Wirus autorun.inf na dysku zewnętrznym

Sluuz · 1 Lipiec 2010 08:52

witam. używam dysku twardego zewnętrznego przy dwóch komputerach. antywirus drugiego z kompów wyświetla komunikat o wirusie przy każdym podłączeniu dysku, którego to wirusa za każdym razem usuwa. na samym dysku znalazłem foldery “dude” oraz “pupica”, a w nim “makaroni.exe”. antywirus wskazał oba foldery jako zawierające wirusa, wiec je usunąłem. nie wiem jak będzie przy kolejnym podłączeniu dysku do pierwszego kompa, czy wir znów nie powróci, dlatego daje log z hijackthis i uprzejmie proszę o pomoc.

log z pierwszego kompa: http://wklej.org/id/358805/

log z drugiego kompa: http://wklej.org/id/358808/

jessica · 1 Lipiec 2010 08:58

>http://forum.dobreprogramy.pl/otl-gmer-rsit-dds-inne-instrukcje-t370405.html

Hijack w tych czasach nadaje się tylko do pokazywania wnukom, by zobaczyły, jakich to narzędzi używano w dawnych czasach.

jessi

Sluuz · 1 Lipiec 2010 09:29

edit: log z OTL:

komp1: http://wklej.org/id/358827/

komp2: http://wklej.org/id/358823/

jessica · 1 Lipiec 2010 09:46

Komputer nr 1:

Znasz to powyższe?

Poza tym - czysto.

Komputer nr 2:

Uruchom OTL i w oknie Custom Scans/Fixes ( Własne opcje skanowania/Script )wklej to:

:OTL @Alternate Data Stream - 24 bytes -> C:\WINDOWS:4F4E4B90E2107667 IE - HKCU…\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll (Spigot, Inc.) O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll (Spigot, Inc.) O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\pdfforge Toolbar\SearchSettings.dll (Spigot, Inc.) O3 - HKLM…\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll (Spigot, Inc.) O4 - HKLM…\Run: [KernelFaultCheck] File not found O4 - HKLM…\Run: [searchSettings] C:\Program Files\pdfforge Toolbar\SearchSettings.exe (Spigot, Inc.) O4 - HKCU…\Run: [P2kAutostart] File not found O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\CHALUPA\Dane aplikacji\mrpky.exe) - C:\Documents and Settings\CHALUPA\Dane aplikacji\mrpky.exe () O20 - Winlogon\Notify\dimsntfy: DllName - Reg Error: Value error. - Reg Error: Value error. File not found O33 - MountPoints2{21cbfae0-d3be-11de-89d6-00304f306e62}\Shell\AutoRun\command - “” = 3yalgc.exe O33 - MountPoints2{21cbfae0-d3be-11de-89d6-00304f306e62}\Shell\open\Command - “” = 3yalgc.exe O33 - MountPoints2{55c67a52-a60f-11de-8a45-00304f306e62}\Shell - “” = AutoRun O33 - MountPoints2{55c67a52-a60f-11de-8a45-00304f306e62}\Shell\AutoRun\command - “” = I:\Startme.exe – File not found O33 - MountPoints2{60204eb0-d1e5-11de-893b-95c7b09a2e8f}\Shell\AutoRun\command - “” = I:\stojan\kristal.exe – File not found O33 - MountPoints2{60204eb0-d1e5-11de-893b-95c7b09a2e8f}\Shell\explore\command - “” = I:\stojan\kristal.exe – File not found O33 - MountPoints2{60204eb0-d1e5-11de-893b-95c7b09a2e8f}\Shell\open\command - “” = I:\stojan\kristal.exe – File not found MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Logitech SetPoint.lnk - C:\PROGRA~1\Logitech\SetPoint\SetPoint.exe - File not found MsConfig - StartUpFolder: C:^Documents and Settings^CHALUPA^Menu Start^Programy^Autostart^Rejestracja produktu Logitech.lnk - C:\PROGRA~1\COMMON~1\LOGISH~1\eReg\SetPoint\eReg.exe - File not found MsConfig - StartUpFolder: C:^Documents and Settings^CHALUPA^Menu Start^Programy^Autostart^Rejestrowanie produktów Corela.lnk - C:\PROGRA~1\Corel\GRAPHI~1\Register\Remind32.exe - File not found MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe File not found MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe File not found MsConfig - StartUpReg: cdoosoft - hkey= - key= - C:\DOCUME~1\CHALUPA\USTAWI~1\Temp\herss.exe File not found MsConfig - StartUpReg: KernelFaultCheck - hkey= - key= - File not found MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= - File not found MsConfig - StartUpReg: P17Helper - hkey= - key= - File not found MsConfig - StartUpReg: UserFaultCheck - hkey= - key= - File not found [2010-06-26 08:51:30 | 000,065,536 | RHS- | M] () – C:\Documents and Settings\CHALUPA\Dane aplikacji\mrpky.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] “TaskMan”=- :Commands [emptytemp] [Reboot]

Kliknij w Run Fix ( Wykonaj Script ). Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij “Run Scan” ( Skanuj ).

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

Sluuz · 1 Lipiec 2010 10:17

“C:\Documents and Settings\admin\Moje dokumenty\reko” - to znam.

raport z usuwania: http://wklej.org/id/358849/

log ze skanowania po usuwaniu: http://wklej.org/id/358847/

jessica · 1 Lipiec 2010 10:31

Usuwanie zrobiłeś nie na tym komputerze, na którym miało być wykonane.

Miało być wykonane na tym.

jessi

Sluuz · 1 Lipiec 2010 11:12

ok.teraz powinno byc dobrze.

raport z usuwania: http://wklej.org/id/358882/

log ze skanowania: http://wklej.org/id/358881/

jessica · 1 Lipiec 2010 11:20

Jeszcze drobna poprawka:

Uruchom OTL i w oknie Custom Scans/Fixes ( Własne opcje skanowania/Script )wklej to:

Kliknij w Run Fix ( Wykonaj Script ).

Pokaż raport z tego usuwania.

Nowego logu już nie trzeba.

jessi

Sluuz · 1 Lipiec 2010 11:34

raport z nowego usuwania: http://wklej.org/id/358891/

jessica · 1 Lipiec 2010 11:43

Wykonane.

W OTL kliknij na przycisk “CleanUp” ( Sprzątanie ) - to go usunie razem z jego Kwarantanną.

Usuń kopie szkodników z folderu “System Volume Information” poprzez chwilowe wyłączenie “Przywracania Systemu”:

jessi