Po włożeniu dysku wymiennego mój system (XP) został zaatakowany z dysku wymiennego, informację mi podał antywirus Avira… Pomimo błyskawicznej reakcji (wyjąłem go po prostu), teraz co jakiś czas Avira wykrywa w systemie Malware
Proszę o pomoc!
Zgodnie z instrukcją dokonałem skanu OTLem, poniżej wyniki:
Kliknij w nim na: DELETION.
Daj raport z tego usuwania.
Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
jessi
Niestety chyba nie udało się rozwiązać problemu, może po kolei
Podczas deletion, zgodnie z prośbą podpiąłem zainfekowany dysk wymienny, usbfix zadziałał, natomiast zaraz po nim, jak dysk został wpięty antyvir quard znowu wykrył infekcję, tym razem komunikat, że blokuje C:\autorun.inf
Więc wyjąłem ten dysk, zrobiłem od nowa deletion już bez wpisania dysku, to wynik:
Wynik z OTL przed restartem:
Nowy wynik z OTL:
Niestety, ale obecnie avira regularnie daje mi do zrozumienia, że blokuje autorun.inf na dysku C
Nie wiem, co to za pliki.
Sprawdź je na --> JOTTI/ albo na VIRUSTOTAL albo na VIRSCAN
Któryś z tych Koszy jest fałszywy.
Usuniemy oba, ale poczekamy z usuwaniem do czasu sprawdzenia tych plików podanych wyżej.
Dodaj to do wyjątków, bo to jest folder postawiony przez USBFix:
jessi
Nie widzę tych plików i nie da się ich wczytać do żadnego skanera, ogólnie też nie widać ich Total Commanderem, ani przez mój komputer (po ujawnieniu plików ukrytych).
Infekcja mnie naszła z dysku pomocniczego F:, który cały czas jest odpięty, i mam też prośbę o pomoc z bezpiecznym usunięciem tego dziadostwa stamtąd, bo zależy mi na danych tam zawartych…
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
Użyj USBFix z tym podpiętym dyskiem.
jessi
Raport po restarcie:
Raport z usuwania z dysku wymiennego usbfix
Raport z OTL po wszystkim:
To jeszcze poproszę o informację, w jaki sposób w avirze dodać do wyjątków, bo jakoś nie mogę tego znaleźć 
I czy ewentualnie nie mogę po prostu usunąć tych stworzonych przez usbfix autorunów, skoro i tak są blokowane przez antyvir? Bo już mam 2 takowe, na dysku C i E
I jeszcze z tymi koszami, to nie wiem, czy już je usunęliśmy, w międzyczasie czy nie 
Naprawdę strasznie dziękuję za wsparcie!
Marek
Z raportu USBFix wynika, że na dysku “F” nie ma nic, jest zupełnie pusty, nie ma ani jednego pliku, ani jednego folderu. Nic.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
Nie mam Aviry, więc nie jestem w stanie tego wyjaśnić.
Popatrz na rysunek “Exception” na tej stronie >http://brodziu3.ovh.org/?p=p_17
One zostały stworzone po to, by utrudnić infekcji przedostawanie się z pena na dysk twardy.
Zresztą, nie sądzę, by udało Ci się usunąć te foldery, są specjalnie zabezpieczone przed usunięciem.
Tak, usunięte.
Prawidłowy KOSZ natychmiast się oczywiście odrodził, a fałszywy już nie istnieje.
jessi
Powtórz usuwanie, tylko tym razem nie zapomnij o wklejeniu także dwukropka znajdującego się na samym początku Scriptu. ( : OTL )
Okazuje się, że OTL nie jest w stanie tego usunąć.
Ściągnij -->Avenger.
wklej do niego ten tekst:
Files to delete:
C:\WINDOWS\System32\agremove.exe
Kliknij w " Execute" i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt.
Oraz nowy log z OTL.
jessi
Zamieszczam:
– Dodane 19.11.2010 (Pt) 16:24 –
Przepraszam, ale do niedzieli mnie nie będzie, bo uciekam od komputera na weekend, co nie zmienia faktu, że wciąż jestem zainteresowany końcówką rozwiązania problemu 
Jeszcze raz dziękuję!
Jak widać, nawet Avenger sobie z tym nie poradził.
Dawałam to do usuwania na podstawie >http://www.prevx.com/filenames/2757524582838765900-X1/AGREMOVE.EXE.html
Ale sprawdzimy, czy nie ma tu jakiejś pomyłki, skoro to się nie daje usuwać.
Sprawdź ten plik > JOTTI/ albo na VIRUSTOTAL albo na VIRSCAN
jessi
W takim razie zostawiamy go w spokoju.
Gdyby był szkodliwy, to przynajmniej kilka Antivirusów by to wykryło.
W USBFix kliknij na przycisk UNINSTALL
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
jessi
Bardzo dziękuję za pomoc!
Pozdrawiam!