Zawirusowany laptop - pliki autorun.inf


(Kokos1835) #1

Z góry informuję, że jestem kompletnym laikiem w tych sprawach. Sprawa wygląda następująco:

Problem związany jest z pojawiającymi się w różnych miejscach plikami autorun.inf (ostatnio bezpośrednio na dysku D, który tworzy mi plik jvspok). Występują także pliki yaoyo.exe. Na dyskach zewnętrznych najpierw tworzyło mi skróty teraz na jednym został sam plik autorun.inf a na drugim pojawiły się pliki buebud.exe, buebud.scr,  jtllup.exe. Do tego mam nieaktywną opcję Menadżera zadań.

 

Logi:

 

http://www.wklej.org/id/1209216/

http://www.wklej.org/id/1209220/


(Atis) #2

Nie widać przyczyny tego problemu, ale to może być wirus Sality.

Odinstaluj outobox 2013.11.12.181539 i Wsys Control 15.2.1.2652.

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Przeskanuj dysk za pomocą Dr.Web CureIt i napisz czy wykrył zainfekowane pliki.

Dr.Web CureIt lub KLIK


(Kokos1835) #3

Dr.Web CureIt wykrył 27 zagrożeń


(Atis) #4

Jakiego wirusa wykrył?


(Kokos1835) #5


(Atis) #6

Sector to inna nazwa wirusa Sality infekującego wszystkie pliki wykonywalne.

Skanuj wszystkie partycje i lecz zainfekowane pliki.

  1. SalityKiller lub KLIK

2. Za pomocą Dr.Web CureIt Przeskanuj wszystkie dyski: KLIK

  1. Kaspersky Virus Removal Tool 2011 lub KLIK

W zakładce Scan scope zaznacz wszystkie dyski:

Pokaż nowy log gdy skanery nie będą wykrywały żadnych zainfekowanych plików.


(Kokos1835) #7

Trochę trwały te wszystkie skanowania.

 

LOG: 

http://www.wklej.org/id/1210195/


(Atis) #8

Jeżeli nie masz aktualnej licencji to odinstaluj stary Trend Micro Titanium Internet Security.

Pobierz i rozpakuj archiwum:

http://support.kaspersky.com/downloads/utils/sality_regkeys.zip

Kliknij prawym na pliku SafeBootWin 7 i wybierz Scal.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
SRV:64bit: - File not found [On_Demand | Stopped] -- C:\Program Files\Trend Micro\AMSP\coreServiceShell.exe coreFrameworkHost.exe -- (Amsp)
O4:64bit: - HKLM..\Run: [Trend Micro Client Framework] "C:\Program Files\Trend Micro\UniClient\UiFrmWrk\UIWatchDog.exe" File not found
O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files (x86)\Mobogenie\DaemonProcess.exe ()
O4 - HKU\S-1-5-21-3801143714-3251238955-3795291970-1000..\Run: [] File not found
O4 - HKU\S-1-5-21-3801143714-3251238955-3795291970-1000..\Run: [EADM] "C:\Program Files (x86)\Origin\Origin.exe" -AutoStart File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - Startup: C:\Users\KOKOS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WTW.lnk = File not found
[2013-12-17 13:04:59 | 000,000,000 | ---D | C] -- C:\ProgramData\Doctor Web
[2013-12-17 19:05:32 | 000,000,000 | ---D | C] -- C:\ProgramData\Kaspersky Lab
[2013-12-17 13:04:57 | 000,000,000 | ---D | C] -- C:\Users\KOKOS\Doctor Web
[2013-12-17 12:37:26 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2013-12-15 20:08:24 | 000,000,000 | ---D | C] -- C:\Users\KOKOS\AppData\Local\cache
[2013-12-15 20:08:23 | 000,000,000 | ---D | C] -- C:\Users\KOKOS\Documents\Mobogenie
[2013-12-15 20:08:23 | 000,000,000 | ---D | C] -- C:\Users\KOKOS\AppData\Local\Mobogenie
[2013-12-15 20:07:27 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Mobogenie
:Files
C:\Windows\SysWow64\*.lnk
xtntok.pif /alldrives
autorun.inf /alldrives
netsh advfirewall reset /c
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.


(Kokos1835) #9

Trend Micro Titanium Internet Security - nie ma tego w programach i funkcjach.


(Atis) #10

Użyj narzędzia od producenta Trend Micro:


(Kokos1835) #11

i39206_reg.png


(Atis) #12

W takim razie sprawdź czy działa tryb awaryjny:

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

http://support.kaspersky.com/pl/general/various/493#q1

Wykonaj pozostałe zalecenia.


(Kokos1835) #13

W trybie awaryjnym to samo. 


(Atis) #14

Chyba czegoś nie zrozumiałeś? Plik SafeBootWin7 miał naprawić tryb awaryjny, bo Sality kasuje klucze rejestru od awaryjnego, więc w ogóle nie można uruchomić systemu w tym trybie.

Jeżeli można uruchomić w awaryjnym, to pomimo komunikatu klucze zostały prawidłowo zaimportowane.


(Kokos1835) #15

A tego to nie wiedziałem :slight_smile:

 

LOGI:

 

http://www.wklej.org/id/1210389/

http://www.wklej.org/id/1210403/


(Atis) #16

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date


(Kokos1835) #17


(Atis) #18

Zainstaluj Firefox 26


(Kokos1835) #19

Zrobione.