Liczba postów: 5
Liczba wątków: 1
Dołączył: 20.05.2012
Reputacja:
0
Witam
Przeleciałem komputer Combofixem, niestety nie pousuwał autorun.inf i przyporządkowanych plików .exe. Załączam logi z OTL i Combofixa. Z góry dziękuję za pomoc.
Załączone pliki
logi.zip (Rozmiar: 16,1 KB / Pobrań: 77)
Liczba postów: 2 067
Liczba wątków: 89
Dołączył: 30.09.2011
Reputacja:
78
Przeskauj na
[Aby zobaczyć linki, zarejestruj się tutaj ]
:
Kod:
C:\Windows\Memdirt9.exe
C:\Users\DameK\AppData\Local\Temp\mbr.sys
Do OTL w własne pole skanowania/skrypt wklej:
Kod:
:Processes
Killallprocesses
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\ZDPNDIS4.SYS -- (ZDPNDIS4)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\cinemsup.sys -- (Cinemsup)
O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found.
:Commands
[EMPTYFLASH]
[EMPTYTEMP]
Wykonaj skrypt. Pokaż log z usuwania.
Znasz ten plik ? :
Pobierz USB Fix ->
[Aby zobaczyć linki, zarejestruj się tutaj ]
,
Podepnij wszystkie pendrive, karty pamięci do komputera i w programie opcja reserach
Wszystkie logi daj na [Aby zobaczyć linki, zarejestruj się tutaj ]
Liczba postów: 38
Liczba wątków: 0
Dołączył: 05.04.2012
Reputacja:
10
Skąd wzięty skrypt:
Kod:
FILE ::
"C:\autorun.inf"
"C:\cksk.exe"
"C:\jcyhue.pif"
"D:\aercp.exe"
"D:\autorun.inf"
"E:\acxln.exe"
"E:\autorun.inf"
"E:\fgwytt.pif"
"F:\autorun.inf"
"F:\ponmu.exe"
"F:\ymvwuh.exe"
"J:\autorun.inf"
"J:\pguyw.exe"
?
Nie rozumiem też, dlaczego
Waves próbuje usuwać te wpisy:
Kod:
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\ZDPNDIS4.SYS -- (ZDPNDIS4)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\cinemsup.sys -- (Cinemsup)
Odnoszą się one do plików systemowych i to
DRV - File not found w tym przypadku jest poprawne. Nie wykonuj więc tamtego skryptu, w zamian wykonaj ten:
Kod:
:OTL
O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found.
O4 - HKLM..\Run: [WinLogent9] C:\Windows\Memdirt9.exe ()
:Files
C:\Users\DameK\AppData\Local\Temp\mbr.sys
:Services
mbr
:Commands
[emptytemp]
Wykonaj skrypt, pokaż raport.
Uruchom OTL ponownie i wklej:
Skanuj, pokaż log.
Tą część posta:
Cytat:
Znasz ten plik ? :
Pobierz USB Fix -> [Aby zobaczyć linki, zarejestruj się tutaj ]
,
Podepnij wszystkie pendrive, karty pamięci do komputera i w programie opcja reserach
Wykonaj.
Pokaż jeszcze log z
[Aby zobaczyć linki, zarejestruj się tutaj ]
.
Liczba postów: 5
Liczba wątków: 1
Dołączył: 20.05.2012
Reputacja:
0
@Waves97
tnij.exe jest jednym z plików zainfekowanych. Akurat litery ułożyły się w polski wyraz.
C:\Users\DameK\AppData\Local\Temp\mbr.sys nie mogłem dodać do
[Aby zobaczyć linki, zarejestruj się tutaj ]
bo jest to plik ukryty a okno wyboru pliku na tej stronie nie pokazuje takich plików ;/
Logi:
[Aby zobaczyć linki, zarejestruj się tutaj ]
____________________________________________
@
Chakra
Cytat: Skąd wzięty skrypt:
Kod: Zaznacz cały
FILE ::
"C:\autorun.inf"
"C:\cksk.exe"
"C:\jcyhue.pif"
"D:\aercp.exe"
"D:\autorun.inf"
"E:\acxln.exe"
"E:\autorun.inf"
"E:\fgwytt.pif"
"F:\autorun.inf"
"F:\ponmu.exe"
"F:\ymvwuh.exe"
"J:\autorun.inf"
"J:\pguyw.exe"
?
Sam dodałem skrypt do Combofixa wpisując wszystkie pliki zainfekowane, które znalazłem na wszystkich partycjach. Ale niestety nie pomogło.
Logi:
[Aby zobaczyć linki, zarejestruj się tutaj ]
Dzięki wszystkim za pomoc.
Liczba postów: 832
Liczba wątków: 83
Dołączył: 01.10.2011
Reputacja:
21
damek25 napisał(a): C:\Users\DameK\AppData\Local\Temp\mbr.sys nie mogłem dodać do [Aby zobaczyć linki, zarejestruj się tutaj ]
bo jest to plik ukryty a okno wyboru pliku na tej stronie nie pokazuje takich plików ;/
Logi: [Aby zobaczyć linki, zarejestruj się tutaj ]
Pokazuje, ale musisz w Opcjach folderu włączyć pokazywanie plików ukrytych.
Liczba postów: 5
Liczba wątków: 1
Dołączył: 20.05.2012
Reputacja:
0
Akurat virustotal.com nie dodaje nawet pomimo ustawienia opcji Pokazuj ukryte pliki i foldery. Czy możemi ktoś konkretnie odpowiedzieć na posta i podać solucję? Komputer zawirusowany jak wagina teściowej. Ile można czekać... do wyklucia obcych?
Liczba postów: 2 067
Liczba wątków: 89
Dołączył: 30.09.2011
Reputacja:
78
Skoro Chakra wskazła Ci odpowiedni skrypt to powinna dokończyć , dlatego poczekaj na jej odpowiedź
Liczba postów: 7 698
Liczba wątków: 530
Dołączył: 07.10.2008
Reputacja:
468
Pobierz
[Aby zobaczyć linki, zarejestruj się tutaj ]
Przeskanuj i usuń z tym że program jest podatny na fałszywe wiec radze uważać
Liczba postów: 857
Liczba wątków: 16
Dołączył: 01.02.2012
Reputacja:
22
Ja bym pomęczył HitmanemPro oraz CCE tego aliena
ESET Smart Security 10
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
damek25 napisał(a): C:\Users\DameK\AppData\Local\Temp\mbr.sys nie mogłem dodać do [Aby zobaczyć linki, zarejestruj się tutaj ]
bo jest to plik ukryty a okno wyboru pliku na tej stronie nie pokazuje takich plików ;/
Total Commander twoim lekarstwem, trzeba zaznaczyć najpierw że ma pokazywać ukryte.
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
damek25 napisał(a): C:\Users\DameK\AppData\Local\Temp\mbr.sys nie mogłem dodać do [Aby zobaczyć linki, zarejestruj się tutaj ]
bo jest to plik ukryty a okno wyboru pliku na tej stronie nie pokazuje takich plików ;/
[/quote]
Wejdź w dysk C kliknij u góry Organizuj, potem Opcje folderów i wyszukiwania, zakładka Widok i zaznacz Pokaż ukryte pliki, foldery i dyski.
Liczba postów: 5
Liczba wątków: 1
Dołączył: 20.05.2012
Reputacja:
0
No kutwa, przecież piszę, że virustotal nie dodaje plików ukrytych w oknie wyboru, pomimo zaznaczenia opcji w ustawieniach folderów Windows. Total Commander mam ustawiony od zawsze na pokazywanie plików ukrytych i systemowych. Nie wiem czemu virustotal tak się zachowuje ale czy uważacie, że to jest krytyczny program do naprawienia problemu z tym wirusem? Znam się na komputerach więc proszę nie pisać podstawowych rzeczy, dla lamerów, tylko konkretne rozwiązania. Wiem, że chcecie pomóc ale po to utworzyłem wątek, żeby uzyskać rozwiązanie a nie dyskusję do pogadania, po to chyba jest to forum, tak?
Liczba postów: 832
Liczba wątków: 83
Dołączył: 01.10.2011
Reputacja:
21
Wyślij mi ten plik na PW to zeskanuję sam
Liczba postów: 4 085
Liczba wątków: 94
Dołączył: 13.05.2011
Reputacja:
109
ok, sorry, nie zauwazylem, ze poinformowales, ze zaznaczyles opcje ukrytych folderow. Albo czekasz na sprawdzenie logow przez Chakre albo skanujesz skanerami, ktore podali koledzy wyzej. Uzyles w koncu USBFix?
Poza tym jesli jestes taki obeznany, to mogles pomyslec i skopiowac ukryty plik na pulpit i potem zeskanowac na VT
Liczba postów: 100
Liczba wątków: 5
Dołączył: 21.05.2012
Reputacja:
-1
Wejdz we właściwości pliku i odznacz opcję "Ukryty".
Norton Internet Security 2015
Intel Core i5 4690k @ 4.4 GHz
MSI GTX 970
4x4 GB RAM G.Skill 2400 MHz Cl10
Asrock Z97 Extreme4
XFX Pro Series Core 550W
Fractal Design Arc Midi R2
Crucial MX100 256 GB
Windows 10 Pro
Liczba postów: 7 698
Liczba wątków: 530
Dołączył: 07.10.2008
Reputacja:
468
dajcie już spokój z tym skanowaniem na vt sama lokalizacja wskazuje że co by to nie było jest do usunięcia
Liczba postów: 5
Liczba wątków: 1
Dołączył: 20.05.2012
Reputacja:
0
kamil10506 napisał(a): ok, sorry, nie zauwazylem, ze poinformowales, ze zaznaczyles opcje ukrytych folderow. Albo czekasz na sprawdzenie logow przez Chakre albo skanujesz skanerami, ktore podali koledzy wyzej. Uzyles w koncu USBFix?
Poza tym jesli jestes taki obeznany, to mogles pomyslec i skopiowac ukryty plik na pulpit i potem zeskanowac na VT
Logi podałem w moim drugim poście, wystarczy otworzyć i przeczytać. Masz rację, mogłem skopiować plik i go poddać skanowi ale jak napisał @
zord to JEST plik zainfekowany więc trzeba zapodać , skrypt, który to usunie a nie się zastanawiać czy tak trzeba
Czekam na odpowiedź i pozdrawiam wszystkich zaangażowanych.
Liczba postów: 1 660
Liczba wątków: 25
Dołączył: 13.10.2010
Reputacja:
63
Ależ rozwlekliście ten wątek...
Do OTL:
Kod:
:OTL
:Files
C:\Users\DameK\AppData\Local\Temp\mbr.sys
Kliknij wykonaj skrypt i daj nowy log.
Liczba postów: 3 833
Liczba wątków: 70
Dołączył: 17.04.2008
Reputacja:
94
Lub jak znasz ścieżki do malware to wrzucasz je do SFP:
[Aby zobaczyć linki, zarejestruj się tutaj ]
Programik pakuje też ukryte, systemowe i z system volume information
[Aby zobaczyć linki, zarejestruj się tutaj ]
Plik .cab z pulpitu przesyłasz do labu, albo na forum sg
KIS/EIS/MKS, MBAM, HitmanPro, Eset Online, WF+uBlock