Win32:patched-hn trojan - pomocy

**Posty:** 2 · przez **Lipny** 27 Gru 2009, 16:27

Witam!
Używam avasta, kiedy tylko otwieram jakiś dysk antywirus piszczy mi że znalazł wirusa Win32:Patched-HN i w żaden sposób nie da się go usunąć, mało tego.. Dyski otwierają się w nowym oknie, nie pokazują ukrytych plików a zmiana ustawień folderów tak aby wyświetlały ukryte pliki nie udaje się.
Wirus zaraził plik C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\cvasds0.dll

Wklejam tutaj log z OTL'a, proszę o szybką odpowiedź, z góry dziękuje.

http://www.wklej.org/id/248090/

**Posty:** 18165 · przez **wojtas** 27 Gru 2009, 16:34

Uruchom OTL i w oknie Custom Scans/Fixes wklej :

:OTL
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O4 - HKCU..\Run: [cdoosoft] C:\Documents and Settings\Właściciel\Ustawienia lokalne\Temp\herss.exe ()
O32 - AutoRun File - [2009-12-27 14:30:02 | 00,000,055 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009-12-27 14:30:02 | 00,000,055 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2004-08-04 13:00:00 | 00,000,112 | R--- | M] () - E:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{7aff3146-f2ef-11de-bbd1-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{7aff3146-f2ef-11de-bbd1-806d6172696f}\Shell\AutoRun\command - "" = E:\SETUP.EXE -- [2004-08-04 13:00:00 | 02,584,576 | R--- | M] (Microsoft Corporation)
O33 - MountPoints2\{7aff3147-f2ef-11de-bbd1-806d6172696f}\Shell\AutoRun\command - "" = C:\9ffp.exe -- [2009-12-22 22:44:52 | 00,120,409 | RHS- | M] ()
O33 - MountPoints2\{7aff3147-f2ef-11de-bbd1-806d6172696f}\Shell\open\Command - "" = C:\9ffp.exe -- [2009-12-22 22:44:52 | 00,120,409 | RHS- | M] ()
O33 - MountPoints2\{7aff3148-f2ef-11de-bbd1-806d6172696f}\Shell\AutoRun\command - "" = D:\9ffp.exe -- [2009-12-22 22:44:52 | 00,120,409 | RHS- | M] ()
O33 - MountPoints2\{7aff3148-f2ef-11de-bbd1-806d6172696f}\Shell\open\Command - "" = D:\9ffp.exe -- [2009-12-22 22:44:52 | 00,120,409 | RHS- | M] ()

:Files
C:\9ffp.exe
d:\9ffp.exe
e:\9ffp.exe
C:\autorun.inf
e:\autorun.inf
d:\autorun.inf
C:\Documents and Settings\Właściciel\Ustawienia lokalne\Temp\herss.exe

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]
[start explorer]
[Reboot]

Kliknij w Run Fix. I potwierdz reset kompa .

Następnie uruchamiasz OTL z opcją Run Scan. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia kompa

**Posty:** 2 · przez **Lipny** 27 Gru 2009, 16:52

Raport z czyszczenia: http://wklej.org/id/248104/
Nowy log:http://wklej.org/id/248112/

Chyba wygląda na to że się udało, wszystko działa normalnie:) Wielkie dzięki!!

**Posty:** 18165 · przez **wojtas** 28 Gru 2009, 01:10

1.Uruchom OTL z opcji CleanUp
2. wykonaj optymalizację windowsa
3.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem]
4. zrób skan Malwarebytes Anti-Malware (usuń co znajdzie ) i daj raport ze skanu

Zabezpiecz się przed infekcją z pendriva