S_N
(S!N)
14 Listopad 2009 22:02
#1
Witam
Tak jak w temacie, Avast po aktualizacji wykrywa zaraz po starcie systemu dwa trojany Win32:Kamso i Win32:Soolo. Nie udało mi się dojść co robią, ale ciągłe alerty są denerwujące i żadne usuwania czy kwarantanny nie pomagają. Soolo tworzy w pętli plik 6ruaqx.exe na każdym dysku, ten drugi rzuca się po dysku C(systemowy). Po kilkunastu operacjach usuń alerty się uspokajają ale tylko do czasu ponownego uruchomienia. Będę wdzięczny za każdą pomoc.
http://wklej.org/id/205487/ - OTL
http://wklej.org/id/205491/ - HijackThis
jessica
(jessica)
14 Listopad 2009 22:18
#2
Infekcja pendrivowa.
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL O32 - AutoRun File - [2009-11-14 22:41:23 | 00,000,059 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-11-14 22:41:23 | 00,000,059 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-11-14 22:41:23 | 00,000,059 | RHS- | M] () - F:\autorun.inf – [NTFS] O33 - MountPoints2{c17e5a6e-6622-11dd-a3e1-806d6172696f}\Shell\AutoRun\command - “” = 6ruaqx.exe O33 - MountPoints2{c17e5a6e-6622-11dd-a3e1-806d6172696f}\Shell\open\Command - “” = 6ruaqx.exe O33 - MountPoints2{c17e5a6f-6622-11dd-a3e1-806d6172696f}\Shell\AutoRun\command - “” = 6ruaqx.exe O33 - MountPoints2{c17e5a6f-6622-11dd-a3e1-806d6172696f}\Shell\open\Command - “” = 6ruaqx.exe O33 - MountPoints2{c17e5a70-6622-11dd-a3e1-806d6172696f}\Shell\AutoRun\command - “” = F:\6ruaqx.exe – File not found O33 - MountPoints2{c17e5a70-6622-11dd-a3e1-806d6172696f}\Shell\open\Command - “” = F:\6ruaqx.exe – File not found O33 - MountPoints2{e58a11ea-9132-11dd-9312-001d7de9381c}\Shell\AutoRun\command - “” = G:\6ruaqx.exe – File not found O33 - MountPoints2{e58a11ea-9132-11dd-9312-001d7de9381c}\Shell\open\Command - “” = G:\6ruaqx.exe – File not found :Files C:\autorun.inf E:\autorun.inf F:\autorun.inf C:\Qoobox :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [resethosts] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessi
S_N
(S!N)
14 Listopad 2009 22:41
#3
Przepraszam, może to i głupie pytanie ale czy ten Run Fix długo ma trwać? Bo już kilka minut (koło 10) nic się nie dzieje.
jessica
(jessica)
14 Listopad 2009 22:46
#4
Raczej nie powinno tak długo trwać.
Ale jest problem - jeśli przerwiesz, to potem możesz mieć problemy z Systemem.
A jeśli nie przerwiesz, to może trwać w nieskończoność.
I tak źle, i tak niedobrze.
Poczekaj jeszcze trochę, a potem przerwij, nawet poprzez twardy reset komputera. Trudno, ryzyko.
jessi
S_N
(S!N)
14 Listopad 2009 22:52
#5
Dobra był twardy reset. Oprócz tego, że po załadowaniu Avasta komputer na mnie napiszczał nie dzieje się nic. Powtórzyć operację?
S_N
(S!N)
14 Listopad 2009 22:59
#7
Poszło, ale wyskoczył error “Range check error” i zresetowało kompa. Teraz piszczy przy każdym uruchomieniu.
jessica
(jessica)
14 Listopad 2009 23:09
#8
A więc jednak coś poszło nie tak.
Jeśli to będzie dalej, to zrób “Przywracanie Systemu”, o ile nie miałeś wyłączonego.
Okazuje się, że OTL jest tak samo szkodliwy, jak ComboFix!
jessi
S_N
(S!N)
14 Listopad 2009 23:11
#9
To teraz takie pytanie za 100 pkt. czy jeśli to nic nie da to zostaje reinstalka systemu?
jessica
(jessica)
14 Listopad 2009 23:14
#10
Jeśli “Przywracanie” nic nie da, to będzie oznaczało, że uszkodzony jest dysk, a więc reinstalacja Systemu na uszkodzonym dysku nie będzia miała sensu.
Ale miejmy nadzieję, że aż tak źle nie jest.
jessi
S_N
(S!N)
14 Listopad 2009 23:15
#11
Dobra pytania nie było. Przywróciłem system, ale nic nie pomogło. Po tym jak załaduje się system i wszystkie aplikacje następują po sobie trzy krótkie piski. Później wszystko jest ok… chyba.
jessica
(jessica)
14 Listopad 2009 23:25
#12
Ja mam VISTĘ, ale zaraz wyedytuję ten post i opiszę, jak to mniej więcej przeprowadza się na XP.
edit:
>>START >>“Pomoc i obsługa techniczna”
z wyświetlonej listy wybierz: “Cofnij zmiany dokonane na komputerze poprzez Przywracanie Systemu”
w wyłonionym oknie klik na DALEJ
pojawi się Kalendarz
kliknij na ostatnią pogrubioną datę przed awarią. Pojawi się nazwa i godzina jego utworzenia
klik na DALEJ (i chyba jeszcze raz na DALEJ?)
WINDOWS rozpocznie przywracanie - potrwa to kilka minut
nastąpi restart komputera
wyświetli się komunikat klik na OK.
To wszystko.
Przy restarcie w pkt 8 , będziesz już chyba wiedział, czy to pomogło, czy też potrzebna będzie wymiana dysku.
Powodzenia!
EDIT II: a więc to nie System jest uszkodzony,.
jessi
S_N
(S!N)
14 Listopad 2009 23:26
#13
Dobra nie trzeba. Czytaj post wyżej.
– Dodane 15.11.2009 (N) 1:05 –
OK metodą prób i błędów wyszło, że miałem herss.exe (może nadal mam). Wyłączanie przywracania, trybu awaryjnego itpp. Tak czy siak piski były od programu do karty graficznej (podobno błąd po używaniu combofixa/otla). Dzięki za pomoc mam nadzieję, że dysk uszkodzony nie jest, bo nie jest mój :shock:.
jessica
(jessica)
15 Listopad 2009 06:53
#14
No tak, przywracanie Systemu przywróciło także infekcję, to zrozumiałe.
Jeśli czujesz, że infekcja jest nadal, to daj nowe logi, albo z OTL, albo z ComboFixa,(skoro go już użyłeś).
jessi