Pendrive>Win32.Virut.56>Dramat

[Mateusz77771986]

Witam, nie korzystałem z internetu, więc wyłączyłem avast dla lepszej wydajności. Poszedłem odpocząć, w tym czasie przyszła siostra z pendrivem po wizycie w uczelnianym ksero. Wracam do komputera a tu Sodoma I Gomora! Skanowałem Dr.Web szybkie+pełne, a potem znowu szybkie+pełne w trybie awaryjnym. Po restarcie szybkie i wyszło czysto, potem próby z SDFix, Combofix. Po restarcie Avast wykrył go w cmd.exe, nie podjąłem akcji bo nie potrafi wyleczyć plików. Wykasowałem go z autostartu, wyłączyłem odzyskiwanie systemu na wszystkich dyskach bo tam też się zainstalował.

Nie mogę wykonać logu z Combofix:


Nie mogę wykonać logu z SDFix:


Log z HJT: http://wklej.eu/index.php?id=7b3d40dc3d

Proszę o pomoc!

[Michael Parker]

O4 - HKLM\\..\\Run: [SDFix] C:\\SDFix\\RunThis.bat /second
O4 - HKLM\\..\\Run: [combofix] C:\\WINDOWS\\system32\\CF21356.exe /c C:\\ComboFix\\Combobatch.bat

Fix w HijackThis. Instrukcja viewtopic.php?f=22&t=13967

Pobierz Malwarebytes' Anti-Malware Uruchom pełne skanowanie. Jeżeli coś znajdzie, to usuń. Następnie daj log na forum.

Podaj log z DDS http://www.searchengines.pl/index.php?s ... t&p=392369

Logi dajesz na wklej.org, a w poście podajesz tylko link.

[Mateusz77771986]

Dziękuje za szybką odpowiedź.

Log z Malwarebytes : http://wklej.eu/index.php?id=bcdfe5da82

Za chwilę wkleję ten drugi log.

[AJAN]

Wylecz pendriva lub kartę pamięci
Perlovga Removal Tool
Flash Disinfector
lub format
oraz czekamy na drugi log

[Mateusz77771986]

Mam problem z odpalenie DDS ponieważ mam zablokowane uruchamianie skryptów i nie wiem gdzie się to zmienia.

[AJAN]

próbowałeś w trybie awaryjnym?

[Mateusz77771986]

Nie, zaraz spróbuje.

[AJAN]

jeśli się uda to daj tez loga z ComboFix

[Mateusz77771986]

Log z DDS (plik o nazwie DDS): http://wklej.eu/index.php?id=f280cf14dc

Log z DDS (plik o nazwie Attach): http://wklej.eu/index.php?id=611a2f5475

Zaraz spróbuje Combofix.

Edited: Przy uruchamianiu Combofix to samo co poprzednio, wyskakuje "sed.exe Wystąpił błąd aplikacji..." więc nie kontynuowałem. Czy może jednak powinienem?

[Michael Parker]

Pobierz The Avenger, zaznacz poniższy tekst

Files to delete:
c:\windows\system32\CF21356.exe
C:\autorun.inf
c:\windows\PEV.exe

Folders to delete:
c:\windows\system32\ED162B
c:\windows\system32\BDD55D
c:\windows\system32\A01FDB
c:\windows\system32\2C079A

Drivers to delete:
Memctl

Skopiuj Kliknij na Paste Script from Clipboard Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu skasuj z dysku C:\Avenger\backup.zip i wklej raport na forum C:\avenger.txt

Logi dajesz na wklej.org, a w poście podajesz tylko link.

Po tym spróbuj uruchomić Combofixa.

[Mateusz77771986]

Bardzo dziekuję za dotychczasową, szybką i sprawną pomoc.

Log z Avengera: http://wklej.eu/index.php?id=53296f52de

Powiodło się i Combofix uruchomił się prawidłowo, log: http://wklej.eu/index.php?id=8d0f932b83

[AJAN]

przeskanuj komputer Dr.Web Cure It! gdy będą wirusy pokaż raport (plik zapisz listę raportu)
oraz
pobierz MalwareByte's
Klikasz "Skanuj" Wybierasz dyski i skanujesz jak jakieś będą to Usuń i pokaż raport

[Mateusz77771986]

Dr.Web Cure It! znalazł tylko to:

ComboFix.exe/data002\32788R22FWJFW\FIND3M.bat R:\ComboFix.exe/data002 Prawdopodobnie BATCH.Virus
data002 R:\ Archiwum zawierające zainfekowane obiekty
ComboFix.exe R:\ Kontener zawiera zainfekowane obiekty Przeniesiony.
A0001096.exe/data002\32788R22FWJFW\FIND3M.bat R:\System Volume Information\_restore{7B5A35F0-C8DC-48ED-868B-E56225E1FB8D}\RP1\A0001096.exe/data002 Prawdopodobnie BATCH.Virus
data002 R:\System Volume Information\_restore{7B5A35F0-C8DC-48ED-868B-E56225E1FB8D}\RP1 Archiwum zawierające zainfekowane obiekty
A0001096.exe R:\System Volume Information\_restore{7B5A35F0-C8DC-48ED-868B-E56225E1FB8D}\RP1 Kontener zawiera zainfekowane obiekty Przeniesiony.

oraz jedną rzecz w C:\Volume information... nie mogę podać dokładnej informacji bo inny użytkowanik zamknął program.

Skanuję właśnie MalwareByte's i co chwilę Avast wyrzuca, że pliki .exe są zainfekowane Virutem, martwi mnie to bo Dr.Web twierdzi że je wyleczył i nie wykrywa w nich nic.

[Mateusz77771986]

Log z Malwarebytes: http://wklej.eu/index.php?id=57f9253afc

[AJAN]

Ściągnij AVPTool, ale od razu przy ściąganiu zapisz go pod inną nazwą, np. "mati77771986".
Po użyciu go daj z niego górną część raportu - do napisu "Events".