artmin Zgłoś #21 Napisano 31 Sierpnia 2008 potem po lewej w opcach znajdź "kopiuj/usun" i wywal ostatniego ptaszka ("F8 usuwa do kosza ...") to załatwia też SHIFT+DEL Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach
Kuczi Zgłoś #22 Napisano 1 Września 2008 ściągnij sobie total commander i zainstalujw TC wejdź w konfiguracja->ustawienia główne->wyświetlanie->pokaż ukryte/systemowe pliki i zaznacz tam ptaszka potem po lewej w opcach znajdź "kopiuj/usun" i wywal ostatniego ptaszka ("F8 usuwa do kosza ...") teraz uruchom kompa w trybie awaryjnym, uruchom TC wejdź w c:\windows\system32 usuń plki diskmon32.exe i diskmon32.dll, jeśli nie da się usunąć to zmień im nazwy na jakiekolwiek inne teraz daj sobie polecenia->szukaj w pole nazwa wpisz desktop.ini kliknij napędy i wybierz wszystkie dyski twarde jakie masz poczekaj aż skonczy szukać, kliknij na dole "wpisz do okna" wciśnij na klawiaturze CTRL+A, wszystko się podświetli na czerwono usuń przez DELETE, jeśli któryś nie da się usunać to klikaj POMIŃ usuń też plik desktop.ini z pendrive powinno pomóc No i buuba Nie mam plików "diskmon32" w c:\windows\system32, szukałem ale ich nie ma.... Nie mam także wpisu EXPLORER.EXE w menadżerze zadań windows... Będę dalej próbował, może metoda cervandesa pomoże Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach
zulu Zgłoś #23 Napisano 1 Września 2008 kuczlaw odpal Combofix-a i wrzuć na forum log z niego. Popatrzymy i może uda się znaleść przyczynę. Combofix-a odpal w trybie awaryjnym Windowsa. Jak uda się zdiagnozować to zrobimy skrypt do Combo i on wywali całe świństwo. U siebie w robocie w kółko to samo i nie liczę na żadne Anty wiry tylko CF. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach
Kuczi Zgłoś #24 Napisano 1 Września 2008 Wrzucam loga ComboFix 08-08-30.03 - marcin 2008-09-01 9:11:34.2 - NTFSx86 MINIMAL Microsoft Windows XP Professional 5.1.2600.2.1250.1.1045.18.1791 [GMT 2:00] Running from: C:\Documents and Settings\marcin\Pulpit\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . F:\autorun.inf F:\RECYCLER\S-1-5-21-725345543-1958367476-839522115-1003.exe F:\RECYCLER\updater.ini . ((((((((((((((((((((((((( Files Created from 2008-08-01 to 2008-09-01 ))))))))))))))))))))))))))))))) . 2008-09-01 09:16 . 2008-09-01 09:16 <DIR> d-------- C:\WINDOWS\system32\xircom 2008-09-01 09:16 . 2008-09-01 09:16 <DIR> d-------- C:\WINDOWS\srchasst 2008-09-01 09:16 . 2008-09-01 09:16 <DIR> d-------- C:\WINDOWS\msagent 2008-09-01 09:16 . 2008-09-01 09:16 <DIR> d-------- C:\Program Files\microsoft frontpage 2008-09-01 08:24 . 2008-09-01 08:24 <DIR> d--h----- C:\Documents and Settings\MasterAdmin\Ustawienia lokalne 2008-09-01 08:24 . 2008-06-03 18:04 <DIR> d-------- C:\Documents and Settings\MasterAdmin\Ulubione 2008-09-01 08:24 . 2008-06-03 16:18 <DIR> d--h----- C:\Documents and Settings\MasterAdmin\Szablony 2008-09-01 08:24 . 2008-06-03 18:04 <DIR> d-------- C:\Documents and Settings\MasterAdmin\Pulpit 2008-09-01 08:24 . 2008-06-03 18:04 <DIR> d-------- C:\Documents and Settings\MasterAdmin\Moje dokumenty 2008-09-01 08:24 . 2008-09-01 08:12 <DIR> dr------- C:\Documents and Settings\MasterAdmin\Menu Start 2008-09-01 08:24 . 2008-09-01 08:12 <DIR> dr-h----- C:\Documents and Settings\MasterAdmin\Dane aplikacji 2008-09-01 08:24 . 2008-09-01 08:26 <DIR> d-------- C:\Documents and Settings\MasterAdmin 2008-08-31 06:34 . 2008-09-01 08:59 <DIR> d-------- C:\Program Files\a-squared Free 2008-08-30 22:59 . 2008-08-31 07:53 <DIR> d-------- C:\Program Files\Anti Trojan Elite 2008-08-30 21:31 . 2008-08-30 21:31 <DIR> d-------- C:\Documents and Settings\marcin\Dane aplikacji\WinPatrol 2008-08-15 17:07 . 2008-02-07 17:10 <DIR> d--h----- C:\ckis 2008-08-15 17:00 . 2008-08-15 18:21 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat 2008-08-15 17:00 . 2008-08-15 18:21 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat 2008-08-15 16:59 . 2008-08-15 16:59 <DIR> d-------- C:\Program Files\Kaspersky Lab 2008-08-15 16:59 . 2008-09-01 09:06 5,220,128 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2008-08-15 16:59 . 2008-09-01 09:17 164,896 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2008-08-15 16:59 . 2008-09-01 09:05 81,356 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx 2008-08-15 16:59 . 2008-09-01 09:05 18,572 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx 2008-08-11 22:45 . 2008-09-01 08:12 <DIR> dr-h----- C:\Documents and Settings\Slave\Ustawienia lokalne 2008-08-11 22:45 . 2008-06-03 18:04 <DIR> d-------- C:\Documents and Settings\Slave\Ulubione 2008-08-11 22:45 . 2008-08-11 22:45 <DIR> d--h----- C:\Documents and Settings\Slave\Szablony 2008-08-11 22:45 . 2008-06-03 18:04 <DIR> d-------- C:\Documents and Settings\Slave\Pulpit 2008-08-11 22:45 . 2008-06-03 18:04 <DIR> d-------- C:\Documents and Settings\Slave\Moje dokumenty 2008-08-11 22:45 . 2008-09-01 08:12 <DIR> dr------- C:\Documents and Settings\Slave\Menu Start 2008-08-11 22:45 . 2008-09-01 08:12 <DIR> dr-h----- C:\Documents and Settings\Slave\Dane aplikacji 2008-08-11 22:45 . 2008-08-11 22:45 <DIR> d-------- C:\Documents and Settings\Slave 2008-08-05 19:03 . 2008-08-05 19:03 <DIR> d-------- C:\Documents and Settings\marcin\yf 2008-08-05 17:52 . 2008-08-05 17:52 <DIR> d-------- C:\Program Files\Your Freedom 2008-08-05 17:05 . 1998-02-06 22:37 299,520 --a------ C:\WINDOWS\uninst.exe . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-01 07:06 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab 2008-08-31 09:05 --------- d-----w C:\Program Files\Spyware Terminator 2008-08-31 09:05 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Spyware Terminator 2008-08-31 09:00 --------- d-----w C:\Documents and Settings\marcin\Dane aplikacji\Spyware Terminator 2008-08-15 16:21 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys 2008-08-13 23:26 --------- d-----w C:\Program Files\Java 2008-07-30 20:35 --------- d-----w C:\Program Files\Techland 2008-07-25 15:09 --------- d-----w C:\Program Files\Photodex 2008-07-24 07:05 --------- d-----w C:\Program Files\EA GAMES 2008-07-05 05:27 --------- d-----w C:\Program Files\HTTP-Tunnel 2008-07-04 06:58 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab Setup Files 2008-07-04 06:54 --------- d-----w C:\Program Files\Common Files\Symantec Shared 2008-07-03 05:24 --------- d-----w C:\Program Files\BearShare 2008-07-01 20:19 --------- d-----w C:\Documents and Settings\All Users\Dane aplikacji\NFS Underground 2008-07-01 20:07 --------- d-----w C:\Program Files\Common Files\DirectX 2008-07-01 20:05 12,400 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys 2008-06-11 08:15 98,304 ----a-w C:\WINDOWS\system32\qttask.exe . ------- Sigcheck ------- 2007-07-10 15:06 642560 ce594e18fe0d0af804f1f3694921ce62 C:\WINDOWS\system32\user32.dll 2007-07-14 00:56 814592 ce7193c5f7c01b19768e066087c1c919 C:\WINDOWS\system32\wininet.dll 2007-10-16 01:19 360576 0fb6743e937c7bb248b2530a5a77abc6 C:\WINDOWS\system32\drivers\tcpip.sys 2007-10-19 00:19 2066816 9aa8aeee2c77b68af93691758eb0a78b C:\WINDOWS\system32\ntkrnlpa.exe 2007-10-19 00:19 2189824 1aeb1a9aa55de24bda1d441989ae4492 C:\WINDOWS\system32\ntoskrnl.exe 2007-10-17 21:30 974848 16df8a100e8966e48ba00c86f6c89972 C:\WINDOWS\explorer.exe 2007-10-17 21:32 104448 64af31fd88f01255bd841aa9b2dd030f C:\WINDOWS\system32\wuauclt.exe . