Wirus z pendrive'a - herss.exe


(Jedynywolnyadres) #1

Do mojego komputera przedostał się wirus z pendrive'a. Zauważyłem w okienku wywoływanym poleceniem "msconfig" aplikację "herss.exe". Komputer ciut wolniej działa.

Malwarebytes' Anti-Malware wykrył niebezpieczne pliki, ale nic nie usuwałem (patrz: screen).

Daję logi wygenerowane przez programy ComboFix oraz RSIT.

info z RSIT: http://wklej.org/id/213236/

log z RSIT: http://wklej.org/id/213237/

log z ComboFix: http://wklej.org/id/213241/

Najpierw użyłem programu RSIT, później ComboFix, który uruchomił mi ponownie komputer, gdyż fiksował z wirtualnym napędem stworzonym przez DAEMON Tools Lite (a teraz nie mogę włączyć tego programu [\*]).

Ponadto w głównym katalogu dysku twardego z zainstalowanym systemem pojawił się folder "autorun.inf", w którym jest plik "lpt3.This folder was created by Flash_Disinfector" (korzystałem z programu Flash_Disinfector, ale, jak widać, nie zapobiegł infekcji).

safsaf.th.jpg

[\*] Pojawia się taki komunikat:

ssssaa.th.jpg

Proszę o szybką pomoc.


(Katalonczyk97) #2

malwarebytes już znalazł tą infekcję usuń ją oraz dwie niżej a następnie powiedz czy coś lepiej

do ochrony użyj http://www.komputerswiat.pl/nowosci/bez ... ckera.aspx


(Jedynywolnyadres) #3

ComboFix najwyraźniej usunął trochę syfu, w okienku wywoływanym za pomoca polecenia "msconfig" nie ma już żadnych podejrzanych aplikacji.

Niestety komputer nadal działa wolniej, mówiąc kolokwialnie - ciut zamula.

Proszę o sprawdzenie przez osobę doświadczoną moich nowych logów , tym bardziej że - czytając tematy o tym syfie - zauważyłem, że rzeczony wirus "zapuszcza głęboko swe korzenie" w systemie: rzadko kiedy pomaga usunięcie wirusa w tradycyjny sposób, trza grzebać w rejestrze.

Log z Combofix (pomimo że całkowicie wyłączyłem program DAEMON Tools Lite i stworzone przez niego napędy wirtualne, komputer musiał ponownie zostać zrestartowany przez ComboFix - czy to wpływa na wyniki skanowania?; ewentualnie mogę odinstalować program DAEMON Tools Lite, jeśli przez niego logi są niepełne etc.; pozycje 70, 71, 72, 76 wydają się podejrzane...): http://wklej.org/id/213643/

Dane z RSIT (gdy podłączano pendrive'a, instalowały się jakieś sterowniki - prosiłbym więc o sprawdzenie listy zainstalowanych driverów, tym bardziej że w folderze "drivers" w katalogu "system32" jest coś nowego [świeża data modyfikacji]): http://wklej.org/id/213636/ oraz http://wklej.org/id/213637/

Programy HijackThis i Malwarebytes' Anti-Malware (oczywiście zastosowałem pełne skanowanie) już nie wykrywają podejrzanych plików/wpisów (tak, Malwarebytes' Anti-Malware już nie widzi tych trzech plików, które wcześniej wyłapał).

Nadal czekam na odpowiedź odnośnie do folderu "autorun.inf".

PS W logu wygenerowanym przez program ComboFix znalazłem wpisy związane z nazwą "pr2aj6ec". To najprawdopodobniej stare zabezpieczenie z gry. Można je przy okazji również usunąć?

EDIT :

Udało się wygenerować log z programu ComboFix bez restartu systemu. Oto log (jest jednak inny): http://wklej.org/id/213677/

Nie obyło się bez problemów, pojawiły się jakieś nowe procesy, na przykład "mbr.cfxxe.exe".

W folderze "ComboFix" pojawiły się jakieś pliki:

asgsag.th.jpg

Chwilę wcześniej uaktywnił się proces "dumprep 0-k". Czy mogę zastosować metodę (dezaktywacja przez Panel Sterowania) podaną tutaj:

dumprep-t82300.html

Uaktywnianiu się tego procesu (albo podobnych, na przykład "dumprep 0- u") towarzyszy zmiana wyglądu okienek (wyglądają jak ze starszych wersji Windowsa - patrz: screen):

sassss.th.jpg

Wrzucam również log z programu OTL: http://wklej.org/id/213704/


(jessica) #4

Logi są czyste.

Pewnie chodzi Ci o te:

To prawidłowe!

Tak, to folder stworzony przez "Flasha". On ma utrudniać reinfekcję, ale nie jest w stanie całkowicie jej zapobiec.

Daję je w Scripcie.

To ComboFixa.

To pojawia się po każdym twardym restarcie.

Daję to w Scripcie.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

Kliknij w Run Fix. Zatwierdź restart komputera.

jessi


(Jedynywolnyadres) #5

Bardzo dziękuję za udzieloną pomoc. Jak na razie wszystko jest w jak największym porządku.

  1. Po ponownym uruchomieniu komputera pojawił się następujący log: http://wklej.org/id/213782/ .

  2. Program Malwarebytes' Anti-Malware nic nie wykrywa.

  3. W głównym katalogu dysku, na którym jest zainstalowany system operacyjny, jest masa pozostałości. Czy foldery "rsit", "_OTL" (znajduje się w nim folder "MovedFiles") i "ComboFix" (screen jego specyficznej zawartości jest w moim poprzednim poście) można normalnie usunąć? Aplikacje programów tworzących logi z pulpitu takoż?

  4. Jeśli bylibyście tak uprzejmi, proszę o odpowiedź na moje pytanie dotyczące ostatecznej dezaktywacji "dumprep 0 -k/u" z poziomu Panelu sterowania.

Pozdrawiam.


(jessica) #6
  1. Powinno być czysto.

  2. MBAM to potwierdza.

3) W OTL kliknij na przycisk "CleanUp" - to go usunie., i przy okazji usuwa to ComboFixa.

Wszystkie obiekty narzędzi, jakie pozostaną jeszcze po tym "CleanUp" możesz usunąć ręcznie.

4) tu nie jestem pewna: być może: >Panel Sterowania>>System>>(tu u ciebie będą inne obiekty, bo ja mam VISTĘ - więc sam poszukaj u siebie) >>pole "Awarie Systemu"> usuń zaznaczenie z okienka "Zapisz zdarzenie...".

Jeśli to nie zadziała, to po prostu spowrotem zaznaczysz to okienko.

jessi