Dzieki ale to znów na nic. Ja nie mogę zobaczyc tych ukrytych plików bo mnie nie puszcza.
Wszedłem jednak przez Total Commandera i wyczyściłem wszystko na C. Sprawdzam pozostałe partycje a w każdej z nich siedzą te same pliki które wczesniej wyrzucałem z C. Jest jeszcze wszędzie plik autorun.inf oprócz tamtych??? Czy jego też mam sie pozbyć ? Na dodatek nie mogę wejść do tych dysków normalnie bo pyta się czym ma je otworzyć?
Wejdź w tryb awaryjny windows Instrukcja tutaj http://forum.pcformat.pl/showthread.php?tid=13358
Pobierz Combofix spróbuj uruchomić
Dzięki za poradę z tym trybem awaryjnym. ComboFix poszedł. Podaje logi:
ComboFix 08-08-26.02 - alek 2008-08-27 14:11:04.1 - NTFSx86 NETWORKWylecz pendriva lub kartę pamięci
lub format
Wklej do Notatnika :
File::
C:\WINDOWS\system32\ckvo1.dll
C:\WINDOWS\Internet Logs\xDB4.tmp
C:\WINDOWS\Internet Logs\xDB3.tmp
C:\WINDOWS\Internet Logs\xDB2.tmp
C:\WINDOWS\Internet Logs\xDB1.tmp
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\L]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{574e0630-36c5-11db-a386-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{574e0631-36c5-11db-a386-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{574e0632-36c5-11db-a386-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{574e0633-36c5-11db-a386-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8cda71a-36b1-11db-b74d-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8cda71b-36b1-11db-b74d-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8cda71c-36b1-11db-b74d-806d6172696f}]
>>Plik>>Zapisz jako… >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
–>
Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania.
Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:** Qoobox.**
================
K.
Człowieku! Masz archiwum wirusów! :o :o :o :o Zmień antywirusa to po 1 a po drugie chyba tylko format każdego dysku cię uratuje! Zobacz ile tego jest. Naprawdę formacik każdego dysku się przyda i przede wszystkim: zmień antywirusa!
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
D:\Autorun.inf
D:\uvg.com
E:\Autorun.inf
E:\uvg.com
F:\Autorun.inf
F:\uvg.com
I:\Autorun.inf
I:\uvg.com
J:\Autorun.inf
J:\uvg.com
K:\Autorun.inf
K:\uvg.com
L:\Autorun.inf
2008-08-27 14:13 . 2008-08-27 14:13 53,248 --a------ C:\Temp\catchme.dll
2008-08-27 12:24 . 2008-08-08 07:04 545 --a------ C:\WINDOWS\UC.PIF
2008-08-27 12:24 . 2008-08-08 07:04 545 --a------ C:\WINDOWS\RAR.PIF
2008-08-27 12:24 . 2008-08-08 07:04 545 --a------ C:\WINDOWS\PKZIP.PIF
2008-08-27 12:24 . 2008-08-08 07:04 545 --a------ C:\WINDOWS\PKUNZIP.PIF
2008-08-27 12:24 . 2008-08-08 07:04 545 --a------ C:\WINDOWS\NOCLOSE.PIF
2008-08-27 12:24 . 2008-08-08 07:04 545 --a------ C:\WINDOWS\LHA.PIF
2008-08-27 12:24 . 2008-08-08 07:04 545 --a------ C:\WINDOWS\ARJ.PIF
2008-07-09 07:05 75,248 ----a-w C:\WINDOWS\zllsputility.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\K]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\L]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{574e0630-36c5-11db-a386-806d6172696f}]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{574e0631-36c5-11db-a386-806d6172696f}]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{574e0632-36c5-11db-a386-806d6172696f}]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{574e0633-36c5-11db-a386-806d6172696f}]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8cda71a-36b1-11db-b74d-806d6172696f}]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8cda71b-36b1-11db-b74d-806d6172696f}]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8cda71c-36b1-11db-b74d-806d6172696f}]
\Shell\AutoRun\command - ph.com
\Shell\explore\Command - ph.com
\Shell\open\Command - ph.com
.
- - - - ORPHANS REMOVED - - - -
HKCU-Run-kamsoft - C:\WINDOWS\system32\ckvo.exePobierz Combofix ale nie uruchamiaj wklej do notatnika:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.
Pobierz ATF Cleaner http://dobreprogramy.pl/index.php?dz=19 … TF+Cleaner wyczyść wszystkie katalogi Temp
al23 , poczytaj te tematy i popraw temat oraz posta.
Pobierz ComboFix, ale nie uruchamiaj
Otwórz notatnik i wklej do niego:
File::
C:\Temp\catchme.dll
C:\WINDOWS\Internet Logs\xDB1.tmp
Plik -> zapisz jako -> CFScript.txt.
Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->
Rozpocznie się usuwanie i powstanie log, który dasz na forum.
Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link
Usuń ręcznie to:
usuń ręcznie folder C: \Qoobox , usuń instalkę Combofix z dysku.
Przeczyść komputer Ccleanerem
Wykonaj optymalizację autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja
Przeskanuj obszar mojego komputera http://www.kaspersky.pl/virusscanner.html (uruchom przez IE) Daj raport z niego na forum
lub
Pobierz The Avenger zaznacz poniższy tekst
kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku plik: C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt
Pliki usunięte powinno być OK. Możesz dla pewności przeskanować raz jeszcze.
Jak na razie dzięki. Przeskanuję raz jeszcze i dam info.
Oto raport z Kasperskiego:
Czy informacja na temat zainfekowanych obiektów powinna mnie martwić czy tak już musi być?
Jest OK.
Wielkie dzięki tym którzy mi pomagali
Mam jeszcze jedno pytanko. Domyślam się skąd przyniosłem to paskudztwo. Zdjęcia z wakacji wklejałem do bloga w “różnych” kawiarenkach internetowych. Wrzuciłem jedną kartę ze zdjęciami w domu i mi się wszystko posypało. Mam jeszcze 4 karty i nie chcę przechodzić tego wszystkiego od nowa. Czy coś można tu zrobić bez oczywiście straty zdjęć(format) ? Chyba że to był inny powód a karty są czyste(CF).
Jak się okazało wszystkie karty były zawiruszone oraz 2 pendrivy które używałem. Postarałem sie usunąć to paskudztwo ale nie wiem czy jeszcze coś nie zostało. Proszę o zerkniecie na logi z ComboFixa: