3 zarażone pendrive'y

nika22 · 8 Wrzesień 2008 11:38

Przepraszam, że znów Was męczę, ale mam jeszcze w pracy 2 zarażone komputery i 3 pendrive’y. Nie mogę uruchomić hijackthis, pojawia się komunikat:

system windows nie może odnaleźć pliku C:\Program Files\Trend Micro\Hijackthis\Hijakcthis.exe

Stosowałam Flash_Disinfector.exe, ale wirusy nadal są.

djarta · 8 Wrzesień 2008 11:39

Daj log z -----> ComboFix (niżej na stronie linku).

========================

K.

realmadryt · 8 Wrzesień 2008 11:48

link - viewtopic.php?f=16&t=269631

nika22 · 8 Wrzesień 2008 11:56

log z combofix przy pierwszym pendrive podłączonym do komputera:

http://wklej.org/id/3112/

djarta · 8 Wrzesień 2008 11:58

Wylecz pendriv’ y (jeden po drugim) tymi programami:

Perlovga Removal Tool

Flash Disinfector

lub format

Jeśli zrobisz to mówisz nam na forum i ułożymy Ci Scripta.

========================

K.

nika22 · 8 Wrzesień 2008 12:06

Jak narazie nie usunęłam nawet z jednego, tak jak mówiłam, użyłam Flash Disinfector, a tego programu Perlovga Removal Tool nie mogę uruchomić, pojawia się okno, w którym trzeba wpisać kod, jest już jakiś wpisany, klikam ok, pojawia się komunikat, że kod nieprawidłowy i program się zamyka.

Na pendrive nadal są ukryte pliki typu: t1ypkh.exe więc chyba syf jeszcze jest

djarta · 8 Wrzesień 2008 12:07

No to sformatuj.Oczywiście bez Autoodtwarzania.Naciskasz nie podejmuj żadnej akcji i formatujesz.

Jeśli to zrobisz, to robisz taką czynność:

Wklej do Notatnika :

File::

C:\jdhc2x2.com

D:\jdhc2x2.com

G:\jdhc2x2.com

C:\bpu.exe

D:\bpu.exe

G:\bpu.exe

C:\r2nl.com

D:\r2nl.com

G:\r2nl.com

C:\xqf.com

D:\xqf.com

G:\xqf.com

C:\uis.com

D:\uis.com

G:\uis.com

C:\g2pfnid.com

D:\g2pfnid.com

G:\g2pfnid.com

C:\e.com

D:\e.com

G:\e.com

C:\e9ehn1m8.com

D:\e9ehn1m8.com

G:\e9ehn1m8.com

C:\ybj8df.exe

D:\ybj8df.exe

G:\ybj8df.exe

C:\p83gjy.exe

D:\p83gjy.exe

G:\p83gjy.exe

C:\0gjn3yw.exe

D:\0gjn3yw.exe

G:\0gjn3yw.exe

C:\00hoeav.com

D:\00hoeav.com

G:\00hoeav.com

C:\m88coaim.exe

D:\m88coaim.exe

G:\m88coaim.exe

C:\Program Files\ymmpucn.inf

C:\WINDOWS\system32\ddr.exe

C:\WINDOWS\system32\DRIVERS\videX32.sys

D:\Fxdrv.sys 

D:\FXDrv32.sys


Driver::

videX32

FXDRV

FXDrv32


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1131b8d2-15ca-11dd-849f-001d608a7254}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1131b8d3-15ca-11dd-849f-001d608a7254}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1e6eacfa-ec29-11dc-8457-001d608a7254}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2bd34584-dd53-11dc-8442-001d608a7254}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{31be189f-d311-11dc-843b-001d608a7254}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5cb7cfd6-c5d3-11dc-8421-001d608a7254}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{642e3b54-d0b1-11dc-8435-001d608a7254}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{821007c0-d097-11dc-8434-001d608a7254}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a52cd666-ffae-11dc-8473-001d608a7254}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b6692f1d-c59d-11dc-841e-001d608a7254}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c2a8f009-3203-11dd-84c0-001d608a7254}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cad1b74c-c7ef-11dc-8422-001d608a7254}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{cad1b757-c7ef-11dc-8422-001d608a7254}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d96d24a3-0c49-11dd-848d-001d608a7254}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e604df50-c983-11dc-8425-001d608a7254}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f86aac26-bf5e-11dc-8416-001d608a7254}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f9d602d8-bf48-11dc-8414-001d608a7254}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f9d602e2-bf48-11dc-8414-001d608a7254}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fdb02e00-7a44-11dd-851e-001d608a7254}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{014409c3-f71a-11dc-8463-001d608a7254}]

>>Plik>>Zapisz jako… >>> CFScript

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe

–>

Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.

Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox.**

======================

K.

nika22 · 8 Wrzesień 2008 12:34

Mam nadzieję, że pierwszy już jest ok i mogę zacząć czyścić drugi?

http://wklej.org/id/3114/

Edit:

Po skanowaniu z drugim penem:

http://wklej.org/id/3116/

djarta · 8 Wrzesień 2008 12:46

Narazie wszystko jest Ok, zrób tak samo z trzecim pendrivem i wrzuć normalnego loga z ComboFixa.

========================

K.

nika22 · 8 Wrzesień 2008 13:02

Nie do końca rozumiem co znaczy normalny log? Po usunięciu przez comboFix uruchomiłam go jeszcze raz i to jest log:

http://wklej.org/id/3122/

Ale Nod32 nadal wykrywa wirusy:

http://www.fotosik.pl/pokaz_obrazek/bf2256937a1ee131.html

Edit:

Czy te pliki ukryte “systemowe” z pendrive’a mogę usunąć ręcznie z pominięciem kosza?

huber2t · 8 Wrzesień 2008 13:16

Podłącz pendrive do komputera i pokaż log z Combofix

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum