Smieci po usunieciu IEMonstera


(Yummyyummy) #1

proszę o pomoc - po usunięciu avastem trojana najprawdopodobniej został jeszcze jakiś po nim slad, który mnoży się i co jakiś czas ładuje do pamięci. w procesach mam np. msauc.exe, ktorego wcześniej nie bylo, albo system potrafi uruchomić się bez explorera (pusty pulpit). skanowanie wykazuje ciągle obecność wirusów, pomimo usuwania (kwarantanny plików). z wątku o msauc.exe doczytałam mniej więcej sposób w jaki sobie można poradzić, ale w hijacku mam zupełnie inne wpisy (niż te, z jakimi zmagał się autor wątku msauc.exe), których nie chce usuwać w ciemno. jeśli mógłby ktoś zerknąć i powiedzieć które są do wywalenia - byłabym wdzięczna.

i sorry za doklejkę - przeczytałam regulamin po naciśnięciu "wyślij" :wink:, proszę o skasowanie tamtego posta w śmietniku.

http://www.wklejto.pl/21019


(huber2t) #2

Infekcja

Podaj log z Combofix

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Yummyyummy) #3

log z combofixa:

http://wklejto.pl/21072


(Spandau) #4

Przeskanuj ten plik c:\windows\system32\ mmmaxlax.dll http://virusscan.jotti.org/

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka


(Yummyyummy) #5

pliku .dll w system32 nie było :expressionless:

pozostałe wykonałam, log ponizej:

http://www.wklejto.pl/21199


(huber2t) #6

W logu nic nie widzę

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!


(Yummyyummy) #7

mhm.

zrobiłam co powyższe.

a ten skąd tam?

http://www.wklejto.pl/21249


(huber2t) #8

Usuń zainfekowany plik

:slight_smile:


(Yummyyummy) #9

wyrzuciłam.

po przeskanowaniu avastem znalazł mi jeszcze trojana w czymś takim:

c:\System Volume Information_restore{.....}\RP320\A00311259.MSI\Binary.WiseCustomCalla36

nie ma tego jak usunąć spod avasta - operacje skasuj/przenieś/kwarantanna zglaszają bład.


(huber2t) #10

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

:slight_smile:


(Yummyyummy) #11

wyłączyłam i włączyłam. w sumie już ze dwa czy trzy razy.

przeskanowałam avastem, nadal jest w tym miejscu.


(huber2t) #12

Podaj log z avasta


(Yummyyummy) #13

w logu tylko skan z dnia dzisiejszego

pierwszy z wpisów nie daje się przenieść do kwarantanny/usunąć

drugi został przeniesiony do kwarantanny

http://wklejto.pl/21449


(huber2t) #14

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\System Volume Information\_restore{54671979-EC24-48F3-8E46-4A268EA675C2}\RP322\A0031290.MSI

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\WXEF0LU3\install[1].exe

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(Yummyyummy) #15

chyba jest ok.

log z avengera:

http://wklejto.pl/21622

avast nic nie wykrył.

dzięki za pomoc :):slight_smile:


(huber2t) #16

Pliki usunięte

:slight_smile: