Zablokowane dyski + komunikat o TR/Crypt.NSPM.Gen


(Prooby) #1

Witajcie,

mój problem pojawia się już przy starcie, kiedy antywirus (Ashampoo) komunikuje infekcję TR/Crypt.NSPM.Gen w pliku x6.bat.

Przy pełnym skanie znajduje jeszcze inne, których nie może usunąć. Z pozostałych objawów widzę (na razie), że nie mogę dostać się bezpośrednio na dyski c i d (limited access), choć jestem jedynym użytkownikiem kompa, ale jak już wejdę przez skrót do katalogu, to dostaję się na dyski i mogę na nich operować. Wolę nie czekać i nie kombinować, uprzejmie proszę o radę.

HjT

http://wklej.org/id/0ab293337e

SR

http://wklej.org/id/f1f9946596


(Gutek) #2
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe

użyj automatu - Daj log z ComboFix


(Prooby) #3

Komunikat Ashampoo pojawia się nadal...

Problem pojawił się po kilku dniach niekorzystania z sieci, kiedy znowu połączyłem się z netem. Ale na dyski dostaję się teraz bez problemu.

ComboFix:

http://wklej.org/id/4e189f413d


(Gutek) #4

Wklej do Notatnika:

File::

C:\x6.bat

C:\log.tmp


Driver::

ZDCndis5


Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

>>Plik>>Zapisz jako... >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku -->88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: **** Qoobox.

Po tym nowy log z Combo


(Prooby) #5

Logi po wykonaniu:

http://wklej.org/id/6e58810d70

lepiej?


(Gutek) #6

No i Ok


(Prooby) #7

Dziękuję za pomoc. Może i wygląda to ok, ale przy starcie znowu Ashampoo daje komunikat o x6.bat, TR/Crypt.NSPM.Gen

Nie przejmować się, czy jednak nadal mam problem?

Nowy log z ComboFix:

http://wklej.org/id/9f74b1b215


(Leon$) #8

Wyłącz przywracanie systemu na wszystkich dyskach

wylecz pendriva http://www.softpedia.com/get/Security/Security-Related/PRT-Perlovga-Removal-Tool.shtml

otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri ... iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Po restarcie jeśli wszystko będzie OK usuń ręcznie folder C: \Qoobox

dla sprawdzenia daj log HijackThis

sprawdź plik

na http://virusscan.jotti.org/

Włącz przywracanie

:slight_smile:


(Prooby) #9

Zrobione. Skaner online nie wykrył zagrożenia we wskazanym pliku. Peny przeleciałem PRT

Log z ComboFix:

http://wklej.org/id/e238a39f42

HJT w tym momencie:

http://wklej.org/id/bb1d8a29aa

?

i bez ryzyka włączam przywracanie, tak?


(Leon$) #10

Kosmetycznie usuń wpisy

HijackThisem >> Fix checked

po za tym w logach czysto

tak

:slight_smile:


(Prooby) #11

Dziękuję bardzo =D> , czegoś się może wreszcie nauczę, podziwiając fachowców

:idea: