Witam
Przeleciałem komputer Combofixem, niestety nie pousuwał autorun.inf i przyporządkowanych plików .exe. Załączam logi z OTL i Combofixa. Z góry dziękuję za pomoc.
Przeskauj na
[Aby zobaczyć linki, zarejestruj się tutaj]
:
Kod:
C:\Windows\Memdirt9.exe
C:\Users\DameK\AppData\Local\Temp\mbr.sys
Do OTL w własne pole skanowania/skrypt wklej:
Kod:
:Processes
Killallprocesses
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\ZDPNDIS4.SYS -- (ZDPNDIS4)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\cinemsup.sys -- (Cinemsup)
O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found.
:Commands
[EMPTYFLASH]
[EMPTYTEMP]
Wykonaj skrypt. Pokaż log z usuwania.
Znasz ten plik ? :
Pobierz USB Fix ->
[Aby zobaczyć linki, zarejestruj się tutaj]
,
Podepnij wszystkie pendrive, karty pamięci do komputera i w programie opcja reserach
Wszystkie logi daj na [Aby zobaczyć linki, zarejestruj się tutaj]
Skąd wzięty skrypt:
Kod:
FILE ::
"C:\autorun.inf"
"C:\cksk.exe"
"C:\jcyhue.pif"
"D:\aercp.exe"
"D:\autorun.inf"
"E:\acxln.exe"
"E:\autorun.inf"
"E:\fgwytt.pif"
"F:\autorun.inf"
"F:\ponmu.exe"
"F:\ymvwuh.exe"
"J:\autorun.inf"
"J:\pguyw.exe"
?
Nie rozumiem też, dlaczego
Wavespróbuje usuwać te wpisy:
Kod:
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\ZDPNDIS4.SYS -- (ZDPNDIS4)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\cinemsup.sys -- (Cinemsup)
Odnoszą się one do plików systemowych i to
DRV - File not foundw tym przypadku jest poprawne. Nie wykonuj więc tamtego skryptu, w zamian wykonaj ten:
Kod:
:OTL
O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found.
O4 - HKLM..\Run: [WinLogent9] C:\Windows\Memdirt9.exe ()
:Files
C:\Users\DameK\AppData\Local\Temp\mbr.sys
:Services
mbr
:Commands
[emptytemp]
pokaż raport.
Uruchom OTL ponownie i wklej:
Skanuj,pokaż log.
Tą część posta:
Cytat:
Znasz ten plik ? :
Pobierz USB Fix -> [Aby zobaczyć linki, zarejestruj się tutaj]
,
Podepnij wszystkie pendrive, karty pamięci do komputera i w programie opcja reserach
Wykonaj.
Pokaż jeszcze log z
[Aby zobaczyć linki, zarejestruj się tutaj]
.
tnij.exe jest jednym z plików zainfekowanych. Akurat litery ułożyły się w polski wyraz.
C:\Users\DameK\AppData\Local\Temp\mbr.sys nie mogłem dodać do [Aby zobaczyć linki, zarejestruj się tutaj]
bo jest to plik ukryty a okno wyboru pliku na tej stronie nie pokazuje takich plików ;/
Logi: [Aby zobaczyć linki, zarejestruj się tutaj]
____________________________________________
Cytat: Skąd wzięty skrypt:
Kod: Zaznacz cały
FILE ::
"C:\autorun.inf"
"C:\cksk.exe"
"C:\jcyhue.pif"
"D:\aercp.exe"
"D:\autorun.inf"
"E:\acxln.exe"
"E:\autorun.inf"
"E:\fgwytt.pif"
"F:\autorun.inf"
"F:\ponmu.exe"
"F:\ymvwuh.exe"
"J:\autorun.inf"
"J:\pguyw.exe"
?
Sam dodałem skrypt do Combofixa wpisując wszystkie pliki zainfekowane, które znalazłem na wszystkich partycjach. Ale niestety nie pomogło.
Logi: [Aby zobaczyć linki, zarejestruj się tutaj]
Dzięki wszystkim za pomoc.
damek25 napisał(a):C:\Users\DameK\AppData\Local\Temp\mbr.sys nie mogłem dodać do [Aby zobaczyć linki, zarejestruj się tutaj]
bo jest to plik ukryty a okno wyboru pliku na tej stronie nie pokazuje takich plików ;/
Logi: [Aby zobaczyć linki, zarejestruj się tutaj]
Pokazuje, ale musisz w Opcjach folderu włączyć pokazywanie plików ukrytych.
