Autoruny. jak się ich pozbyć?


(matusia :)) #1

Mam znowu problem z autorunami i plikami *.vbs, pagefile.sys

Zrobiłam plik CFScript, w którym wpisałam: C:\WINDOWS\pagefile.sys.vbs

i przeżuciłam na ComboFix. Podaje link do loga po skanowaniu:

http://wklej.org/id/508dfc480a

ale niestety to nie pomogło. Mój antywirus podczas działania Combo generował mi okna z napisem:

"Program C:\ComboFix próbuje otwirzyć zainfekowany plik

infekcja APP/NirCmd.E.2.B"

Nie mam zielonego pojęcia o co chodzi. Antywirus to Ashampoo.

Musze przyznać że właśnie zrobiłam format ponieważ ściągnęłam plik który wpuścił mi taki syf na kompa że już innego wyjścia nie miałam. Zastanawiam się czy nić nie zostało mi na pozostałych dyskach... Podaje jeszcze loga z HJT:

http://wklej.org/id/462fa97ad9

Proszę o sprawdzenie.

Z góry wielkie dzięki.


(Spandau) #2

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Pobierz The Avenger zaznacz poniższy tekst

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.

Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt


(matusia :)) #3

Zrobiłam, ale niestety autoruny nie zniknęły...;/

Avenger:

http://wklej.org/id/8fdde54af4

hjt:

http://wklej.org/id/3e097efe75

Mój antywirus wyświetla takie alerty:

alertpm7.th.jpg

raport z antywirusa

raportgk1.th.jpg


(Spandau) #4

Avenger usunął pliki

Usuń te wpisy w HJT

Uruchom HijackThis - Do a system scan only - w oknie programu pokaże się log - zaznacz kratki przy podanych wpisach - klikasz Fix checked

Pobierz Combofix przeskanuj system i daj nowy log na forum. Combofix powinien usunąć te pliki


(matusia :)) #5

Combo:

http://wklej.org/id/ecf58e9988

a wpisów:

nie posiadam


(huber2t) #6

Log wyglada na czysty

usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.

Przeczyść komputer Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum

lub

Dr.WEB CureIt!


(matusia :)) #7

ale na dyskach mam nadal autoruny...


(Spandau) #8

Może masz włączoną usługę autostartu dla wszystkich dysków Uruchom: gpedit.msc - Konfiguracja komputera - Szablony administracyjne - System - Wyłącz funkcje autoodtwarzanie - Enable

lub

Rozwiązanie problemu usunięcia złośliwego skryptu pagefile.sys.vbs

1) Należy uruchomić komputer w trybie awaryjnym

2) Przeskanować dyski w poszukiwaniu pliku pagefile.sys.vbs

3) Usunąć wszystkie znalezione pliki pagefile.sys.vbs

3) Przeskanować dyski w poszukiwaniu pliku autorun.inf

4) Usunąć wszystkie pliki autorun.inf zawierające wpis uruchamiający skrypt

pagefile.sys.vbs

5) uruchomić edytor rejestru regedit.exe przeskanować rejestr w poszukiwaniu wpisu pagefile.sys.vbs

6) znalezione wpisy usunąć

wszystko tutaj http://forum.pclab.pl/t278796.html


(matusia :)) #9

spandaupol

Pomogło... tylko ciekawe na jak długo...

Wyłączyłam przy tym przywracanie systemu:) Wię mam nadzieje że już będzie dobrze.

Mam takie pytanie, bo ta infekcja pojawia się z pendriva... jakim cudem dostają się tam te pliki (co je usune to są tam na nowo) i jak zabezpieczyć pena przed tymi śmieciami???


(Spandau) #10

Do wyleczenia pendriva lub karty pamięci możesz użyć tych programów http://www.softpedia.com/get/Security/S ... Tool.shtml lub Flash Disinfector http://www.searchengines.pl/index.php?s ... ntry369724

Co do kwestii zabezpieczenia pendrive przeczytaj ten wątek http://peb.pl/bezpieczenstwo-i-anonimow ... rusow.html znajdziesz tu odpowiedź na niektóre twoje pytania.

:slight_smile:


(matusia :)) #11

ale proszę jeszcze opomoc w jednej sprawie:

mój antywirus wyswietra mi komunikat o tym że np. Flash Disinfector ptubuje uruchomić plik: APPL/NirCMD.t co może doprowadzić do infekcji.

Moje pytanie to co to za plik i o co z nim w ogóle chodzi bo nie moge nigdzie znaleźć nic o tym w necie po polsku.

Z góry dziękuje


(Leon$) #12

To pomyłka antywira

na czas skanowania wyłącz antywira

:slight_smile:


(matusia :)) #13

Wszystko zrobiłam;)

mam nadzieje że te podmienione pliki autorun nie wpuszczą już innych śmieci.

Dziękuje spandaupol za pomoc;) i za tego linka również:

chyba temat można uznać za zamknięty;)

Jeszcze raz dziekuje wszystkim za pomoc;)


(matusia :)) #14

Wiecie co... właśnie zeskanowałam kompa i antyvir znalazł mi znowu wirusy.... nie wiem co jest.... mam założyć nowy temat czy moge tu???

podam lokalizacje:

C:\windows\Nircmd.exe

APPL/NirCmd.E.2.B

C:\windowc\pagefile.sys.vbs

VBS/Solow.D