Witam,
prawdopodobnie chodzi o autorun z pendriva (nie można otworzyć dysków - wyświetla komunikat otwórz za pomocą …) ale nie jestem pewien prosiłbym o pomoc oto log z otl:
http://wklej.org/id/340637/
http://wklej.org/id/340641/ - extras
– Dodane 27.05.2010 (Cz) 10:52 –
a więc pomoże ktoś?
dodatkowo logi z drugiego kompa bo nod32 pokazał infekcje …
http://wklej.org/id/340779/
http://wklej.org/id/340778/ -extras
syfu trochę jest.
czy logi były wykonywane przy podłączonym pendrive?
jeśli nie, podłącz wszystkie zainfekowane pendrive’y i wykonaj jeszcze raz
tak przy podłączonych ale z pendrivów pozbyłem się tego usuwając autoruny i plik 33.exe drugiego kompa proszę nie sprawdzać bo właśnie mi się xpek wywalił i czeka mnie format po formacie wkleje logi bo na dysku d pewnie coś się ostało…
1. podepnij zainfekowane pendrive’y
W Custom Scans/Fixes w OTL wklej:
:OTL O4 - HKU\S-1-5-21-2619750746-2946954297-226695-1006…\Run: [dso32] C:\Documents and Settings\Masta\Ustawienia lokalne\Temp\dsoqq.exe () O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - File not found O32 - AutoRun File - [2010-05-26 23:20:48 | 000,000,053 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-05-26 23:20:52 | 000,000,053 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-05-26 23:20:56 | 000,000,053 | RHS- | M] () - F:\autorun.inf – [FAT32] O32 - AutoRun File - [2010-05-26 23:21:02 | 000,000,053 | RHS- | M] () - G:\autorun.inf – [FAT32] O33 - MountPoints2{64b1555e-1fe0-11df-ae30-002243e2aa06}\Shell\AutoRun\command - “” = 33r.exe O33 - MountPoints2{64b1555e-1fe0-11df-ae30-002243e2aa06}\Shell\open\Command - “” = 33r.exe O33 - MountPoints2{68ec439a-61e4-11df-ae60-002243894f81}\Shell\AutoRun\command - “” = F:\p6xebrnt.exe – File not found O33 - MountPoints2{68ec439a-61e4-11df-ae60-002243894f81}\Shell\open\Command - “” = F:\p6xebrnt.exe – File not found O33 - MountPoints2{85beec66-26a2-11df-ae3f-002243894f81}\Shell\AutoRun\command - “” = G:\33r.exe – [2010-05-22 18:16:00 | 000,114,688 | RHS- | M] () O33 - MountPoints2{85beec66-26a2-11df-ae3f-002243894f81}\Shell\open\Command - “” = G:\33r.exe – [2010-05-22 18:16:00 | 000,114,688 | RHS- | M] () O33 - MountPoints2{f2a2c8f8-6684-11df-ae65-002243894f81}\Shell\AutoRun\command - “” = F:\33r.exe – [2010-05-22 18:16:00 | 000,114,688 | RHS- | M] () O33 - MountPoints2{f2a2c8f8-6684-11df-ae65-002243894f81}\Shell\open\Command - “” = F:\33r.exe – [2010-05-22 18:16:00 | 000,114,688 | RHS- | M] () O34 - HKLM BootExecute: (autocheck autochk *) - File not found :Files C:\Documents and Settings\Masta\Ustawienia lokalne\Temp\dsoqq0.dll C:\autorun.inf D:\autorun.inf F:\autorun.inf G:\autorun.inf F:\p6xebrnt.exe G:\33r.exe F:\33r.exe C:\33r.exe C:\p6xebrnt.exe C:\bar.emf C:\p9rs.exe :Reg [-HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] :Commands [emptytemp] [Reboot]
i kliknij: Run FIX
System samoczynnie się zrestartuje.
Po restarcie zrób i wrzuć nowego loga (wrzuć log podstawowy otl.txt oraz extras.txt )
użyj Flash Disinfector , aby zabezpieczyć pendrive’y
a więc tak tutaj logi z kompa po formacie:
http://wklej.org/id/341459/ - otl
http://wklej.org/id/341460/
i tutaj logi po kasowaniu z laptopa (na pendrivach użyłem autorun protector):
http://wklej.org/id/341465/# - extras
http://wklej.org/id/341466/ - otl
samego loga z kasowania nie mam … przepraszam ale nie zapisałem
komputer 1:
Na pendrive’ach są dalej pliki autorun.
http://x86.pl/download/xp_no_autorun.reg - pobierz to i scal z rejestrem (uruchom). Wyłączy autorun.
Następnie użyj flash disinfector (podepnij wszystkie pendrive’y) lub jeśli masz z nim jakiś problem - USBfix .
W OTL kliknij CleanUp - program automatycznie usunie się
Wyłącz przywracanie systemu na wszystkich dyskach - tutorial: XP | Vista | Windows 7
Przeskanuj system Malwarebytes AntiMalware - ustaw pełne skanowanie oraz podeślij log
Włącz przywracanie
Przeczyść system Ccleaner’em
Zdefragmentuj dysk - możesz użyć programu windowsowego jak i również darmowego Defraggler - który szczerze polecam.
komputer 2:
również, jak w 1. przypadku użyj http://x86.pl/download/xp_no_autorun.reg - pobierz to i scal z rejestrem (uruchom). Wyłączy autorun.
W Custom Scans/Fixes w OTL wklej:
:OTL MOD - [2010-05-28 17:44:20 | 000,075,264 | RHS- | M] () – C:\Documents and Settings\Mateusz\Ustawienia lokalne\Temp\dsoqq1.dll O4 - HKU\S-1-5-21-117609710-1482476501-839522115-1003…\Run: [dso32] C:\Documents and Settings\Mateusz\Ustawienia lokalne\Temp\dsoqq.exe () O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - File not found O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shoc … wflash.cab (Shockwave Flash Object) O32 - AutoRun File - [2010-05-28 18:02:56 | 000,000,053 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-05-28 18:02:56 | 000,000,053 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2003-10-22 08:05:32 | 000,000,039 | R— | M] () - E:\AUTORUN.INF – [CDFS] O34 - HKLM BootExecute: (autocheck autochk *) - File not found :Files C:\autorun.inf C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-117609710-1482476501-839522115-1003UA.job C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-117609710-1482476501-839522115-1003Core.job C:\bu8.exe C:\WINDOWS\tasks\SA.DAT :Commands [emptytemp] [Reboot]
i kliknij: Run FIX
System samoczynnie się zrestartuje.
Po restarcie zrób i wrzuć nowego loga (wrzuć log podstawowy otl.txt oraz extras.txt )