nocek Opublikowano 26 Października 2010 Zgłoś Udostępnij Opublikowano 26 Października 2010 Witam serdecznie, mam problem z trzema komputerami, domyslam sie ze przenioslem wirusa na wszystkie przez niewiedze... mianowicie, problem dotyczy zablokowanych plikow na dyskach twardych, wskazujac takze ze pliki nie zawieraja praktycznie nic w srodku (wskazuje na to rozmiar plikow) jedynym rozwiazaniem na wejscie do plikow jest wpisanie nazwy pliku na pasku powyzej, wtedy plik sie otwiera i wszystko jest jak nalezy, dziwna sprawa dzieje sie takze z penami, po formacie zawieraja te same pliki, nie wiem czy wystarczajaco dobrze opisalem ten problem, ale wysylam logi, jak narazie z jednego komputera, jesili mogl by ktos przejzec i podpowiedziec co mam zrobic w tej sprawie byl bym bardzo wdzieczny, pozdrawiam z goracej Gwinei Bissau OTL - asus.Txt Extras - asus.Txt Odnośnik do komentarza
Landuss Opublikowano 26 Października 2010 Zgłoś Udostępnij Opublikowano 26 Października 2010 Zabrakło obowiązkowego loga z GMER lub w razie problemów RootRepeal z tego samego linka. Uzupełnij to następnym razem. Masz infekcję Brontok to po pierwsze, a po drugie infekcje z uprzędzenia przenośnego - nowszy wariant, który tworzy falsyfikat w postaci plików LNK symulujących w nazwie prawidłowe nazwy folderów systemowych: [2010-10-25 19:13:13 | 000,000,186 | ---- | M] () -- C:\Documents and Settings\Administrator\Ustawienia lokalne.lnk [2010-10-25 19:13:13 | 000,000,170 | ---- | M] () -- C:\Documents and Settings\Administrator\New Folder.lnk [2010-10-25 19:13:13 | 000,000,168 | ---- | M] () -- C:\Documents and Settings\Administrator\Passwords.lnk [2010-10-25 19:13:13 | 000,000,168 | ---- | M] () -- C:\Documents and Settings\Administrator\Documents.lnk [2010-10-25 19:13:13 | 000,000,166 | ---- | M] () -- C:\Documents and Settings\Administrator\Ulubione.lnk [2010-10-25 19:13:13 | 000,000,166 | ---- | M] () -- C:\Documents and Settings\Administrator\Szablony.lnk [2010-10-25 19:13:13 | 000,000,166 | ---- | M] () -- C:\Documents and Settings\Administrator\Pictures.lnk [2010-10-25 19:13:13 | 000,000,162 | ---- | M] () -- C:\Documents and Settings\Administrator\SendTo.lnk [2010-10-25 19:13:13 | 000,000,160 | ---- | M] () -- C:\Documents and Settings\Administrator\Video.lnk [2010-10-25 19:13:13 | 000,000,160 | ---- | M] () -- C:\Documents and Settings\Administrator\Music.lnk [2010-10-25 19:13:12 | 000,000,178 | ---- | M] () -- C:\Documents and Settings\Administrator\Moje dokumenty.lnk [2010-10-25 19:13:12 | 000,000,178 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji.lnk [2010-10-25 19:13:12 | 000,000,170 | ---- | M] () -- C:\Documents and Settings\Administrator\Menu Start.lnk [2010-10-25 19:13:12 | 000,000,168 | ---- | M] () -- C:\Documents and Settings\Administrator\PrintHood.lnk [2010-10-25 19:13:12 | 000,000,164 | ---- | M] () -- C:\Documents and Settings\Administrator\NetHood.lnk [2010-10-25 19:13:12 | 000,000,164 | ---- | M] () -- C:\Documents and Settings\Administrator\Cookies.lnk [2010-10-25 19:13:12 | 000,000,162 | ---- | M] () -- C:\Documents and Settings\Administrator\Recent.lnk [2010-10-25 19:13:12 | 000,000,162 | ---- | M] () -- C:\Documents and Settings\Administrator\Pulpit.lnk [2010-10-25 19:13:12 | 000,000,160 | ---- | M] () -- C:\Documents and Settings\Administrator\ja.JPG.lnk [2010-10-25 19:13:12 | 000,000,154 | ---- | M] () -- C:\Documents and Settings\Administrator\...lnk [2010-10-25 19:13:11 | 000,000,152 | ---- | M] () -- C:\Documents and Settings\Administrator\..lnk [2010-10-25 19:13:13 | 000,000,170 | ---- | C] () -- C:\Documents and Settings\Administrator\New Folder.lnk [2010-10-25 19:13:13 | 000,000,168 | ---- | C] () -- C:\Documents and Settings\Administrator\Passwords.lnk [2010-10-25 19:13:13 | 000,000,168 | ---- | C] () -- C:\Documents and Settings\Administrator\Documents.lnk [2010-10-25 19:13:13 | 000,000,166 | ---- | C] () -- C:\Documents and Settings\Administrator\Pictures.lnk [2010-10-25 19:13:13 | 000,000,160 | ---- | C] () -- C:\Documents and Settings\Administrator\Video.lnk [2010-10-25 19:13:13 | 000,000,160 | ---- | C] () -- C:\Documents and Settings\Administrator\Music.lnk 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (BitComet Helper) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - D:\bitcomet\tools\BitCometBHO_1.4.1.27.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [bron-Spizaetus] C:\WINDOWS\ShellNew\sempalong.exe () O4 - HKU\S-1-5-21-1645522239-1682526488-1177238915-500..\Run: [bitComet] D:\bitcomet\BitComet.exe File not found O4 - HKU\S-1-5-21-1645522239-1682526488-1177238915-500..\Run: [qaisuan] C:\Documents and Settings\Administrator\qaisuan.exe () O4 - HKU\S-1-5-21-1645522239-1682526488-1177238915-500..\Run: [toimod] C:\Documents and Settings\Administrator\toimod.exe File not found O4 - HKU\S-1-5-21-1645522239-1682526488-1177238915-500..\Run: [Tok-Cirrhatus] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\smss.exe () O4 - Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\Empty.pif () O20 - HKLM Winlogon: Shell - ("C:\WINDOWS\eksplorasi.exe") - C:\WINDOWS\eksplorasi.exe () O20 - HKLM Winlogon: TaskMan - (C:\RECYCLER\S-1-5-21-6801889150-9373263620-417504826-5711\msimfo32.exe) - C:\RECYCLER\S-1-5-21-6801889150-9373263620-417504826-5711\msimfo32.exe () O33 - MountPoints2\{bebed847-02a8-11df-a8d3-0015afb25252}\Shell\AutoRun\command - "" = 2a.exe O33 - MountPoints2\{bebed847-02a8-11df-a8d3-0015afb25252}\Shell\open\Command - "" = 2a.exe O33 - MountPoints2\{bebed848-02a8-11df-a8d3-0015afb25252}\Shell\AutoRun\command - "" = D:\EXPLORER.EXE -- File not found O33 - MountPoints2\{bebed848-02a8-11df-a8d3-0015afb25252}\Shell\explore\Command - "" = D:\EXPLORER.EXE -- File not found O33 - MountPoints2\{bebed848-02a8-11df-a8d3-0015afb25252}\Shell\open\Command - "" = D:\EXPLORER.EXE -- File not found @Alternate Data Stream - 24 bytes -> C:\WINDOWS:4CCD15492063D382 :Files RECYCLER /alldrives C:\Documents and Settings\Administrator\*.lnk C:\WINDOWS\System32\sshnas21.dll C:\Documents and Settings\Administrator\keduf.exe C:\Documents and Settings\Administrator\cxcess.exe C:\Documents and Settings\Administrator\autorun.inf C:\Documents and Settings\Administrator\toimodx.exe C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\winlogon.exe C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\smss.exe C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\services.exe C:\Documents and Settings\Administrator\Moje dokumenty\Moje dokumenty.exe C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\lsass.exe C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\inetinfo.exe C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\Empty.pif C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\csrss.exe C:\WINDOWS\System32\Administrator's Setting.scr C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-26 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-25 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-24 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-23 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-22 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-20 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-19 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-18 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-17 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-13 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-12 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-11 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-10 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-9 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-8 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Loc.Mail.Bron.Tok C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Ok-SendMail-Bron-tok C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-7 :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Wykonaj też log z USBFix z opcji Listing najlepiej przy podpięciu zainfekowanego urządzenia przenośnego o ile je posiadasz. Odnośnik do komentarza
nocek Opublikowano 27 Października 2010 Autor Zgłoś Udostępnij Opublikowano 27 Października 2010 Witam, dzieki wielkie landuss za pomoc, ale problemy sie mnoza, postanowilem zebrac wszystkie pliki z trzech kompow na jeden z komputerow, a dwa pozostale z formatowac, potrzebuje jednak pomocy zeby wyczyscic wirusy z tego jednego o ktorym mowa. Ponizej przesylam loga z otl. Probowalem zrobic takze gmer-em ale wyskoczyl taki komunikat w polowie skanu: hz9dmtvb.exe has encountered a problem and needs to close. Rowniez probowalem naprawic kompa o ktorym pisalem wczoraj asusa ale dzisiaj odmowil posluszenstwa i wogole sie nie odpala, moje pytanie jest takie w jaki sposob moge go z formatowac poniewaz jest to netbook i nie mam cd-rom-u?? Wiem ze da sie to zrobic majac cd na usb ale jest taki problem ze jestem w panstwie gdzie praktycznie jest niemozliwe dostanie jakiego kolwiek sprzetu, wiec ta opcja odpada. Pomocy! prosze!! Pozdrawiam Dominik ps. jest coraz gorzej, mozilla przestala juz dzialac, komputer zamula niesamowicie... probowalem zrobic loga z RootRepeal ale wersja rar nie daje sie rozpakowac, prawdopodobnie przez tego wirusa takze... pomocy prosze! OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 27 Października 2010 Zgłoś Udostępnij Opublikowano 27 Października 2010 Rzeczywiście nie jest dobrze. W tej sytuacji uruchom ComboFix i wklej wynikowy log. Odnośnik do komentarza
