Zablokowane dyski + komunikat o TR/Crypt.NSPM.Gen

pitu102 · 8 Marzec 2008 14:09

Witajcie,

mój problem pojawia się już przy starcie, kiedy antywirus (Ashampoo) komunikuje infekcję TR/Crypt.NSPM.Gen w pliku x6.bat.

Przy pełnym skanie znajduje jeszcze inne, których nie może usunąć. Z pozostałych objawów widzę (na razie), że nie mogę dostać się bezpośrednio na dyski c i d (limited access), choć jestem jedynym użytkownikiem kompa, ale jak już wejdę przez skrót do katalogu, to dostaję się na dyski i mogę na nich operować. Wolę nie czekać i nie kombinować, uprzejmie proszę o radę.

HjT

http://wklej.org/id/0ab293337e

SR

http://wklej.org/id/f1f9946596

Gutek · 8 Marzec 2008 15:58

O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

użyj automatu - Daj log z ComboFix

pitu102 · 8 Marzec 2008 16:30

Komunikat Ashampoo pojawia się nadal…

Problem pojawił się po kilku dniach niekorzystania z sieci, kiedy znowu połączyłem się z netem. Ale na dyski dostaję się teraz bez problemu.

ComboFix:

http://wklej.org/id/4e189f413d

Gutek · 8 Marzec 2008 23:15

Wklej do Notatnika:

File::

C:\x6.bat

C:\log.tmp


Driver::

ZDCndis5


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo

pitu102 · 9 Marzec 2008 01:42

Logi po wykonaniu:

http://wklej.org/id/6e58810d70

lepiej?

Gutek · 9 Marzec 2008 10:09

No i Ok

pitu102 · 9 Marzec 2008 11:44

Dziękuję za pomoc. Może i wygląda to ok, ale przy starcie znowu Ashampoo daje komunikat o x6.bat, TR/Crypt.NSPM.Gen

Nie przejmować się, czy jednak nadal mam problem?

Nowy log z ComboFix:

http://wklej.org/id/9f74b1b215

Leon1 · 9 Marzec 2008 12:13

Wyłącz przywracanie systemu na wszystkich dyskach

wylecz pendriva http://www.softpedia.com/get/Security/Security-Related/PRT-Perlovga-Removal-Tool.shtml

otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Po restarcie jeśli wszystko będzie OK usuń ręcznie folder C: \Qoobox

dla sprawdzenia daj log HijackThis

sprawdź plik

na http://virusscan.jotti.org/

Włącz przywracanie

pitu102 · 9 Marzec 2008 13:15

Zrobione. Skaner online nie wykrył zagrożenia we wskazanym pliku. Peny przeleciałem PRT

Log z ComboFix:

http://wklej.org/id/e238a39f42

HJT w tym momencie:

http://wklej.org/id/bb1d8a29aa

?

i bez ryzyka włączam przywracanie, tak?

Leon1 · 9 Marzec 2008 14:20

Kosmetycznie usuń wpisy

HijackThisem >> Fix checked

po za tym w logach czysto

tak

pitu102 · 9 Marzec 2008 15:21

Dziękuję bardzo =D> , czegoś się może wreszcie nauczę, podziwiając fachowców

:idea: