Witam!

Pisze w sprawie najpopularniejszego ostatnio wirusa na forum.

Problemy są standardowe:

1. Po wejściu w mój komputer i kliknięciu na jakikolwiek dysk (żeby otworzyć) dysk otwierał sie najpierw w nowym oknie, zamiast w tym samym.

2. Po jakimś czasie dyski przestały się otwierać w ogóle, zamiast tego zadawały pytanie w jakim programie mają się otworzyć.

3. Można wejść na dyski przez eksploratora.

4. Pliku autorun.inf nie usunę, bo tak jak kolega w innym temacie nie mogę go ‘odkryć’ - opcja pokazywania ukrytych plików sama się odznacza, widać broni się skubaniec

Teraz ciekawsza część:

5. Kilka dni temu avast! oszalał i zaczął w kółko i w kółko pokazywać mi gdzie to ja nie mam wirusa. Kwarantanna nie działała, usuwanie nie działało. Wynajdywał mi pliki o różnych nazwach - między innymi amvo.exe, jfkcsy.bat i reszty niestety nie pamiętam. Non stop wyskakiwały ostrzeżenia.

6. Pracować się nie dało, więc wywaliłam avasta! i zainstalowałam Pandę, która przetrzepała mi kompa i wyszukała około 90 sztuk syfu.

7. Po tym dyski zaczęły się otwierać w miarę normalnie - czyli bez głupich pytań, ale wciąż w osobnym oknie.

8. Przy kolejnym skanie wyszukało mi kolejne 50 sztuk poinfekowanych plików - w tym został naprawiony plik autoran.inf na wszystkich dyskach. Tak to zrozumiałam. Założę się, że jak zaraz zrobię kolejny skan to znowu znajdzie tyle samo tego samego.

9. Po tym skanie i leczeniu dyski znowu pytają się czym się je otwiera.

10. Wesoło.

Tutaj jest log HJT do sprawdzenia: http://wklej.org/id/77752af87b

Mogę wrzucić też gdzieś raporty z Pandy. Tylko nie wiem czy to się przyda?

Chciałam rzucić też nazwą, która mi się dzisiaj na ekranie komputera od rana przewija: W32/Lineage.IGF.worm <- takie coś mam na kompie. Nie znalazłam a propos tego żadnych informacji w języku polskim.

Kiedyś już mi pomogliście w usuwaniu syfu z komputera, więc wierzę, że teraz będzie tak samo

Dodam jeszcze, że ten sam wirus siedzi na 100% na sprzęcie mojej mamy, chłopaka, kolegi chłopaka itd. Więc jeszcze w tej sprawie będę tutaj pisać.

Sorry za zakładanie nowego tematu, ale nie chcę komuś bałaganić w jego problemie

fix w hijackthis

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\WINDOWS\system32\amvo.exe

Plik -> zapisz jako -> CFScript.txt (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe)

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu ->

Powinno się rozpocząć usuwanie i powstanie log, daj ten log na forum.

Chciałam tylko powiedzieć, że już mi się dyski zaczęły normalnie uruchamiać I to nie ‘prawie’, tylko całkiem normalnie

Tutaj log z CF:

http://wklej.org/id/4a9a71c292

Otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Chcę zaznaczyć, że musiałam to wrzucać w CF 2 razy, bo za pierwszym nie utworzył się log, więc ten log tutaj, jest jakby z tego drugiego usuwania - nie wiem czy to ma znaczenie.

http://wklej.org/id/c16406ebd0

Wyłącz I włącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml lub format

Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724

Log wygląda na czysty

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

Pierwsze zrobione.

Drugie zrobione, ale nie chce mi się wierzyć, że pen już jest ok

Optymalizacja uruchamiania- czarna magia dla mnie. Zrobiłam może 3 pierwsze kroki, a przy msconfig dałam sobie spokój. Język instrukcji za trudny.

Tutaj raport z Kasperskich: http://up.wklej.org/download.php?id=834 … 80638bad3d

Co dalej?

Pobierz i uruchom narzędzie The Avenger Zaznaczasz tekst podany do usunięcia na forum

kopiuj >> klikasz na Paste Script from Clipboard >> Execute >> Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Optymalizacja uruchamiania

włącz HijackThisa >> Do a system scan only >> zaznacz

>> Fix checked

Tutaj raport: http://wklej.org/id/e44582109d

a co do optymalizacji, to co mam zrobić z tym zaznaczonym nwiz i tak dalej?

bo po "włącz HijackThisa >> Do a system scan only " wyskakuje mi to okno i nie wiem co wtedy właściwie

dziękuję za cierpliwość.

optymalizacja >> w oknie tym zaznacz kratki przy podanych wpisach >> Fix checked

dla pewności przeskanuj jeszcze raz Kasperskim bo Avanger wszystkiego nie usunął

optymalizacja: no właśnie, tylko ja nie mam takich wpisów w HJT. Tak wygląda mój log z niego: http://wklej.org/id/3e82dd7f9e

kasperskim przeskanuje i odezwę się jutro rano, dziękuje za pomoc i pozdrawiam :]

na pewno nie ma bo ja widzę co innego

No dobra. Teraz to naprawdę zgłupiałam.

Nie kumam w ogóle tego HijackThis. Tutaj masz screena z tego okienka co ja je widzę: http://up.wklej.org/download.php?id=c4c … 97ee9b34e7

i powiedz mi czy tam rzeczywiście są te rzeczy, co je mam zaznaczyć, bo ja ich nie widzę a w logu są. Nic już nie wiem.

W poprzednim logu były teraz nie ma i o to chodziło już to nie będzie się uruchamiało wraz z systemem

wszystko OK

no to super

teraz tutaj jest raport z kesperskiego:

http://up.wklej.org/download.php?id=bc0 … b02de1238d

a do tego jeszcze podłączyłam pendrive (M), co go wcześniej niby wyleczyłam tym Flash Disinfectorem. Ale kasper wykrył na nim jakieś śmiecie, więc chyba nie do końca jest ok?

kok

Pobierz Avenger

wklej do niego ten tekst:

Files to delete:

M:\autorun.inf

J:\programy\kodeki itp\DivXPack_5_02-008.exe

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

Dawid24 Załuż nowy watek i opisz w nim swój problem

Dobra to teraz tak:

Tutaj raport: http://wklej.org/id/7c9efcafed

z którego wynika, że nie wyszło :]

Do tego po restarcie kompa wyskoczyło mi jakieś małe przerażające okienko z błędem - screen:

http://up.wklej.org/download.php?id=d7f … 7d157bc018

Jak się nacisnęło którykolwiek guzik to wyskakiwało jeszcze raz.

To co dalej?

Podłącz pendrive i wtedy wykonaj skrypt

usuń ten drugi plik ręcznie

pendrive jest podłączony cały czas.

Co to znaczy wykonać skrypt?

Ten drugi plik już usunięty.

W dniu 11.05.2008 , o godzinie 16:47 został dopisany post przez kok

hmm. to co ja właściwie mam teraz robić? To coś z pendriva może mi się rozprzestrzenić po komputerze?

przeczyść go Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724