nocek Opublikowano 28 Października 2010 Autor Zgłoś Udostępnij Opublikowano 28 Października 2010 ComboFix tez nie chce dzialac - po pasku ladowania pojawia sie komunikat ktorego pozniej nie moge wylaczyc a mianowicie: Windows cannot access the specified davice, path, or file. Tou may not have the appropriate permissions to access the item. nazwa komunikatu 32788R22FWJFW\iexplore.exe jest tylko opcja OK ale za kazdym razem klikajac pojawia sie ponownie i lipa:/ nie ma problemu zebym zrobil format na tym kompie, moze to bedzie prostrzym rozwiazaniem, ale co z dyskiem twardym zewnetrznym, w jaki sposob moge go wyczyscic zeby uzyc po formacie bez obawy o ponowna infekcje?? Masz moze jakies rozwiazanie Landuss?? Odnośnik do komentarza
Landuss Opublikowano 28 Października 2010 Zgłoś Udostępnij Opublikowano 28 Października 2010 Spróbuj w trybie awaryjnym, może się uda. ale co z dyskiem twardym zewnetrznym, w jaki sposob moge go wyczyscic zeby uzyc po formacie bez obawy o ponowna infekcje?? Masz moze jakies rozwiazanie Landuss?? Napisałem ci wyżej. Podpinasz dysk i dajesz log z USBFix z opcji Listing. Odnośnik do komentarza
nocek Opublikowano 29 Października 2010 Autor Zgłoś Udostępnij Opublikowano 29 Października 2010 Probowalem z ComboFix-em pod awaryjnym, ale pokazywal sie ten sam komunikat. Zrobilem format na tym kompie takze, teraz mam 3 peny do wyczyszczenia i jeden dysk przenosny, przesylam loga z USBFix jak radziles z opcji Listing. Jeszcze takie pytanko, czy po podpieciu tych wszystkich przenosnych nie wskoczylo cos do plikow systemowych?? oczywiscie nie otwieralem zadnego pena ani dysku tylko zrobilem loga. Prosze o pomoc Landuss. ############################## | UsbFix 7.034 | [Listing] User: mindara (Administrator) # CESJ [ ] Updated 25/10/10 by El Desaparecido / C_XX Started at 15:38:16 | 29/10/2010 Website: http://www.teamxscript.org Contact: eldesaparecido@teamxscript.org CPU: Intel® Pentium® 4 CPU 2.80GHz Microsoft Windows XP Professional (5.1.2600 32-Bit) # Service Pack 3 Internet Explorer 7.0.5730.13 Windows Firewall: Enabled RAM -> 382 Mb C:\ (%systemdrive%) -> Fixed drive # 74 Gb (71 Mb free - 96%) [Mindara] # NTFS D:\ -> CD-ROM E:\ -> Removable drive # 952 Mb (951 Mb free - 100%) [NOCEK] # FAT32 F:\ -> Removable drive # 4 Gb (3 Mb free - 72%) [KINGSTON] # FAT32 G:\ -> Fixed drive # 466 Gb (141 Mb free - 30%) [NOCEK] # NTFS H:\ -> Removable drive # 2 Gb (131 Mb free - 7%) [JOARY] # FAT ################## | Listing | [29/10/2010 - 04:56:20 | A | 0] C:\AUTOEXEC.BAT [29/10/2010 - 04:46:03 | SH | 211] C:\boot.ini [29/10/2010 - 04:56:20 | A | 0] C:\CONFIG.SYS [17/05/2004 - 05:31:57 | D ] C:\D [08/04/2008 - 15:16:45 | A | 55808] C:\devcon.exe [29/10/2010 - 05:00:20 | D ] C:\Documents and Settings [02/05/2008 - 13:41:10 | A | 364721] C:\DPsFnshr.exe [23/08/2008 - 11:22:31 | A | 630] C:\DPsFnshr.ini [07/04/2007 - 23:22:09 | A | 420] C:\DriverPack_CPU_wnt5_x86-32.ini [30/12/2007 - 00:08:08 | A | 1653] C:\DriverPack_Graphics_B_wnt5_x86-32.ini [14/05/2008 - 09:32:31 | A | 770] C:\DriverPack_LAN_wnt5_x86-32.ini [01/06/2008 - 06:32:09 | A | 75188] C:\DriverPack_MassStorage_wnt5_x86-32.ini [01/04/2008 - 20:07:53 | A | 4214] C:\DriverPack_Sound_A_wnt5_x86-32.ini [02/05/2008 - 13:41:14 | A | 282725] C:\DSPdsblr.exe [29/10/2010 - 05:00:19 | ASH | 400609280] C:\hiberfil.sys [29/10/2010 - 04:56:20 | RASH | 0] C:\IO.SYS [08/04/2008 - 15:16:45 | A | 20992] C:\makePNF.exe [29/10/2010 - 04:56:20 | RASH | 0] C:\MSDOS.SYS [08/04/2008 - 15:16:45 | A | 137728] C:\mute.exe [14/04/2008 - 12:59:59 | RASH | 47564] C:\NTDETECT.COM [14/04/2008 - 12:59:59 | RASH | 250048] C:\ntldr [29/10/2010 - 04:59:15 | ASH | 603979776] C:\pagefile.sys [02/05/2008 - 13:41:17 | A | 235131] C:\pmtimer.exe [29/10/2010 - 05:00:25 | RD ] C:\Program Files [29/10/2010 - 15:16:57 | SHD ] C:\RECYCLER [29/10/2010 - 04:59:40 | SHD ] C:\System Volume Information [29/10/2010 - 15:34:14 | D ] C:\UsbFix [29/10/2010 - 15:38:13 | A | 0] C:\UsbFix.txt [29/10/2010 - 05:00:23 | D ] C:\WINDOWS [29/10/2010 - 15:38:04 | RSH | 126] E:\autorun.inf [29/10/2010 - 15:38:06 | RSH | 278532] E:\reaipek.exe [29/10/2010 - 15:38:02 | RSH | 278532] E:\reaipekx.exe [29/10/2010 - 15:38:06 | A | 392] E:\New Folder.lnk [29/10/2010 - 15:38:06 | A | 390] E:\Passwords.lnk [29/10/2010 - 15:38:06 | A | 390] E:\Documents.lnk [29/10/2010 - 15:38:06 | A | 388] E:\Pictures.lnk [29/10/2010 - 15:38:06 | A | 382] E:\Music.lnk [29/10/2010 - 15:38:06 | A | 382] E:\Video.lnk [22/10/2010 - 13:33:24 | SHD ] F:\Pelusa [29/10/2010 - 15:38:08 | RSH | 126] F:\autorun.inf [29/10/2010 - 15:38:02 | RSH | 278532] F:\reaipek.exe [29/10/2010 - 15:38:02 | RSH | 278532] F:\reaipekx.exe [29/10/2010 - 15:38:12 | A | 387] F:\Pelusa.lnk [29/10/2010 - 15:38:12 | A | 395] F:\New Folder.lnk [29/10/2010 - 15:38:12 | A | 393] F:\Passwords.lnk [29/10/2010 - 15:38:12 | A | 393] F:\Documents.lnk [29/10/2010 - 15:38:12 | A | 