mazak234
(Mazak234)
12 Lipiec 2009 22:06
#1
Witam, na prośbę boczi’ego zakładam osobny topic.
Po wywaleniu syfow z folderow odzyskiwania systemu pozostaly jeszcze wcześniej nieobecne ukryte pliki na partycjach niesystemowych. Wcześniej avast widział tam trojana Win32:Kamso, więc to pewnie on. Nie mogę nic z nimi zrobić - po wyłączeniu ukrywania plików systemowych i ukrytych nadal są niewidoczne. Sytuacja dotyczy dwóch kompów więc wklejam dwa logi z HijackThis. Z góry dzięki za pomoc.
Logi z HijackThis:
pc - http://wklej.to/5SSW
pc -http://wklej.to/RBE7
ciemnowidz
(Henio Mazurek)
13 Lipiec 2009 04:54
#2
To typowe dla infekcji z pendrive’a. Wklej mocniejsze logi - OTL i gmer
http://oldtimer.geekstogo.com/OTL.exe
http://www.gmer.net/
mazak234
(Mazak234)
13 Lipiec 2009 06:25
#3
ciemnowidz
(Henio Mazurek)
13 Lipiec 2009 08:23
#4
1 pc. Właściwie to nic nie ma. W OTL wklej
:OTL PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) O32 - AutoRun File - [2009-07-09 21:38:16 | 00,000,049 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-07-09 22:00:25 | 00,000,049 | RHS- | M] () - D:\autorun.inf – [NTFS] :Files C:\aphqg.exe d:\aphqg.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [start explorer] [Reboot]
Klikasz Run Fix. Po restarcie CleanUp.
2 pc. Też dużo tu nie ma. W OTL wklej
:OTL PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation) O32 - AutoRun File - [2009-07-12 12:36:51 | 00,000,049 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-07-12 12:36:51 | 00,000,049 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-07-12 12:36:51 | 00,000,049 | RHS- | M] () - E:\autorun.inf – [NTFS] :Files C:\p.exe C:\q1alx.exe d:\p.exe d:\q1alx.exe e:\p.exe e:\q1alx.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [start explorer] [Reboot]
Run Fix, po restarcie CleanUp.
Na obu kompach wyłącz na chwilę przywracanie systemu.
http://support.microsoft.com/kb/310405/pll
Wykonaj pełny skan Malwarebytes Anti-Malware, jeśli coś znajdzie - usuń i wklej log.
http://dobreprogramy.pl/index.php?dz=2& … ntiMalware
Przeczyść dysk i rejestr CCleaner’em
http://dobreprogramy.pl/index.php?dz=2&id=1125&CCleaner
mazak234
(Mazak234)
13 Lipiec 2009 23:25
#5
Zrobione, na 1 pc Malwarebytes Anti-Malware znalazl i usunal kilka syfów: http://wklej.to/8a6O
2 pc sprawdzę rano.
ciemnowidz
(Henio Mazurek)
14 Lipiec 2009 04:52
#6
Znalazł już nieaktywne pliki i kilka wpisów w rejestrze.
Jeszcze podepnij pamięci przenośne i zastosuj FlashDisinfector
http://www.searchengines.pl/index.php?s … ntry369724
mazak234
(Mazak234)
14 Lipiec 2009 06:11
#7
Na 2 pc Malwarebytes Anti-Malware znalazł trochę więcej: http://wklej.to/Eno1
ciemnowidz
(Henio Mazurek)
14 Lipiec 2009 06:57
#8
W logu tego nie było widać. Poza tym to i tak były resztki.
Wyłącz i włącz przywracanie systemu oraz zastosuj FlashDisinfector. Więcej już nic nie ma.
mazak234
(Mazak234)
14 Lipiec 2009 09:48
#9
Ok, ogromne dzięki za pomoc