Problem z autorun.inf w głównych katalogach dysków


(Waldemar Smigaj) #1

W głównych katalogach dysków powstają podejrzane pliki z atrybutami rhs-

b00ijwpu.exe

wcgswa.exe

autorun.inf

ze zmienną zawartością, aktualnie

open=b00ijwpu.exe

shell\open\command=b00ijwpu.exe

a wcześniej

open=wcgswa.exe

shell\open\command=wcgswa.exe

Proszę o sprawdzenie loga z OTL:

http://www.wklej.org/id/183486/


(deFco247) #2

Usuń ręcznie lub Unlockerem plik C:\WINDOWS\AhnRpta.exe

Usuń infekcje z pendrive lub kart pamięci za pomocą Flash Disinfector lub tych narzędzi.

Lub format.

W białe dolne okno Custom Scans/Fixes w OTL wklej:

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania oraz nowy log robiony opcją Run Scan.


(Waldemar Smigaj) #3

Próba usunięcia pliku C:\WINDOWS\AhnRpta.exe ręcznie nie powiodła się (odmowa dostępu), a unlocker pobrany ze strony http://www.dobreprogramy.pl/Unlocker,Pr ... 12240.html nie otwiera się. Plik C:\WINDOWS\AhnRpta.exe nadal jest na dysku.

Log OTL z usuwania:

http://www.wklej.org/id/183535/

Log OTL ze skanowania:

http://www.wklej.org/id/183541/


(deFco247) #4

Pobierz The Avenger i uruchom.

Wklej w niego ten tekst:

Execute i zgadzasz się na restart.

Po restarcie kasujesz plik C:\Avenger\backup.zip i dajesz tutaj do sprawdzenia raport C:\avenger.txt


(jessica) #5

Ale nie sądzę, by Avenger załatwił sprawę, bo oprócz "AhnRpta" są jeszcze inne obiekty i klucze do usunięcia, np.:.

Ja proponuję:

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

jessi


(Waldemar Smigaj) #6

W programie Avenger Execute uruchamiałem dwa razy co widać w logu:

musiałem uzupełnić pierwszy wiersz podpowiedzi o wyrazy:

to delete

i wtedy poszło.

Jednak gdy po restarcie podglądam katalog C:\Windows Total Commander'em to niestety nadal widzę w nim plik C:\WINDOWS\AhnRpta.exe, który wygląda na kopię pliku notepad.exe (ta sama długość, ta sama data i czas, wczoraj porównywałem oba te pliki z wiersza poleceń

fc notepad.exe AhnRpta.exe Nie było między nimi różnic???)

Przy próbie skasowania Total Commanderem jest:

Błąd: C:\WINDOWS\AhnRpta.exe nie może być usunięty!

Proszę usunąć zabezpieczenie przed zapisem!

Log z execute Avenger po restarcie:

http://www.wklej.org/id/183613/

Dzięki za to co już i co robić dalej?


(jessica) #7

Spróbuj wykonać moje zalecenie, z mojego poprzedniego postu.

EDIT:

Tak, w logu wyrażnie widać, że "AhnRpta" nie tylko udaje plik Microsoftu, ale też jest w jakiś sposób powiązany z "C:\WINDOWS\notepad.exe

C:\Program Files\Messenger\msmsgs.exe

C:\WINDOWS\Explorer.EXE"

wskazuje na to godzina modyfikacji tych wszystkich plików.

jessi


(Waldemar Smigaj) #8

Byłem w trakcie wykonywania podpowiedzi deFco247

Oto log z OTL po naciśnięciu RunFix

http://www.wklej.org/id/183638/

Oto log z OTL po naciśnieciu RunScan

http://www.wklej.org/id/183641/

Dziękuję za pomoc, ale plik C:\WINDOWS\AhnRpta.exe nadal jest.


(jessica) #9

W logu go nie ma.

Ale:

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

jessi


(Waldemar Smigaj) #10

Log OTL z usuwania:

http://www.wklej.org/id/183657/

Log OTL ze skanowania:

http://www.wklej.org/id/183658/

Bingo! W Total Commanderze nie widać pliku C:\WINDOWS\AhnRpta.exe!

Ale jakbyś mogła to rzuć okiem jeszcze na te logi.


(jessica) #11

Tak, jest czysto.

Jeśli chcesz usunąć OTL, to wystarczy w nim kliknąć na przycisk "CleanUp".

Usuń kopie szkodników z folderu "System Volume Information" poprzez chwilowe wyłączenie "Przywracania Systemu":

jessi


(Waldemar Smigaj) #12

Wielkie dzięki, deFco247 i Jessi, za pomoc! :slight_smile: Macie bardzo przydatną wiedzę!

Sam nie uporałbym się z tym paskudztwem...