Jak usunąć trojana ?

[artmin]

potem po lewej w opcach znajdź "kopiuj/usun" i wywal ostatniego ptaszka ("F8 usuwa do kosza ...")

to załatwia też SHIFT+DEL

[Kuczi]

ściągnij sobie total commander i zainstaluj

w TC wejdź w konfiguracja->ustawienia główne->wyświetlanie->pokaż ukryte/systemowe pliki i zaznacz tam ptaszka

potem po lewej w opcach znajdź "kopiuj/usun" i wywal ostatniego ptaszka ("F8 usuwa do kosza ...")

teraz uruchom kompa w trybie awaryjnym, uruchom TC

wejdź w c:\windows\system32

usuń plki diskmon32.exe i diskmon32.dll, jeśli nie da się usunąć to zmień im nazwy na jakiekolwiek inne

teraz daj sobie polecenia->szukaj

w pole nazwa wpisz desktop.ini

kliknij napędy i wybierz wszystkie dyski twarde jakie masz

poczekaj aż skonczy szukać, kliknij na dole "wpisz do okna"

wciśnij na klawiaturze CTRL+A, wszystko się podświetli na czerwono

usuń przez DELETE, jeśli któryś nie da się usunać to klikaj POMIŃ

usuń też plik desktop.ini z pendrive

powinno pomóc

 

No i buuba Nie mam plików "diskmon32" w c:\windows\system32, szukałem ale ich nie ma....

Nie mam także wpisu EXPLORER.EXE w menadżerze zadań windows...

 

Będę dalej próbował, może metoda cervandesa pomoże

[zulu]

kuczlaw odpal Combofix-a i wrzuć na forum log z niego. Popatrzymy i może uda się znaleść przyczynę. Combofix-a odpal w trybie awaryjnym Windowsa. Jak uda się zdiagnozować to zrobimy skrypt do Combo i on wywali całe świństwo.

 

U siebie w robocie w kółko to samo i nie liczę na żadne Anty wiry tylko CF.

[Kuczi]

Wrzucam loga

 

ComboFix 08-08-30.03 - marcin 2008-09-01 9:11:34.2 - NTFSx86 MINIMAL

Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1791 [GMT 2:00]

Running from: C:\Documents and Settings\marcin\Pulpit\ComboFix.exe

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

F:\autorun.inf

F:\RECYCLER\S-1-5-21-725345543-1958367476-839522115-1003.exe

F:\RECYCLER\updater.ini

 

.

((((((((((((((((((((((((( Files Created from 2008-08-01 to 2008-09-01 )))))))))))))))))))))))))))))))

.

 

2008-09-01 09:16 . 2008-09-01 09:16 <DIR> d-------- C:\WINDOWS\system32\xircom

2008-09-01 09:16 . 2008-09-01 09:16 <DIR> d-------- C:\WINDOWS\srchasst

2008-09-01 09:16 . 2008-09-01 09:16 <DIR> d-------- C:\WINDOWS\msagent

2008-09-01 09:16 . 2008-09-01 09:16 <DIR> d-------- C:\Program Files\microsoft frontpage

2008-09-01 08:24 . 2008-09-01 08:24 <DIR> d--h----- C:\Documents and Settings\MasterAdmin\Ustawienia lokalne

2008-09-01 08:24 . 2008-06-03 18:04 <DIR> d-------- C:\Documents and Settings\MasterAdmin\Ulubione

2008-09-01 08:24 . 2008-06-03 16:18 <DIR> d--h----- C:\Documents and Settings\MasterAdmin\Szablony

2008-09-01 08:24 . 2008-06-03 18:04 <DIR> d-------- C:\Documents and Settings\MasterAdmin\Pulpit

2008-09-01 08:24 . 2008-06-03 18:04 <DIR> d-------- C:\Documents and Settings\MasterAdmin\Moje dokumenty

2008-09-01 08:24 . 2008-09-01 08:12 <DIR> dr------- C:\Documents and Settings\MasterAdmin\Menu Start

