Nicek Napisano Kwiecień 7, 2010 Zgłoś Share Napisano Kwiecień 7, 2010 Mam pendrive'a Rally 2 firmy OCZ (8 GB). Niedawno mój antywirus (darmowy Avast) poinformował mnie, że jest na nim wirus. Usunąłem i żeby mieć pewność przeskanowałem jeszcze raz. Wszystko okay. Następnego dnia znowu poinformował mnie, że mam wirusa. I od tej pory, za każdym razem jak podpinam pena, avast informuje mnie, że złośliwe oprogramowanie zostało zablokowane. Obiekt to niejaki E:/autorun.inf (auto uruchamianie?) Zrobiłem format pendrive'a, jednak nic nie pomogło. Nadal tak jest. Oprócz tego, z penem wszystko okay. Wszystko jest, wszystko się czyta i pozostałe pliki, według mojego antyvira, są w okay. Jakieś pomysły? PS. Tak, wiem, Avast to lipny antivir i często ma fałszywe alarmy, ale lepsze to niż nic Link do komentarza Udostępnij na innych stronach More sharing options...
TKPulp Napisano Kwiecień 7, 2010 Zgłoś Share Napisano Kwiecień 7, 2010 Mam pendrive'a Rally 2 firmy OCZ (8 GB). Niedawno mój antywirus (darmowy Avast) poinformował mnie, że jest na nim wirus. Usunąłem i żeby mieć pewność przeskanowałem jeszcze raz. Wszystko okay. Następnego dnia znowu poinformował mnie, że mam wirusa. I od tej pory, za każdym razem jak podpinam pena, avast informuje mnie, że złośliwe oprogramowanie zostało zablokowane. Obiekt to niejaki E:/autorun.inf (auto uruchamianie?) Zrobiłem format pendrive'a, jednak nic nie pomogło. Nadal tak jest. Oprócz tego, z penem wszystko okay. Wszystko jest, wszystko się czyta i pozostałe pliki, według mojego antyvira, są w okay. Jakieś pomysły? PS. Tak, wiem, Avast to lipny antivir i często ma fałszywe alarmy, ale lepsze to niż nic Avast to nie jest wcale lipny antivir.Mnie tez sie tak przydazylo nie raz na roznych antywirach.Z tego co wyglada nie powinienes sie przejmowac i korzystac normalnie z pendriver'a.Ten plik autorun.inf to plik INFO i jest bardzo mala szansa aby byl to wirus.Aha czy ten twoj antywir to na pewno Avast?Niektore antywirusy to tylko z wygladu antiwirusy,ktore moga byc trojanami i podawac jako wirusa własnie takie pliki jak autorun.inf co jest totalna bzdura. Link do komentarza Udostępnij na innych stronach More sharing options...
Nicek Napisano Kwiecień 7, 2010 Autor Zgłoś Share Napisano Kwiecień 7, 2010 Myślę, że mój avast, to jednak avast Normalnie musiałem się zarejestrować, aktualizuje mi się i tak dalej, i tak dalej. Ale skoro mam się nie przejmować, to oki. Pen, nie licząc tego, śmiga bez żadnych zastrzeżeń. Niemniej dzięki Link do komentarza Udostępnij na innych stronach More sharing options...
Tabula Napisano Kwiecień 7, 2010 Zgłoś Share Napisano Kwiecień 7, 2010 Wirusem może chyba być tylko plik z rozszerzeniem .exe , więc ten autorun jest chyba czysty Link do komentarza Udostępnij na innych stronach More sharing options...
SwisteK Napisano Kwiecień 7, 2010 Zgłoś Share Napisano Kwiecień 7, 2010 Masz zainfekowanego nie tylko pena, ale i system. Avast nie radzi sobie z paroma ostatnio "modnymi"wirusami, więc jeśli nie jesteś do niego zbytnio przywiązany to zmień program antywirusowy. W tym dziale "problem" autorun.inf (i wirusa który go generuje) był wielokrotnie omawiany. Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Kwiecień 7, 2010 Zgłoś Share Napisano Kwiecień 7, 2010 Potraktuj pendrive'a programem Flash Disinfector. Później wyczyścimy go dokładniej. Ściągnij i uruchom OTL, pozaznaczaj opcje: Scan All Users, LOP Check, Purity Check. Zaznacz też opcję Use Safelist w Extra registry. Wklej oba wygenerowane logi. Daj też log z GMERa, tylko najpierw usuń wszystkie programy emulujące napędy oraz usuń sterownik SPTD za pomocą tego programu. Wirusem może chyba być tylko plik z rozszerzeniem .exe , więc ten autorun jest chyba czysty Chyba nie. Praktycznie w dowolnym pliku może być jakiś wirus. Ale ja nie o tym. Link do komentarza Udostępnij na innych stronach More sharing options...
