zima13
(Moroz Marcin)
18 Maj 2010 06:17
#1
Witam, od dłuższego czasu mam problem z programem autorun.ini na pendrive’ach. Nie da się ich usunąć, ponieważ cały czas się odnawiają. Towarzyszy im także zawsze jakiś wirus. Nie przeszkadzało mi to zbytnio, ale ostatnio jak przeinstalowałem windowsa i zainstalowałem antywira Avast!, to program na okrągło wykrywa i kasuje plik E:\p6xebrnt.exe (oraz F:\p6xebrnt.exe, czyli dyski wymienne)
Jak mogę się tego pozbyc z komputera i oczyścić pendrive?
Log z OTL
http://wklej.org/id/335797/
Extras
http://wklej.org/id/335798/
Log z GMER
http://wklej.org/id/335804/
Log z USBFix
http://wklej.org/id/335808/
Ten wirus jest trudny do usunięcia.
Ja pozbyłem się go używając ComboFix.
Dobrze jest też użyć FlashDisinfector bo on od razu zabezpieczy ci pena.
Maksiu1
(Maxx45)
18 Maj 2010 09:39
#3
Lub programik Ninja Pendisk 1.8 (free)do ochrony penów.
deFco247
(deFco247)
18 Maj 2010 12:17
#4
To jest akurat banalna w usuwaniu infekcja… :roll:
W trakcie stosowania tego skryptu masz mieć podłączone te same pendrive co przy skanowaniu USBFix.
W białe dolne okno Custom Scans/Fixes w OTL wklej:
:OTL MOD - [2010-05-18 07:11:25 | 000,073,728 | RHS- | M] () – C:\Documents and Settings\Marcin\Ustawienia lokalne\Temp\dsoqq0.dll O4 - HKU\S-1-5-21-484763869-1547161642-1801674531-1003…\Run: [dso32] C:\Documents and Settings\Marcin\Ustawienia lokalne\Temp\dsoqq.exe () O4 - HKU\S-1-5-21-484763869-1547161642-1801674531-1003…\Run: [nod32] C:\Documents and Settings\Marcin\Ustawienia lokalne\Temp\nodqq.exe () O4 - HKU.DEFAULT…\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-18…\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-19…\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-20…\RunOnce: [nltide_2] File not found O32 - AutoRun File - [2010-05-18 07:34:56 | 000,000,063 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-05-18 07:34:56 | 000,000,063 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-05-18 07:34:56 | 000,000,063 | RHS- | M] () - E:\autorun.inf – [NTFS] :Files C:\12gn6id2.exe C:\9rfpp.exe C:\i8ikdjwt.exe C:\p6xebrnt.exe C:\p9rs.exe C:\xjb3.exe C:\RECYCLER D:\12gn6id2.exe D:\9rfpp.exe D:\i8ikdjwt.exe D:\p6xebrnt.exe D:\p9rs.exe D:\xjb3.exe D:\RECYCLER E:\12gn6id2.exe E:\9rfpp.exe E:\autorun.inf E:\i8ikdjwt.exe E:\p6xebrnt.exe E:\p9rs.exe E:\xjb3.exe E:\RECYCLER H:\p6xebrnt.exe H:\autorun.inf :Commands [emptytemp] [clearallrestorepoints] [start explorer]
Run Fix . Restart, jeśli będzie potrzebny.
Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan .
zima13
(Moroz Marcin)
18 Maj 2010 12:57
#5
Przed opcją Run Fix użyłem ComboFix co zresztą widac w raporcie (ta rada była pierwsza)
OTL po Run Fix
http://wklej.org/id/335956/
nowy OTL
http://wklej.org/id/335959/
deFco247 używac tych programów do pendrive’ów które polecili Twoi poprzednicy ?
deFco247
(deFco247)
18 Maj 2010 13:08
#6
Nie ma potrzeby.
Jak już zastosowałeś się do tej nieopatrznej porady, to zaprezentuj log wyprodukowany przez niego.
zima13
(Moroz Marcin)
18 Maj 2010 13:22
#7
deFco247
(deFco247)
18 Maj 2010 13:49
#8
Combofix usunął część syfu, a OTL dokończył to. Więcej syfu na usuwanie nie ma.
Wykonaj: Start -> Uruchom… -> Combofix /uninstall
W OTL kliknij CleanUp .
Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP /Vista /Windows 7 .
Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.
Gdy będą wirusy pokaż raport po usuwaniu.
Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).
Obowiązkowo wykonaj update następującego softu:
Adobe Reader 9.3.2
Posprzątaj po starych wersjach Javy: JavaRa .
zima13
(Moroz Marcin)
18 Maj 2010 19:21
#9
możesz napisac bardziej szczegółową procedurę jak tego Combofixa usunąc, bo jakoś mi nie wychodzi ;/
deFco247
(deFco247)
18 Maj 2010 20:52
#10
Wpisujesz w Start -> Uruchom… polecenie:
No i klikasz OK.
zima13
(Moroz Marcin)
19 Maj 2010 12:28
#11
wydruk z Malwarebytes’ Anti-Malware
http://wklej.org/id/336619/
deFco247
(deFco247)
19 Maj 2010 13:10
#12
Czynności masz wykonywać w takiej kolejności jak podaję. MBAM wykrył wirusy w kwarantannie OTL-a, którą powinieneś usunąć na początku klikając w OTL przycisk CleanUp .
jarzab16
(Jarzab16)
7 Czerwiec 2010 18:38
#14
deFco ja także bardzo Ci dziękuję za udzielenie tej porady. Dzięki niej szybko pozbyłem się niechcianych “insektów” z mojego komputera.
deFco247
(deFco247)
7 Czerwiec 2010 18:40
#15
jarzab16 , po pierwsze absolutnie i nigdy przenigdy nie stosuje się skryptów z cudzych przypadków.
Z racji powyższego każdy przypadek infekcji musi być prowadzony w osobnym temacie.
jarzab16
(Jarzab16)
8 Czerwiec 2010 13:36
#16
Nie użyłem całego skryptu tylko jego składnię. Całość wpisałem sam.
scripter1
(scripter1)
8 Czerwiec 2010 19:32
#17
Przecież to dokładnie to samo co użycie gotowego skryptu - chyba że znasz się na tym i oceniłeś że masz dokładnie te same wirusy lub użyłeś tylko fragmentów które się pokrywają z twoim…