2008-09-01 08:24 . 2008-09-01 08:12 <DIR> dr-h----- C:\Documents and Settings\MasterAdmin\Dane aplikacji

2008-09-01 08:24 . 2008-09-01 08:26 <DIR> d-------- C:\Documents and Settings\MasterAdmin

2008-08-31 06:34 . 2008-09-01 08:59 <DIR> d-------- C:\Program Files\a-squared Free

2008-08-30 22:59 . 2008-08-31 07:53 <DIR> d-------- C:\Program Files\Anti Trojan Elite

2008-08-30 21:31 . 2008-08-30 21:31 <DIR> d-------- C:\Documents and Settings\marcin\Dane aplikacji\WinPatrol

2008-08-15 17:07 . 2008-02-07 17:10 <DIR> d--h----- C:\ckis

2008-08-15 17:00 . 2008-08-15 18:21 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat

2008-08-15 17:00 . 2008-08-15 18:21 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat

2008-08-15 16:59 . 2008-08-15 16:59 <DIR> d-------- C:\Program Files\Kaspersky Lab

2008-08-15 16:59 . 2008-09-01 09:06 5,220,128 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-08-15 16:59 . 2008-09-01 09:17 164,896 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat

2008-08-15 16:59 . 2008-09-01 09:05 81,356 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

2008-08-15 16:59 . 2008-09-01 09:05 18,572 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx

2008-08-11 22:45 . 2008-09-01 08:12 <DIR> dr-h----- C:\Documents and Settings\Slave\Ustawienia lokalne

2008-08-11 22:45 . 2008-06-03 18:04 <DIR> d-------- C:\Documents and Settings\Slave\Ulubione

2008-08-11 22:45 . 2008-08-11 22:45 <DIR> d--h----- C:\Documents and Settings\Slave\Szablony

2008-08-11 22:45 . 2008-06-03 18:04 <DIR> d-------- C:\Documents and Settings\Slave\Pulpit

2008-08-11 22:45 . 2008-06-03 18:04 <DIR> d-------- C:\Documents and Settings\Slave\Moje dokumenty

2008-08-11 22:45 . 2008-09-01 08:12 <DIR> dr------- C:\Documents and Settings\Slave\Menu Start

2008-08-11 22:45 . 2008-09-01 08:12 <DIR> dr-h----- C:\Documents and Settings\Slave\Dane aplikacji

2008-08-11 22:45 . 2008-08-11 22:45 <DIR> d-------- C:\Documents and Settings\Slave

2008-08-05 19:03 . 2008-08-05 19:03 <DIR> d-------- C:\Documents and Settings\marcin\yf

2008-08-05 17:52 . 2008-08-05 17:52 <DIR> d-------- C:\Program Files\Your Freedom

2008-08-05 17:05 . 1998-02-06 22:37 299,520 --a------ C:\WINDOWS\uninst.exe

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-01 07:06 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab

2008-08-31 09:05 --------- d-----w C:\Program Files\Spyware Terminator

2008-08-31 09:05 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Spyware Terminator

2008-08-31 09:00 --------- d-----w C:\Documents and Settings\marcin\Dane aplikacji\Spyware Terminator

2008-08-15 16:21 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys

2008-08-13 23:26 --------- d-----w C:\Program Files\Java

2008-07-30 20:35 --------- d-----w C:\Program Files\Techland

2008-07-25 15:09 --------- d-----w C:\Program Files\Photodex

2008-07-24 07:05 --------- d-----w C:\Program Files\EA GAMES

2008-07-05 05:27 --------- d-----w C:\Program Files\HTTP-Tunnel

2008-07-04 06:58 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files

2008-07-04 06:54 --------- d-----w C:\Program Files\Common Files\Symantec Shared

2008-07-03 05:24 --------- d-----w C:\Program Files\BearShare

2008-07-01 20:19 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\NFS Underground

2008-07-01 20:07 --------- d-----w C:\Program Files\Common Files\DirectX

2008-07-01 20:05 12,400 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys

2008-06-11 08:15 98,304 ----a-w C:\WINDOWS\system32\qttask.exe

.

 

------- Sigcheck -------

 

2007-07-10 15:06 642560 ce594e18fe0d0af804f1f3694921ce62 C:\WINDOWS\system32\user32.dll

 

2007-07-14 00:56 814592 ce7193c5f7c01b19768e066087c1c919 C:\WINDOWS\system32\wininet.dll

 

2007-10-16 01:19 360576 0fb6743e937c7bb248b2530a5a77abc6 C:\WINDOWS\system32\drivers\tcpip.sys

 

2007-10-19 00:19 2066816 9aa8aeee2c77b68af93691758eb0a78b C:\WINDOWS\system32\ntkrnlpa.exe

 

2007-10-19 00:19 2189824 1aeb1a9aa55de24bda1d441989ae4492 C:\WINDOWS\system32\ntoskrnl.exe

 

2007-10-17 21:30 974848 16df8a100e8966e48ba00c86f6c89972 C:\WINDOWS\explorer.exe

 

2007-10-17 21:32 104448 64af31fd88f01255bd841aa9b2dd030f C:\WINDOWS\system32\wuauclt.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 04:44 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-06-17 05:07 5537792]

"KTPWare"="C:\Program Files\Elantech\ktp3.exe" [2005-06-17 05:07 258048]

"SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" [2008-06-04 05:21 1817600]

"NotebookHardwareControl"="C:\Program Files\Notebook Hardware Control\nhc.exe" [2006-04-01 03:27 1921024]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

"RTHDCPL"="RTHDCPL.EXE" [2005-06-17 05:08 14396416 C:\WINDOWS\RTHDCPL.EXE]

"nwiz"="nwiz.exe" [2005-06-17 05:07 1495040 C:\WINDOWS\system32\nwiz.exe]

"CHotkey"="mHotkey.exe" [2001-12-26 14:12 472576 C:\WINDOWS\mHotkey.exe]

"Tweak UI"="TWEAKUI.CPL" [2003-03-25 05:49 106544 C:\WINDOWS\system32\tweakui.cpl]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 04:44 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

"nltide_3"="advpack.dll" [2007-10-09 02:01 124928 C:\WINDOWS\system32\advpack.dll]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"DisableStatusMessages"= 1 (0x1)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMMyPictures"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"NoSMHelp"= 1 (0x1)

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSMMyPictures"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

"NoSMHelp"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"msacm.iac2"= C:\PROGRA~1\ACEMEG~1\SystemS\Intel\iac25_32.ax

"msacm.sl_anet"= C:\PROGRA~1\ACEMEG~1\SystemS\sl_anet.acm

"vidc.yv12"= C:\PROGRA~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL

"vidc.divx"= C:\PROGRA~1\ACEMEG~1\SystemS\DivX\DivX520.dll

"vidc.iyuv"= C:\PROGRA~1\ACEMEG~1\SystemS\Intel\iyuv_32.dll

"vidc.yvu9"= C:\PROGRA~1\ACEMEG~1\SystemS\Intel\Iyvu9_32.dll

"vidc.uyvy"= C:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll

"vidc.yuy2"= C:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll

"vidc.yvyu"= C:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll

"msacm.msaudio1"= C:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msaud32.acm

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Gadu-Gadu\\gg.exe"=

"C:\\Program Files\\HTTP-Tunnel\\HTTP-TunnelClient.exe"=

"C:\\Program Files\\EA GAMES\\Need For Speed Underground\\Speed.exe"=

 

R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-06-04 05:21]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]

R3 Ktp3;Elantech TouchPad(KTP3);C:\WINDOWS\system32\DRIVERS\Ktp3.sys [2005-06-17 05:07]

R3 nhcAcpi_driver;Notebook Hardware Control ACPI Driver;C:\WINDOWS\system32\drivers\nhcAcpi.sys []

R3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]

S3 ATE_PROCMON;ATE_PROCMON;C:\Program Files\Anti Trojan Elite\ATEPMon.sys []

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{348e3e5f-53c9-11dd-ba76-0090f54b0ddd}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe nar.vbs

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5a94d242-498a-11dd-ba64-0090f54b0ddd}]

\Shell\AutoRun\command - G:\wdsync.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bccdfcfa-6f40-11dd-baa6-0090f54b0ddd}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe nar.vbs

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ecadfbc5-6237-11dd-ba8f-0090f54b0ddd}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe nar.vbs

.

.

------- Supplementary Scan -------

.

FireFox -: Profile - C:\Documents and Settings\marcin\Dane aplikacji\Mozilla\Firefox\Profiles\8b8gbtik.default\

FF -: plugin - C:\Documents and Settings\marcin\Dane aplikacji\Mozilla\plugins\npPxPlay.dll

FF -: plugin - C:\Program Files\ACE Mega CoDecS Pack\SystemS\RealMedia\Browser\plugins\nppl3260.dll

FF -: plugin - C:\Program Files\ACE Mega CoDecS Pack\SystemS\RealMedia\Browser\plugins\nprpjplug.dll

FF -: plugin - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\browser\nppdf32.dll

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-01 09:17:20

Windows 5.1.2600 Dodatek Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\a-squared Free\a2service.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Photodex\ProShowGold\scsiaccess.exe

C:\Program Files\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\wscntfy.exe

.

**************************************************************************

.

Completion time: 2008-09-01 9:20:24 - machine was rebooted [marcin]

ComboFix-quarantined-files.txt 2008-09-01 07:20:16

 

Pre-Run: 127,336,448 bajtów wolnych

Post-Run: 409,903,104 bajt˘w wolnych

 

186

 

 

Koniec

[ormowiec]

znajdź plik nar.vbs i usuń

albo lepiej

otwórz go w notatniku, wszystko wywal i zapisz

potem kliknij prawym, właściwości->zabezpieczenia

zrób wszystkim wszystko na "odmów", łącznie z administratorami i samym sobą

Edytowane 1 Września 2008 przez ormowiec

[Kuczi]

znajdź plik nar.vbs

 

A gdzie on może być? Szukam ale go nie mogę znaleźć

[ormowiec]

C:\WINDOWS\system32\nar.vbs

[Kuczi]

Nie ma skurczybyka.... Mam windowsa MX, może to cos pomoże....

[Nuttie]

po wpisaniu w google tego trojana wyskakuje takie coś, może warto zainstalować tego f-secure nawet na chwilę coby usunął tego drania.

http://forum.f-secure.com/topic.asp?TOPIC_ID=6742

[Kuczi]

Nuttie, no właśnie też to widziałem ale ni w ząb tego nie kumam

[Nuttie]

http://www.f-secure.com.pl/?gclid=CKbY3tPLupUCFQTQugodkRf_Pg tu wersja polska, ale widać że trzeba by zakupić program. Bo nie wiem czy na piracie (tylko na 24h;) ) odpalą się updaty. Poza tym nie gwarantuję, że to coś to usuwa a jedynie identyfikuje virusa.

[kris166]

A czy KIS 7 wystarczy do zabespieczenia komputera i internetu?? czy lepiej jeszcze miec jakiś firewall taki jak Comodo??

[JurekW]

A czy KIS 7 wystarczy do zabespieczenia komputera i internetu?? czy lepiej jeszcze miec jakiś firewall taki jak Comodo??

 

KIS 7 ( Kaspersky Internet Security ) to pakiet zawierający m.in firewall , antywirus itd. Nie potrzeba innej zapory.

[kris166]

KIS 7 ( Kaspersky Internet Security ) to pakiet zawierający m.in firewall , antywirus itd. Nie potrzeba innej zapory.

A jest to dobra zapora (wystarczająca)??

[zdun_VW]

A jest to dobra zapora (wystarczająca)??