Nicek Napisano Kwiecień 7, 2010 Autor Zgłoś Share Napisano Kwiecień 7, 2010 Jest mały problem. Przeskanowałem tym OTL i mam te 2 logi, ale pisze, że mam zbyt długi post, więc dołączę je jako załączniki. To jest z tego programu OTL. Z tym drugim, to nie wiem, co ściągnąć, by usunąć te sterowniki. Chodzi o SPTDinst-v162-x86.exe?OTL.TxtExtras.Txt Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Kwiecień 7, 2010 Zgłoś Share Napisano Kwiecień 7, 2010 Tak, chodzi o ten program. Zaraz przestudiuję logi z OTL. W Custom Scans/Fixes w OTL wklej to co poniżej: :Processes killallprocesses :OTL @Alternate Data Stream - 284 bytes -> C:\WINDOWS\system32:,<81>|^Pöˇ^A^Vpctlsp.log @Alternate Data Stream - 142 bytes -> C:\WINDOWS\system32:,<81>|^Pö?^A^Vpctlsp.log @Alternate Data Stream - 105 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:7E95B6FD :Files C:\autoexex.bat C:\autorun.inf E:\autorun.inf :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] i kliknij run fix. Wrzuć na forum log z tej operacji. Przeskanuj również system za pomocą Malwarebytes' Anti-Malware i daj powstały log. Generalnie nie wygląda to źle. Zaktualizuj Internet Explorer do wersji 8, nawet jeśli go nie używasz. Link do komentarza Udostępnij na innych stronach More sharing options...
Nicek Napisano Kwiecień 7, 2010 Autor Zgłoś Share Napisano Kwiecień 7, 2010 All processes killed ========== PROCESSES ========== ========== OTL ========== Unable to delete ADS C:\WINDOWS\system32:,<81>|^Pöˇ^A^Vpctlsp.log . Unable to delete ADS C:\WINDOWS\system32:,<81>|^Pö?^A^Vpctlsp.log . ADS C:\Documents and Settings\All Users\Dane aplikacji\TEMP:7E95B6FD deleted successfully. ========== FILES ========== File\Folder C:\autoexex.bat not found. C:\autorun.inf folder moved successfully. Folder move failed. E:\autorun.inf scheduled to be moved on reboot. ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\ deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: LocalService ->Temp folder emptied: 65716 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Nicewicz ->Temp folder emptied: 7216848 bytes ->Temporary Internet Files folder emptied: 25852247 bytes ->FireFox cache emptied: 85178541 bytes ->Flash cache emptied: 8249 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 1119674 bytes %systemroot%\System32 .tmp files removed: 2596 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 1497440 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 115,00 mb OTL by OldTimer - Version 3.2.1.0 log created on 04072010_212837 Files\Folders moved on Reboot... File\Folder E:\autorun.inf not found! File move failed. C:\WINDOWS\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot. Registry entries deleted on Reboot... Nie mogę ściągnąć Malwarebytes' Anti-Malware, gdyż na każdej stronie, na jaką wchodzę, wyskakuje mi informacja, że Firefox nie znalazł serwera. Notabene dzieje się tak z każdą stronką z antywirusami... A. I jeszcze jedno. Już nie wyskakuje ten błąd z autorunem, ale jest inny problem. Avast wykrywa mi wirusa z pliku E:RECYCLERS... Gd daję "usuń", to avast informuje, że wszystko się powiodło, ale po ponownym skanowaniu nadal plik jest. Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Kwiecień 7, 2010 Zgłoś Share Napisano Kwiecień 7, 2010 Jeśli dasz radę ściągnąć to daj log z RSITa. Strona Microsoftu działa? I czy masz dostęp do innego, czystego systemu? Wygląda mi to na Confickera. Link do komentarza Udostępnij na innych stronach More sharing options...
Nicek Napisano Kwiecień 7, 2010 Autor Zgłoś Share Napisano Kwiecień 7, 2010 Nie, stronka Microsoftu nie działa. Czystego systemu? Czyli? :] Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Kwiecień 7, 2010 Zgłoś Share Napisano Kwiecień 7, 2010 Czyli dowolnego innego systemu, z którego można się dostać na strony antywirusów. Jestem niemal pewny, że to Conficker, a go można łatwo usunąć odpowiednim narzędziem, ale conficker blokuje dostęp do stron z takimi narzędziami. Dokładniej chodzi o łatkę o której mowa w tym linku (jest to link do strony MS, więc nie będzie działał) i potem usunięcie szkodnika jakimś programem do tego przeznaczonym. I co z tym RSITem? Link do komentarza Udostępnij na innych stronach More sharing options...
Matt3rs Napisano Kwiecień 8, 2010 Zgłoś Share Napisano Kwiecień 8, 2010 Nie wiem czy to coś da ale wrzuciłem go dla ciebie na Megaupload może z tego da się ściągnąć. I moderatorzy jeżeli jest to nielegalne (że wrzuciłem na MU) to prosze usuńcie link. Link do komentarza Udostępnij na innych stronach More sharing options...
