Wirus siedzi w punkcie przywracania systemu

Gorian · 17 Lipiec 2010 20:08

Witam,

Dostałem “do podpicowania” komputer od zupełnego laika… Po przeskanowaniu systemu - ok. 463 wystąpień wirusa, głównie w punktach przywracania systemu. Avast niby usunął wszystko, ale po ponownym uruchomieniu komputera zawsze ma ok. trzech zainfekowanych plików w punktach przywracania systemu.

Wklejam logi z OTL http://wklej.org/hash/52a386f92ce/ oraz HijackThis: http://wklej.org/id/365743/ - czy wklejać jeszcze jakieś?

PS. “Dziwne” wpisy w “Hosts” to prawdopodobnie wynik działania Spybota, którego odpaliłem dzisiaj…

QwartzC · 17 Lipiec 2010 20:09

No to na początek wyłącz przywracanie systemu - pozbędziesz się części z tych wystąpień wirusa, następnie zrób log z OTL bo ten, który zrobiłeś do niczego się nie nadaje w obecnych czasach.

Czytaj: otl-gmer-rsit-dds-inne-instrukcje-t370405.html

Gorian · 17 Lipiec 2010 20:16

W porządku, dodałem log z OTL i wyłączyłem przywracanie systemu. Teraz skanuję dysk Avastem jeszcze raz…

jessica · 17 Lipiec 2010 20:30

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL O3 - HKU\S-1-5-21-1645522239-861567501-725345543-1003…\Toolbar\ShellBrowser: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - No CLSID value found. O3 - HKU\S-1-5-21-1645522239-861567501-725345543-1003…\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. O3 - HKU\S-1-5-21-1645522239-861567501-725345543-1003…\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O32 - AutoRun File - [2009-07-09 17:33:10 | 000,000,059 | RHS- | M] () - F:\autorun.0nf – [FAT32] O33 - MountPoints2{1747a7e5-d534-11de-8746-00210012fcbc}\Shell\AutoRun\command - “” = I:\6ruaqx.exe – File not found O33 - MountPoints2{1747a7e5-d534-11de-8746-00210012fcbc}\Shell\open\Command - “” = I:\6ruaqx.exe – File not found O33 - MountPoints2{260867e2-ca28-11de-8732-00210012fcbc}\Shell\AutoRun\command - “” = I:\dbrxubcw.com – File not found O33 - MountPoints2{260867e2-ca28-11de-8732-00210012fcbc}\Shell\open\Command - “” = I:\dbrxubcw.com – File not found O33 - MountPoints2{35ea6a6e-a1f2-11de-86fe-00210012fcbc}\Shell\AutoRun\command - “” = I:\wyskq6lt.exe – File not found O33 - MountPoints2{35ea6a6e-a1f2-11de-86fe-00210012fcbc}\Shell\open\Command - “” = I:\wyskq6lt.exe – File not found O33 - MountPoints2{37ca137b-f95e-11de-8767-00210012fcbc}\Shell\AutoRun\command - “” = I:\dbrxubcw.com – File not found O33 - MountPoints2{37ca137b-f95e-11de-8767-00210012fcbc}\Shell\open\Command - “” = I:\dbrxubcw.com – File not found O33 - MountPoints2{7d022fea-c0bb-11de-8719-001f298e25d3}\Shell\AutoRun\command - “” = I:\dbrxubcw.com – File not found O33 - MountPoints2{7d022fea-c0bb-11de-8719-001f298e25d3}\Shell\open\Command - “” = I:\dbrxubcw.com – File not found O33 - MountPoints2{832cae70-fa23-11de-8769-00210012fcbc}\Shell\AutoRun\command - “” = I:\dbrxubcw.com – File not found O33 - MountPoints2{832cae70-fa23-11de-8769-00210012fcbc}\Shell\open\Command - “” = I:\dbrxubcw.com – File not found O33 - MountPoints2{a3a84a55-a9ae-11de-8704-001f298e25d3}\Shell\AutoRun\command - “” = J:\dbrxubcw.com – File not found O33 - MountPoints2{a3a84a55-a9ae-11de-8704-001f298e25d3}\Shell\open\Command - “” = J:\dbrxubcw.com – File not found O33 - MountPoints2{a9457923-05c7-11df-8773-00210012fcbc}\Shell\AutoRun\command - “” = I:\dbrxubcw.com – File not found O33 - MountPoints2{a9457923-05c7-11df-8773-00210012fcbc}\Shell\open\Command - “” = I:\dbrxubcw.com – File not found O33 - MountPoints2{bb887538-fe11-11de-876c-00210012fcbc}\Shell\AutoRun\command - “” = I:\dbrxubcw.com – File not found O33 - MountPoints2{bb887538-fe11-11de-876c-00210012fcbc}\Shell\open\Command - “” = I:\dbrxubcw.com – File not found DRV - File not found [Kernel | On_Demand | Stopped] – E:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\idsdefs\20050901.036\symidsco.sys – (SYMIDSCO) :Files C:\autorun.0nf D:\autorun.0nf E:\autorun.0nf :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] [resethosts] [Reboot]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

Gorian · 17 Lipiec 2010 20:47

Nie zapisałem raportu, który pokazał się po restarcie (przepraszam za nieuwagę), uruchomiłem za to OTL ( pole “wykonaj skrypt” pozostawiłem puste).

Nowy log wygląda tak: http://wklej.org/hash/da626bc2311/

Możliwe więc, że coś spraprałem - jeśli tak, to piszcie, jakie nowe logi wklejać.

PS. Czy mogę już włączyć przywracanie systemu?

jessica · 17 Lipiec 2010 20:59

W nowym logu nie widać już żadnej infekcji.

I powinno być OK, dopóki nie podepniesz tego zarażonego pendrive’a.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

Tak, możesz już włączyć “Przywracanie Systemu”

jessi

Gorian · 17 Lipiec 2010 21:49

Ten pendrive jest cały czas podłączony, więc czy został wyczyszczony? Jeśli nie, to jak go wyczyścić? 8)

jessica · 17 Lipiec 2010 21:55

Jeśli “I” to pen, to chyba rzeczywiście jest on czysty.

jessi

Gorian · 17 Lipiec 2010 22:06

Tak, to jest pendrive, a “Autorun.inf” to folder stworzony przeze mnie (tylko do odczytu), żeby w razie czego nie roznosić wirusów, ale chyba nie muszę tego tłumaczyć. 8)