Nieusuwalny plik eyt.exe

admirale · 22 Maj 2010 00:25

To jest ciąg dalszy tego tematu, ale pozwoliłem sobie założyć osobny wątek, bo dotyczy to innych (2) komputerów znajomych, którzy podpinali od nas pendrive i dysk z infekcją zawierającą plik eyt.exe

Podobnie jak u mnie, nie da się tego pliku usunąć “konwencjonalnymi metodami” (czytaj: avast i nod).

W pierwszym komputerze zastosowaliśmy na początek USBFix i wykrył trochę śmiecia.

Oto raport:

http://www.wklej.org/hash/c695aa6224d/

Mogę tu wkleić link do logów OTL z drugiego kompa, czy raczej nie mieszać?

jessica · 22 Maj 2010 04:22

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

admirale · 22 Maj 2010 11:15

jest zrobione.

raport z Run Fix:

http://www.wklej.org/hash/b5d684446d7/

Run Scan - Extras:

http://www.wklej.org/hash/8b73c0d18d1/

OTL:

http://www.wklej.org/hash/740c1596f30/

jessica · 22 Maj 2010 11:36

Z rozpędu dałam do usunięcia foldery “autorun.inf”; wprawdzie tylko z dysku “C” dało się to usunąć, a z innych na szczęście nie.

Ale i tak musisz znowu użyć >Flash Disinfector, by postawić ten folder znowu na dysku “C”.

Jest czysto.

jessi

admirale · 23 Maj 2010 11:16

Wcześniej używaliśmy funkcję Vaccinate z USBFix, ale to chyba to samo?

Czy w tym przypadku konkretnie potrzebny jest Flash Disinfector do przywrócenia tego folderu?

jessica · 23 Maj 2010 11:40

Nie, to wcale nie musi być Flash Disinfector, może być “Vaccine”.

jessi

admirale · 24 Maj 2010 10:48

Zrobione. Wszystko gra jak na razie. Dzięki wielkie jessica!

Mamy jeszcze jeden komp, do którego prawdopodobnie “wszczepiliśmy” ten plik/wirus za pomocą pendrive. Wskazuje na to m.in. bardzo długi czas uruchamiania systemu, wieszanie się niektórych programów oraz tzw. “mulenie” podczas wielu operacji.

Czy wkleić tutaj logi z OTL, czy założyć osobny wątek?

Mogę jeszcze prosić o pomoc?

jessica · 24 Maj 2010 11:12

Chyba możesz dać tutaj

Wprawdzie to inny komputer, ale jeśli zaznaczysz, że to z innego komputera, to chyba nikomu to nie będzie przeszkadzało.

jessi

admirale · 24 Maj 2010 22:04

OK., a więc mam ( zaznaczam, że dotyczy to już innego komputera

OTL: http://www.wklej.org/hash/9c5aaa48ffa/

Extras: http://www.wklej.org/hash/5f8c0bf879b/

jessica · 24 Maj 2010 22:36

Tu nie ma nawet najmniejszego śladu tej infekcji.

Więc usuniemy inne:

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL O3 - HKU.DEFAULT…\Toolbar\WebBrowser: (BearShare MediaBar) - {B7D3E479-CC68-42B5-A338-938ECE35F419} - C:\Program Files\BearShare MediaBar\MediaBar.dll File not found O3 - HKU\S-1-5-18…\Toolbar\WebBrowser: (BearShare MediaBar) - {B7D3E479-CC68-42B5-A338-938ECE35F419} - C:\Program Files\BearShare MediaBar\MediaBar.dll File not found O3 - HKU\S-1-5-21-725345543-1770027372-839522115-1003…\Toolbar\WebBrowser: (BearShare MediaBar) - {B7D3E479-CC68-42B5-A338-938ECE35F419} - C:\Program Files\BearShare MediaBar\MediaBar.dll File not found O4 - HKLM…\Run: [Cmaudio] File not found MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= - File not found [2009-09-11 19:42:01 | 000,000,000 | —D | M] – C:\Documents and Settings\Admin\Dane aplikacji\BearShare [2007-01-16 13:58:10 | 000,000,371 | ---- | M] () – C:\3456346345643.exe :Commands [emptytemp] [resethosts] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

admirale · 25 Maj 2010 22:49

A to ciekawe, bo na 100% podpinaliśmy ten zainfekowany dysk z poprzedniego komputera…

Tak czy inaczej zrobione:

RunFix: http://www.wklej.org/hash/b26254c9953/

OTL: http://www.wklej.org/hash/c250967d229/

Extras: http://www.wklej.org/hash/8464d66e16b/

Niestety system nadal mocno się “przycina”/“muli” mówiąc potocznie. Co jeszcze można zrobić aby go odciążyć nie wliczając zmian sprzętowych?

jessica · 26 Maj 2010 01:31

W nowym logu nie ma już nic podejrzanego.

Jeśli nie ma infekcji, to na “mulenie” nic Ci nie doradzę.

Możemy co najwyżej sprawdzić jeszcze, czy nie masz jakiegoś Rootkita - bo OTL nie widzi Rootkitów.

Daj log z GMER (niżej na stronie linku)

jessi

admirale · 26 Maj 2010 23:00

Nie wiem czy dobrze go wygenerowałem (opcja “Usługi” i zakładka “Rootkity”). Mam nadzieję, że jest OK. Oto link do raportu: http://www.wklej.org/hash/85b0564185b/

Pojawił się natomiast po ostatnim czyszczeniu taki mały problem, otóż po podłączeniu drukarki do USB słychać potrójny dźwięk i nie przyjmuje poleceń do drukowania. Sprawdzaliśmy na wszystkich wolnych portach USB - nie “trawi” jej. Drukarkę widzi jako offline, a przy próbie ręcznej zmiany trybu wyskakuje komunikat iż drukowanie tego i innych dokumentów nie powiodło się… Czy to może być powiązane z tym operacjami, czy to raczej błąd sprzętu?

jessica · 27 Maj 2010 05:29

W logu nie widać żadnego Rootkita.

Tak więc można uznać, że jest czysto.

Problemy z drukarką nie mają nic wspólnego z usuwaniem, bo nie było usuwane nic, co mogłoby mieć jakikolwiek związek z drukarką…

jessi

admirale · 27 Maj 2010 12:14

Pardon, nie napisałem, że chodziło o ten komputer .

deFco pomógł mi go oczyścić, ale obawiam się, że teraz nie zauważy już mojego pytania w tamtym wątku, a nowego nie będę zakładać bo nie chce śmiecić na forum.

Możliwe, że to “dziury” po ComboFix’ie… nie wiem. Tak czy inaczej system nie rozpoznaje żadnej drukarki, więc od momentu usunięcia tamtych infekcji nic się nie da wydrukować…