391] F:\Pictures.lnk [29/10/2010 - 15:38:12 | A | 385] F:\Music.lnk [29/10/2010 - 15:38:12 | A | 385] F:\Video.lnk [29/04/2010 - 16:52:10 | SHD ] G:\$AVG [17/05/2004 - 12:20:12 | A | 305] G:\$AVG.lnk [27/10/2010 - 15:51:40 | SHD ] G:\$RECYCLE.BIN [17/05/2004 - 12:20:12 | A | 321] G:\$RECYCLE.BIN.lnk [08/03/2010 - 20:57:45 | SHD ] G:\Allegro.pl [17/05/2004 - 12:20:13 | A | 317] G:\Allegro.pl.lnk [13/10/2010 - 14:42:33 | SHD ] G:\Asus [17/05/2004 - 12:20:13 | A | 305] G:\Asus.lnk [17/05/2004 - 13:17:50 | RSHD ] G:\autorun.inf [17/05/2004 - 12:20:13 | A | 319] G:\autorun.inf.lnk [13/10/2010 - 16:11:35 | A | 15247] G:\bookmarks.html [09/03/2010 - 22:09:41 | SHD ] G:\Cambridge In Use [17/05/2004 - 12:20:13 | A | 329] G:\Cambridge In Use.lnk [17/05/2004 - 12:30:40 | SHD ] G:\DO WYSLANIA [17/05/2004 - 12:20:13 | A | 319] G:\DO WYSLANIA.lnk [17/05/2004 - 12:20:20 | A | 315] G:\Documents.lnk [12/09/2010 - 23:32:24 | SHD ] G:\Filmy [17/05/2004 - 12:20:14 | A | 307] G:\Filmy.lnk [17/05/2004 - 11:33:10 | SHD ] G:\Instalki [17/05/2004 - 12:20:14 | A | 313] G:\Instalki.lnk [17/05/2004 - 14:01:50 | SH | 627] G:\instrument.txt [17/05/2004 - 12:20:14 | A | 325] G:\instrument.txt.lnk [17/05/2004 - 13:55:38 | SH | 783] G:\LIST DO DIATTY.txt [17/05/2004 - 12:20:15 | A | 333] G:\LIST DO DIATTY.txt.lnk [20/10/2010 - 19:01:36 | SH | 2446] G:\LIST DO JAZYNY.txt [17/05/2004 - 12:20:15 | A | 333] G:\LIST DO JAZYNY.txt.lnk [22/10/2010 - 20:11:25 | SH | 1192] G:\LIST DO MARYSI.txt [17/05/2004 - 12:20:15 | A | 333] G:\LIST DO MARYSI.txt.lnk [11/10/2010 - 16:00:07 | SH | 3463] G:\list od darii.txt [17/05/2004 - 12:20:15 | A | 331] G:\list od darii.txt.lnk [17/05/2004 - 23:13:31 | SH | 2365] G:\list od marysi.txt [17/05/2004 - 12:20:16 | A | 333] G:\list od marysi.txt.lnk [12/07/2010 - 23:51:43 | SHD ] G:\Luis [17/05/2004 - 12:20:16 | A | 305] G:\Luis.lnk [17/05/2004 - 14:54:24 | D ] G:\matura 2011 [09/10/2010 - 23:51:12 | SHD ] G:\Moje dokumenty [17/05/2004 - 12:20:16 | A | 325] G:\Moje dokumenty.lnk [17/05/2004 - 12:20:20 | A | 307] G:\Music.lnk [17/05/2004 - 14:18:06 | SHD ] G:\Muzyka [17/05/2004 - 12:21:19 | SHD ] G:\Muzyka od Glosnika [17/05/2004 - 12:20:17 | A | 333] G:\Muzyka od Glosnika.lnk [17/05/2004 - 12:20:17 | A | 309] G:\Muzyka.lnk [09/03/2010 - 13:17:37 | SHD ] G:\Nagrania [17/05/2004 - 12:20:17 | A | 313] G:\Nagrania.lnk [17/05/2004 - 12:20:19 | A | 317] G:\New Folder.lnk [17/05/2004 - 12:20:20 | A | 315] G:\Passwords.lnk [17/05/2004 - 12:20:20 | A | 313] G:\Pictures.lnk [26/10/2010 - 21:14:24 | SHD ] G:\RECYCLER [17/05/2004 - 14:44:13 | SHD ] G:\Sao Jose [17/05/2004 - 12:20:17 | A | 313] G:\Sao Jose.lnk [08/03/2010 - 21:11:40 | SHD ] G:\Strona SooF [17/05/2004 - 12:20:18 | A | 319] G:\Strona SooF.lnk [26/10/2010 - 20:18:58 | SHD ] G:\System Volume Information [17/05/2004 - 12:20:18 | A | 347] G:\System Volume Information.lnk [17/05/2004 - 12:41:00 | SHD ] G:\São José-02 [17/05/2004 - 12:20:18 | A | 319] G:\São José-02.lnk [17/05/2004 - 13:59:34 | SHD ] G:\Ubezpieczenie EVS [17/05/2004 - 12:20:18 | A | 331] G:\Ubezpieczenie EVS.lnk [17/05/2004 - 12:20:20 | A | 307] G:\Video.lnk [17/05/2004 - 12:20:04 | RSH | 262144] G:\waino.exe [17/05/2004 - 11:36:39 | RSH | 262144] G:\wainox.exe [07/10/2010 - 20:10:56 | SHD ] G:\Wilson [17/05/2004 - 12:20:19 | A | 309] G:\Wilson.lnk [23/09/2010 - 00:53:59 | SHD ] G:\Wolontariat 2010 [17/05/2004 - 12:20:19 | A | 329] G:\Wolontariat 2010.lnk [17/05/2004 - 11:51:23 | SHD ] G:\Zdjecia [17/05/2004 - 12:20:19 | A | 311] G:\Zdjecia.lnk [29/10/2010 - 15:38:12 | RSH | 126] H:\autorun.inf [22/04/2010 - 13:17:20 | SHD ] H:\clarice [11/05/2010 - 13:48:04 | H | 26843] H:\~WRL0174.tmp [21/04/2010 - 10:08:14 | SHD ] H:\VANJA [17/05/2010 - 14:40:36 | SHD ] H:\klade [23/06/2010 - 09:44:40 | SHD ] H:\Doc. Diversos [24/06/2010 - 10:18:26 | SHD ] H:\Eduardo [03/09/2010 - 14:07:50 | SHD ] H:\MENINIKO [26/04/2010 - 10:06:02 | SHD ] H:\FOUND.000 [26/07/2010 - 08:52:06 | SHD ] H:\Animation [09/08/2010 - 14:37:16 | SHD ] H:\Joari [22/10/2010 - 23:36:42 | N | 278528] H:\zprud.exe [01/10/2010 - 12:08:14 | SH | 284160] H:\Capa de Educaçao FÃsica.doc [29/10/2010 - 15:38:02 | RSH | 278532] H:\reaipek.exe [22/10/2010 - 23:39:34 | SHD ] H:\Joari-doc [29/10/2010 - 15:38:02 | RSH | 278532] H:\reaipekx.exe [29/10/2010 - 15:38:14 | A | 386] H:\clarice.lnk [29/10/2010 - 15:38:14 | A | 382] H:\VANJA.lnk [29/10/2010 - 15:38:14 | A | 382] H:\klade.lnk [29/10/2010 - 15:38:14 | A | 388] H:\MENINIKO.lnk [02/09/2010 - 10:45:10 | SHD ] H:\myfolder [18/05/2010 - 12:59:50 | SHD ] H:\CESJ [29/10/2010 - 15:38:14 | A | 398] H:\Doc. Diversos.lnk [29/10/2010 - 15:38:14 | A | 386] H:\Eduardo.lnk [07/07/2010 - 11:56:36 | SHD ] H:\OS FIDALGOS [07/07/2010 - 11:15:36 | SHD ] H:\Liceu Jerico [29/10/2010 - 15:38:14 | A | 390] H:\FOUND.000.lnk [13/07/2010 - 11:06:38 | SHD ] H:\Provas Extraordinarias [01/10/2010 - 12:55:58 | SH | 65536] H:\Programa Educacao Fisica.doc [29/10/2010 - 15:38:14 | A | 390] H:\Animation.lnk [29/10/2010 - 15:38:14 | A | 382] H:\Joari.lnk [29/10/2010 - 15:38:14 | A | 388] H:\myfolder.lnk [14/07/2010 - 16:22:54 | SHD ] H:\Finalistas-2010 [29/10/2010 - 15:38:14 | A | 426] H:\Capa de Educaçao FÃsica.doc.lnk [29/10/2010 - 15:38:14 | A | 390] H:\Joari-doc.lnk [29/10/2010 - 15:38:14 | A | 380] H:\CESJ.lnk [04/05/2010 - 11:44:24 | A | 296] H:\WMPInfo.xml [29/10/2010 - 15:38:14 | A | 394] H:\OS FIDALGOS.lnk [29/10/2010 - 15:38:14 | A | 396] H:\Liceu Jerico.lnk [29/10/2010 - 15:38:14 | A | 416] H:\Provas Extraordinarias.lnk [29/10/2010 - 15:38:14 | A | 428] H:\Programa Educacao Fisica.doc.lnk [29/10/2010 - 15:38:14 | A | 402] H:\Finalistas-2010.lnk [29/10/2010 - 15:38:14 | A | 380] H:\Docs.lnk [29/10/2010 - 15:38:16 | A | 454] H:\Curriculum Vitae Edmilson Lopes Sellu.doc.lnk [23/09/2009 - 13:02:16 | SHD ] H:\Docs [20/09/2010 - 13:51:50 | SH | 26624] H:\Curriculum Vitae Edmilson Lopes Sellu.doc [06/09/2010 - 14:47:54 | SHD ] H:\Prova II época [29/10/2010 - 15:38:16 | A | 400] H:\Prova II época.lnk [08/09/2010 - 15:45:24 | SHD ] H:\Windows XP SP3 [29/10/2010 - 15:38:16 | A | 386] H:\Joari-2.lnk [02/09/2010 - 14:08:00 | SHD ] H:\Teste de Admissão-Jerico [01/09/2010 - 15:54:58 | SHD ] H:\Joari-2 [29/10/2010 - 15:38:16 | A | 400] H:\Windows XP SP3.lnk [29/10/2010 - 15:38:16 | A | 420] H:\Teste de Admissão-Jerico.lnk [14/06/2010 - 20:37:18 | SHD ] H:\Joao Manuel-Provas [05/10/2010 - 16:40:44 | SH | 27136] H:\CERTIFICADO DE PARTICIPAÇÃO.doc [29/09/2010 - 18:26:32 | A | 40199] H:\LISTA NOMINAL DE TURMAS.xlsx [29/10/2010 - 15:38:16 | A | 408] H:\Joao Manuel-Provas.lnk [29/10/2010 - 15:38:16 | A | 434] H:\CERTIFICADO DE PARTICIPAÇÃO.doc.lnk [29/10/2010 - 15:38:16 | A | 400] H:\Texos de Apoio.lnk [29/10/2010 - 15:38:16 | A | 396] H:\Timbrado.doc.lnk [29/10/2010 - 15:38:16 | A | 400] H:\Convite-02.doc.lnk [29/10/2010 - 15:38:16 | A | 392] H:\New Folder.lnk [23/06/2010 - 09:44:10 | SHD ] H:\Texos de Apoio [29/10/2010 - 15:38:16 | A | 390] H:\Passwords.lnk [29/10/2010 - 15:38:16 | A | 390] H:\Documents.lnk [29/10/2010 - 15:38:16 | A | 388] H:\Pictures.lnk [29/10/2010 - 15:38:16 | A | 382] H:\Music.lnk [29/10/2010 - 15:38:16 | A | 382] H:\Video.lnk [14/10/2010 - 15:57:16 | SH | 204800] H:\Timbrado.doc [14/10/2010 - 13:36:02 | SH | 24064] H:\Convite-02.doc ################## | E.O.F | Ps. Sorki ze dodalem loga wlasnie tak, ale probowalem w pliku i nie chcial sie zaladowac... Odnośnik do komentarza
Landuss Opublikowano 29 Października 2010 Zgłoś Udostępnij Opublikowano 29 Października 2010 Na dysk wejść ci nic nie powinno jeśli nie wchodziłeś w dyski przenośne. Rozpoczynamy usuwanie. Urządzenia mają być oczywiście podpięte. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files RECYCLER /alldrives autorun.inf /alldrives reaipek.exe /alldrives reaipekx.exe /alldrives E:\New Folder.lnk E:\Passwords.lnk E:\Documents.lnk E:\Pictures.lnk E:\Music.lnk E:\Video.lnk F:\Pelusa.lnk F:\New Folder.lnk F:\Passwords.lnk F:\Documents.lnk F:\Pictures.lnk F:\Music.lnk F:\Video.lnk G:\$AVG.lnk $RECYCLE.BIN /alldrives G:\$RECYCLE.BIN.lnk G:\Allegro.pl.lnk G:\Asus.lnk G:\autorun.inf.lnk G:\Cambridge In Use.lnk G:\DO WYSLANIA.lnk G:\Documents.lnk G:\Filmy.lnk G:\Instalki.lnk G:\instrument.txt.lnk G:\LIST DO DIATTY.txt.lnk G:\LIST DO JAZYNY.txt.lnk G:\LIST DO MARYSI.txt.lnk G:\list od darii.txt.lnk G:\list od marysi.txt.lnk G:\Luis.lnk G:\Moje dokumenty.lnk G:\Music.lnk G:\Muzyka od Glosnika.lnk G:\Muzyka.lnk G:\Nagrania.lnk G:\New Folder.lnk G:\Passwords.lnk G:\Pictures.lnk G:\Sao Jose.lnk G:\Strona SooF.lnk G:\System Volume Information.lnk G:\São José-02.lnk G:\Ubezpieczenie EVS.lnk G:\Video.lnk G:\waino.exe G:\wainox.exe G:\Wilson.lnk G:\Wolontariat 2010.lnk G:\Zdjecia.lnk H:\zprud.exe H:\reaipek.exe H:\reaipekx.exe H:\clarice.lnk H:\VANJA.lnk H:\klade.lnk H:\MENINIKO.lnk H:\Doc. Diversos.lnk H:\Eduardo.lnk H:\FOUND.000.lnk H:\Animation.lnk H:\myfolder.lnk H:\Capa de Educaçao FÃsica.doc.lnk H:\Joari-doc.lnk H:\CESJ.lnk H:\OS FIDALGOS.lnk H:\Liceu Jerico.lnk H:\Provas Extraordinarias.lnk H:\Programa Educacao Fisica.doc.lnk H:\Finalistas-2010.lnk H:\Docs.lnk H:\Curriculum Vitae Edmilson Lopes Sellu.doc.lnk H:\Prova II época.lnk H:\Joari-2.lnk H:\Windows XP SP3.lnk H:\Teste de Admissão-Jerico.lnk H:\Joao Manuel-Provas.lnk H:\CERTIFICADO DE PARTICIPAÇÃO.doc.lnk H:\Texos de Apoio.lnk H:\Timbrado.doc.lnk H:\Convite-02.doc.lnk H:\New Folder.lnk H:\Passwords.lnk H:\Documents.lnk H:\Pictures.lnk H:\Music.lnk H:\Video.lnk :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Pokazujesz nowy log z USBFix z tej samej opcji. Odnośnik do komentarza
