rutra64 Napisano Marzec 5, 2012 Zgłoś Share Napisano Marzec 5, 2012 Jakiś czas temu znajomy przyniósł mi z pracy zainfekowanego tym ustrojstwem pendriva. Rozprzestrzenia się to wszędzie. Szukałem trochę, ale nie znalazłem sposobu jak się tego pozbyć. Próbowałem już kilkoma antywirusami, ale żaden go nie wykrył. Czy wię ktoś jak sobie z nim poradzić. Proszę o pomoc. Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Marzec 5, 2012 Zgłoś Share Napisano Marzec 5, 2012 1. Przeskanuj kompa programem Malwarebytes' Anti-Malware, pozwól mu naprawić co znajdzie, a powstały log wrzuć na forum. 2. Uruchom OTL, we wszystkich sekcjach zaznacz opcję użyj filtrowania i kliknij opcję Skanuj. Wrzuć obydwa powstałe logi na forum. Sądziłem, że ten wirus już jest martwy. Dziwne. Link do komentarza Udostępnij na innych stronach More sharing options...
rutra64 Napisano Marzec 5, 2012 Autor Zgłoś Share Napisano Marzec 5, 2012 no zrobiłem to wszystko. te pliki nie zniknęły. usunąć je ręcznie? Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Marzec 6, 2012 Zgłoś Share Napisano Marzec 6, 2012 Uruchom OTL, w oknie Własne opcje skanowania/Skrypt wklej :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (ewusbmbb) DRV - File not found [Kernel | On_Demand | Unknown] -- -- (algzu5zx) DRV - [2012-03-05 23:04:38 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\Windows\System32\drivers\rjqckq.sys -- (irsokvoc) IE - HKLM\..\SearchScopes,DefaultScope = Zbani IE - HKLM\..\SearchScopes\zbani: "URL" = http://home.zbani.com/en/get/{searchTerms} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms} IE - HKCU\..\SearchScopes\zbani: "URL" = http://home.zbani.com/en/get/{searchTerms} FF - prefs.js..browser.search.defaulturl: "home.Zbani.com/en/get/" O32 - AutoRun File - [2009-06-10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ] O33 - MountPoints2\{09d7907b-3ae1-11e1-915d-001fc6111d3e}\Shell - "" = AutoRun O33 - MountPoints2\{09d7907b-3ae1-11e1-915d-001fc6111d3e}\Shell\AutoRun\command - "" = I:\AutoRun.exe O33 - MountPoints2\{09d79088-3ae1-11e1-915d-001fc6111d3e}\Shell - "" = AutoRun O33 - MountPoints2\{09d79088-3ae1-11e1-915d-001fc6111d3e}\Shell\AutoRun\command - "" = I:\AutoRun.exe O33 - MountPoints2\{fd6571d2-c953-11df-a013-001fc6111d3e}\Shell - "" = AutoRun O33 - MountPoints2\{fd6571d2-c953-11df-a013-001fc6111d3e}\Shell\AutoRun\command - "" = I:\Startme.exe O33 - MountPoints2\{fda50b8e-c7c6-11df-b7aa-001fc6111d3e}\Shell - "" = AutoRun O33 - MountPoints2\{fda50b8e-c7c6-11df-b7aa-001fc6111d3e}\Shell\AutoRun\command - "" = H:\Setup.exe O33 - MountPoints2\{fff5256c-c7e8-11df-bb53-001fc6111d3e}\Shell - "" = AutoRun O33 - MountPoints2\{fff5256c-c7e8-11df-bb53-001fc6111d3e}\Shell\AutoRun\command - "" = H:\setup.exe /autorun @Alternate Data Stream - 24 bytes -> C:\Windows:13CD2F92F471DF59 :Files C:\ProgramData\.zreglib :Commands [emptytemp] [resethosts] I kliknij Wykonaj skrypt. Po zakończeniu pracy wyświetli się log, który wrzuć na forum. Następnie zaktualizuj system i wrzuć nowy log z OTL (w tej kolejności). O1 - Hosts: 127.0.0.1 genuine.microsoft.com O1 - Hosts: 127.0.0.1 mpa.one.microsoft.com O1 - Hosts: 127.0.0.1 sls.microsoft.com O1 - Hosts: 127.0.0.1 validation.sls.microsoft.com Ostrzeżenie za piractwo. Link do komentarza Udostępnij na innych stronach More sharing options...
rutra64 Napisano Marzec 6, 2012 Autor Zgłoś Share Napisano Marzec 6, 2012 Zrobiłem tak jak napisałeś. Teraz powinno być już wszystko w porządku? Oto pliki:OTL.Txt03062012_211635.txt Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Marzec 6, 2012 Zgłoś Share Napisano Marzec 6, 2012 Wygląda to lepiej, choć jeszcze dla pewności zrób trzy rzeczy: 1. Przeskanuj kompa programem Dr.Web CureIt!. 2. Przeskanuj kompa programem Emsisoft Anti-Malware (tu ważne jest, żebyś nie włączał ochrony w trybie rzeczywistym, bo może się to gryźć z Twoim obecnym antywirusem). 3. Sprawdź system programem TDSSKiller. Na razie nie pozwalaj mu nic naprawiać, niech po prostu sprawdzi system. Po zakończeniu procesu powstanie log, który wrzuć na forum. Link do komentarza Udostępnij na innych stronach More sharing options...