Po krótce opisze symptomy a poniżej wkleję logi. A więc po włączeniu komputera w miejscu zegara miałem napis VIRUS ALERT! pod dosem każdy katalog i plik miał taki sam przypis czyli VIRUS ALERT!. Do tego po jakichś 10 minutach wyskakwiał błąd Windowsa z takim tekstem:
Windows has detected an Internet attack attempt...
Somebody's trying to infect your PC with spyware or harmful
viruses. Run full system scan now to protect your PC from
Internet attacks, hijacking attempts and spyware! Click here
to download spyware remover for total protection.
Uruchomiłem więc windowsa w trybie awaryjnym uruchomiłem program SmitfraudFix używając opcji 2 a później Combofix. Poniżej zamieszczam raporty.
Hubert, zrobiłem tak jak pisałeś. Podczas wykonywania Twojego skryptu przez ComboFix, NOD32 kilkakrotnie podawał informacje o zainfekowanych plikach w katalogu c:\Qoobox domyślam się że to folder ComboFix’a z plikami objętymi kwarantanną. Skrypt wykonałem w normalnym trybie Windowsa.
Files to delete:
C:\Documents and Settings\Administrator\Moje dokumenty\Odebrane pliki\tightvnc-1.3.9-setup.rar
C:\Documents and Settings\Administrator\Pulpit\dyciu\Call Of Duty 4 Crack\COD4Crack.exe
C:\Documents and Settings\Administrator\Pulpit\dyciu\Call Of Duty 4 Crack\COD4Crack1.exe
C:\Documents and Settings\Administrator\Pulpit\dyciu\Call Of Duty 4 Crack\COD4Crack2.exe
C:\Documents and Settings\Administrator\Pulpit\dyciu\Call Of Duty 4 Crack\iw3sp.exe
C:\Documents and Settings\Administrator\Pulpit\dyciu\Call Of Duty 4 Crack.zip
C:\Documents and Settings\Administrator\Pulpit\progs\SmitfraudFix\Reboot.exe
C:\Documents and Settings\Administrator\Pulpit\progs\SmitfraudFix.exe
C:\WINDOWS\system32\spool\notepad.exe
Folders to delete:
D:\System Volume Information\_restore{90D001A7-0C17-4DF3-A025-899E1DB82A8A}\RP37
kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.
Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt
Zanim odczytałem Twój post na własną rękę usunąłem kilka znalezionych przez Kaspersky’ego plików. Stąd podejrzewam, że te których Avenger nie usunął to te które usunąłem sam.
Nie wiem czy czytałeś mój poprzedni post, ale jeśli nie to zobacz tam, bo już wyżej pisałem, że sam je usunąłem z komputera zanim Ty napisałeś posta. Potem wkleiłem wszystko tak jak pisałeś do Avengera więc nie mógł usunąć tych, które ja już usunąłem. Tak czy inaczej Kaspersky właśnie skończył i oto log z Kaspersky’ego: http://wklej.eu/index.php?id=11e0f4b69f
EDIT: OK, przejrzałem log z ciekawości i zrozumiałem o co chodziło z tym koszem. Zainfekowane były te które usunąłem i stąd taki wynik Kaspersky’ego. Włączyłem ponowne skanowanie tym razem całego obszaru dysku.
EDIT: jako że wykryło mi szkodniki tylko w katalogu w którym zapisywane są informacje o przywracaniu systemu wyłączyłem i włączyłem przywracanie. Ten katalog jest czysty, ale dla pewności po raz kolejny puszczam Kaspersky’ego, tak dla upewnienia sie.