Skocz do zawartości

Infekcja "z pendrive'a", avast: "Win32:Zbot-MYP"


Rekomendowane odpowiedzi

Witam,

został zakupiony komputer z świeżo postawionym systemem Windows XP SP3.

Niestety, okazało się, że jest zainfekowany - choć infekcja mogła przyjść już po zakupieniu i podłączeniu pendrive'a(nie znam okoliczności).

Infekcję zdiagnozowałem, gdy zauważyłem, że nie da się otworzyć pendrive'a przez Windows Explorera.

Po skorzystaniu z Total Commandera, oto, co się ukazało:

29593qp.png

Dziwny pliczek na dole pojawił się też w autostarcie pod inną nazwą(zresztą za każdym razem gdy usunę go z pendrive'a formatując urządzenie, wszystko jeszcze raz się pojawia pod innymi nazwami oprócz RECYCLER i Copy of Shortcut).

Z autostartu usunąłem go programem FileAssassin, ale podejrzewam, że po restarcie pojawi się jeszcze raz.

Na partycjach dysku twardego powyższe pliki nie pojawiają się(a może ich po prostu nie widzę).

Logi z OTL w załączniku, GMER dał pusty log.

Jeszcze pliczek przeskanowałem na virustotal:

https://www.virustot...sis/1342461386/ (wtedy był pod inną nazwą).

Proszę o pomoc w usunięciu :)

Z góry dzięki.

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Bardziej niepokoi mnie ten wpis:

 

O20 - HKLM Winlogon: UserInit - (C:\Program Files\DJIDcdjS\cbeekrjl.exe) - C:\Program Files\DJIDcdjS\cbeekrjl.exe ()

 

Taki wpis w userinit kierujący na szkodliwy plik w Program Files występował kiedyś przy infekcji Nimnul/Ramnit co oznaczało by wirusa w plikach .exe a to mogłoby być ciężkie w leczeniu.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
Recycler /alldrives
C:\Program Files\DJIDcdjS
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Wykonaj skanowanie za pomocą Kaspersky Virus Removal Tool i daj znać jeśli wykryje jakiś wynik "Detected" (inne wyniki zignoruj)

 

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...