TOM

Uff jakoś dałem radę z tym wszystkim poniżej w kolejności logi: - z kolejnych skanowań Kaspersky Rescue Disk (zakończonych brakiem jakiejkolwiek infekcji - a przynajmniej tak to wyglądało) KRDv1.txt KRDv2.txt KRDv3.txt - OTL i GMER OTL.Txt GMER.txt ale wydaje mi się, że niestety o końcowym sukcesie można zapomnieć, ech ....... (cały czas ten nieszczęsny plik pwordglc.exe wraca !!!!) Aha co jeszcze dziwnego zauważyłem jak odpalony jest normalnie system co jakiś proces co kilka sekund uruchamia stacje dyskietek - objawia się to tym, że widać jakby komputer chciał sczytać coś z dyskietki chociaż jej tam nie ma. Sprawdziłem jeszcze czy uruchamia sie tryb awaryjny - niestety nie

Witam o poranku zamieszczam log z OTL wykonany z podanym w poprzednim poście skryptem 07282011_093124.txt kolejne log z OTL na ololiczność trybu awaryjnego OTL.Txt GMER.txt

Przy próbie wejścia w stan awaryjny ( bez znaczenia na tryb: z obsługą sieci, z wierszem poleceń czy tez sam) wywoływany podczas uruchamiania przez F8 zaczyna wczytywać normalnie pliki po czym po kilku sekundach następuje samoistny restart i tak na okrągło. Oczywiście Windows w trybie normalnym (czyli z wirusami) odpala się bez problemu Poniżej logi nowe logi OTL i GMER (system nie był restartowany od powstania pierwszego logu GMER z godz 18) Ciekawostką jest tez że jak pierwszy raz skanowałem GMERem system zostawiłem podczas skanowania podpiętego pendriva! Jak podłączyłem go do innego komputera żeby załączyć logi program antywirusowy wykrył mi na nim ponad 500 plików zainfekowanych (SIC!) a także podczas skanowania GMERem w pewnym momencie istniejący na zainfekowanym komputerze program antywirusowy (McAffee Virus Scan Enterprise) zaczyna informować o plikach zarażonych wirusem W32/NGVCK znalezionym w plikach *.exe, w C:\System Volume Information\_restore{} GMER.txt OTL.Txt Extras.Txt

Zapomniałem dodać w pierwszym poście, że nie można wejść do trybu awaryjnego ale rozumiem ze na pewno jest to następstwo jakiejś zmiany w rejestrach wywołanych przez wirusa Tak też zrobiłem: Raport z Kaspersky Rescue Disk. Znalazł w dużej ilości plików które znajdowały się w katalogu TEMP i katalogu RESTORE cztery wirusy: - HEUR: Trojan-Dropper.Script.Generic - Trojan.Win32.Patched.md - Virus.Win32.Nimnul.a - Trojan Win32.Digle.xgi (kierownik zamieszania !!!!) Nie, system nawet sie odpalał.Uzyłem FRST tylko z powodu Trojana Win32.Digle.xgi który namnazał sie zarażajac i tworząc inne pliki chciałem sprawdzic czy FRST znajdzie jakieś pliki budzące niepokój lub bezpośrednio wskazujące na rzeczonego Trojan Win32.Digle.xgi Po przeskanowaniu systemu bootowalnym KRD, odpaliłem system i uruchomiłem GMER tak dla pełnego obrazu czy Kaspersky coś pomógł poniżej log z GMER GMER.txt

Witam po raz pierwszy na forum Mam na tapecie komputer z WinXP Prof Sp2, który został zarażony trojanami. Nie zagłebiajac sie w szczegóły używając róznych narzedzi: Kaspersky Virus Removal Tools, Eset NOD32, MalwareBytes udało mi sie usunąc lub wyleczyć prawie półtoratysiąca plików, głównie: - *.html - *.dll - *.exe według wskazań programów odpowiedzialny za to był Trojan Win32/Ramnit.A Mój Problem wynika jednak z wirusa Trojan Win32.Digle.xgi który zainfekował plik pwordglc.exe znajdujacy sie w C:\ProgramFiles\htwfsdcl\ - pomimo usuniecia tej lokalizacji po jak sie wydaje skutecznej dezynfekcji programem Kaspersky Virus Removal Tools po restarcie umieszcza się ten sam katalog w tym samym miejscu z plikiem pwordglc.exe wewnątrz oraz umieszcza tego exe w Menu Start\Autostart profilu uzytkownika głównego oraz/lub profilu Default User jednoczesnie w latalogu Temp tworzy zawirusowany plik exe o nazwie mającej postac ciagu liter Doszedłem do tego za winny tego zamieszania jest wpis w rejestrze: HKLM\...\Winlogon: [userinit] C:\Program Files\htwfsdcl\pwordglc.exe który oprócz poprawnego odwołania do pliku userinit.exe odwołuje sie do pliku z wirusem Próby zmiany rejestru zakończyły sie fiaskiem ponieważ każdorazowe zamknięcie resjestru powoduje ponowne pojawinie sie tej wartości w kluczu. Przeszukałem cały rejest lecz nic powiązanego z tym wywołanie zarażonego pliku nie znalazłem Po kilku dniach monotonnego siedzenia i skanowania "straciłem na chwile wiare we własne siły" Poniżej log z FRST z prośba o pomoc FRST.txt