Redson

Wykrył. mbam-log-2012-07-29 (01-06-25).txt

ok, log "krótki" ========== OTL ========== Registry value HKEY_USERS\S-1-5-21-1343024091-706699826-725345543-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\\{08C06D61-F1F3-4799-86F8-BE1A89362C85} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}\ deleted successfully. Prefs.js: "Web Search" removed from browser.search.defaultengine Prefs.js: "Web Search" removed from browser.search.defaultenginename Prefs.js: "Web Search" removed from browser.search.order.1 Prefs.js: "http://startsear.ch/?aff=2&src=sp&cf=3d18fd7a-4d11-11e1-9d6e-00166fbe56d0&q=" removed from keyword.URL C:\Documents and Settings\Radek\Dane aplikacji\Mozilla\Firefox\Profiles\tlshitbw.default\searchplugins\startsear.xml moved successfully. Registry value HKEY_USERS\S-1-5-21-1343024091-706699826-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\\cbvcs deleted successfully. Registry value HKEY_USERS\S-1-5-21-1343024091-706699826-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run\\wsctf.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\ not found. ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2\ deleted successfully. OTL by OldTimer - Version 3.2.54.0 log created on 07262012_011955 log z USB masz dołączony. log.txt

Ok, format na pewno trwałby krócej (niż czekanie na odpowiedź), dlatego się chciałem na niego zdecydować, no i jest jeszcze kilka mankamentów. Jeżdżę bez antywirusów od kilku lat i pewnie nie tylko mój pendrive jest nośnikiem wirusów, po za tym lata po różnych kompach i być może mógł się chłopak zarazić gdzie indziej, ale to mało prawpodobne. Pytanie: czy antywirus ustrzegł by mnie przed tym syfem czy tak czy siak wpadłaby blokada? sposób w jaki antywirus zmula wszystko mnie strasznie denerwował, dlatego ich w ogóle nie mam. To moja pierwsza taka pierdoła od 4 lat. Załączam logi: Log z usuwania OTL nie chce się załączyć z powodu braku uprawnień. Mimo wagi nie całych 9KB. Ani w opcji zaawansowanej, ani w opcji zwykłej. Wrzuciłbym to na serwer i podał, ale nie wiem czy to bezpieczne i zgodne z regulaminem. może taka forma będzie Ci odpowiadać: All processes killed ========== OTL ========== Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3049C3E9-B461-4BC5-8870-4C09146192CA}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3049C3E9-B461-4BC5-8870-4C09146192CA}\ deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\DrvIcon deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ORAHSSSessionManager deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\TapiSysprep deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\WcnEapAuthProxy deleted successfully. File C:\Documents and Settings\Tata\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2239\WcnEapAuthProxy.exe not found. Registry value HKEY_USERS\S-1-5-21-1343024091-706699826-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run\\cbvcs deleted successfully. C:\WINDOWS\system32\urretnd.exe moved successfully. Registry value HKEY_USERS\S-1-5-21-1343024091-706699826-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run\\EXPLORER.EXE deleted successfully. EXPLORER.EXE moved successfully. Registry value HKEY_USERS\S-1-5-21-1343024091-706699826-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run\\wsctf.exe deleted successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:EXPLORER.EXE deleted successfully. C:\WINDOWS\System32\EXPLORER.EXE moved successfully. ========== FILES ========== File\Folder C:\WINDOWS\system32\EXPLORER.EXE not found. C:\Documents and Settings\Tata\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2239 folder moved successfully. C:\Documents and Settings\Radek\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4663 folder moved successfully. C:\Documents and Settings\Radek\Dane aplikacji\hellomoto folder moved successfully. C:\Documents and Settings\Tata\Dane aplikacji\hellomoto folder moved successfully. C:\WINDOWS\System32\optyhww1.dll moved successfully. C:\WINDOWS\System32\optyhww0.dll moved successfully. C:\autorun.inf moved successfully. D:\autorun.inf moved successfully. G:\AutoRun.inf moved successfully. C:\d1vmq.exe moved successfully. D:\d1vmq.exe moved successfully. G:\d1vmq.exe moved successfully. D:\AUTORUN.FCB moved successfully. ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2\ deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 32768 bytes ->Temporary Internet Files folder emptied: 69383 bytes ->FireFox cache emptied: 25585164 bytes ->Flash cache emptied: 456 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Radek ->Temp folder emptied: 31657368 bytes ->Temporary Internet Files folder emptied: 14744720 bytes ->Java cache emptied: 320830 bytes ->FireFox cache emptied: 55156168 bytes ->Flash cache emptied: 834 bytes User: Tata ->Temp folder emptied: 2350655 bytes ->Temporary Internet Files folder emptied: 251704 bytes ->Java cache emptied: 39720 bytes ->FireFox cache emptied: 100111141 bytes ->Flash cache emptied: 8467 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 2675748 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 65536 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 222,00 mb OTL by OldTimer - Version 3.2.54.0 log created on 07242012_150715 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... To log z usuwania OTL. Skanowanie OTL po usunięciu jest w załączniku Dorzucam dla pewności UsbFix po Listening. AdwCleanerS1.txt OTL.Txt UsbFix.txt

Tak jak w temacie, mam nadzieje, że wszystko zrobiłem zgodnie z regulaminem, jestem tutaj pierwszy raz. Piszę z trybu awaryjnego swojego laptopa (WinXP SP2, Lenovo IBM ThinkPad T43). Tak właśnie kończy się śmiganie bez antywirusa. Przy okazji pytanie, czy jeżeli zgram na swojego pendrive pliki z trybu awaryjnego będą one nadal aktywne, działające i niezainfekowane? Jeżeli tak, to walę format i nie będziemy bawić się w skrypty, i tak miałem go robić. Załączam niezbędne pliki. I proszę o dokładne instrukcje, bo jestem zielony w temacie. Ten wirus okupowy zaskoczył mnie gdy ściągnąłem cennik poczty polskie w pdfie, tak, też jestem w szoku. Extras.Txt OTL.Txt