sqar
(Sqar)
#1
Witam,
mam problem w W32 Cutwail
Tutaj log z ComboFix’a http://wklej.org/id/85440/
Na co dzien uzywam Avasta, ale dawno nie byl robiony zaden dodatkowy skan, wiec moglo sie tego wiecej nazbierac,
i pytanie, czy to “paskudztwo” moze byc na pendrivie, z ktorego korzystalem ostatnio i ewentualnie jak sie go pozbyc
Z gory dziekuje za pomoc
system
(system)
#2
Czemu widzę w logu Eseta oraz F-Secure ?
Przeskanuj Dr.WEB CureIt! (pełne skanowanie)
Przeleć system oraz rejestr Ccleaner
Optymalizacja Autostartu
Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja
– Dodane 02.05.2009 (So) 12:38 –
A tu masz temat, ktoś już walczył z tym ustrojstwem
viewtopic.php?t=321418
Do wyleczenia pendrive użyj np Flash Disinfector http://www.searchengines.pl/Infekcje-z- … 94761.html (u dołu strony)
W logu widać jeszcze Eseta
Daje go również do usunięcia
wklej do notatnika:
Zapisz plik jako CFScript.txt najlepiej aby ikonka tego pliku znajdowała się obok ikonki ComboFix.exe
Przeciągnij i upuść plik CFScript.txt na ikonkę ComboFix.exe powinno rozpocząć się usuwanie po tym daj log na forum.
Loga wklej na http://www.wklejto.pl lub http://www.wklej.org/ a w poście daj linka
sqar
(Sqar)
#4
dzieki za dotychczasowa pomoc. ale tak dla pewnosci podsumowanie:
-
najpierw Combofixem ponizszy kod
File::
c:\windows\system32\drivers\i386si.sys
c:\windows\system32\drivers\acpi32.sys
c:\windows\system32\drivers\ati64si.sys
c:\windows\system32\drivers\ksi32sk.sys
c:\windows\system32\drivers\netsik.sys
c:\windows\system32\drivers\nicsk32.sys
c:\windows\system32\drivers\port135sik.sys
c:\windows\system32\drivers\systemntmi.sys
c:\windows\system32\drivers\ws2_32sik.sys
Driver::
acpi32
ati64si
i386si
ksi32sk
netsik
nicsk32
port135sik
systemntmi
ws2_32sik
-
Potem jeszcze raz kolejny kod
File::
c:\windows\system32\drivers\securentm.sys
Driver::
securentm
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2{cc1c0d60-d757-11dd-ba57-0015f20437aa}]
-
potem kolejny raz Combofixem kod od spandaupol’a (z posta powyzej)
-
a na koniec instrukcje od RevoPL
Gwoli wyjasnienia, podobno ktos juz cos kiedys na tym kompie probowal z tym walczyc,
wiec z tego moga wynikac jakies pozostalosci.
na koniec pytanie, byc moze proste:
- Czy te dzialania lepiej robic w trybie awaryjnym i przy wylaczonym odzyskiwaniu systemu na dyskach, czy to nie ma znaczenia?
z gory dzieki za pomoc, pozdro
system
(system)
#5
Na pewno lepiej w trybie awaryjnym, jednak gdybyś zrobił to w normalnym trybie, nic się nie stanie
sqar
(Sqar)
#6
Log po pierwszym kodzie: http://wklej.org/id/85721/
po drugiem: http://wklej.org/id/85722/
oraz po trzecim: http://wklej.org/id/85723/
Potem byl DrWebb, CCleaner oraz HijackThis.
Bede wdzieczny za ocene pozostalosci w logu. Pozdrawiam
system
(system)
#7
Dopiero zaczynam bawić się w logi, ale chyba jest czysto
Możesz dodatkowo przelecieć Wise Registry Cleaner, usuwaj tylko te, które są na zielono, czerwonych nie ruszaj