nocek Opublikowano 1 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 1 Listopada 2010 Witam, nic z tego wklepalem co podales zrobilem run fix, restart i wydaje mi sie, a nawet jestem pewny ze dalej mam wirusy i teraz juz takze na dysku w kompie, w piatek zrobilem formata na tym kompie, po podpieciu penow zrobilem loga z opcji listing wyslalem na forum, po 10min komp sie zrestartowal i nie chcial urucomic system, czarny ekran i nic wiecej, zero ladowania... zrobilem format jeszcze raz dzisiaj, po nim podpiolem wszystkie przenosne i dysk zewsnetrzny, zrobilem co pisales ale ciagle jest problem, teraz nawet gorszy bo na dysku przenosnym nie widze zadnych plikow, jest jak by pusty, pliki faktycznie istnieja i moge je uruchomic tylko wpisujac sciezke powyzej... zrobilem logi jeszcze raz z otl i usbfix moze Ci cos powiedza wiecej teraz... probowalem takze z gmera ale komp totalnie zamulil i po kilku minutach zrestartowal sie z pieknym niebieskim ekranem "smierci" dzieki bogu uruchomil sie ponownie wiec poki co nie robie formata ponownego, czekam moze cos innego wpadnie Ci do glowy, dzieki z gory za pomoc!! pozdrawiam OTL.Txt Extras.Txt UsbFix.txt Odnośnik do komentarza
Landuss Opublikowano 1 Listopada 2010 Zgłoś Udostępnij Opublikowano 1 Listopada 2010 Skrypt się poniekąd wykonał bo większość tych plików lnk została usunięta z urządzenia przenośnego. To jeszcze nie koniec rzeczywiście, ale zastosuj jeszcze teraz ComboFix i wklej log. Odnośnik do komentarza
nocek Opublikowano 3 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 3 Listopada 2010 witam, hmm no powiem Ci ze na pierwszy rzut oka problem zniknol po przejsciu combofix-a, dysk ma wszystkie foldery, otwieraja sie prawidlowo... glupio zrobilem ze nie podpiolem wszystkich przenosnych przed zrobileniem tego loga... przesylam log i daj znaka co dalej. Czy moge podpiac wszystkie przenosne teraz i zrobic jeszcze raz loga z combo?? bo widze ze to naprawde pomoglo... log - combofix.txt Odnośnik do komentarza
picasso Opublikowano 3 Listopada 2010 Zgłoś Udostępnij Opublikowano 3 Listopada 2010 Tu jest bardziej skomplikowana sprawa i infekcja z systemu nie została wcale usunięta. Po pierwsze był rootkit w MBR. Po drugie: w ComboFix jest bardzo dużo odczytów o zainfekowaniu plików systemowych (a ComboFix wcale przecież nie sprawdza wszystkich plików dysku, bo nie jest skanerem AV i tego może być znacznie więcej) i pliki te nie zostały w żaden sposób wyleczone. ComboFix kasował plik "DesktopLayer.exe" (który nadal jest zapisany w wartości Userinit), a ten plik charakteryzuje jaki rodzaj infekcji w wykonywalnych mamy (Ramnit / Nimnul). Na forum mieliśmy już taki temat: KLIK. Zastosuj to samo narzędzie skanujące Kaspersky Virus Removal Tool. Skanuj (wszystkie dyski / podepnij też przenośne) i lecz pliki do skutku. Na końcu zgłoś się z raportem z Kasperskiego i świeżymi logami.... Odnośnik do komentarza
nocek Opublikowano 4 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 4 Listopada 2010 hej! no wiec uzylem kasperskiego, skan wykryl mnóstwo infekcji, logi ponizej, nie odpalam dysku zewnetrznego, ani penow, czekam na wasza odpowiedz czy juz sie wszystko usunelo czy cos jeszcze musze wykonac?? Co najlepsze udalo mi sie zrobic wreszcie loga z gmera bez zadnego problemu, ale i tak jak na moje laikowe oko wyglada ze nic nie wykryl?! pozdrawiam! kaspersky.txt OTL.Txt UsbFix.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 4 Listopada 2010 Zgłoś Udostępnij Opublikowano 4 Listopada 2010 Dysk zewnętrzny nadal zainfekowany, tzn. są dorobione pliki LNK o nazwach katalogów, a katalogi zostały ukryte. 1. Otwórz Notatnik i wklej w nim: E: del /s E:\*.lnk H: del /s H:\*.lnk attrib /d /s -s -h H:\* pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako DEL.BAT > Uruchom ten plik Po tym zrób nowy log z USBFix. 2. Nie jest dla mnie jasna zawartość tych dwóch plików autorun.inf: O32 - AutoRun File - [2004/05/17 04:15:14 | 000,000,102 | RHS- | M] () - E:\autorun.inf -- [ FAT32 ]O32 - AutoRun File - [2004/05/17 09:47:50 | 000,000,000 | R--D | M] - G:\autorun.inf -- [ NTFS ]O32 - AutoRun File - [2004/05/17 04:43:30 | 000,000,102 | RHS- | M] () - H:\autorun.inf -- [ FAT ] Pokaż ich zawartość. W OTL wszystkie opcje skanu przestaw na Brak i Żadne, natomiast w sekcji Własne opcje skanowania / skrypt wklej: type E:\autorun.inf /C type H:\autorun.inf /C Klik w Skanuj (a nie Wykonaj skrypt!). Przedstaw log wynikowy. 3. Jeśli jakiś program nie będzie działać po operacji Kasperskiego, należy go przeinstalować. . Odnośnik do komentarza
nocek Opublikowano 5 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 5 Listopada 2010 Zrobione! co dalej? Najwazniejszy dla mnie jest dysk zewnetrzny G - mam rozumiec ze jest juz czysty?? OTL.Txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 5 Listopada 2010 Zgłoś Udostępnij Opublikowano 5 Listopada 2010 1. Te pliki autorun.inf, nie mają typowej szkodliwej zawartości, czy one były tworzone przez Ciebie ręcznie? [autORUn]actIOn=Open folder to view filesICoN=%sYsteMrOoT%\SysTEM32\ShELl32.dll,4uSeaUtopLaY=1 2. Jakoś zupełnie ominęłam ten dysk G. Na G zostały pliki TXT, które zostały ukryte (atrybuty H+S) i należałoby je odkryć. Poza tym, te dwa ukryte są dla mnie jeszcze niejasne: [17/05/2004 - 10:27:44 | RSH | 278532] G:\wfret.exe[17/05/2004 - 10:27:44 | RSH | 278532] G:\wfretx.exe Powtórz plik BAT, tylko tym razem o takiej zawartości: G: attrib -s -h G:\*.txt attrib -s -h G:\*.exe pause 3. Usuń kopie szkodników i odpadki po stosowanych narzędziach: W Start > Uruchom > wklej polecenie g:\instalki\ComboFix.exe /uninstall W OTL wywołaj funkcję Sprzątanie 4. Po tym wszystkim wykonaj raz jeszcze dla pewności porządne skanowanie w Kasperskym, załączając w nim do skanu także dyski zewnętrzne. Jeśli nic już nie zostanie wykryte, można uznać że sprawa została naprostowana. . Odnośnik do komentarza
nocek Opublikowano 5 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 5 Listopada 2010 1. napewno nie tworzylem nic takiego, a nawet jesli to pewnie z niewiedzy 2. Czyli mam wykonac to samo co podalas powyzej zeby Ci pokazac co to jest?? jestem laikiem nie wiem naprawde w jaki sposob mam je odkryc i co to sa atrybuty H+S?? 3. ComboFix odinstalowany, sprzatanie wykonane. 4. Skan zrobie i jeszcze dzisiaj wysle loga, tylko wspomnij co z punktem 2 jakies logi wyslac po tym ostatnim poscie? dziekuje! Odnośnik do komentarza
picasso Opublikowano 5 Listopada 2010 Zgłoś Udostępnij Opublikowano 5 Listopada 2010 2. Czyli mam wykonac to samo co podalas powyzej zeby Ci pokazac co to jest?? jestem laikiem nie wiem naprawde w jaki sposob mam je odkryc i co to sa atrybuty H+S?? Masz po prostu zrobić sobie nowy plik BAT o zawartości jaką podałam i go uruchomić. Ten BAT sam zdejmie atrybuty H (ukryty) i S (systemowy) z plików TXT i tych nieznanych mi EXE. Logi po tej operacji nie są potrzebne. Odnośnik do komentarza
nocek Opublikowano 5 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 5 Listopada 2010 Hej, no wiec skan zrobiony, kaspersky wykryl te same miejsca gdzie byly wirusy, czyzby ich nie umial usunac? przesylam logi ps. nie mam juz miejsca - wykorzystalem cale 4.88mb http://wklej.org/id/413052/txt/ http://wklej.org/id/413053/txt/ http://wklej.org/id/523539/txt/ http://wklej.org/id/523540/txt/ Odnośnik do komentarza
picasso Opublikowano 5 Listopada 2010 Zgłoś Udostępnij Opublikowano 5 Listopada 2010 ps. nie mam juz miejsca - wykorzystalem cale 4.88mb Tylko nie usuwaj logów z Załączników, bo temat będzie bezsensowny. kaspersky wykryl te same miejsca gdzie byly wirusy, czyzby ich nie umial usunac? Wygląda na to, że infekcja jest nadal czynna w systemie i się mnoży (a pliki wfret*.exe są jednak infekcją) .... 1. Zrób wstęp: Katalogi System Volume Information, to katalogi Przywracania systemu. Wykonaj ręczne czyszczenie poprzez wyłączenie Przywracania i nie aktywuj go ponownie (INSTRUKCJE) Są znaleziska w cache przeglądarki Internet Explorer. Użyj TFC - Temp Cleaner. Niestety są zainfekowane także programy i sterowniki... I tu już: 2. Wykonaj skan wszystkich dysków i usuwanie z poziomu całkowicie zewnętrznej płyty startowej Kaspersky Rescue Disk . Odnośnik do komentarza
nocek Opublikowano 9 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 9 Listopada 2010 witam, a wiec, kasperskiego sciagnolem, plyte wypalilem, zostawilem kompa i na drugi dzien sie nie odpalil... a wiec nie chcialem sie juz z nim bawic i zrobilem mu formata, na innego kompa, ktory jest czysty (takze po formacie) podpiolem dysk i przenosne, przeprowadzilem skan dwukrotnie, za pierwszym razem masa infekcji, drugi skan w 100% czysty... przed skanem wykonalem co radzilas czyli wylaczylem ta opcje przywracania, nie wiem w sumie czy to ma znaczenie w tej sytuacji jesli pracuje juz na innym kompie, ale wykonalem dla pewnosci... problem jest tylko z logiem z kasperskiego, nie moge go otworzyc nie wiem dlaczego, zapisalem jako .txt ale nie da rady go otworzyc... mam nadzieje ze te logi wystarcza logi usbfix ---> http://wklej.org/id/415688/ extras ---> http://wklej.org/id/415689/ otl ---> http://wklej.org/id/415690/ Odnośnik do komentarza
nocek Opublikowano 11 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 11 Listopada 2010 witam dzisiaj odpalilem kompa, zainstalowalem avg 9, aktualizacja i znalazl te same infekcje... juz nie mam sily, macie jeszcze jakies inne pomysly?? Odnośnik do komentarza
