Mario_sk8
(Dj Mario)
4 Sierpień 2009 06:53
#1
Witam.
Kilka dni temu przyniesiono mi pen drive, na którym było kilka trojanów. Niby Avast to wyłapał ale wczoraj po włączeniu komputera pokazał się komunikat i jakimś ukrytym procesie i możliwości infekcji. Włączyłem więc pełen skan w trybie rozruchowym, no i znalazło mi trochę trojanów i malware, ale komunikat o ukrytym procesie dalej wyskakuje.
Jak by tego było mało dziś pokazał się komunikat z rootkitem i po odesłaniu go do kwarantanny dyski nie chcą się normalnie otwierać, pokazuje się okienko jakim programem chce to otworzyć…
Proszę więc o pomoc i sprawdzenie loga z HT: http://www.wklejto.pl/39832
Jeśli będą potrzebne jeszcze jakieś informacje na pewno podam:)
Mario_sk8
(Dj Mario)
4 Sierpień 2009 07:23
#3
już poprawiam, nie zauważyłem, że się rozsypało;/
http://wklej.org/id/130167/
dewo
(dewo)
4 Sierpień 2009 07:29
#4
Tutaj masz stronkę do sprawdzania logów http://www.hijackthis.de/index.php
Mario_sk8
(Dj Mario)
4 Sierpień 2009 09:28
#5
no niby na stronce nic nie pokazuje… ale bardziej wierze jeśli ktoś “żywy” się wypowie, bo tak z automatu to trochę nie bardzo…
poza tym moja wiedza w tym zakresie jest zbyt mała abym sam sobie zaufał;)
deFco247
(deFco247)
4 Sierpień 2009 10:09
#6
Ta strona to lipa. Często się myli.
Zastosuj Flash Disinfector .
Pokaż logi OTL i przede wszystkim GMER .
W GMER nic nie zmieniamy -> wciskamy Szukaj (skan potrwa kilkadziesiąt minut) -> po skanie Kopiuj .
Mario_sk8
(Dj Mario)
4 Sierpień 2009 12:09
#7
deFco247
(deFco247)
4 Sierpień 2009 13:08
#8
Zastosowałeś Flash Disinfector?
W Custom Scans/Fixes w OTL wklej:
:OTL PRC - [2008-04-14 19:21:16 | 01,035,264 | ---- | M] (Microsoft Corporation) – C:\WINDOWS\Explorer.EXE O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. :Files C:\rx.exe E:\rx.exe F:\rx.exe :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] :Commands [emptytemp] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Po tym log z usuwania oraz nowy OTL.txt.
Mario_sk8
(Dj Mario)
4 Sierpień 2009 13:38
#9
Flash Disinfector użyłem po przypomnieniu przez Ciebie.
Log z usuwania OTL: http://wklej.org/id/130342/
oraz nowy log: http://wklej.org/id/130345/
deFco247
(deFco247)
4 Sierpień 2009 13:42
#10
Na jednym z dysków dalej masz infekcję roznoszoną przez pendrive.
Niczego nie odłączaj od komputera.
Wklej w OTL:
:OTL PRC - [2008-04-14 19:21:16 | 01,035,264 | ---- | M] (Microsoft Corporation) – C:\WINDOWS\Explorer.EXE O32 - AutoRun File - [2009-08-03 10:17:56 | 00,000,063 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-08-03 10:17:56 | 00,000,063 | RHS- | M] () - E:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-08-03 10:17:56 | 00,000,063 | RHS- | M] () - F:\autorun.inf – [NTFS] O33 - MountPoints2{8fb66fc9-6c75-11dc-b138-806d6172696f}\Shell\AutoRun\command - “” = ukfbi3aw.exe O33 - MountPoints2{8fb66fc9-6c75-11dc-b138-806d6172696f}\Shell\open\Command - “” = ukfbi3aw.exe O33 - MountPoints2{e0fdfae0-b48a-11dc-9c73-806d6172696f}\Shell\AutoRun\command - “” = ukfbi3aw.exe O33 - MountPoints2{e0fdfae0-b48a-11dc-9c73-806d6172696f}\Shell\open\Command - “” = ukfbi3aw.exe O33 - MountPoints2{e0fdfae1-b48a-11dc-9c73-806d6172696f}\Shell\AutoRun\command - “” = ukfbi3aw.exe O33 - MountPoints2{e0fdfae1-b48a-11dc-9c73-806d6172696f}\Shell\open\Command - “” = ukfbi3aw.exe :Commands [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania.
Mario_sk8
(Dj Mario)
4 Sierpień 2009 13:48
#11
nic nie odłączałem:)
oto log z usuwania: http://wklej.org/id/130349/
ale coś już lepiej działa, bo dyski dają się normalnie otwierać:)
deFco247
(deFco247)
4 Sierpień 2009 13:51
#12
No bo ja to naprawiłem.
W OTL kliknij CleanUp .
Wyczyść rejestr i dysk CCleaner .
Usuń zbędniki z autostartu.
Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.
Gdy będą wirusy pokaż raport.
Mario_sk8
(Dj Mario)
4 Sierpień 2009 13:52
#13
oki, teraz już wychodzę z pracy więc zajmę się tym jutro:)
puki co dzięki za pomoc
– Dodane 05.08.2009 (Śr) 10:06 –
oki, posprzątałem wykonałem skan i jest czysto:)
dzięki wielkie za pomoc:)