Wirus win32:patched-hn [trj]

**Posty:** 5 · przez **mrowa1** 22 Gru 2009, 14:43

Witam !
Mój komputer został zarażony wirusem Win32:Patched-HN. Używam avasta jednak nie może sobie z nim poradzić. Wklejam loga i proszę was o pomoc.
http://docs.google.com/Doc?docid=0AbbDf2zo2umVZGdmN2hud3JfMHFqYjhiamZu&hl=en

**Posty:** 18165 · przez **wojtas** 22 Gru 2009, 15:12

Uruchom OTL i w oknie Custom Scans/Fixes wklej :

:OTL
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O2 - BHO: (My Global Search Bar BHO) - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found
O3 - HKLM\..\Toolbar: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found
O3 - HKCU\..\Toolbar\WebBrowser: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL File not found
O4 - HKLM..\Run: [] File not found
O4 - HKCU..\Run: [cdoosoft] C:\Documents and Settings\Mateusz\Ustawienia lokalne\Temp\herss.exe ()
O32 - AutoRun File - [2009-12-22 13:18:40 | 00,000,053 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009-12-22 13:18:40 | 00,000,053 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{36ae0f2b-792b-11de-825f-806d6172696f}\Shell\AutoRun\command - "" = D:\t8g.exe -- [2009-12-18 10:13:36 | 00,119,649 | RHS- | M] ()
O33 - MountPoints2\{36ae0f2b-792b-11de-825f-806d6172696f}\Shell\open\Command - "" = D:\t8g.exe -- [2009-12-18 10:13:36 | 00,119,649 | RHS- | M] ()
O33 - MountPoints2\{95db3800-7975-11de-bf77-00022ad86e17}\Shell\AutoRun\command - "" = G:\t8g.exe -- File not found
O33 - MountPoints2\{95db3800-7975-11de-bf77-00022ad86e17}\Shell\open\Command - "" = G:\t8g.exe -- File not found
O33 - MountPoints2\{b5c2e260-7931-11de-bf72-00022ad86e17}\Shell\AutoRun\command - "" = G:\
O33 - MountPoints2\{b5c2e260-7931-11de-bf72-00022ad86e17}\Shell\open\Command - "" = 38F844F3.exe

:Files
C:\t8g.exe
D:\t8g.exe
e:\t8g.exe

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]

Kliknij w Run Fix. I potwierdz reset kompa .

Następnie uruchamiasz OTL z opcją Run Scan. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia kompa

**Posty:** 5 · przez **mrowa1** 22 Gru 2009, 15:37

Niestety OTL zawiesza się podczas procesu.

**Posty:** 18165 · przez **wojtas** 22 Gru 2009, 17:44

Daj loga z combofixa ale zainstaluj wraz z nim konsolę odzyskiwania ( instrukcja programu )

**Posty:** 5 · przez **mrowa1** 22 Gru 2009, 18:17

log z combofixa
http://docs.google.com/Doc?docid=0AbbDf2zo2umVZGdmN2hud3JfMWZ0MjY2cGY5&hl=en

**Posty:** 18165 · przez **wojtas** 22 Gru 2009, 18:57

wklej do notatnika:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

w notatniku u góry>>>plik zapisz jako>>>Zmien rozszerzenie z TXT na Wszystkie pliki *.* >>> Zapisz pod nazwą FIX.REG

Klikasz dwa razy na powstały plik fix i dodajesz go do rejestru....

1.Uruchom OTL z opcji CleanUp
2. wykonaj optymalizację windowsa
3.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem]
4. zrób skan Malwarebytes Anti-Malware (usuń co znajdzie ) i daj raport ze skanu

Zabezpiecz się przed infekcją z pendriva

**Posty:** 5 · przez **mrowa1** 22 Gru 2009, 20:56

Zrobiłem wszystko tak jak wyżej napisane.

http://docs.google.com/Doc?docid=0AbbDf2zo2umVZGdmN2hud3JfMmdqZHp4cmZr&hl=en

Wirus chyba zniknął, Avast nic nie wykrywa i moge oglądać pliki ukryte.

To już wszystko ok ?

**Posty:** 2183 · przez **NieWiem** 22 Gru 2009, 21:55

Jest OK

Start => uruchom => wpisujesz ComboFix /uninstall i enter.

Potem

Pobierz program OTC
Kliknij dwukrotnie na ikonę, aby uruchomić program (użytkownicy systemów Vista oraz Se7en => prawoklik oraz wybrać opcję Uruchom jako Administrator).
Wciśnij przycisk Clean Up!
Na pytanie "Begin cleanup Process?" wciśnij Yes.
Jeśli padnie prośba o restart - zgódź się.

Pobierz program TFC
Zamknij wszystkie otwarte programy - inaczej TFC zrobi to za Ciebie
Kliknij dwukrotnie na ikonę, aby uruchomić program (użytkownicy systemów Vista oraz Se7en => prawoklik oraz wybrać opcję Uruchom jako Administrator).
Kliknij przycisk Start
Czyszczenie lokalizacji tymczasowych może chwilę potrwać (ale znowu bez przesady), uzbrój się w cierpliwość.
Jeśli padnie prośba o restart - zgódź się.

Tyle

**Posty:** 5 · przez **mrowa1** 23 Gru 2009, 14:01

Dzięki za pomoc

Kto jest na forum