W głównych katalogach dysków powstają podejrzane pliki z atrybutami rhs-
b00ijwpu.exe
wcgswa.exe
autorun.inf
ze zmienną zawartością, aktualnie
open=b00ijwpu.exe
shell\open\command=b00ijwpu.exe
a wcześniej
open=wcgswa.exe
shell\open\command=wcgswa.exe
Proszę o sprawdzenie loga z OTL:
Usuń ręcznie lub Unlockerem plik C:\WINDOWS\AhnRpta.exe
Usuń infekcje z pendrive lub kart pamięci za pomocą Flash Disinfector lub tych narzędzi.
Lub format.
W białe dolne okno Custom Scans/Fixes w OTL wklej:
Run Fix. Restart, jeśli będzie potrzebny.
Potem log z usuwania oraz nowy log robiony opcją Run Scan.
Próba usunięcia pliku C:\WINDOWS\AhnRpta.exe ręcznie nie powiodła się (odmowa dostępu), a unlocker pobrany ze strony http://www.dobreprogramy.pl/Unlocker,Pr … 12240.html nie otwiera się. Plik C:\WINDOWS\AhnRpta.exe nadal jest na dysku.
Log OTL z usuwania:
http://www.wklej.org/id/183535/
Log OTL ze skanowania:
Pobierz The Avenger i uruchom.
Wklej w niego ten tekst:
Execute i zgadzasz się na restart.
Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt
Ale nie sądzę, by Avenger załatwił sprawę, bo oprócz “AhnRpta” są jeszcze inne obiekty i klucze do usunięcia, np.:.
Ja proponuję:
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix. Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessi
W programie Avenger Execute uruchamiałem dwa razy co widać w logu:
musiałem uzupełnić pierwszy wiersz podpowiedzi o wyrazy:
to delete
i wtedy poszło.
Jednak gdy po restarcie podglądam katalog C:\Windows Total Commander’em to niestety nadal widzę w nim plik C:\WINDOWS\AhnRpta.exe, który wygląda na kopię pliku notepad.exe (ta sama długość, ta sama data i czas, wczoraj porównywałem oba te pliki z wiersza poleceń
fc notepad.exe AhnRpta.exe Nie było między nimi różnic???)
Przy próbie skasowania Total Commanderem jest:
Błąd: C:\WINDOWS\AhnRpta.exe nie może być usunięty!
Proszę usunąć zabezpieczenie przed zapisem!
Log z execute Avenger po restarcie:
http://www.wklej.org/id/183613/
Dzięki za to co już i co robić dalej?
Spróbuj wykonać moje zalecenie, z mojego poprzedniego postu.
EDIT:
Tak, w logu wyrażnie widać, że “AhnRpta” nie tylko udaje plik Microsoftu, ale też jest w jakiś sposób powiązany z "C:\WINDOWS\notepad.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\Explorer.EXE"
wskazuje na to godzina modyfikacji tych wszystkich plików.
jessi
Byłem w trakcie wykonywania podpowiedzi deFco247
Oto log z OTL po naciśnięciu RunFix
http://www.wklej.org/id/183638/
Oto log z OTL po naciśnieciu RunScan
http://www.wklej.org/id/183641/
Dziękuję za pomoc, ale plik C:\WINDOWS\AhnRpta.exe nadal jest.
W logu go nie ma.
Ale:
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
Kliknij w Run Fix. Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessi
Log OTL z usuwania:
http://www.wklej.org/id/183657/
Log OTL ze skanowania:
http://www.wklej.org/id/183658/
Bingo! W Total Commanderze nie widać pliku C:\WINDOWS\AhnRpta.exe!
Ale jakbyś mogła to rzuć okiem jeszcze na te logi.
Tak, jest czysto.
Jeśli chcesz usunąć OTL, to wystarczy w nim kliknąć na przycisk “CleanUp”.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
jessi
Wielkie dzięki, deFco247 i Jessi, za pomoc! 
Macie bardzo przydatną wiedzę!
Sam nie uporałbym się z tym paskudztwem…