Witam!

Wróciłem dziś do domu po tygodniu na uczelni i zastałem niemile zainfekowany komputer. Chodzi o plik fsmgmt.dll, chociaż antywirus manifestował też pliki secpol.exe oraz userinit.exe. Z relacji rodziny wynika że zaczęło się od kłopotów z pendrive- nie dawał się otworzyć normalnie, trzeba było stosować jakieś obejścia w stylu Eksploruj/zarządzaj etc. Ostatnio Avira AntiVir zaczął podawać informacje o trojanach, w różnych plikach (j.w.). Opcja ‘delete’ ‘pomagała’ na pewien czas- antywirus nic nie protestował przez jakąś godzinę lub dwie, by ponownie radośnie wyświetlić komunikat o trojanie.

Z tego co sam robiłem, nie pomogło nic. Manualnie usunięcie plików z system32, ‘fix entry’ z Hijacka (na wadliwym wpisie), usunięcie antywirusem- na nic, trojan powracał, albo z tym samym plikiem albo pod zmienioną nazwą, także w procesach w Hijacku.

Zastosowałem się też do rad z tego tematu:

viewtopic.php?f=16&t=238884

Mimo że problem wydaje się podobny do mojego, nie było żadnych rezultatów, uporczywy trojan nadal przeszkadza.

Log z ComboFixa:

http://wklej.org/id/d3a0676a13

Log z HijackThis:

http://wklej.org/id/9df1107cd2

(notka: w tym logu z Hijacka nie ma pozycji O20-WINDOWS/system32/-fstgmt.dll, po tym jak usunąłem go 30 minut temu. Swoją drogą usuwałem już go kilka razy, ale po kolejnym powiadomieniu antywira trojan się ‘uaktywniał’)

##EDIT##

Już miałem wysyłać temat, gdy antywirus wyświetlił okno:

Powtórne logi z ComboFix:

http://wklej.org/id/455f8d8fd3

I HijackThis:

http://wklej.org/id/308c078e19

##EDIT##

Pozdrawiam

Wyłącz przywracanie systemu na wszystkich dyskach.http://support.microsoft.com/kb/310405/pl

Wylecz pendriva lub kartę pamięci http://www.softpedia.com/get/Security/S … Tool.shtml lub format

Otwórz notatnik i wklej

zapisz jako plik.reg >> wszystkie pliki >> scal z rejestrem >> restart

powstanie plik o takiej ikonie

w który dwa razy klikniesz potwierdzisz chęć dodania do rejestru potem restart

zrób optymalizacje uruchamiania http://cybertrash.netarteria.pl/cyber/index.php/topic,378.0.html

usuń ręcznie folder C: \Qoobox usuń instalkę Combofix z dysku.

przeskanuj obszar Mój komputer http://www.kaspersky.pl/virusscanner.html pokaż raport stronę uruchomić przez IE

włącz przywracanie systemu

Dzięki za odpowiedź!

Zrobiłem tak jak doradzałeś. Nie ma już żadnych alarmów, O20/… w Hijacku też nie istnieje. Natomiast skanowanie Kasperskim przyniosło taki efekt:

Avira w żaden sposób na to nie reaguje.

Wywalić ten plik manualnie?

usuń ten plik

Usunięte, jeszcze raz dzięki za pomoc!

W dniu 01.05.2008 , o godzinie 15:39 został dopisany post przez Stardust

Witam, mimo rad użytkowników problem powtórzył się po włożeniu innego pendrive innego domownika. Tym razem zamiast jednego komunikatu Aviry jednocześnie wyskakują 3 różne:

http://i30.tinypic.com/1zxqh47.jpg

oraz to ze zdjęcia w poprzednim poście.

Log z Hijacka:

http://wklej.org/id/68d36162c6

Oraz z ComboFix:

http://wklej.org/id/f78fbd6ab0

Co ciekawe, wyżej wymieniony pendrive został również uruchomiony na biurowym komputerze, i również tam wykryto wirusa.

Może jakieś hipotezy skąd wziął się ten trojan? Mam wrażenie że rozpowszechnia się przez pamięci przenośne…

Do wyleczenia pendrive z wirusów użyj http://www.brothersoft.com/prt-(perlovga-removal-tool-60877.html

fix w hijackthis

otwórz notatnik i wklej

Z menu Notatnika -> Plik -> Zapisz jako -> Zmień rozszerzenie z .txt na wszystkie pliki -> zapisz pod nazwą Fix.reg

Uruchom ten plik, uruchom ponownie komputer