Akurat virustotal.com nie dodaje nawet pomimo ustawienia opcji Pokazuj ukryte pliki i foldery. Czy możemi ktoś konkretnie odpowiedzieć na posta i podać solucję? Komputer zawirusowany jak wagina teściowej. Ile można czekać... do wyklucia obcych?
Skoro Chakra wskazła Ci odpowiedni skrypt to powinna dokończyć , dlatego poczekaj na jej odpowiedź
Pobierz
[Aby zobaczyć linki, zarejestruj się tutaj]
Przeskanuj i usuń z tym że program jest podatny na fałszywe wiec radze uważać
Ja bym pomęczył HitmanemPro oraz CCE tego aliena
damek25 napisał(a):C:\Users\DameK\AppData\Local\Temp\mbr.sys nie mogłem dodać do [Aby zobaczyć linki, zarejestruj się tutaj]
bo jest to plik ukryty a okno wyboru pliku na tej stronie nie pokazuje takich plików ;/
Total Commander twoim lekarstwem, trzeba zaznaczyć najpierw że ma pokazywać ukryte.
damek25 napisał(a):C:\Users\DameK\AppData\Local\Temp\mbr.sys nie mogłem dodać do [Aby zobaczyć linki, zarejestruj się tutaj]
bo jest to plik ukryty a okno wyboru pliku na tej stronie nie pokazuje takich plików ;/
[/quote]
Wejdź w dysk C kliknij u góry Organizuj, potem Opcje folderów i wyszukiwania, zakładka Widok i zaznacz Pokaż ukryte pliki, foldery i dyski.
No kutwa, przecież piszę, że virustotal nie dodaje plików ukrytych w oknie wyboru, pomimo zaznaczenia opcji w ustawieniach folderów Windows. Total Commander mam ustawiony od zawsze na pokazywanie plików ukrytych i systemowych. Nie wiem czemu virustotal tak się zachowuje ale czy uważacie, że to jest krytyczny program do naprawienia problemu z tym wirusem? Znam się na komputerach więc proszę nie pisać podstawowych rzeczy, dla lamerów, tylko konkretne rozwiązania. Wiem, że chcecie pomóc ale po to utworzyłem wątek, żeby uzyskać rozwiązanie a nie dyskusję do pogadania, po to chyba jest to forum, tak?
Wyślij mi ten plik na PW to zeskanuję sam
ok, sorry, nie zauwazylem, ze poinformowales, ze zaznaczyles opcje ukrytych folderow. Albo czekasz na sprawdzenie logow przez Chakre albo skanujesz skanerami, ktore podali koledzy wyzej. Uzyles w koncu USBFix?
Poza tym jesli jestes taki obeznany, to mogles pomyslec i skopiowac ukryty plik na pulpit i potem zeskanowac na VT
Wejdz we właściwości pliku i odznacz opcję "Ukryty".
dajcie już spokój z tym skanowaniem na vt sama lokalizacja wskazuje że co by to nie było jest do usunięcia
kamil10506 napisał(a):ok, sorry, nie zauwazylem, ze poinformowales, ze zaznaczyles opcje ukrytych folderow. Albo czekasz na sprawdzenie logow przez Chakre albo skanujesz skanerami, ktore podali koledzy wyzej. Uzyles w koncu USBFix?
Poza tym jesli jestes taki obeznany, to mogles pomyslec i skopiowac ukryty plik na pulpit i potem zeskanowac na VT
Logi podałem w moim drugim poście, wystarczy otworzyć i przeczytać. Masz rację, mogłem skopiować plik i go poddać skanowi ale jak napisał
to JEST plik zainfekowany więc trzeba zapodać , skrypt, który to usunie a nie się zastanawiać czy tak trzeba Czekam na odpowiedź i pozdrawiam wszystkich zaangażowanych.
Ależ rozwlekliście ten wątek...
Do OTL:
Kod:
:OTL
:Files
C:\Users\DameK\AppData\Local\Temp\mbr.sys
Kliknij wykonaj skrypt i daj nowy log.
Lub jak znasz ścieżki do malware to wrzucasz je do SFP:
[Aby zobaczyć linki, zarejestruj się tutaj]
Programik pakuje też ukryte, systemowe i z system volume information
[Aby zobaczyć linki, zarejestruj się tutaj]
Plik .cab z pulpitu przesyłasz do labu, albo na forum sg