matusia
(matusia :))
5 Sierpień 2008 14:18
#1
Mam znowu problem z autorunami i plikami *.vbs, pagefile.sys
Zrobiłam plik CFScript, w którym wpisałam: C:\WINDOWS\pagefile.sys.vbs
i przeżuciłam na ComboFix. Podaje link do loga po skanowaniu:
http://wklej.org/id/508dfc480a
ale niestety to nie pomogło. Mój antywirus podczas działania Combo generował mi okna z napisem:
"Program C:\ComboFix próbuje otwirzyć zainfekowany plik
infekcja APP/NirCmd.E.2.B"
Nie mam zielonego pojęcia o co chodzi. Antywirus to Ashampoo.
Musze przyznać że właśnie zrobiłam format ponieważ ściągnęłam plik który wpuścił mi taki syf na kompa że już innego wyjścia nie miałam. Zastanawiam się czy nić nie zostało mi na pozostałych dyskach… Podaje jeszcze loga z HJT:
http://wklej.org/id/462fa97ad9
Proszę o sprawdzenie.
Z góry wielkie dzięki.
Usuń te wpisy w HJT
Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked
Pobierz The Avenger zaznacz poniższy tekst
kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt
matusia
(matusia :))
5 Sierpień 2008 16:56
#3
Zrobiłam, ale niestety autoruny nie zniknęły…;/
Avenger:
http://wklej.org/id/8fdde54af4
hjt:
http://wklej.org/id/3e097efe75
Mój antywirus wyświetla takie alerty:
raport z antywirusa
Avenger usunął pliki
Usuń te wpisy w HJT
Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked
R3 - Default URLSearchHook is missing O4 - HKCU…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 O4 - HKCU…\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,4,N O4 - HKUS\S-1-5-20…\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,4,N (User ‘USŁUGA SIECIOWA’) O4 - HKUS\S-1-5-18…\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,4,N (User ‘SYSTEM’) O4 - HKUS.DEFAULT…\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,4,N (User ‘Default user’)
Pobierz Combofix przeskanuj system i daj nowy log na forum. Combofix powinien usunąć te pliki
matusia
(matusia :))
5 Sierpień 2008 17:58
#5
Combo:
http://wklej.org/id/ecf58e9988
a wpisów:
nie posiadam
huber2t
(huber2t)
6 Sierpień 2008 03:31
#6
Log wyglada na czysty
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Dr.WEB CureIt!
matusia
(matusia :))
6 Sierpień 2008 08:34
#7
ale na dyskach mam nadal autoruny…
Może masz włączoną usługę autostartu dla wszystkich dysków Uruchom: gpedit.msc - Konfiguracja komputera - Szablony administracyjne - System - Wyłącz funkcje autoodtwarzanie - Enable
lub
Rozwiązanie problemu usunięcia złośliwego skryptu pagefile.sys.vbs
Należy uruchomić komputer w trybie awaryjnym
Przeskanować dyski w poszukiwaniu pliku pagefile.sys.vbs
Usunąć wszystkie znalezione pliki pagefile.sys.vbs
Przeskanować dyski w poszukiwaniu pliku autorun.inf
Usunąć wszystkie pliki autorun.inf zawierające wpis uruchamiający skrypt
pagefile.sys.vbs
uruchomić edytor rejestru regedit.exe przeskanować rejestr w poszukiwaniu wpisu pagefile.sys.vbs
znalezione wpisy usunąć
wszystko tutaj http://forum.pclab.pl/t278796.html
matusia
(matusia :))
6 Sierpień 2008 12:11
#9
spandaupol
Pomogło… tylko ciekawe na jak długo…
Wyłączyłam przy tym przywracanie systemu:) Wię mam nadzieje że już będzie dobrze.
Mam takie pytanie, bo ta infekcja pojawia się z pendriva… jakim cudem dostają się tam te pliki (co je usune to są tam na nowo) i jak zabezpieczyć pena przed tymi śmieciami???
Do wyleczenia pendriva lub karty pamięci możesz użyć tych programów http://www.softpedia.com/get/Security/S … Tool.shtml lub Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724
Co do kwestii zabezpieczenia pendrive przeczytaj ten wątek http://peb.pl/bezpieczenstwo-i-anonimow … rusow.html znajdziesz tu odpowiedź na niektóre twoje pytania.
matusia
(matusia :))
6 Sierpień 2008 18:04
#11
ale proszę jeszcze opomoc w jednej sprawie:
mój antywirus wyswietra mi komunikat o tym że np. Flash Disinfector ptubuje uruchomić plik: APPL/NirCMD.t co może doprowadzić do infekcji.
Moje pytanie to co to za plik i o co z nim w ogóle chodzi bo nie moge nigdzie znaleźć nic o tym w necie po polsku.
Z góry dziękuje
Leon1
(Leon$)
6 Sierpień 2008 19:37
#12
To pomyłka antywira
na czas skanowania wyłącz antywira
matusia
(matusia :))
6 Sierpień 2008 20:20
#13
Wszystko zrobiłam;)
mam nadzieje że te podmienione pliki autorun nie wpuszczą już innych śmieci.
Dziękuje spandaupol za pomoc;) i za tego linka również:
chyba temat można uznać za zamknięty;)
Jeszcze raz dziekuje wszystkim za pomoc;)
matusia
(matusia :))
6 Sierpień 2008 20:56
#14
Wiecie co… właśnie zeskanowałam kompa i antyvir znalazł mi znowu wirusy… nie wiem co jest… mam założyć nowy temat czy moge tu???
podam lokalizacje:
C:\windows\Nircmd.exe
APPL/NirCmd.E.2.B
C:\windowc\pagefile.sys.vbs
VBS/Solow.D