Witam, mam problem z zawirusowaną karta pamieci, gdy wpinam ją do komputera avast znajduje wirusa/trojana: BV:AutoRun-S [Wrm] (plik H:\AutoRun.inf)
formatowalem karte - bez efektu
Link do loga Hijack: http://www.wklej.eu/index.php?id=ceaf17ecf5
kontrolnie przeskanowalem system spybotem i cclener ale nic to nie pomaga, nie moge sie cholery pozbyc, czy ktos chcialby mi pomoc?
pozdrawiam,
szakal_jr
Problem z BV:AutoRun-S [Wrm]
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
7 posty(ów)
• Strona 1 z 1
Problem z BV:AutoRun-S [Wrm]
przez szakal_jr » 27 Cze 2010, 13:11
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.19) Gecko/2010031422 Firefox/3.0.19
Re: Problem z BV:AutoRun-S [Wrm]
przez mateo8898 » 27 Cze 2010, 13:14
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.4) Gecko/20100611 Firefox/3.6.4
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: Problem z BV:AutoRun-S [Wrm]
przez szakal_jr » 27 Cze 2010, 16:36
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.19) Gecko/2010031422 Firefox/3.0.19
logi:
OTL.txt: http://www.wklej.eu/index.php?id=6e5280a61b
Extras.txt: http://www.wklej.eu/index.php?id=63556325c4
niestety Gmer zawiesza mi się gdy skonczy prace i nie moge zapisac loga (jak za ktoryms razem sie nie zawiesi to wrzuce), po uruchomieniu systemu wyskakuje mi okienko moich dokumentów to pewnie spowodowane przez tego robaka i ogolne zamulenie kompa..
z gory dzieki z pomoc!
OTL.txt: http://www.wklej.eu/index.php?id=6e5280a61b
Extras.txt: http://www.wklej.eu/index.php?id=63556325c4
niestety Gmer zawiesza mi się gdy skonczy prace i nie moge zapisac loga (jak za ktoryms razem sie nie zawiesi to wrzuce), po uruchomieniu systemu wyskakuje mi okienko moich dokumentów to pewnie spowodowane przez tego robaka i ogolne zamulenie kompa..
z gory dzieki z pomoc!
Re: Problem z BV:AutoRun-S [Wrm]
przez szakal_jr » 27 Cze 2010, 19:04
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.19) Gecko/2010031422 Firefox/3.0.19
Re: Problem z BV:AutoRun-S [Wrm]
przez mateo8898 » 27 Cze 2010, 20:07
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6
Pomożemy 
Uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej:
Klikasz Wykonaj skrypt.
Następnie pobierz The Avenger w pole Input script here wklej poniższy tekst:
klikasz Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt + nowe logi z OTL
Wylecz pamięci przenośne Flash Disinfector lub sformatuj
Uruchom OTL
w oknie Własne opcje skanowania/skrypt wklej::Processes
killallprocesses
:OTL
O4 - HKU\S-1-5-21-1715567821-1383384898-1060284298-1003..\Run: [EXPLORER.EXE] C:\WINDOWS\System32\EXPLORER.EXE ()
O4 - HKU\S-1-5-21-1715567821-1383384898-1060284298-1003..\Run: [wsctf.exe] File not found
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\System32\EXPLORER.EXE ()
O20 - HKLM Winlogon: UserInit - (EXPLORER.EXE) - C:\WINDOWS\System32\EXPLORER.EXE ()
O20 - HKU\S-1-5-21-1715567821-1383384898-1060284298-1003 Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\System32\EXPLORER.EXE ()
:Files
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1715567821-1383384898-1060284298-1003UA.job
C:\WINDOWS\QTFont.qfn
C:\WINDOWS\QTFont.for
C:\WINDOWS\tasks\WGASetup.job
C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1715567821-1383384898-1060284298-1003Core.job
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
:Commands
[emptytemp]
[reboot]
Klikasz Wykonaj skrypt.
Następnie pobierz The Avenger w pole Input script here wklej poniższy tekst:
- Kod: Zaznacz wszystko
Files to delete:
C:\WINDOWS\System32\EXPLORER.EXE
klikasz Execute
Potwierdzasz i zgadzasz się na restart klikając OK.Po wykonaniu wklej raport na forum C:\avenger.txt + nowe logi z OTL
Wylecz pamięci przenośne Flash Disinfector lub sformatuj
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: Problem z BV:AutoRun-S [Wrm]
przez szakal_jr » 27 Cze 2010, 21:44
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.0.19) Gecko/2010031422 Firefox/3.0.19
done!
nowe logi:
extras.txt: http://www.wklej.eu/index.php?id=01ceac3dfc
otl.txt: http://www.wklej.eu/index.php?id=632a270ad5
avenger: http://www.wklej.eu/index.php?id=d4cf76d85a
pamieci przenosne sformatowane i ........ Avast dalej pokazuje mi ze wykrywa tego dziada (na pamięci przenośnej w pliku autorun.inf)
nowe logi:
extras.txt: http://www.wklej.eu/index.php?id=01ceac3dfc
otl.txt: http://www.wklej.eu/index.php?id=632a270ad5
avenger: http://www.wklej.eu/index.php?id=d4cf76d85a
pamieci przenosne sformatowane i ........ Avast dalej pokazuje mi ze wykrywa tego dziada (na pamięci przenośnej w pliku autorun.inf)
Re: Problem z BV:AutoRun-S [Wrm]
przez mateo8898 » 28 Cze 2010, 11:37
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6
Tutaj jest chyba Conficker, więc podłącz pamięci przenośne, a następnie użyj ComboFix i daj log z niego (pamiętaj, żeby podczas pracy ComboFixa pamięci były cały czas podpięte).
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
7 posty(ów)
• Strona 1 z 1
Kto jest na forum
Zarejestrowani użytkownicy: Bing [Bot]