Dereq
(Deresiu)
12 Listopad 2009 17:40
#1
Witam. Dziś włożyłem zawirusowanego Pendrive’a. Po resecie okazało się że na dysk dostał się irus Crypt.ZPACK.Gen. Po włączeniu Avira szaleje i co chwile pojawiają się okienka o wirusie. Dopiero po jej wyłączeniu można je pozamykać. Nie mogęteżnormalnie otworzyć dysków C i D bo wyskakuj zapytanie za pomocą jakiego programu chce je otworzyć. Widziałem w innych postach że żeby rozwiązać ten problem muszę wkleić logi. Oto ten z Hijack. Pomóżcie mi usunąć tego wirusa. Dodatkowo chciałem cośpokombinować z ATF-Cleaner’em i coś stało sięz Firefoxem. Strony wyświetlane sąalbo bez tła albo bez obrazów. PRoszę o pomoc
LOG - http://www.wklej.org/id/203400/
jessica
(jessica)
12 Listopad 2009 18:09
#2
Odpowiedź automatyczna: Log z Hijacka w dzisiejszych czasach to za mało, bo większość infekcji potrafi go ominąć. Zalecany log: >OTL Mile widziny dodatkowo log z >SRENG (Po uruchomieniu klik “SmartScan”, zaznacz “Verify…”, klik “Scan”, czekasz na raport, klik na “Save…”, potem na “Close”).
W OTL przed skanowaniem, ustaw jeszcze dodatkowe opcje poprzez wklejenie do pola “Custom Scans/Fixes”:
Następnie przestaw “Processes” i “Modules” na “All”, inne ustawienia zrób zgodnie z opisem narzędzia, i potem kliknij “Run Scan”,
jessi
Nowa fala ataków robaka Gumblar
Conficker rozprzestrzenia się po Polsce
.
Dereq
(Deresiu)
12 Listopad 2009 18:20
#3
http://wklej.org/id/203424/ - log z OTL.
Co mam zrobić z tym plikiem herss.exe?
jessica
(jessica)
12 Listopad 2009 18:27
#4
Uruchom OTL i w oknie Custom Scans/Fixes wklej to:
:OTL O4 - HKU\S-1-5-21-448539723-1364589140-725345543-1004…\Run: [cdoosoft] C:\DOCUME~1\Dominika\USTAWI~1\Temp\herss.exe File not found O32 - AutoRun File - [2009-11-12 19:16:05 | 00,000,057 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-11-12 19:16:05 | 00,000,057 | RHS- | M] () - D:\autorun.inf – [NTFS] O33 - MountPoints2{32c1e946-8c12-11de-a1f4-806d6172696f}\Shell\AutoRun\command - “” = ctu8r.exe O33 - MountPoints2{32c1e946-8c12-11de-a1f4-806d6172696f}\Shell\open\Command - “” = ctu8r.exe O33 - MountPoints2{32c1e948-8c12-11de-a1f4-806d6172696f}\Shell\AutoRun\command - “” = ctu8r.exe O33 - MountPoints2{32c1e948-8c12-11de-a1f4-806d6172696f}\Shell\open\Command - “” = ctu8r.exe :Files C:\Documents and Settings\Dominika\Ustawienia lokalne\Temp\cvasds0.dll C:\autorun.inf d:\autorun.inf :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [resethosts] [Reboot]
Kliknij w Run Fix . Zatwierdź restart komputera.
Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.
Pokaż nowy log OTL.txt oraz log z czyszczenia.
jessi
Nowa fala ataków robaka Gumblar
Conficker rozprzestrzenia się po Polsce
Dereq
(Deresiu)
12 Listopad 2009 18:41
#5
jessica
(jessica)
12 Listopad 2009 21:37
#6
Wygląda na to, że jest OK.
W OTL kliknij na przycisk “CleanUp” - to go usunie.
Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:
>START>Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy “Wyłącz przywracanie na wszystkich dyskach”>Zastosuj>OK. (W czasie tego chwilowego wyłączenia te kopie usuną się samoczynnie, więc nie ma potrzeby zaglądania do folderu.) Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka).
jessi
Dereq
(Deresiu)
13 Listopad 2009 12:53
#7
Jessica dziękuję bardzo za pomoc! Wygląda na to, że wszystko jest ok. Mam jeszcze jedną prośbę - można sprawdzić te logi bo od pewnego czasu komputer zamula zaraz po uruchomieniu Windowsa:
OTL - http://wklej.org/id/204144/ .
Z góry dziękuję
jessica
(jessica)
13 Listopad 2009 13:06
#8
Nie znam tego.
Nic tu więcej podejrzanego nie ma.
jessi