomocy doraźnej
Opublikowano
Log z Gmer może tak wyglądać, ale chyba zrobiłeś prescan a więc szybki skan. Możesz zrobić dla pewności głęboki. A to w Temp to tymczasowy sterownik Gmer więc nie ma powodów do niepokoju.
Generalnie logi z OTL czyste. Zaktualizuj Javę: INSTRUKCJE.
Fixa nie warto używać póki rzeczywiście nie zostanie stwierdzona obecność rootkita, a na to raczej się nie zanosi. Dla pewności możesz wykonać log z mbr.exe
.