 

Ja go miałem i byl naprawdę dobry, lecz komputer za bardzo zamulał. Ale i tak go polecam, teraz mam ESET NOD 32 i tez jest ok

[Kuczi]

Nie oftopować mi w temacie ! Jaki antywirus tez był taki temat

[remlus]

Żaden f-secure ci tego nie usunie. Proponuję poczytać ten topic: http://www.searchengines.pl/Infekcje-z-pendrive-mediow-przenosnych-t94761.html. Na pewno musisz usunąć z rejestru wszystkie mountpoint. Co do reszty, picasso podała instrukcje i linki do programów które powinny sobie z tym poradzić.

[Michal1980]

Mi Trojana nie znalazl ani NOD32, ani KIS a Norton Internet Security (na ktorego nota bene kiedys psioczylem).

Kuczlaw, poszukaj jakis skanerow online, wejdz na forum http://komputery.katalogi.pl/Bezpiecze%C5%84stwo_w_sieci-f12.html i tam wklej loga z HiJackThis, szybko Ci odpowiedza. Poza tym, mysle, ze na HDD masz wiecej syfu niz ten jeden trojan.

[zulu]

Te wpisy nakazują automatyczną infekcję pendriva tylko jak będzie wsadzony do USB. Dzieje się tak każdorazowo.

 

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{348e3e5f-53c9-11dd-ba76-0090f54b0ddd}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe nar.vbs

 

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{5a94d242-498a-11dd-ba64-0090f54b0ddd}]

\Shell\AutoRun\command - G:\wdsync.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{bccdfcfa-6f40-11dd-baa6-0090f54b0ddd}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe nar.vbs

 

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{ecadfbc5-6237-11dd-ba8f-0090f54b0ddd}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe nar.vbs

 

Jak widać odpowiedzialnymi za to są pliki nar.vbs i wdsync.exe ale źródło infekcji komputera lezy gdzie indziej min na USB. ale z tym sobie CF jak widac radzi.

F:\autorun.inf

F:\RECYCLER\S-1-5-21-725345543-1958367476-839522115-1003.exe

F:\RECYCLER\updater.ini

Domyslam się że F: to napęd USB.

 

Wracając do systemu nie podobają mi się wpisy

C:\Documents and Settings\marcin\yf

C:\WINDOWS\uninst.exe

sprawdź pierwszy czy wogóle zakładałeś taki katalog i podejżyj co to za drugi plik. Jego usadowienie jest "nienaturalne" dla widowsa więc tak naprawdę on może być przyczyną faktycznej infekcji.

 

Skrypt do ComboFixa:

 

Registry::

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

 

Folder::

 

C:\Documents and Settings\marcin\yf

 

File::

 

C:\WINDOWS\uninst.exe

 

na wszelki wypadek można też dołożyć

 

C:\RECYCLER\S-1-5-21-725345543-1958367476-839522115-1003.exe

C:\RECYCLER\updater.ini

i ew. dla innych dysków

 

To powyżej oczywiście weryfikujesz (wpis ...marcin/yf, i ...uninstal.exe) i ewentualnie wycinasz a resztę do pliku tekstowego, zapis z nazwą CFScript.txt i najzwyczajniej po zaznaczeniu przesówasz na ikonę ComboFixa. On to traktuje jako skrypt i wykonuje.

 

Po całości jeszcze raz daj loga i usuń katalogi c:\combofix (jeżeli jest), c:\Qoobox

 

Nie mówię że za pierwszym razem się uda ale walczymy do skutku. :634:

Edytowane 2 Września 2008 przez zulu

[Kuczi]

remlus, że ja zapomniałem o picassa dobrze że mi przypomniałeś bo po zastosowaniu się do jej rad wszystko już bangla jak powinno

 

Michał, syfu nie mam. Mam porządek od zawsze, 12 lat korzystania z kompa wiele mnie nauczyło... Jak widzę u kogoś burdel na pulpicie to już mnie ciarki przechodzą a na dyskach wszystko na tip-top u mnie

 

Dziękuję jeszcze raz za odpowiedzi, wiedziałem że żadne antywiry tego nie usuną, proponuje poczytać link od remlusa, może Wam się kiedyś przyda