solti
3 Listopad 2010 17:39
#1
Witam,
po reinstalacji systemu [kolega mnie prosił] i zainstalowaniu avasta cały czas dostaje zgłoszenia o złośliwym oprogramowaniu, na początku było to 1gkbvsni.exe i zarażeniu win32:rootkit-gen[rtk] na zmianę z autorun.inf zarażenie: vbs:malware-gen. Następnie zrobiłem skan avastem i usunąłem znalezione infekcje i w tym momencie wyskakuje ww autorun oraz straciłem dostęp do dysków, mogę je jedynie eksplorować. Domyślam się że ww szkodniki pochodzą z pendrive na którym przenosiłem potrzebne aplikacje. Wrzucam logi z otl:
http://wklej.to/n8iz
http://wklej.to/FMib
Z góry serdecznie dziękuje za wszelką pomoc.
PS: Mam nadzieję że wszystko zrobiłem zgodnie z regulaminem- mój pierwszy post
Leon1
3 Listopad 2010 17:54
#2
OTL w oknie Custom Scans-Fixes wklej następujący skrypt:
:OTL MOD - [2010-11-03 17:08:50 | 000,102,912 | RHS- | M] () – C:\Documents and Settings\tomek\Ustawienia lokalne\Temp\mgking0.dll O4 - HKU\S-1-5-21-1482476501-1647877149-1417001333-1003…\Run: [dso32] C:\DOCUME~1\tomek\USTAWI~1\Temp\dsoqq.exe File not found O4 - HKU\S-1-5-21-1482476501-1647877149-1417001333-1003…\Run: [king_mg] C:\DOCUME~1\tomek\USTAWI~1\Temp\mgking.exe File not found O4 - HKU.DEFAULT…\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-18…\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-19…\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-20…\RunOnce: [nltide_2] File not found O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\tomek\Dane aplikacji\rljlz.exe) - C:\Documents and Settings\tomek\Dane aplikacji\rljlz.exe () O32 - AutoRun File - [2010-11-03 18:17:21 | 000,000,059 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-11-03 18:17:21 | 000,000,059 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-01-21 11:10:02 | 000,000,204 | RHS- | M] () - D:\autorun.Vinf – [NTFS] O32 - AutoRun File - [2009-01-29 20:08:31 | 000,000,060 | RHS- | M] () - E:\AUTORUN.FCB – [NTFS] O32 - AutoRun File - [2010-11-03 18:17:21 | 000,000,059 | RHS- | M] () - E:\autorun.inf – [NTFS] O33 - MountPoints2{12774d6d-e75d-11df-bba3-806d6172696f}\Shell\AutoRun\command - “” = 1gkbvsni.exe O33 - MountPoints2{12774d6d-e75d-11df-bba3-806d6172696f}\Shell\open\Command - “” = 1gkbvsni.exe O33 - MountPoints2{12774d6e-e75d-11df-bba3-806d6172696f}\Shell\AutoRun\command - “” = 1gkbvsni.exe O33 - MountPoints2{12774d6e-e75d-11df-bba3-806d6172696f}\Shell\open\Command - “” = 1gkbvsni.exe O33 - MountPoints2{12774d6f-e75d-11df-bba3-806d6172696f}\Shell\AutoRun\command - “” = 1gkbvsni.exe O33 - MountPoints2{12774d6f-e75d-11df-bba3-806d6172696f}\Shell\open\Command - “” = 1gkbvsni.exe [2010-11-03 18:28:36 | 000,000,059 | RHS- | M] () – C:\autorun.inf :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [start explorer] [Reboot]
Kliknij w Run Fix. Zatwierdź restart komputera.
zastosuj Flash Disinfector http://www.searchengines.pl/index.php?s … ntry369724
potem nowy log OTL robiony opcją Run Scan
