Smieci po usunieciu IEMonstera

proszę o pomoc - po usunięciu avastem trojana najprawdopodobniej został jeszcze jakiś po nim slad, który mnoży się i co jakiś czas ładuje do pamięci. w procesach mam np. msauc.exe, ktorego wcześniej nie bylo, albo system potrafi uruchomić się bez explorera (pusty pulpit). skanowanie wykazuje ciągle obecność wirusów, pomimo usuwania (kwarantanny plików). z wątku o msauc.exe doczytałam mniej więcej sposób w jaki sobie można poradzić, ale w hijacku mam zupełnie inne wpisy (niż te, z jakimi zmagał się autor wątku msauc.exe), których nie chce usuwać w ciemno. jeśli mógłby ktoś zerknąć i powiedzieć które są do wywalenia - byłabym wdzięczna.

i sorry za doklejkę - przeczytałam regulamin po naciśnięciu “wyślij” ;), proszę o skasowanie tamtego posta w śmietniku.

http://www.wklejto.pl/21019

Infekcja

Podaj log z Combofix

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

log z combofixa:

http://wklejto.pl/21072

Przeskanuj ten plik c:\windows\system32\ mmmaxlax.dll http://virusscan.jotti.org/

wklej do notatnika:

Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe

Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.

Loga wklej na www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka

pliku .dll w system32 nie było :expressionless:

pozostałe wykonałam, log ponizej:

http://www.wklejto.pl/21199

W logu nic nie widzę

usuń ręcznie folder C:\Qoobox , usuń instalkę Combofix z dysku.

Przeczyść system Ccleanerem

Wykonaj optymalizację autostartu

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

Przeskanuj obszar całego komputera http://www.kaspersky.pl/virusscanner.html Daj raport z niego na forum

lub

Dr.WEB CureIt!

mhm.

zrobiłam co powyższe.

a ten skąd tam?

http://www.wklejto.pl/21249

Usuń zainfekowany plik

:slight_smile:

wyrzuciłam.

po przeskanowaniu avastem znalazł mi jeszcze trojana w czymś takim:

c:\System Volume Information_restore{…}\RP320\A00311259.MSI\Binary.WiseCustomCalla36

nie ma tego jak usunąć spod avasta - operacje skasuj/przenieś/kwarantanna zglaszają bład.

Wyłącz i włącz przywracanie systemu na wszystkich dyskach. Instrukcja

:slight_smile:

wyłączyłam i włączyłam. w sumie już ze dwa czy trzy razy.

przeskanowałam avastem, nadal jest w tym miejscu.

Podaj log z avasta

w logu tylko skan z dnia dzisiejszego

pierwszy z wpisów nie daje się przenieść do kwarantanny/usunąć

drugi został przeniesiony do kwarantanny

http://wklejto.pl/21449

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

C:\System Volume Information\_restore{54671979-EC24-48F3-8E46-4A268EA675C2}\RP322\A0031290.MSI

C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temporary Internet Files\Content.IE5\WXEF0LU3\install[1].exe

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt

chyba jest ok.

log z avengera:

http://wklejto.pl/21622

avast nic nie wykrył.

dzięki za pomoc :):slight_smile:

Pliki usunięte

:slight_smile: