Problem z usunięciem wirusa z Pendrive


(Murzinek) #1

Witam,

Mam problem z usunięciem wirusa "Trojan-gen" z Pendrive...

Gdy chcę sformatować Pendrive pisze że nie można go sformatować ponieważ plik jest chroniony przed zapisem... Sam Pendrive nie posiada żadnych zabezpieczeń typu jakiś klawisz zabezpieczający...

Gdy skanuję Pena przez Avasta i próbuję użyć jakiejś opcji typu Kwarantanna lub Usuń, wyskakuje okienko:

Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces

Nie można przetworzyć pliku "J:\Recycled\INFO.EXE"

-------||------- "J:\Autorun.inf"

-------||------- "J:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe"

Nie mogę ni wrzucić na Pena ani ręcznie nic z niego usunąć...

MÓJ PENDRIVE

Z góry dzięki za pomoc...


(Krzkaczor) #2

http://www.searchengines.pl/index.php?s ... ntry369724

A na tym zdjęciu widać jakas blokadę zapisu chyba :roll:


(Laszjwrz) #3

Użyj Flash Disinfector.

Pobierz również Hijackthis i ComboFix - viewtopic.php?f=16&t=36654.

Uruchom Hijackthis z opcji "Do a system scan and save a logfile".

Później uruchom ComboFix i pokaż oba logi na forum.


(Murzinek) #4

Logfile of HijackThis v1.99.1

Scan saved at 14:08:08, on 2008-11-08

Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\YZToolBar\YzToolBar.exe

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Gadu-Gadu\gg.exe

C:\Profile\Administrator\Pulpit\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.pl

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ulubione

R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (file missing)

O1 - Hosts: 213.180.130.200 localhost

O1 - Hosts: 217.17.44.59 www.fotka.pl/czat.php

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (file missing)

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O4 - HKLM..\Run: [Aero Toolbar] C:\YZToolBar\YzToolBar.exe

O4 - HKLM..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM..\Run: [ATIPTA] atiptaxx.exe

O4 - HKLM..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM..\Run: [CM-SmWizard] C:\WINDOWS\System\SmWizard.exe

O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon

O4 - HKLM..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM..\Run: [Anti Trojan Elite] C:\Program Files\Anti Trojan Elite\TJEnder.exe :NO

O4 - HKCU..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray

O4 - HKCU..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Winamp Search - C:\Profile\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip..{FB8179FA-DDC6-4772-A0D2-831D717C140A}: NameServer = 83.238.255.76 213.241.79.37

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\COMMON~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

A jak chce wlaczyc ComboFix to wyskakuje Error - Win32 only...


(Gutek) #5

Zmiana zasad wklejania logów na forum - viewtopic.php?f=16&t=253052

Skan:

- BitDefender Pica Removal Tool

- PRT (Perlovga Removal Tool)

usuń wpis HJT


(Murzinek) #6

Malwarebytes' Anti-Malware nic nie wykrył... Żadnej infekcji, a Avast, Kaspersky, Arca Vir i Avira nadal wykrywają Trojana-Gen, Agenta XKO i jakiegos BV:AutoRun-G [Wrm] :frowning:


(Technik Elektro) #7

wejdź na pena i zajrzyj do pliku Autorun.ini jeśli jest i podaj zawartość.


(Gutek) #8

Skanowałeś

- BitDefender Pica Removal Tool

- PRT (Perlovga Removal Tool)

(Murzinek) #9

Nie ma tego pliku...


(Gutek) #10

Zrobiłeś to co napisałem?


(Murzinek) #11

BitDefender Pica Removal Tool - Nie wykrył żadnej infekcji...

PRT (Perlovga Removal Tool) - Znów ten program znalazł 44 infekcje...

Dołączam screeny:

SCREEN 1

SCREEN 2

SCREEN 3


(Spandau) #12

Podłącz pendrive do komputera

Pobierz Combofix przeskanuj system i daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj tylko linka

Wyłącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar Mój komputer Kaspersky Online Scanner Uruchom pod IE daj raport na forum

Włącz przywracanie systemu na wszystkich dyskach


(Murzinek) #13

Nie mogę uruchomić ComboFixa ponieważ wyskakuje taki ERROR: SCREEN

Strona która ma przeskanować nie chce się załączyć: [urlhttp]SCREEN


(Gutek) #14

Podłącz pendriv i przeskanuj Malwarebytes' Anti-Malware - Wciskamy Skanuj , wybieramy dyski do skanowania i Rozpoczynamy skanowanie , na końcu wciskamy Usuń zaznaczone


(Murzinek) #15

Oto log z Malwarebytes' Anti-Malware :

Malwarebytes' Anti-Malware 1.30

Wersja bazy definicji: 1306

Windows 5.1.2600 Dodatek Service Pack 2

2008-11-10 15:43:13

mbam-log-2008-11-10 (15-43-13).txt

Typ skanowania: Pełne skanowanie (J:\|)

Przeskanowane obiekty: 41748

Upłynęło: 2 minute(s), 19 second(s)

Zainfekowane procesy w pamięci: 0

Zainfekowane moduły pamięci: 0

Zainfekowane klucze rejestru: 0

Zainfekowane wartości rejestru: 0

Zainfekowane pliki rejestru: 0

Zainfekowane foldery: 0

Zainfekowane pliki: 0

Zainfekowane procesy w pamięci:

(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:

(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:

(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:

(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:

(Nie wykryto groźnych plików)

Zainfekowane foldery:

(Nie wykryto groźnych plików)

Zainfekowane pliki:

(Nie wykryto groźnych plików)

A wirusy jak były tak są...


(Laszjwrz) #16

Spróbuj przeskanować jeszcze tym - http://dobreprogramy.pl/index.php?dz=2& ... It!+4.44.5


(Subversive) #17

Hello !

Postaraj się usunąć z lokalizacji C:\Recycler\ścieżka\

taki plik jak sic32.exe lub wspomniany ise32.exe.

Są to robaki ściągające inne "drobnoustroje".

Jeżeli będzie jakiś problem z usunięciem, to polecam program Unlocker: http://dobreprogramy.pl/index.php?dz=2& ... cker+1.8.7

Pozdro !