Witam!
Około 2 tygodnie temu ktoś przyniósł mojego pendrive’a z kawiarenki w której coś drukował. Niestety po włożeniu do laptopa (WinXPPRo) okazało się że zaraził się w kawiarence wirusem:
Win32:Detnat-AX na I[wtedy pendrive]:\explorer.exe
Mimo że Avast go wykrył i wybrałem usuń na dobre, to jednak jakoś się dostał do laptopa (pewnie w związku z tym że nie miałem wtedy niestety wyłączonego autoodtwarzania).
Od wtedy jak lawina zaczęły pojawiać się kolejne trojany i wirusy typu Win32 (np. Bloodhound.Morphine, Worm.Mytob, Trojan.MulDrop.6474, Trojan.PWS.Wsgame.3434, Trojan.NtRootKit.880, Trojan.PWS.Gamania.5967, Trojan.Nsanti.Packed, Win32.HLLW.Autoruner, W32.Gammima, Infostealer.Gampass
na wszystkich moich dyskach (wewnętrznych i zewnętrznych) w podobnych plikach (wiele z nich dokładnie te same na wszystkich dyskach a niektóre unikalnie na konkretnym dysku) np. autorun.inf, xpbkh.com, i.exe, uisvkqr.exe, y82td3td.com itp. oraz w wielu plikach przywracania systemu.
Nie można było pokazać ukrytych plików. Po usunięciu niektórych wirusów przestały się otwierać dyski normalnie przez dwuklik.
Używając głównie Dr.Weba usunąłem chyba wszystkie na wszystkich dyskach – mam kilka zewnętrznych dysków. Laptop przeszedł też ponowną instalację systemu – i na szczęście problem z laptopem jest zażegnany.
Jednak w którymś momencie coś musiałem przeoczyć (albo ktoś z domowników) ponieważ zawirusił się dokładnie tak samo również stacjonarny komputer (WinXPPRo) (zarówno dysk systemowy C: jak i dysk D: ) który zaczął wolno pracować, tak ze trudno go było używać– również na nim pousuwałem tak samo prawie dokładnie te same wirusy prawie wszystkie w takich samych plikach (co ciekawe często niektóre wirusy infekowały plik który na laptopie był też zainfekowany ale przeciwnym wirusem np. xpbkh.com zainfekowany na dysku C: przez wirusa A, na dysku D: przez wirusa B, a na F: przez wirusa C – czy one uczą się tego od siebie nawzajem jakie zainfekowane pliki tworzyć/infekować?). Jednak już nie przeinstalowywałem systemu, bo komp zaczął trochę szybciej pracować i był niestety komuś bardzo potrzebny „na teraz” .
Dzisiaj po restarcie systemu Avast wykrył:
Win32.aucrypt [cryp] w pliku C:\WINDOWS\SYSTEM32\amvo0.dll
Oraz pojawił się komunikat pliku amvo.exe w stylu że " Instrukcja spod ……. odwołuje sie do pamięci pod adresem ……. Pamięć nie może byc “read” ". (ten komunikat pojawił się już parę razy w ciągu ostatniego tygodnia ).
I niby go usunął, ale w msconfig w zakładce Uruchamianie nadal jest proces amvo.exe. Nie daje się też pokazać ukrytych plików.
Następnie Dr.Web wykrył między innymi i niby usunął:
Trojan.MulDrop.6474, Trojan.PWS.Wsgame.3434, Trojan.PWS.Gamania.5967, Win32.HLLW.Autoruner, Trojan.PWS.Gamania.5967 (wszystkie były też wcześniej na tym moim laptopie) w plikach np. xpbkh.com, cfdflx.com, y02mq6.exe w głównym katalogu dysków, amvo.exe w C:\WINDOWS\SYSTEM32\amvo.exe
Poniżej zamieszczam log z Combofixa z prośbą o sprawdzenie czy mój komputer można by uznać za czysty (chociaż mam wątpliwości, bo nadal jest ten amvo.exe w msconfig w zakładce Uruchamianie)?
Czy jeśli bym ponownie zainstalował system na C:, to jeśli zostałyby jakieś zainfekowane pliki na dysku D: (bo może czegoś Dr.Web i Avast nie usunęły), to czy ten system może się znów zainfekować i jeśli tak to w jakich przypadkach może się to zdarzyć?
I mam oczywiście pytanie w związku z powyższym czy znacie lepszy antywirus niż avast (nawet płatny) (może NOD32?), i czy oprócz tego antywirusa powinienem coś jeszcze mieć na stałe zainstalowane aby zmniejszyć w przyszłości możliwość takiego zmasowanego ataku wiruso-trojanów? (do tej pory używałem Avasta + gdy był problem sprawdzałem komp zazwyczaj głównie Dr.Webem)
Przepraszam że tyle tego napisałem ale gdzieś musiałem wylać jakby swój żal z powodu tego co wynikło z podłączenia jednego małego pendrive’a.
Dołączam życzenia świąteczne i przepraszam że tak przed świętami
Oto log z Combofixa:
http://wklej.org/id/4b45569fc1
EDIT: poprawiłem by log był ze strony wklej