Usuwanie autorun.inf po r8.bat

Dla specjalistów Bezpieczeństwo
#1

Przeskanowałem combofixem, usunął parę trojanów, ale przy restarcie i ponownym skanowaniu zawsze ma do usunięcia jeszcze autorun. To logi z combofix http://wklej.org/hash/503e0fa7fa/txt oraz hijack http://wklej.org/hash/e2d64af7f7/txt . Jeszcze jedno po uzyciu combofixa, przy uruchomieniu juz pulpitu z plyty glownej wydobywaja sie 3 dzwieki (bii, bii, biip!). Nie wiem czy to ma cos wspolnego :slight_smile:

#2

Wylecz pendriva lub kartę pamięci

Flash Disinfector, Perlovga Removal Tool

lub format

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

C:\a2h2.com

c:\windows\system32\olhrwef.exe

C:\gy.exe

c:\windows\system32\nmdfgds0.dll

c:\windows\AhnRpta.exe

C:\il0byu3h.com

N:\yb12j.cmd

C:\yb12j.cmd

H:\r8wb.bat

C:\r8wb.bat

F:\r8wb.bat

G:\r8wb.bat

c:\windows\system32\afmain0.dll


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

Z menu notatnika wybierz Plik :arrow: Zapisz jako :arrow: CFScript.txt.

Przeciągnij i upuść zapisany plik (CFScript.txt) na ikonę ComboFix.exe.

Rozpocznie się usuwanie, program wygeneruje log, dasz go na forum.

Na czas skanowania Combofixem wyłącz wszystkie antywirusy i firewalle.

Logi dajesz na wklej.org lub wklej.eu a w poście podajesz tylko link.

Wygląda na wirusa, ale lepiej się upewnić.

Przeskanuj ten plik tym lub tym skanerem

#3

Przy usuwaniu kilka razy wyswietlilo ze “w stacji nie ma dysku: wloz dysk”. Kliknalem 3 razy kontynuuj i zaczal pracowac dalej. Log combofix

http://wklej.org/hash/49cb973df9/txt

skan pliku (zainfekowany)

http://wklej.org/hash/270e620a06/txt

#4

Wklej do notatnika:

File::

c:\windows\system32\mkfght0.dll

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link

#5

Oto log http://wklej.org/hash/0a4c25b73a/txt . Zainstalowałem w międzyczasie bearshare’a więc trochę się zmieniło :?

#6

Wcześniej huber2t zgubił:

Wklej do Notatnika:

File::

c:\windows\system32\nmdfgds1.dll

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe ) Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe ) – podobnie jak na tym obrazku –>cfscript10uc2.gif