ZwyczajnaNazwa Opublikowano 16 Lipca 2012 Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Witam, został zakupiony komputer z świeżo postawionym systemem Windows XP SP3. Niestety, okazało się, że jest zainfekowany - choć infekcja mogła przyjść już po zakupieniu i podłączeniu pendrive'a(nie znam okoliczności). Infekcję zdiagnozowałem, gdy zauważyłem, że nie da się otworzyć pendrive'a przez Windows Explorera. Po skorzystaniu z Total Commandera, oto, co się ukazało: Dziwny pliczek na dole pojawił się też w autostarcie pod inną nazwą(zresztą za każdym razem gdy usunę go z pendrive'a formatując urządzenie, wszystko jeszcze raz się pojawia pod innymi nazwami oprócz RECYCLER i Copy of Shortcut). Z autostartu usunąłem go programem FileAssassin, ale podejrzewam, że po restarcie pojawi się jeszcze raz. Na partycjach dysku twardego powyższe pliki nie pojawiają się(a może ich po prostu nie widzę). Logi z OTL w załączniku, GMER dał pusty log. Jeszcze pliczek przeskanowałem na virustotal: https://www.virustot...sis/1342461386/ (wtedy był pod inną nazwą). Proszę o pomoc w usunięciu Z góry dzięki. OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 16 Lipca 2012 Zgłoś Udostępnij Opublikowano 16 Lipca 2012 Bardziej niepokoi mnie ten wpis: O20 - HKLM Winlogon: UserInit - (C:\Program Files\DJIDcdjS\cbeekrjl.exe) - C:\Program Files\DJIDcdjS\cbeekrjl.exe () Taki wpis w userinit kierujący na szkodliwy plik w Program Files występował kiedyś przy infekcji Nimnul/Ramnit co oznaczało by wirusa w plikach .exe a to mogłoby być ciężkie w leczeniu. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files Recycler /alldrives C:\Program Files\DJIDcdjS :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wykonaj skanowanie za pomocą Kaspersky Virus Removal Tool i daj znać jeśli wykryje jakiś wynik "Detected" (inne wyniki zignoruj) 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
ZwyczajnaNazwa Opublikowano 17 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2012 1. Skrypt wykonał się prawidłowo. 2. Kaspersky wykrył co nieco, większość w katalogach przywracania systemu, reszta w katalogach stworzonych przez OTL. Log w załączniku. Przywracanie wyłączyłem tymczasowo na wszystkich dyskach. 3. Log z OTLa w załączniku. OTL.Txt KasperskySkan.txt Odnośnik do komentarza
Landuss Opublikowano 17 Lipca 2012 Zgłoś Udostępnij Opublikowano 17 Lipca 2012 Jest w porządku. Dwie rzeczy na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK Odnośnik do komentarza
Rekomendowane odpowiedzi