Wirus autorun.inf na każdej partycji odnawia się

lukaszenko100 · 30 Listopad 2013 13:39

Witam.

Co kilka sekund wyskakuje mi okno ochrony Kaspersky informujące o wirusie autorun.inf na każdej partycji i nie tylko (gidn.pif i wiele innych).

Malwarebytes nie pomógł, skan Kasperskim nie pomógł, ComboFix usunął, ale wirus się najprawdopodobniej odnowił, bo znów wyskakuje powiadomienie o zagrożeniu z jego strony na każdej partycji. Oto log z ComboFix’a: http://wklej.to/UEEAu

Oto z OTL’a: http://www.sendspace.pl/file/424fdd58f85ce9eb7ef13d7 (przepraszam za plik tekstowy w hostingu, ale nie mogłem wgrać tego pliku na żadną stronę do wklejania, ani w załącznik, internet jest za wolny)

OTL Extras: http://wklej.org/id/1192768/

Atis · 30 Listopad 2013 13:50

Wirus Sality który infekuje wszystkie pliki wykonywalne.

Zabezpiecz się przed infekcją z USB: Panda USB Vaccine lub KLIK Uruchom program i kliknij Vaccinate.

Skanuj wszystkie partycje i lecz zainfekowane pliki.

SalityKiller lub KLIK
Dr.Web CureIt lub KLIK Przeskanuj wszystkie dyski: KLIK

Pokaż nowy log gdy skanery nie będą wykrywały żadnych zainfekowanych plików.

lukaszenko100 · 4 Grudzień 2013 21:07

SalityKiller zeskanował wszystkie partycje, wynalazł 38 problemów, ale żadnego nie zneutralizował (albo tylko jeden, nie pamiętam za dobrze).

Dr.Web CureIt po włączeniu kazał mi załączyć opcję odizolowania od systemu, wyskoczyło powiadomienie, że wypadałoby zaktualizować bazę danych wirusów, lecz nie znalazłem żadnej takiej opcji, uruchomiłem skaner niestadardowo (wszystkie partycje + podstawowe foldery, które program ma na początku). Wykrył kilkadziesiąt trojanów i nie tylko, które po nazwie były to cyfry z dopiską .exe i parę jeszcze innych exe’ów oraz jeden plik .inf. Po zlikwidowaniu tego zrestartowałem komputer, lecz przy ponownym uruchomieniu systemu Kaspersky nadal spamuje mi komunikatami o wykryciu wirusów (najczęściej autorun.ini/albo inf,nie pamiętam; na każdej partycji). Kaspersky wykrył sality i go niby usunął, lecz po restarcie nadal co chwilę wyskakuje komunikat w prawym dolnym rogu by zrestartować komputer aby dokończyć usuwanie wirusów (i tak po restarcie jest multum wirusów). Przepraszam za chwilowy brak screenów z tych dwóch operacji, lecz piszę z innego komputera, gdyż na zainfekowanym ten wątek nie wczytuje się dokładnie i nie mogę zrobić tego, co bym chciał.

Chcę dodać, że ten wirus co kilka resetów komputera usuwa mi .exe MalewareBytesa, czyli to chyba na pewno sality.

Atis · 5 Grudzień 2013 08:52

Przecież napisałem, że na pewno to jest Sality, bo widać w logu sterownik amsint32

Poza tym masz Kaspersky, więc uruchom skanowanie całego dysku.

Jeżeli skanery nie usuną wirusa to pozostaje formatowanie dysku.

Na czystym komputerze można utworzyć bootowalny pendrive z skanerem.

Kaspersky Rescue Disk USB:

http://support.kaspersky.com/pl/8092

Dr.Web LiveUSB:

http://www.freedrweb.com/liveusb/?lng=pl

YUMI pozwala na jednym pendrive umieścić kilka różnych skanerów.

http://www.pendrivelinux.com/yumi-multiboot-usb-creator/

Najlepiej za pomocą YUMI utwórz pendrive z Kaspersky Rescue i Dr.Web Live.

lukaszenko100 · 10 Grudzień 2013 00:38

Najpierw robiłem Kasperskym Rescue Disc’iem. Wykryło 44 problemów, 44 zlikwidowano. Wyłączyłem poprawnie komputer, wziąłem pendrive i zgrałem ponownie, tym razem Dr.Webem. Znalazł mało problemów, lecz zrobił wszystko co mógł. Poprawie wyłączyłem.

Włączam komputer normalnie, nie wyskakiwał komunikat Kasperskiego tak nachalnie jak zwykle, ale po pół minucie już tak.

Wziąłem jeszcze raz Kasperskym Rescue Disc’iem przejechałem, wykrył, usunął. Poprawnie wyłączyłem.

Włączyłem komputer, nadal to samo, czyli eksplodują mi komunikaty o zagrożeniach i bym zrestartował komputer.

Format potrzebny?

Edit:

Jeszcze odnośnie: zamierzam formatować dysk, zgrałem wszystkie moje zdjęcia i pliki tekstowe, które są mi potrzebne na dysk zewnętrzny, lecz podczas kopiowania dysk został zarażony. Zbootowałem ponownie Kasperskiego, niby wykrył i usunął mi te wirusy, lecz jak to sprawdzić? Jak podłączę dysk pod zdrowy komputer możliwe, że komputer zostanie zarażony z dysku zewnętrznego, bo to chyba możliwe, że ten wirus się zregeneruje, jak jest to w przypadku mojego zarażonego komputera.

Proszę korzystać z opcji Edytuj , zamiast pisać post pod postem.

rgabrysiak

Atis · 13 Grudzień 2013 18:43

Podłącz ten dysk, pendrive i inne tego typu nośniki.

Uruchom UsbFix i kliknij Vaccinate.

Pokaż raport z opcji Listing.

lukaszenko100 · 13 Grudzień 2013 19:45

Ale gdy podłączę dysk pod komputer, nie ma szans, że wirus się nie uaktywni?

Atis · 13 Grudzień 2013 20:12

Przecież już wcześniej podłączyłeś ten dysk do zainfekowanego komputera.

Co się może stać gdy ponownie podłączysz do tego samego komputera?

lukaszenko100 · 13 Grudzień 2013 22:21

http://i43.tinypic.com/2hge1vr.jpg http://wklej.to/OmVfF

Atis · 13 Grudzień 2013 22:32

Nie widać szkodliwych plików na tym dysku H.

Wklej do OTL i kliknij Wykonaj skrypt:

:Files
C:\phybcc.exe
rd /s /q H:\Recycled /c

lukaszenko100 · 13 Grudzień 2013 22:58

Z którego komputera wykonać skrypt? Na zawirusowanym, gdzie wystarczy kilka chwil po podłączeniu pamięci zewnętrznej, by mieć wirusa w środku?

Atis · 13 Grudzień 2013 23:58

W takim razie nie wykonuj skryptu.

Tak jak napisałem, że na H nie ma nic szkodliwego.

lukaszenko100 · 14 Grudzień 2013 00:37

Póki co WIELKIE dzięki za cierpliwość do mojej osoby, WIELKIE dzięki za całą tą pomoc i dziwię się, że wytrzymałeś odpowiadając na moje pytania.

Póki co leci format, zobaczymy jak to będzie. Obym nie musiał już więcej ciebie męczyć.