Win32/PSW.OnLineGames.NNU koń trojański

Joodith · 6 Grudzień 2009 10:02

Mam problem, AVG wykrywa wirus z tematu, usuwa go z pendrive’ów, ale po ponownym podłączeniu okazuje się, iż wirus pozostał. NOD także nie skutkuje. Zainfekowane prawdopodobnie 3 pendrivy. Proszę o pomoc i w miarę szczegółowe instrukcje. Oto logi:

OTL: http://www.wklej.org/id/226463/

SRENG: http://wklej.org/id/226467/

jessica · 6 Grudzień 2009 10:17

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL O32 - AutoRun File - [2009-11-14 19:22:19 | 00,000,059 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2009-11-14 19:22:19 | 00,000,059 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2007-11-07 16:41:52 | 00,000,047 | R— | M] () - H:\AUTORUN.INF – [CDFS] :Files C:\autorun.inf d:\autorun.inf f:\autorun.inf g:\autorun.inf h:\autorun.inf j:\autorun.inf C:\RECYCLER :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

Użyj >Panda Vaccine

jessi

Joodith · 6 Grudzień 2009 10:38

Dziękuję za szybką reakcję.

Oto log ze skanu po restarcie:

http://wklej.org/id/226730/

Proszę o podpowiedź, w którym momencie otrzymuje log z czyszczenia. Wybacz niekompetencję, ale w temacie logów itp. jestem od wczoraj.

jessica · 6 Grudzień 2009 10:47

Natychmiast po restarcie. Ten raport nie zapisuje się automatycznie, więc jeśli go zamkniesz, to już go nie będzie.

Co się stało z tym plikiem Systemowym?

Do Notatnika wklej:

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIPTA"=-


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"cdoosoft"=-


[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

"CTFMON.EXE"=-

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako > FIX.REG >>

plik uruchom (dwuklik i OK).

jessi

Joodith · 6 Grudzień 2009 10:55

Po restarcie nie pojawił się log, ale komunikat w stylu, że wystąpił jakiś poważny błąd, lecz został naprawiony. Nie mam więc loga z czyszczenia Niestety nie wiem jak odpowiedzieć na pytanie o plik systemowy O4 - HKCU…\Run: [CTFMON.EXE] File not found, nie mam pojęcia co się z nim stało. Zaszczepiłam już pendrivy. Wobec powyższego (braku logu z czyszczenia) mogę postępować dalej wedle Twojej instrukcji? Pytam dla pewności, by niczego już nie pominąć.

jessica · 6 Grudzień 2009 11:03

Tak, bo to już tylko kosmetyka.

jessi

Joodith · 6 Grudzień 2009 12:03

Po przeskanowaniu AVG:

komputer i J: czyste

na F:\sp1jensi.exe - Koń trojański PSW.OnlineGames3.PQI

na G:\9g86.exe - Koń trojański Dropper.Generic.BHNG

Według AVG usunięte i wyleczone. Jak upewnić się czy rzeczywiście tak jest?

PS. Czy pandą szczepić także komputer?

jessica · 6 Grudzień 2009 18:42

Tak.

jessi

Joodith · 6 Grudzień 2009 20:03

Serdecznie dziękuję za fachową pomoc i rzeczowe instrukcje, pozdrawiam