Nicek Napisano Kwiecień 8, 2010 Autor Zgłoś Share Napisano Kwiecień 8, 2010 Udałem się dziś do biblioteki szkolnej* i stamtąd ściągnąłem zarówno RSIT'a jak i te uaktualnienie Microsoftu. Uaktualnienie jest już zainstalowane, uruchomiłem ponownie kompa i wszystko wygląda okay. Teraz powiedzcie, co zrobić, by usunąć tego Confickera Co do RSIT'a. Dołączam załączniki. Tylko nie zdziwcie się, jak znajdziecie tam jakiś totalny syf. Tuż przed świętami paru kumpli wpadło sobie do mnie i, gdy na chwilę opuściłem pokój, powchodzili sobie na "ciekawe" stronki. *Kocham korzystać z komputera na koszt państwa ;]info.txtlog.txt Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Kwiecień 8, 2010 Zgłoś Share Napisano Kwiecień 8, 2010 Ok, log wygląda dobrze. Skoro net działa normalnie, to znaczy, że istotnie był to Conficker. Proponuję użyć kilku narzędzi, żeby mieć pewność, bo niestety różne programy usuwają różne odmiany robaczka. Proponuję zacząć od narzędzia MS, następnie zastosować narzędzie Symanteca, tu ważne jest, żebyś postępował zgodnie z instrukcją, którą znajdziesz w zakładce Removal i na koniec poprawić narzędzien F-Secure. Po tych zabiegach system powinien być czysty, ale tak w razie czego daj jeszcze log z szybkiego skanowania programem Malwarebytes' Anti-Malware. Zaktualizuj system, bo widzę, że już dawno tego nie robiłeś (łatka chroniąca przed confickerem została udostępniona w Windows Update ponad rok temu). Przy okazji przeprowadź aktualizacje wszystkich zainstalowanych programów, nawet jeśli z nich nie korzystasz. Link do komentarza Udostępnij na innych stronach More sharing options...
Nicek Napisano Kwiecień 8, 2010 Autor Zgłoś Share Napisano Kwiecień 8, 2010 Mimo zainstalowania tego programu, nadal Firefox nie znajduje tej stronki. Ściągnąłem nawet ten pliczek, którzy wrzucił Koksiarz. Właśnie uruchomiłem komputer ponownie i nadal nie mogę wejść na stronkę Microsoftu (i tych kolejnych zalinkowanych też) Udało mi się jednak ściągnąć Malwarebytes z innej stronki Malwarebytes' Anti-Malware 1.45 www.malwarebytes.org Wersja bazy: 3968 Windows 5.1.2600 Dodatek Service Pack 3 Internet Explorer 6.0.2900.5512 2010-04-08 16:25:27 mbam-log-2010-04-08 (16-25-27).txt Typ skanowania: Szybkie skanowanie Przeskanowano obiektów: 99361 Upłynęło: 3 minut(y), 8 sekund(y) Zainfekowanych procesów w pamięci: 0 Zainfekowanych modułów w pamięci: 0 Zainfekowanych kluczy rejestru: 0 Zainfekowanych wartości rejestru: 0 Zainfekowane informacje rejestru systemowego: 0 Zainfekowanych folderów: 0 Zainfekowanych plików: 0 Zainfekowanych procesów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych modułów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych kluczy rejestru: (Nie znaleziono zagrożeń) Zainfekowanych wartości rejestru: (Nie znaleziono zagrożeń) Zainfekowane informacje rejestru systemowego: (Nie znaleziono zagrożeń) Zainfekowanych folderów: (Nie znaleziono zagrożeń) Zainfekowanych plików: (Nie znaleziono zagrożeń) Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Kwiecień 8, 2010 Zgłoś Share Napisano Kwiecień 8, 2010 Tu masz narzędzie od ESET, a tu od Bitdefender usuwające Confickera, jeśli to mimo wszystko on, to powinny pomóc. Używasz ich w sposób następujący: 1. Wyłącz przywracanie systemu. 2. Odłącz komputer od sieci. 3. Użyj podlinkowanych narzędzi. 4. Zresetuj komputer. 5. Włącz przywracanie systemu. 6. Zobacz czy wszystko działa jak należy, jeśli tak, to zaktualizuj system. Jeśli to coś innego, to będziemy szukać przyczyny gdzie indziej, ale jednak wygląda mi to na wspomnianego wcześniej robaka. Link do komentarza Udostępnij na innych stronach More sharing options...
Nicek Napisano Kwiecień 8, 2010 Autor Zgłoś Share Napisano Kwiecień 8, 2010 A więc: Microsoft działa. Stronka Avasta działa, Kasperskyego działa. Przeskanowałem Pendrive'a a Avast nie znalazł wirusa, notabene w bibliotece Kaspersky niczego nie wykrył, więc udało się chyba rozwiązać 2 problemy przy jednym temacie. Dzięki wielkie wszystkim, a w szczególności Sevardowi . Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Kwiecień 8, 2010 Zgłoś Share Napisano Kwiecień 8, 2010 Nie ma za co. Tak jak pisałem wcześniej wykonaj aktualizację wszystkiego. Zacznij od systemu i Internet Explorera. Gdybyś wcześniej aktualizował regularnie system, to ten wirus by nie zaatakował. Link do komentarza Udostępnij na innych stronach More sharing options...