picasso Opublikowano 11 Listopada 2010 Zgłoś Udostępnij Opublikowano 11 Listopada 2010 nocek, musi być jakieś źródło tego wirusa. Albo skan nie uwzględnił jakiegoś obszaru któregoś dysku i stamtąd się zaczęło, albo podpiąłeś kolejne urządzenie zewnętrzne z genami wirusa. Pytaniem jest, czy system jest zabezpieczony przed auto-wykonywaniem podczas podpięcia zewnętrznych USB? Nie wystarczy tylko "nie wchodzić", musi być także blokada przed startem autorun.inf (np. opcja Computer Vaccination w Panda USB Vaccine) oraz LNK (łata KB2286198). 1. Pokaż ten skan AVG, gdzie on widzi te infekcje. 2. Dostarcz nowy komplet logów. Odnośnik do komentarza
nocek Opublikowano 24 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 24 Listopada 2010 Hej, Picasso z gory sorki ze tak motam - zdaje sobie z tego sprawe, po ostatnim poscie zrobilem skan o ktorym pisalem czyli kasperskiego ktory usunol mi wszysko wygladalo ze pozbylem sie sprawy, jednak gdy wyszedlem z plytki kasperskiego i wlaczylem windowsa, instalacja avg i odrazu wykryte wirusy HEUR:Trojan-Dropper.Script.Generic oraz kon trojanski Trojen.Win32.Agent.dugd. Nie wiem czy to istotne ale przy skanie kasperskim wykryl mi dwa pliki ktore byly zablokowane haslem a mianowicie G:/K-lite_Codec_Pack_590_Full.exe/data0178 - Password protected oraz G:/.../RP52/A0009997.exe/data0178 - Password protected, dwie rozne lokalizacje i ten sam plik... czy to nie jest przypadkiem plik zrodlowy tego wirusa? Nie mialem sily do reszty kompow i tak jak pisalem wszystkie poszly do formata, ten na ktorym teraz pracuje jest wydaje mi sie czysty a dysku nie odpalalem ani razu, blokujac go tak jak wspominalas panda USB vaccine. Da sie cos zrobic jeszcze w tej sprawie?? Z gory wielkie dzieki za poswiecony czas. ps. Wiem ze jestem laik ale w sumie w tych logach nie widze wogole nic na temat dysku zewnetrznego ktory na kompie jest okreslany E... Jedynie w USBFix pelno tych LNK ktore blokuja mi dostep do plikow i nie moge sie dostac do nich tylko po przez wpisanie sciezki powyzej w oknie dysku. OTL ----- http://wklej.org/id/425244/ Extras ----- http://wklej.org/id/425245/ GMER ----- http://wklej.org/id/425246/ ComboFix ------ http://wklej.org/id/425247/ USBFix ------ http://wklej.org/id/425253/ Odnośnik do komentarza
picasso Opublikowano 24 Listopada 2010 Zgłoś Udostępnij Opublikowano 24 Listopada 2010 (edytowane) W raportach nie widzę znaków infekcji. ComboFix zaś nie uruchamiaj bez potrzeby! Jedyne co ewentualnie może być podejrzane, to niezgodny odczyt sygnaturowy pliku sfcfiles.dll pokazany przez ComboFix. Aczkolwiek jednocześnie są tu pośrednie ślady, że system był instalowany z płyty modyfikowanej nLite i nie wiem czy aby nie posunięto się tu dalej (tzn. manipulacje przy wyłączaniu Ochrony plików Windows, co by tłumaczyło niezgodny odczyt z pliku). Drobne komentarze: PDFCreator Toolbar do deinstalacji, a także należy zaktualizować Firefox i Adobe Reader (INSTRUKCJE). instalacja avg i odrazu wykryte wirusy HEUR:Trojan-Dropper.Script.Generic oraz kon trojanski Trojen.Win32.Agent.dugd. Nadal nie wiem w czym. Nazwy kodowe infekcji nic nie mówią, musi być podana precyzyjna ścieżka dostępu. Nie wiem czy to istotne ale przy skanie kasperskim wykryl mi dwa pliki ktore byly zablokowane haslem a mianowicie G:/K-lite_Codec_Pack_590_Full.exe/data0178 - Password protected oraz G:/.../RP52/A0009997.exe/data0178 - Password protected, dwie rozne lokalizacje i ten sam plik... czy to nie jest przypadkiem plik zrodlowy tego wirusa? To jest instalator paczki K-Lite (to co znajduje skaner jest "w środku" pliku), zaś A0009997.exe to kopia tego instalatora stworzona przez Przywracanie systemu w ukrytym katalogu System Volume Information (tu: konkretnie na dysku G). Ochrona hasłem o niczym nie świadczy, to tylko tyle że skaner nie może tego przemielić. Ale na wszelki wypadek (o ile to jest nadal aktualne): skasuj ten plik K-Lite (to można pobrać od nowa, tym bardziej że i tak jest już nowsze K-Lite 6.5.0) + wyczyść foldery Przywracania systemu na wszystkich dyskach: KLIK. ps. aha chcialem jeszcze zrobic loga z usbfix ale nie chce sie odpalic, moze go blokowac panda?? Którą funkcję chciałeś odpalać? Panda będzie blokować wszelkie próby generowania folderów autorun.inf przez narzędzie. Czy opcja Listing (a nie Research / Deletion czy Vaccination) nie działa? ps. Wiem ze jestem laik ale w sumie w tych logach nie widze wogole nic na temat dysku zewnetrznego ktory na kompie jest okreslany E... Jedynie w USBFix pelno tych LNK ktore blokuja mi dostep do plikow i nie moge sie dostac do nich tylko po przez wpisanie sciezki powyzej w oknie dysku. Logi przecież nie adresują zawartości dysków innych niż systemowy .... One służą do pokazania contentu pracującego systemu. Wyciągi z dysków trzeba tworzyć w sposób niezależny. Jeśli z USBFix nie dojdziesz do ładu, dam inne sposoby zrobienia "DIR" z dysku E. . Edytowane 17 Października 2011 przez picasso 24.12.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi