I.LOVE.YOU.txt.vbs

[rutra64]

Jakiś czas temu znajomy przyniósł mi z pracy zainfekowanego tym ustrojstwem pendriva. Rozprzestrzenia się to wszędzie. Szukałem trochę, ale nie znalazłem sposobu jak się tego pozbyć. Próbowałem już kilkoma antywirusami, ale żaden go nie wykrył. Czy wię ktoś jak sobie z nim poradzić. Proszę o pomoc.

[Sevard]

1. Przeskanuj kompa programem Malwarebytes' Anti-Malware, pozwól mu naprawić co znajdzie, a powstały log wrzuć na forum.

2. Uruchom OTL, we wszystkich sekcjach zaznacz opcję użyj filtrowania i kliknij opcję Skanuj. Wrzuć obydwa powstałe logi na forum.

Sądziłem, że ten wirus już jest martwy. Dziwne.

[rutra64]

no zrobiłem to wszystko. te pliki nie zniknęły. usunąć je ręcznie?

[Sevard]

Uruchom OTL, w oknie Własne opcje skanowania/Skrypt wklej

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (hwdatacard)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (huawei_enumerator)

DRV - File not found [Kernel | On_Demand | Stopped] --  -- (ewusbmbb)

DRV - File not found [Kernel | On_Demand | Unknown] --  -- (algzu5zx)

DRV - [2012-03-05 23:04:38 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\Windows\System32\drivers\rjqckq.sys -- (irsokvoc)

IE - HKLM\..\SearchScopes,DefaultScope = Zbani

IE - HKLM\..\SearchScopes\zbani: "URL" = http://home.zbani.com/en/get/{searchTerms}

IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}

IE - HKCU\..\SearchScopes\zbani: "URL" = http://home.zbani.com/en/get/{searchTerms}

FF - prefs.js..browser.search.defaulturl: "home.Zbani.com/en/get/"

O32 - AutoRun File - [2009-06-10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O33 - MountPoints2\{09d7907b-3ae1-11e1-915d-001fc6111d3e}\Shell - "" = AutoRun

O33 - MountPoints2\{09d7907b-3ae1-11e1-915d-001fc6111d3e}\Shell\AutoRun\command - "" = I:\AutoRun.exe

O33 - MountPoints2\{09d79088-3ae1-11e1-915d-001fc6111d3e}\Shell - "" = AutoRun

O33 - MountPoints2\{09d79088-3ae1-11e1-915d-001fc6111d3e}\Shell\AutoRun\command - "" = I:\AutoRun.exe

O33 - MountPoints2\{fd6571d2-c953-11df-a013-001fc6111d3e}\Shell - "" = AutoRun

O33 - MountPoints2\{fd6571d2-c953-11df-a013-001fc6111d3e}\Shell\AutoRun\command - "" = I:\Startme.exe

O33 - MountPoints2\{fda50b8e-c7c6-11df-b7aa-001fc6111d3e}\Shell - "" = AutoRun

O33 - MountPoints2\{fda50b8e-c7c6-11df-b7aa-001fc6111d3e}\Shell\AutoRun\command - "" = H:\Setup.exe

O33 - MountPoints2\{fff5256c-c7e8-11df-bb53-001fc6111d3e}\Shell - "" = AutoRun

O33 - MountPoints2\{fff5256c-c7e8-11df-bb53-001fc6111d3e}\Shell\AutoRun\command - "" = H:\setup.exe /autorun

@Alternate Data Stream - 24 bytes -> C:\Windows:13CD2F92F471DF59


:Files

C:\ProgramData\.zreglib


:Commands

[emptytemp]

[resethosts]

I kliknij Wykonaj skrypt.

Po zakończeniu pracy wyświetli się log, który wrzuć na forum.

Następnie zaktualizuj system i wrzuć nowy log z OTL (w tej kolejności).

O1 - Hosts: 127.0.0.1 genuine.microsoft.com

O1 - Hosts: 127.0.0.1 mpa.one.microsoft.com

O1 - Hosts: 127.0.0.1 sls.microsoft.com

O1 - Hosts: 127.0.0.1 validation.sls.microsoft.com

Ostrzeżenie za piractwo.

[rutra64]

Zrobiłem tak jak napisałeś. Teraz powinno być już wszystko w porządku? Oto pliki:

OTL.Txt

03062012_211635.txt

[Sevard]

Wygląda to lepiej, choć jeszcze dla pewności zrób trzy rzeczy:

1. Przeskanuj kompa programem Dr.Web CureIt!.

2. Przeskanuj kompa programem Emsisoft Anti-Malware (tu ważne jest, żebyś nie włączał ochrony w trybie rzeczywistym, bo może się to gryźć z Twoim obecnym antywirusem).

3. Sprawdź system programem TDSSKiller. Na razie nie pozwalaj mu nic naprawiać, niech po prostu sprawdzi system. Po zakończeniu procesu powstanie log, który wrzuć na forum.