Wiem ze było już trochę takich tematów , ale mam nadzieje że ktoś mi pomorze , bo ja w tych sprawach jestem ciemny i dlatego prosze o POMOC

Otóż avast wykryl najpierw rootkit , a pozniej klkanascie Win32.Amvo. Według zalecen avasta wyłaczylem kopma i przy uruchamianiu zaczał skanować kompa. Trochę tego powykrywał i ja tu usuwałem F1 , ale nie moglem znaleźć tej listy tego co usunąl.

A i jescze nie mam dostepu do żadneego dysku

to log OTL po tym skanowaniu avastem http://wklej.org/hash/3a064bfaaf/

Z pendriva korzystalem na obydwu komp. - na pc-cie - XP(gdzie ten wirus został wykryty) i laptopie - Vista(tez z avastem ( nic mnie nie powiadamia o tym wirusie)

dlatego też podaję log OTL i hijackthis z notebooka

http://wklej.org/hash/2259d5a54e/ z otl vista

http://wklej.org/hash/8196bc7de7/ z hijackthis vista

P.S dlaczego na 2 pendrive( ktorego przeskanowałem flash disinfector [tego 1-szego na ktorym jest wirus nie skanowałem]) potwaorzyly sie jakies foldery autorun.inf i jakaś ~$Prezentacja1.pptx( ktorej w ogóle nie wklejałem do pendriva)

z Góry THX za pomoc .

Komputer:

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

Notebook:

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"SuperHidden"=dword:00000001


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000001


[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"ShowSuperHidden"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001


[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >>

plik uruchom (dwuklik i OK).

Zrestartuj komputer.

“Flash Disinfector” tworzy na każdym dysku/partycji folder o nazwie “autorun.inf”, takiej samej jak plik infekcji. Dzięki temu utrudnia wejście infekcji, bo System nie pozwoli na powstanie innego obiektu w tej samej lokalizacii o identycznej nazwie.

Nie wiem natomiast nic o tym: “$Prezentacja1.pptx”.

jessi

Ok. Wkleiłem do OTL to powyżej i jak zatwierdzilem Run Fix - cos sie robilo… a potem wyskoczyło Range check error . A to do notebooka to gdzie mam zapisać ?

I czy jak wezmę pendrive - (tego zainfekowanego) tym programem to napewno(na dobre ) mi usunie tego wirusa ?

Więc powtórz, a potem, bez względu na wynik tego - daj nowy log z OTL.

Obojętnie gdzie, możesz np. na pulpicie.

Takiej pewności nie ma, Flash usuwa tylko niektóre elementy infekcji, innych w ogóle nie zauważa.

Większą pewność daje ComboFix, ale pendrive musi być przestawiony z trybu read only na pełne zapisywanie.

jessi

po właczeniu komp pojawił mi się błąd :

sygnatura błedu

BCCode : ea BCP1 : 89ACD3F8 BCP2 : 89DFDE88 BCP3 : 89B23820

BCP4 : 00000001 OSVer : 5_1_2600 SP : 3_0 Product : 256_1

Tresc raportu o bledach

C:\DOCUME~1\MICHA~1\USTAWI~1\Temp\WER0fb5.dir00\Mini100909-01.dmp

C:\DOCUME~1\MICHA~1\USTAWI~1\Temp\WER0fb5.dir00\sysdata.xml

natepnie http://wklej.org/hash/853a4f94b9/

pózniej coś takiego http://wklej.org/id/184539/

w otl po funkcji Run scan http://wklej.org/hash/b53e2b60a2/

po cleanup http://wklej.org/hash/11d2508714/

I jak ?

a jesli chodzi o pendrive - czyli ze juz z niego nie korzystac ,czy co ? ( a jak sie ma panda usb vaccine do tego)

Log jest czysty.

Jeśli chodzi o

(cytat z http://www.searchengines.pl/Infekcje-z-pendrive-mediow-przenosnych-t94761.html)

Jeśli dobrze zrozumiałam ten tekst >http://research.pandasecurity.com/archive/Panda-USB-and-AutoRun-Vaccine.aspx, to Panda V. potrafi trochę więcej, niż “Flash”, ale chyba też nie oczyszcza całkowicie pena.

jessi

ok , dzięki .

a coś z przywracaniem systemu trzeba robić ?

a co do pena najlepiej go wyrzucić ? Avast nadal wykrywa ten wirus(usunolem go , ale czy to coś da) a mam tam pliki …

(http://www.bezpieczenstwosystemow.pl/in … pic=1647.0)

Eee! Wydaje mi się, że chyba oszczędniej wyszłoby, gdyby przegrać pliki z pena na dysk twardy, potem pena sformatować, potem od nowa oczyścić dysk twardy, i z powrotem wgrać pliki na pena.

Najlepiej do czyszczenia użyć ComboFix, można spróbować nawet przed wgraniem plików z pena na dysk, tylko podpiąć pena i ustawić w nim z trybu tylko do odczytu na pełny tryb z zapisem (przełącznik Hold na obudowie). Log dać na Forum, by sprawdzić, co usunąć zarówno z dysku, jak i z pena.

jessi

pendrive kngstom datatraveler czarny(wysuwany) i nie widze przelocznika hold.

bede probowal , ale moze juz jutro.

Dzieki

– Dodane 25.10.2009 (N) 12:26 –

ok.

przegrałem pliki z pendrive(tylko autorun.inf nie chciał sie skopiować ) najperw na dysk d i tu log z combofix http://wklej.org/hash/2491e060eb/

poznej przenioslem na dysk c(no w tym logu było tylko jakby sprawdzany dysk C więc : http://wklej.org/hash/25266438c6/

tak troche pokrecone ale chyba da sie zrozumiec

jakby co to jeszce z otl http://wklej.org/hash/51ecf564b6/

czy jest taka mozliwość ze tro wlasnie combo fix pusuwał mi pliki otl i hijackthis - a byc moze tz inne ? ( bo ja ich napewno nie usuwałem…

?

co to są te foldery recycler, system volume… config msi, msocache

P.s .

jestem tu nowy i za bardzo sie nie znam ale czy jak podaje się te logi z kompa na wklej… to czy te informacje moga zostac uzyte przez osoby trzecie (byc moze na moją szkodę)?

Wszystkie logi wyglądają na czyste, ani śladu infekcji.

Oczywiście, nie wiem, co jest w tym folderze:

Być może w nim są jakieś pliki infekcji?

Nie bardzo rozumiem, o co Ci chodzi z tym:

A może po prostu w OTL kliknąłeś przypadkiem na przycisk “CleanUp”? Bo wtedy rzeczywiście się usuną samoczynnie różne narzędzia skanujące, w tym OTL.

Nie wiem, czy komuś przydadzą się takie wiadomości, jakie są w logach.

Ale oczywiście możesz, zamiast na wklej.org, wklejać na http://wklejto.pl/. Tam pod wklejką zaznaczasz opcję “Prywatny” i podajesz hasło. Nikt nie obejrzy tego logu, jeśli nie dostanie od Ciebie hasła. Hasło oczywiście musisz zapamiętać, by podać komuś na Forum.

jessi

no i ja tak zrobilem , z gralem pliki z pendriva na dysk D , a pozniej przenislem na C ( wiec C:\Pendrive - to tu są te pliki ) no niby avastem nic mi nie wykrywa(oprucz takego:

2009-10-26 17:21:35 … 2256 Sign of “Win32:Malware-gen” has been found in “C:\Pendrive\Nowy folder (3)\PhotoS ( bardzo fajny ).rar\PhotoZoom_Pro_2.3.2_MultiLang__Portable_.rar\PhotoZoom Pro 2.3.2 MultiLang [Portable]\photozoom_pro_2.3.2_portable.exe\PhotoZoomPro2Portable\PhotoZoomPro2Portable.exe” file. , jak chce usunać to wyskakuje ze nie mozna przetworzyc

tyle ze jest taki problem ze funkcja skanowania jest tylko aktywana przez prawoklik - i tam jast np. ikona avasta i pisze skanuj pendrive(tu nazwa tego folderu)

ale jak chce uruchomic normalnie avasta czyli przez nacisniecia polecenia uruchom avast ! - troche sie ładuje i wyskakuje mi: Nieznany bład.skórka nie jest kompletna. Zobacz następujący opis: Skórka nie jest załadowana poprawanie.

I w ogóle nic sie nie da zrobić …

plik FOUND000\FILE0000.CHK ( jest niby w tym folderze [pendrive] przy tym szybkim skanowaniu dosc dlugo sie skanuje, a w ogóle nie ma go w tym folderze - a zobaczyelm w necie co to moze byc to mi rece opadaja .

HELP!!

Eee1 Tego pliku “,rar” to chyba nie musisz usuwać Avastem - nie wygląda na szkodliwy.

Avasta chyba musisz przeinstalować, jeśli nie działa - albo ściągnij tę skórkę, której brakuje.

jessi

ale co z tym

Teraz zaczynam żałować, że Ci doradziłam to z przegrywaniem z pena na dysk i spowrotem.

Ale jeśli już wgrałeś spowrotem z dysku na pen, to cały ten folder C:\ Pendrive usuń ręcznie w diabły.

EDIT:

jessi

Usuń również foldery FOUND.XXX z dysku, gdyż zawierają tylko odzyskane fragmenty plików, które są zbędne.

Żeby zobaczyć te foldery musisz włączyć pokazywanie ukrytych plików systemowych w Panel Sterowania -> Opcje folderów -> zakładka Widok.

no wlasnie jest tak ze jeszce nie przegralem tych plików na pena z powrotem(czyli ze calego pena mam teraz sormatować?) tyle ze niektore plki z tego folderu sa mi potzrebne , czy cos sie stanie jesli kilka z nich przeniosę. - sa to rar. vademeka(napewno czyste o ile ze nie zostały zarazone czyms ?)

nie widze tych plików Foundxxx, tylko przezroczyste foldery system volume information … a na dysku C : cmdcons ; i pliki : ntldr ; NTDETECT; MSDOS; IO ; CONFIG ; Bootfont ;boot AUTOEXEC .

Sprawdź te pliki przeniesione na dysk, czy nie są uszkodzone, tzn, czy możesz normalnie znich korzystać.

Jeśli nie są uszkodzone, to sformatuj pena, i potem wgraj na niego te pliki, - tylko te, które sam stworzyłeś. Żadnych nieznanych, żadnych “checkdisk”, itp.

jessi

ok , pendrive sformatowany , najpotrzebniejsze pliki poprzenosilem

też usunołem - czy jakies logi bedą potrzebne ?

jest jakas mozliwosc ze ten wirus jeszcze gdzieś moze być ?

Wg mnie - już nie masz tego szkodnika.

Zabezpiecz się na przyszłość używając albo “Flash Disinfector”, albo “Panda Vaccine”.

Te narżedzia utrudnią wejście tej infekcji na dysk twardy.

jessi