Skocz do zawartości

Zarchiwizowany

Ten temat jest archiwizowany i nie można dodawać nowych odpowiedzi.

Loviricus

Rozwiązany: Szkodnik dublujący procesy i blokujący działanie niektórych programów

Polecane posty

No cóż... Kuzyn przyniósł mi jakieś świństwo na pendrivie i namieszał pod moją nieobecność. teraz jestem szczęśliwym posiadaczem programu, który podmienia się z plikiem ".exe" w niektórych programach i tak np. po kliknięciu skrótu winampa uruchamia się nie program, ale folder, w którym był on zainstalowany, a winamp.exe przekształca się w plik "winamp gy"

winamp gy

Nie bardzo wiem, co z tym fantem zrobić, więc proszę o pomoc Was :happy:

edit: (jak to jest, że kiedy chcę wrzucić log z OTL wyskakuje mi błąd, że "temat/post jest za długi"? :/)

Link do komentarza
Udostępnij na innych stronach

Po pierwsze : odłącz internet .

Po drugie : ściągnij program malwarebytes anti malware i przeskanuj kompa .

Po trzecie : jakiego antywirusa używasz/używałeś?

jak to jest, że kiedy chcę wrzucić log z OTL wyskakuje mi błąd, że "temat/post jest za długi"? confused_prosty.gif

Wrzuć zdjęcie na imageshack.

Link do komentarza
Udostępnij na innych stronach

Problem w tym, że nie ma żadnego antywirusa :dry: Wyjechałem na dwa tygodnie, pod moją nieobecność ww. kuzyn zrobił format i przywlekł wirusa na pendrivie od jakiegoś swojego kumpla... Dopiero wczoraj miałem chwilę, żeby posiedzieć przy kompie, włączyłem winampa i zonk :smile:

Tak czy siak dzisiaj zabiorę się za ściągnięcie jakiegoś antyvira, pytanie tylko, jakiego... COMODO czy może jednak Avast?

Logi:

OTL

OTL Extras

RSIT

Hijackthis

Log po skanie Malwarebyte'm

Link do komentarza
Udostępnij na innych stronach

Skoro Malwarebytes wykrył tyle szajsu do dlaczego się go nie pozbyłeś?

Tak w ogóle to przydałoby się pełne skanowanie, które trwa około 1h. Myślę, że na pewno coś się jeszcze znajdzie.

Co do Antywira polecam AVG. Raz na pół roku coś przepuści, ale załatwiam wtedy sprawę Malwarebytes.

Link do komentarza
Udostępnij na innych stronach

Uruchom OTL, w Custom Scans/Fixes w OTL wklej to co poniżej:

:Processes
killallprocesses

:OTL
PRC - [2010-08-05 13:27:34 | 000,035,346 | ---- | M] () -- C:\WINDOWS\system32\temp1.exe
MOD - [2010-08-05 13:27:35 | 000,036,864 | ---- | M] () -- C:\WINDOWS\system32\vcmgcd32.dll
O4 - HKLM..\Run: [TempCom] C:\WINDOWS\Fonts\6020E.com (gy)
O32 - AutoRun File - [2006-05-09 23:36:18 | 000,000,034 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2006-05-09 23:36:18 | 000,000,034 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{5c0c475c-9fc0-11df-a6a9-0080c6e787eb}\Shell - "" = AutoRun
O33 - MountPoints2\{657a9dca-9a50-11df-a699-0080c6e787eb}\Shell - "" = AutoRun
O33 - MountPoints2\{657a9dce-9a50-11df-a699-0080c6e787eb}\Shell - "" = AutoRun
O33 - MountPoints2\{8d2c2a4a-91b1-11df-9c55-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{8d2c2a4b-91b1-11df-9c55-806d6172696f}\Shell - "" = AutoRun

:Files
C:\WINDOWS\system32\temp1.exe
C:\copy.exe
C:\host.exe
C:\WINDOWS\system32\temp2.exe
C:\WINDOWS\xcopy.exe
C:\WINDOWS\svchost.exe
C:\RECYCLER\RECYCLER.exe
C:\WINDOWS.EXE
C:\WINDOWS\system32\vcmgcd32.dl_
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\Fonts\6020E.com
C:\WINDOWS\WINDOWS.exe

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[clearallrestorepoints]
[emptytemp]
[reboot]

i kliknij run fix. Wrzuć na forum log z tej operacji.

Następnie wykonaj pełne skanowanie programami Malwarebytes' Anti-Malware, Dr.Web CureIt! oraz SUPERAntispyware Free. Pozwól im naprawić to, co znajdą i wklej logi, które zostaną wygenerowane na forum. Na koniec wrzuć nowe logi z OTL wygenerowane w ten sam sposób, co poprzednio oraz dodaj log z rootrepeal.

Link do komentarza
Udostępnij na innych stronach

OTL po fixie

DoktorWeb

malwarebytes

log z OTL po wszystkich operacjach

Nie mam pojęcia, gdzie SUPERA zostawia logi, a w rootrepealu pasek postępu dochodzi do jakichś 70% i krytyczny błąd powoduje restart systemu :huh:

System zdaje się działać bez problemów, nie mam już żadnych dziwnych czy zdublowanych procesów, Winampa i resztę niedziałających programów udało mi się zreinstalować, czego wcześniej zrobić nie mogłem, więc wszystko jest chyba ok :smile:

Link do komentarza
Udostępnij na innych stronach

No niestety, ale to jeszcze nie jest wszystko. Sality ciągle powraca.

Ściągnij obraz Dr.Web LiveCD, wypal go na płytę i uruchom z niej kompa. Przeskanuj za jej pomocą wszystkie dyski twarde i pozwól pousuwać to, co znajdzie. Gdy skanowanie dobiegnie końca uruchom ponownie Windowsa i wygeneruj nowe logi w OTL i zamieść je na forum. Na Twoje szczęście infekcja została wykryta dosyć szybko.

Link do komentarza
Udostępnij na innych stronach

Jeszcze dziadostwo się odtworzyło. Zrób tak.

Kliknij Start > Uruchom ..., w pole które wyskoczy wpisz cmd.

I teraz wpisuj kolejno:

cd C:\WINDOWS\system32\
regsvr32 /u vcmgcd32.dll
del vcmgcd32.dll

każdą komendę zatwierdź enterem. Po tej drugiej powinieneś dostać wiadomość, że usługa została wyrejestrowana. Następnie wykonaj reset kompa i wygeneruj nowe logi w OTL.

Link do komentarza
Udostępnij na innych stronach

Hm, spróbuj użyć tej komendy w trybie awaryjnym, bo rzeczywiście to jest dziwne.

Przeskanuj kompa za pomocą Dr.Web CureIt! tyle razy, żeby nic już nie było wykrywane, może tak się to rozwiąże.

Ok, w końcu mam. Spróbuj jeszcze użyć tego programu. I napisz co on powie o tym wszystkim.

Link do komentarza
Udostępnij na innych stronach

Zrobiłem to, co w instrukcji na podanej przez ciebie stronie; przeskanowałem dyski podsuniętym przez nich programem i dodałem dwa wpisy do rejestru.

logi z OTL po powyższej operacji:

log

Extras

Wygląda na to, że te wszystkie wirusy i skany nieźle przetrzebiły mi programy. Kiedy chcę włączyć jeden z nich (multimedialny katalog części zamiennych), wyskakuje mi taki błąd... Da się coś z tym zrobić?

Link do komentarza
Udostępnij na innych stronach

Wygląda na to, że te wszystkie wirusy i skany nieźle przetrzebiły mi programy. Kiedy chcę włączyć jeden z nich (multimedialny katalog części zamiennych), wyskakuje mi taki błąd... Da się coś z tym zrobić?

Tak, można przeinstalować program, lub podmienić exe, ale nie teraz, bo wirus jakimś cudem jeszcze się trzyma. Przy tej infekcji to niestety normalne, że pliki exe są zarażane. Dziwne tylko, że nie widać usług, które są za to odpowiedzialne.

Spróbujmy więc jeszcze inaczej. Ściągnij i wypal obraz z tej strony. Następnie wyłącz przywracanie systemu (i tak już w niczym nie pomoże).

Następnie odpal kilkaktrotnie skanowanie całego kompa z tej płyty oraz z płyty Dr.Web Live CD. Dokładniej rób to dopóki obydwa programy nie stwierdzą, że komputer jest czysty. Gdy już cały syf będzie usunięty, to zobaczymy w jakim stanie jest system. W razie czego przygotuj płytę z Windowsem, bo może się przydać.

Link do komentarza
Udostępnij na innych stronach

Gość
Temat jest zablokowany i nie można w nim pisać.


  • Kto przegląda   0 użytkowników

    • Brak zalogowanych użytkowników przeglądających tę stronę.
×
×
  • Utwórz nowe...