Problem z wirusem recycler...?

maciasss1 · 20 Luty 2010 10:45

Witam. U brata mojej dziewczyny jest wirus. Co przynoszę do niego pendrive’a to ukazują się na nim foldery z rozszerzeniem exe-pomimo że są to zwykłe katalogi. Gdy nośnik podłączę u siebie, oprogramowanie od razu wykrywa mi złośliwy kod (obiekt:/autorun.inf–>zarażenie: Malware-gen). Niestety na zainfekowanym komputerze nie ma żadnego oprogramowania antywirusowego. Próbowałem zainstalować chociażby avasta, ale instalka po krótkim czasie wyłącza się. Tryb awaryjny także nie chce ruszyć. Co z tym fantem zrobić? Czy jest może jakieś skuteczne narzędzie które można by było uruchomić z pendrive’a?

jessica · 20 Luty 2010 11:41

Objawy kojarzą mi się z CONFICKER’em.

Daj log z OTL

Ale oprócz normalnych ustawień, dodaj jeszcze jedno:

W pole Custom Scans/Fixes wklej:

i dopiero wtedy kliknij “Run Scan”.

Logu nie wklejaj do postu, tylko wklej na http://wklejto.pl/, a tu daj tylko link (z paska adresów)

Daj log z SRENG

jessi

maciasss1 · 21 Luty 2010 07:36

No więc tak:

Log z OTL: http://www.wklejto.pl/58237

Log z SRENG: http://www.wklejto.pl/58238

Po wykonaniu logów wyżej wymienionym programami, włączyłem jeszcze Skaner Dr.Web dla Windows (odpalany z pendrive’a).

Poniżej zamieszczam to co wykrył i “ponaprawiał”:

http://wklejto.pl/58240

jessica · 21 Luty 2010 08:12

Tego było aż za dużo - nie tylko Conficker, ale także infekcja pendrivowa, wirus SALITY/SECTOR (zaraża wszystkie .exe), i kilka innych infekcji.

Trochę się pogubiłam, co zostało usunięte, a co jeszcze nie.

Przede wszystkim trzeba się upewnić, że SALITY/SECTOR już nie zaraża następnych .exe :

Użyj albo jakiegoś skanera online, albo " rmsality" - linki są na tej stronie >http://forum.dobreprogramy.pl/usuwanie-znanych-wirusow-sality-jeefo-parite-virut-itp-t370365.html

Potem daj nowy log z OTL, na ustawieniach jak ostatnio.

jessi

maciasss1 · 22 Luty 2010 11:55

Proszę bardzo:

http://www.wklejto.pl/58335

Dr Web. oprócz tego "sectora: wykrywał też Win32.generic czy jakoś tak…dobrze już nie pamiętam:/

jessica · 22 Luty 2010 12:34

To mniej ważne od SALITY/SECTOR.

Czy na pewno zrobiłeś to, co zaleciłam w swoim poprzednim poście (skaner online i rmsality) ?

Bo usuwanie innych “rzeczy” nie ma sensu, jeśli jest jeszcze SALITY/SECTOR!

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL MOD - [2010-02-21 22:39:18 | 000,039,936 | ---- | M] () – C:\WINDOWS\system32\wmfptc32.dll DRV - File not found [Kernel | On_Demand | Running] – -- (abp470n5) DRV - [2010-02-21 22:41:55 | 000,005,109 | ---- | M] () [Kernel | Disabled | Running] – C:\WINDOWS\system32\drivers\prkmpn.sys – (NdisFileServices32) O4 - HKLM…\Run: [87BDB2] C:\WINDOWS\system32\CB6CAA\87BDB2.EXE () O4 - HKLM…\Run: [Cmaudio] File not found O4 - HKLM…\Run: [KernelFaultCheck] File not found O4 - HKCU…\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe File not found O4 - HKCU…\Run: [NBJ] C:\Program Files\Ahead\Nero BackItUp\NBJ.exe (Ahead Software AG) O4 - HKCU…\Run: [wsctf.exe] File not found O4 - Startup: C:\Documents and Settings\grzybolki\Menu Start\Programy\Autostart\87BDB2.lnk = C:\WINDOWS\system32\CB6CAA\87BDB2.EXE () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O32 - AutoRun File - [2010-02-21 16:32:22 | 001,482,141 | ---- | M] () - D:\autorun.inf.exe – [FAT32] O32 - AutoRun File - [2009-07-14 16:53:27 | 000,000,081 | RHS- | M] () - E:\AUTORUN.FCB – [NTFS] O33 - MountPoints2{05871193-e3a1-11dc-a238-00f1d000f1d0}\Shell\Auto\command - “” = F:\activexdebugger32.exe – File not found O33 - MountPoints2{05871193-e3a1-11dc-a238-00f1d000f1d0}\Shell\explore\Command - “” = F:\activexdebugger32.exe – File not found O33 - MountPoints2{05871193-e3a1-11dc-a238-00f1d000f1d0}\Shell\open\Command - “” = F:\activexdebugger32.exe – File not found O33 - MountPoints2{0a021884-2120-11dd-a30b-00f1d000f1d0}\Shell\AutoRun\command - “” = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\amp32.exe – File not found O33 - MountPoints2{0a021884-2120-11dd-a30b-00f1d000f1d0}\Shell\open\command - “” = F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\amp32.exe – File not found O33 - MountPoints2{0cf94389-580a-11dd-a398-00f1d000f1d0}\Shell - “” = AutoRun O33 - MountPoints2{0cf94389-580a-11dd-a398-00f1d000f1d0}\Shell\Auto\command - “” = D:\setup.exe – File not found O33 - MountPoints2{27844f66-ae48-11dd-a432-0019664bf0ec}\Shell - “” = AutoRun O33 - MountPoints2{27844f66-ae48-11dd-a432-0019664bf0ec}\Shell\Auto\command - “” = D:\setup.exe – File not found O33 - MountPoints2{3a25552a-31c9-11de-a531-0019664bf0ec}\Shell - “” = AutoRun O33 - MountPoints2{3a25552a-31c9-11de-a531-0019664bf0ec}\Shell\Auto\command - “” = D:\setup.exe – File not found O33 - MountPoints2{3aa23c12-979e-11de-a602-0019664bf0ec}\Shell - “” = AutoRun O33 - MountPoints2{3aa23c12-979e-11de-a602-0019664bf0ec}\Shell\Auto\command - “” = D:\setup.exe – File not found O33 - MountPoints2{4366cf8f-c1d3-11dc-a198-00f1d000f1d0}\Shell\Open(&0)\command - “” = D:\Recycled\ctfmon.exe – File not found O33 - MountPoints2{47d00ef4-e4c4-11dd-a499-00f1d000f1d0}\Shell - “” = AutoRun O33 - MountPoints2{47d00ef4-e4c4-11dd-a499-00f1d000f1d0}\Shell\Auto\command - “” = D:\setup.exe – File not found O33 - MountPoints2{4b29e990-5749-11dd-a395-00f1d000f1d0}\Shell - “” = AutoRun O33 - MountPoints2{4b29e990-5749-11dd-a395-00f1d000f1d0}\Shell\Auto\command - “” = F:\setup.exe – File not found O33 - MountPoints2{55aec512-c7a5-11dd-a467-00f1d000f1d0}\Shell - “” = AutoRun O33 - MountPoints2{55aec512-c7a5-11dd-a467-00f1d000f1d0}\Shell\Auto\command - “” = D:\setup.exe – File not found O33 - MountPoints2{5d0ac155-bd67-11dd-a454-00f1d000f1d0}\Shell\AutoRun\command - “” = D:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\amp32.exe – File not found O33 - MountPoints2{5d0ac155-bd67-11dd-a454-00f1d000f1d0}\Shell\open\command - “” = D:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\amp32.exe – File not found O33 - MountPoints2{6d977402-63cd-11de-a591-0019664bf0ec}\Shell - “” = AutoRun O33 - MountPoints2{6d977402-63cd-11de-a591-0019664bf0ec}\Shell\Auto\command - “” = D:\setup.exe – File not found O33 - MountPoints2{6d977403-63cd-11de-a591-0019664bf0ec}\Shell - “” = AutoRun O33 - MountPoints2{6d977403-63cd-11de-a591-0019664bf0ec}\Shell\Auto\command - “” = D:\setup.exe – File not found O33 - MountPoints2{7340df2e-16e4-11dd-a2f2-00f1d000f1d0}\Shell\Auto\command - “” = D:\activexdebugger32.exe – File not found O33 - MountPoints2{7340df2e-16e4-11dd-a2f2-00f1d000f1d0}\Shell\explore\Command - “” = D:\activexdebugger32.exe – File not found O33 - MountPoints2{7340df2e-16e4-11dd-a2f2-00f1d000f1d0}\Shell\open\Command - “” = D:\activexdebugger32.exe – File not found O33 - MountPoints2{832850ff-cd1c-11dd-a473-00f1d000f1d0}\Shell - “” = AutoRun O33 - MountPoints2{8d7b43fd-55d8-11de-a578-0019664bf0ec}\Shell - “” = AutoRun O33 - MountPoints2{8d7b43fd-55d8-11de-a578-0019664bf0ec}\Shell\Auto\command - “” = G:\setup.exe – File not found O33 - MountPoints2{9f49495c-caf3-11de-a65d-0019664bf0ec}\Shell\AutoRun\command - “” = D:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\amp32.exe – File not found O33 - MountPoints2{9f49495c-caf3-11de-a65d-0019664bf0ec}\Shell\open\command - “” = D:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\amp32.exe – File not found O33 - MountPoints2{a288f9a9-005c-11df-a698-0019664bf0ec}\Shell - “” = AutoRun O33 - MountPoints2{b149504b-965f-11de-a5ff-0019664bf0ec}\Shell - “” = AutoRun O33 - MountPoints2{cc8df866-fc96-11de-a693-0019664bf0ec}\Shell - “” = AutoRun O33 - MountPoints2{d15cf202-d8e9-11dc-a20b-00f1d000f1d0}\Shell\Auto\command - “” = D:\Start.exe – File not found O33 - MountPoints2{d5c01274-3097-11dd-a32c-00f1d000f1d0}\Shell\Auto\command - “” = activexdebugger32.exe f O33 - MountPoints2{d5c01274-3097-11dd-a32c-00f1d000f1d0}\Shell\explore\Command - “” = activexdebugger32.exe f O33 - MountPoints2{f84a6c73-df32-11dd-a492-00f1d000f1d0}\Shell - “” = AutoRun O33 - MountPoints2{f84a6c73-df32-11dd-a492-00f1d000f1d0}\Shell\Auto\command - “” = D:\setup.exe – File not found O33 - MountPoints2{fded7e45-0ed9-11dd-a2d7-00f1d000f1d0}\Shell - “” = AutoRun [2010-01-23 16:11:28 | 000,000,000 | -H-D | C] – C:\WINDOWS\System32\CB6CAA [2010-01-23 16:11:28 | 000,000,000 | -H-D | C] – C:\WINDOWS\System32\B75B12 [2010-01-23 16:11:28 | 000,000,000 | -H-D | C] – C:\WINDOWS\System32\A158AC [2010-01-23 16:11:28 | 000,000,000 | -H-D | C] – C:\WINDOWS\System32\2D4AF0 [2010-02-21 22:44:17 | 000,005,109 | ---- | M] () – C:\WINDOWS\System32\drivers\prkmpn.sys [2010-02-21 22:39:27 | 000,000,677 | ---- | M] () – C:\Documents and Settings\grzybolki\Menu Start\Programy\Autostart\87BDB2.lnk [2010-02-21 22:39:26 | 000,102,400 | ---- | M] () – C:\activexdebugger32.exe [2010-02-21 22:39:19 | 000,026,066 | -H-- | M] () – C:\WINDOWS\System32\wmfptc32.dl_ [2010-02-21 22:39:18 | 000,039,936 | ---- | M] () – C:\WINDOWS\System32\wmfptc32.dll NetSvcs: dicnfi - File not found :Files C:\WINDOWS\system32\CB6CAA\87BDB2.EXE C:\WINDOWS\system32\CB6CAA C:\Documents and Settings\grzybolki\Menu Start\Programy\Autostart\87BDB2.lnk :Services abp470n5 NdisFileServices32 dicnfi :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] “EXPLORER.EXE”=- [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] “DisableTaskMgr”=dword:00000000 [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] “DisableRegistryTools”=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]] “5692:TCP”=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [resethosts] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan”.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

maciasss1 · 22 Luty 2010 13:00

Skorzystałem z rmsality i przeskanowałem to jeszcze raz Dr Web Cure It. Jednakże ktoś wyłączył komputer po 5 godzinach - no ale myślę że skan poszedł do końca. Niestety nie mam tam możliwości użycia skanera online:/ Dodatkowo, dopiero jutro będę mógł kontynuować walkę z tym szkodnikiem:(

PS. Zastanawiam się czy jeszcze raz nie załączyć wyżej wymienionych programów i dopiero wkleić to co dostałem od Ciebie?