Infekcja z pendrive-format nic nie daje

nautka · 7 Sierpień 2009 07:41

Witam.

Mój komputer został zainfekowany trojanami z pendrive. Avast je wykrył, ale nie mógł usunąć. Przeinstalowałam system (win xp home) używając płyty recovery z windowsem i postępując zgodnie z instrukcjami. Po przeskanowaniu świeżego systemu skanerami on-line (Kaspersky, Panda) wykryły one trojany. Przeinstalowałam system jeszcze raz i zainstalowałam Norton antywirus dołączony do komputera. Na świeżym systemie (jeszcze bez dostępu do internetu) znalazł 1 trojana, usunął. Ale skaner on-line (Kaspersky) znowu znalazł trojany. Przeinstalowałam system jeszcze raz i zainstalowałam od razu 30-dniową wersję KIS 8. KIS na czystym systemie wykrył trojany, usunął je (chyba), ale jakiś problem jest nadal, bo dwuklik na ikonie dysku C i dysku D powoduje otwarcie okna Otwórz za pomocą…

Poradźcie coś.

Czy mam wkleić logi?

Dodam jeszcze, że każde przeinstalowanie systemu odbywało się automatycznie i podczas tego procesu ani razu nie padło pytanie, czy sformatować dysk. Domyślam się, że odbywa się to samo z siebie. A może powinnam najpierw ręcznie sformatować dysk i utworzyć partycje?

Z góry dzięki za odpowiedź.

ciemnowidz · 7 Sierpień 2009 07:44

Tutaj nie była potrzebna reinstalacja systemu, bo to drobna infekcja choć antywirusy mają z tym problem.

Wklej log z OTL i GMER

Logi wklej na wklej.org lub wklej.to a tutaj tylko link do wklejki.

nautka · 7 Sierpień 2009 08:47

Log z OTL

http://wklej.org/id/131829/

Z GMER nie mogę dać, bo Kaspersky zidentyfikował ten program jako niebezpieczny i przeniósł go do kwarantanny :?

ciemnowidz · 7 Sierpień 2009 09:35

W dolne białe okienko OTL wklej taki tekst

:OTL PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) O3 - HKCU…\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O32 - AutoRun File - [2009-08-06 20:40:17 | 00,000,063 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-08-06 20:40:17 | 00,000,063 | RHS- | M] () - D:\autorun.inf – [NTFS] O33 - MountPoints2{16a19895-82bd-11de-a2f5-001731de3631}\Shell\AutoRun\command - “” = 8dtyjjf.exe O33 - MountPoints2{16a19895-82bd-11de-a2f5-001731de3631}\Shell\open\Command - “” = 8dtyjjf.exe O33 - MountPoints2{2799dc14-82b4-11de-a2f2-001731de3631}\Shell\AutoRun\command - “” = F:\22yj2fy1.exe – File not found O33 - MountPoints2{2799dc14-82b4-11de-a2f2-001731de3631}\Shell\open\Command - “” = F:\22yj2fy1.exe – File not found O33 - MountPoints2{483647c0-82b2-11de-a2ef-806d6172696f}\Shell\AutoRun\command - “” = 22yj2fy1.exe O33 - MountPoints2{483647c0-82b2-11de-a2ef-806d6172696f}\Shell\open\Command - “” = 22yj2fy1.exe O33 - MountPoints2{483647c1-82b2-11de-a2ef-806d6172696f}\Shell\AutoRun\command - “” = 22yj2fy1.exe O33 - MountPoints2{483647c1-82b2-11de-a2ef-806d6172696f}\Shell\open\Command - “” = 22yj2fy1.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [start explorer] [Reboot]

Klikasz Run Fix. Po restarcie klikasz CleanUp bo więcej nie ma.

Wyłącz na chwilę przywracanie systemu - XP/Vista

Wykonaj pełny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.

Przeczyść dysk i rejestr CCleaner’em.

Podepnij pamięci przenośne i zastosuj FlashDisinfector

nautka · 7 Sierpień 2009 09:59

Przywracanie systemu mam wyłączyć przed Run Fix czy po?

Nie mogę zastosować też FlashDisinfector, bo Kaspersky od razu krzyczy, że zawiera trojana i blokuje dostęp całkowicie do tego FlashDisinfectora.

ciemnowidz · 7 Sierpień 2009 10:47

Najlepiej już po.

Zobacz tutaj: Immunizacja pamięci przenośnych. Zastosuj jeden z tych programów.

nautka · 7 Sierpień 2009 12:43

Dzięki wielkie za pomoc. Komputer wygląda na czysty. Malwarebytes nic nie znalazł.

Ten sam pendrive był podłączany do drugiego komputera, nie ma wprawdzie objawów infekcji, ale czy mogłabym prosić o sprawdzenie loga z drugiego komputera, czy też mam założyć nowy wątek na forum?

Log z OTL.

http://wklej.org/id/131929/

ciemnowidz · 7 Sierpień 2009 12:53

Nie musisz nowego wątku zakładać. Prawie nic nie ma. Wejdź do rejestru (start => uruchom => regedit) i skasuj ten klucz

Potem wykonaj kroki końcowe co napisałem w moim przedostatnim poście.

nautka · 7 Sierpień 2009 14:04

Bardzo dziękuję za pomoc. Przeskanowane, wyczyszczone, pendrive potraktowany Panda USB Vaccine. Mam nadzieję, że będzie dobrze.

Pozdrawiam.