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 04:44 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-06-17 05:07 5537792] "KTPWare"="C:\Program Files\Elantech\ktp3.exe" [2005-06-17 05:07 258048] "SpywareTerminator"="C:\Program Files\Spyware Terminator\SpywareTerminatorShield.exe" [2008-06-04 05:21 1817600] "NotebookHardwareControl"="C:\Program Files\Notebook Hardware Control\nhc.exe" [2006-04-01 03:27 1921024] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "RTHDCPL"="RTHDCPL.EXE" [2005-06-17 05:08 14396416 C:\WINDOWS\RTHDCPL.EXE] "nwiz"="nwiz.exe" [2005-06-17 05:07 1495040 C:\WINDOWS\system32\nwiz.exe] "CHotkey"="mHotkey.exe" [2001-12-26 14:12 472576 C:\WINDOWS\mHotkey.exe] "Tweak UI"="TWEAKUI.CPL" [2003-03-25 05:49 106544 C:\WINDOWS\system32\tweakui.cpl] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 04:44 15360] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] "nltide_3"="advpack.dll" [2007-10-09 02:01 124928 C:\WINDOWS\system32\advpack.dll] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "DisableStatusMessages"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMMyPictures"= 1 (0x1) "NoSMConfigurePrograms"= 1 (0x1) "NoSMHelp"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSMMyPictures"= 1 (0x1) "NoSMConfigurePrograms"= 1 (0x1) "NoSMHelp"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.iac2"= C:\PROGRA~1\ACEMEG~1\SystemS\Intel\iac25_32.ax "msacm.sl_anet"= C:\PROGRA~1\ACEMEG~1\SystemS\sl_anet.acm "vidc.yv12"= C:\PROGRA~1\ACEMEG~1\SystemS\ATI\atiyuv12.DLL "vidc.divx"= C:\PROGRA~1\ACEMEG~1\SystemS\DivX\DivX520.dll "vidc.iyuv"= C:\PROGRA~1\ACEMEG~1\SystemS\Intel\iyuv_32.dll "vidc.yvu9"= C:\PROGRA~1\ACEMEG~1\SystemS\Intel\Iyvu9_32.dll "vidc.uyvy"= C:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll "vidc.yuy2"= C:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll "vidc.yvyu"= C:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msyuv.dll "msacm.msaudio1"= C:\PROGRA~1\ACEMEG~1\SystemS\MICROS~1\msaud32.acm [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 "FirewallOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "C:\\Program Files\\Gadu-Gadu\\gg.exe"= "C:\\Program Files\\HTTP-Tunnel\\HTTP-TunnelClient.exe"= "C:\\Program Files\\EA GAMES\\Need For Speed Underground\\Speed.exe"= R1 sp_rsdrv2;Spyware Terminator Driver 2;C:\WINDOWS\system32\drivers\sp_rsdrv2.sys [2008-06-04 05:21] R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58] R3 Ktp3;Elantech TouchPad(KTP3);C:\WINDOWS\system32\DRIVERS\Ktp3.sys [2005-06-17 05:07] R3 nhcAcpi_driver;Notebook Hardware Control ACPI Driver;C:\WINDOWS\system32\drivers\nhcAcpi.sys [] R3 USBSTOR;Sterownik magazynu masowego USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08] S3 ATE_PROCMON;ATE_PROCMON;C:\Program Files\Anti Trojan Elite\ATEPMon.sys [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{348e3e5f-53c9-11dd-ba76-0090f54b0ddd}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe nar.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5a94d242-498a-11dd-ba64-0090f54b0ddd}] \Shell\AutoRun\command - G:\wdsync.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bccdfcfa-6f40-11dd-baa6-0090f54b0ddd}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe nar.vbs [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ecadfbc5-6237-11dd-ba8f-0090f54b0ddd}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe nar.vbs . . ------- Supplementary Scan ------- . FireFox -: Profile - C:\Documents and Settings\marcin\Dane aplikacji\Mozilla\Firefox\Profiles\8b8gbtik.default\ FF -: plugin - C:\Documents and Settings\marcin\Dane aplikacji\Mozilla\plugins\npPxPlay.dll FF -: plugin - C:\Program Files\ACE Mega CoDecS Pack\SystemS\RealMedia\Browser\plugins\nppl3260.dll FF -: plugin - C:\Program Files\ACE Mega CoDecS Pack\SystemS\RealMedia\Browser\plugins\nprpjplug.dll FF -: plugin - C:\Program Files\Adobe\Acrobat 6.0 CE\Reader\browser\nppdf32.dll . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-01 09:17:20 Windows 5.1.2600 Dodatek Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Program Files\a-squared Free\a2service.exe C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Photodex\ProShowGold\scsiaccess.exe C:\Program Files\Spyware Terminator\sp_rsser.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Completion time: 2008-09-01 9:20:24 - machine was rebooted [marcin] ComboFix-quarantined-files.txt 2008-09-01 07:20:16 Pre-Run: 127,336,448 bajtów wolnych Post-Run: 409,903,104 bajt˘w wolnych 186 Koniec Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach
ormowiec Zgłoś #25 Napisano 1 Września 2008 (edytowane) znajdź plik nar.vbs i usuń albo lepiej otwórz go w notatniku, wszystko wywal i zapisz potem kliknij prawym, właściwości->zabezpieczenia zrób wszystkim wszystko na "odmów", łącznie z administratorami i samym sobą Edytowane 1 Września 2008 przez ormowiec Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach
Kuczi Zgłoś #26 Napisano 1 Września 2008 znajdź plik nar.vbs A gdzie on może być? Szukam ale go nie mogę znaleźć Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach
ormowiec Zgłoś #27 Napisano 1 Września 2008 C:\WINDOWS\system32\nar.vbs Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach
Kuczi Zgłoś #28 Napisano 1 Września 2008 Nie ma skurczybyka.... Mam windowsa MX, może to cos pomoże.... Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach
Nuttie Zgłoś #29 Napisano 1 Września 2008 po wpisaniu w google tego trojana wyskakuje takie coś, może warto zainstalować tego f-secure nawet na chwilę coby usunął tego drania. http://forum.f-secure.com/topic.asp?TOPIC_ID=6742 Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach
Kuczi Zgłoś #30 Napisano 1 Września 2008 Nuttie, no właśnie też to widziałem ale ni w ząb tego nie kumam Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach
Nuttie Zgłoś #31 Napisano 1 Września 2008 http://www.f-secure.com.pl/?gclid=CKbY3tPLupUCFQTQugodkRf_Pg tu wersja polska, ale widać że trzeba by zakupić program. Bo nie wiem czy na piracie (tylko na 24h;) ) odpalą się updaty. Poza tym nie gwarantuję, że to coś to usuwa a jedynie identyfikuje virusa. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach
kris166 Zgłoś #32 Napisano 1 Września 2008 A czy KIS 7 wystarczy do zabespieczenia komputera i internetu?? czy lepiej jeszcze miec jakiś firewall taki jak Comodo?? Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach
JurekW Zgłoś #33 Napisano 1 Września 2008 A czy KIS 7 wystarczy do zabespieczenia komputera i internetu?? czy lepiej jeszcze miec jakiś firewall taki jak Comodo?? KIS 7 ( Kaspersky Internet Security ) to pakiet zawierający m.in firewall , antywirus itd. Nie potrzeba innej zapory. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach
kris166 Zgłoś #34 Napisano 1 Września 2008 KIS 7 ( Kaspersky Internet Security ) to pakiet zawierający m.in firewall , antywirus itd. Nie potrzeba innej zapory. A jest to dobra zapora (wystarczająca)?? Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach
zdun_VW Zgłoś #35 Napisano 1 Września 2008 A jest to dobra zapora (wystarczająca)?? Ja go miałem i byl naprawdę dobry, lecz komputer za bardzo zamulał. Ale i tak go polecam, teraz mam ESET NOD 32 i tez jest ok Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach
Kuczi Zgłoś #36 Napisano 1 Września 2008 Nie oftopować mi w temacie ! Jaki antywirus tez był taki temat Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach
