pawel256
(pawel256)
21 Kwiecień 2010 18:37
#1
Proszę o pomoc ponieważ chyba mój komputer został zarażony poprzez pendrive kolegi.
Skan Malwarebytes:
http://wklej.org/id/320381/
Skan OTL:
OTL.txt: http://wklej.org/id/320391/
Extras.txt: http://wklej.org/id/320455/
Skan ComboFix:
http://wklej.org/id/320428/
Proszę o pomoc. Nie jestem pewny czy Malwarebytes wszystko usunął.
[2010-03-29 15:52:09 | 000,261,632 | ---- | C] () – C:\WINDOWS\PEV.exe
[2010-03-29 15:52:09 | 000,098,816 | ---- | C] () – C:\WINDOWS\sed.exe
[2010-03-29 15:52:09 | 000,080,412 | ---- | C] () – C:\WINDOWS\grep.exe
[2010-03-29 15:52:09 | 000,077,312 | ---- | C] () – C:\WINDOWS\MBR.exe
[2010-03-29 15:52:09 | 000,068,096 | ---- | C] () – C:\WINDOWS\zip.exe
[2010-04-21 19:11:29 | 000,128,512 | RHS- | C] () – C:\vgyn6ewc.exe
[2010-04-21 10:17:35 | 000,127,488 | RHS- | C] () – C:\utcddeq.exe
[2010-04-19 15:09:18 | 000,128,512 | RHS- | C] () – C:\r3fhr.exe
[2010-04-10 14:48:52 | 000,117,248 | RHS- | C] () – C:\ba.exe
Infekcje jeżeli się nie mylę
jessica
(jessica)
22 Kwiecień 2010 07:13
#3
[2010-03-29 15:52:09 | 000,261,632 | ---- | C] () – C:\WINDOWS\PEV.exe [2010-03-29 15:52:09 | 000,098,816 | ---- | C] () – C:\WINDOWS\sed.exe [2010-03-29 15:52:09 | 000,080,412 | ---- | C] () – C:\WINDOWS\grep.exe [2010-03-29 15:52:09 | 000,077,312 | ---- | C] () – C:\WINDOWS\MBR.exe [2010-03-29 15:52:09 | 000,068,096 | ---- | C] () – C:\WINDOWS\zip.exe
@ Evil Coca Cola - to pliki jednego z narzędzi, jeśli dobrze pamiętam, to ComboFixa.
==========================================
@ pawel256 - sytuacja niezbyt jasna: z logów wynika, że najpierw był użyty MBAM, potem OTL, i potem ComboFix.
Ale:
Ten plik nieznanego sterownika, który jest w logu OTL, nie jest w ogóle widziany w logu ComboFixa, który przecież był robiony po OTL. Zniknął, czy może ComboFix nie jest w stanie go zobaczyć?
Sprawdzimy to:
Ściągnij -->Avenger .
wklej do niego ten tekst:
Files to delete:
C:\r3fhr.exe
D:\r3fhr.exe
E:\r3fhr.exe
C:\WINDOWS\System32\drivers\aexmabl.sys
C:\vgyn6ewc.exe
D:\vgyn6ewc.exe
E:\vgyn6ewc.exe
C:\Documents and Settings\Dom\Ustawienia lokalne\temp\nodqq0.dll
Drivers to delete:
aexmabl
Kliknij w " Execute " i zatwierdź restart komputera.
Zrestartuj komputer.
Daj Raport z Avengera z C:\avenger.txt .
jessi
pawel256
(pawel256)
22 Kwiecień 2010 13:15
#4
jessica
(jessica)
22 Kwiecień 2010 15:47
#5
Avenger nie znalazł tego “aexmabl.sys”, więc go naprawdę już nie ma. Po prostu zniknął?
W nowym logu nie ma już nic szkodliwego.
W OTL kliknij na przycisk “CleanUp” - to go usunie razem z jego Kwarantanną.
Avenger też jednocześnie zniknie.
ComboFix też zniknie.
jessi
pawel256
(pawel256)
22 Kwiecień 2010 16:35
#6
Mam jeszcze jedno do Ciebie pytanie.
Jeżeli usunąłem złośliwe pliki autorun.inf i zastosowałem programy Flash_Disinfector i USBVaccineSetup mimo to po wejściu na byle jaką partycję dysku i wejściu do folderu autorun.inf mój antywirus wyświetla takie oto okno:
Czy to już będzie normalne?
Leon1
(Leon$)
22 Kwiecień 2010 16:49
#7
szkodliwe były pliki autorun.inf które zostały usunięte
foldery autorun.inf są tworzone w celach ochrony przez wyżej wymienione narzędzie
w nich są tworzone specjalne pliki aby nie można było folderów tych kasować
daj to w avirze do wyjątków
pawel256
(pawel256)
22 Kwiecień 2010 16:53
#8
Po dodaniu tych folderów do ignorowania dalej pojawia się ten problem…
Leon1
(Leon$)
22 Kwiecień 2010 17:01
#9
a po co wchodzić do tych folderów skoro wiesz po co one są
pawel256
(pawel256)
22 Kwiecień 2010 17:08
#10
Jakoś mi to tak przeszkadza, ale chyba dzięki temu już nigdy nie będę miał problemów z tymi plikami.