remlus Zgłoś #37 Napisano 2 Września 2008 Żaden f-secure ci tego nie usunie. Proponuję poczytać ten topic: http://www.searchengines.pl/Infekcje-z-pendrive-mediow-przenosnych-t94761.html. Na pewno musisz usunąć z rejestru wszystkie mountpoint. Co do reszty, picasso podała instrukcje i linki do programów które powinny sobie z tym poradzić. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach
Michal1980 Zgłoś #38 Napisano 2 Września 2008 Mi Trojana nie znalazl ani NOD32, ani KIS a Norton Internet Security (na ktorego nota bene kiedys psioczylem). Kuczlaw, poszukaj jakis skanerow online, wejdz na forum http://komputery.katalogi.pl/Bezpiecze%C5%84stwo_w_sieci-f12.html i tam wklej loga z HiJackThis, szybko Ci odpowiedza. Poza tym, mysle, ze na HDD masz wiecej syfu niz ten jeden trojan. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach
zulu Zgłoś #39 Napisano 2 Września 2008 (edytowane) Te wpisy nakazują automatyczną infekcję pendriva tylko jak będzie wsadzony do USB. Dzieje się tak każdorazowo. [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{348e3e5f-53c9-11dd-ba76-0090f54b0ddd}]\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe nar.vbs [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{5a94d242-498a-11dd-ba64-0090f54b0ddd}] \Shell\AutoRun\command - G:\wdsync.exe [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{bccdfcfa-6f40-11dd-baa6-0090f54b0ddd}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe nar.vbs [HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{ecadfbc5-6237-11dd-ba8f-0090f54b0ddd}] \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe nar.vbs Jak widać odpowiedzialnymi za to są pliki nar.vbs i wdsync.exe ale źródło infekcji komputera lezy gdzie indziej min na USB. ale z tym sobie CF jak widac radzi. F:\autorun.inf F:\RECYCLER\S-1-5-21-725345543-1958367476-839522115-1003.exe F:\RECYCLER\updater.ini Domyslam się że F: to napęd USB. Wracając do systemu nie podobają mi się wpisy C:\Documents and Settings\marcin\yfC:\WINDOWS\uninst.exe sprawdź pierwszy czy wogóle zakładałeś taki katalog i podejżyj co to za drugi plik. Jego usadowienie jest "nienaturalne" dla widowsa więc tak naprawdę on może być przyczyną faktycznej infekcji. Skrypt do ComboFixa: Registry::[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] Folder:: C:\Documents and Settings\marcin\yf File:: C:\WINDOWS\uninst.exe na wszelki wypadek można też dołożyć C:\RECYCLER\S-1-5-21-725345543-1958367476-839522115-1003.exe C:\RECYCLER\updater.ini i ew. dla innych dysków To powyżej oczywiście weryfikujesz (wpis ...marcin/yf, i ...uninstal.exe) i ewentualnie wycinasz a resztę do pliku tekstowego, zapis z nazwą CFScript.txt i najzwyczajniej po zaznaczeniu przesówasz na ikonę ComboFixa. On to traktuje jako skrypt i wykonuje. Po całości jeszcze raz daj loga i usuń katalogi c:\combofix (jeżeli jest), c:\Qoobox Nie mówię że za pierwszym razem się uda ale walczymy do skutku. :634: Edytowane 2 Września 2008 przez zulu Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach
Kuczi Zgłoś #40 Napisano 2 Września 2008 remlus, że ja zapomniałem o picassa dobrze że mi przypomniałeś bo po zastosowaniu się do jej rad wszystko już bangla jak powinno Michał, syfu nie mam. Mam porządek od zawsze, 12 lat korzystania z kompa wiele mnie nauczyło... Jak widzę u kogoś burdel na pulpicie to już mnie ciarki przechodzą a na dyskach wszystko na tip-top u mnie Dziękuję jeszcze raz za odpowiedzi, wiedziałem że żadne antywiry tego nie usuną, proponuje poczytać link od remlusa, może Wam się kiedyś przyda Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach