Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

habababa

Wirus

Rekomendowane odpowiedzi

Mam problem z wirusem, który tworzy skróty na pendrivie. Cztałem na ten temat jednak nie udało mi się nic zdziałać by się go pozbyć.

Użyłem programu OTL tak jak mówił jeden z użytkowników w starym wątku. Tu jest wynik tego działania: Link do loga, a tu jest jakiś drugi link.

Byłbym bardzo wdzięczny gdyby ktoś mi powiedział co z tym zrobić.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Będę tutaj dopiero jutro, ale może @Filutka78 zajrzy tutaj wcześniej.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

1)Otwórz Notatnik i wklej w nim:

C:\Documents and Settings\jaja\kapef.exe

HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k

HKU\S-1-5-21-790525478-854245398-839522115-1003\...\Run: [kapef] => C:\Documents and Settings\jaja\kapef.exe [49152 2015-09-05] ()

C:\WINDOWS\Minidump\Mini*.dmp

CMD: attrib /d /s -s -h X:\*

X:\kapef.exe

X:\*.lnk

EmptyTemp:

Uwaga! - zamiast X wstaw literkę, pod jaka jest widziany pendrive

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Powstanie plik fixlog.txt.

Daj ten log.

 

2) Zrób log z >USBFix (aby pobrać kliknij na "Download UsbFix Windows Installer")

Kliknij w nim na: LISTING.

 

3) Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

kapef.exe

kliknij na przycisk "Search Files (Szukaj Plików)".

Raport z tego będzie tam, gdzie jest FRST.

 

4) Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

kapef

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).

Raport z tego będzie tam, gdzie jest FRST.

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

1) Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-21-790525478-854245398-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"kapef"=-

[HKEY_USERS\S-1-5-21-790525478-854245398-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"kapef"=-

[HKEY_USERS\S-1-5-21-790525478-854245398-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\Documents and Settings\jaja\kapef.exe"=-

[HKEY_USERS\S-1-5-21-790525478-854245398-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\Documents and Settings\jaja\kapef.exe"=-

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>

plik uruchom (dwuklik i OK).

 

2) Otwórz Notatnik i wklej w nim:

J:\autorun.inf

J:\riuom.exe

J:\riuom.scr

CMD: attrib /d /s -s -h J:\*

J:\*lnk

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Powstanie plik fixlog.txt.

Daj ten log.

 

3) Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

riuom*.*

kliknij na przycisk "Search Files (Szukaj Plików)".

Raport z tego będzie tam, gdzie jest FRST.

 

4) Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

riuom

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).

Raport z tego będzie tam, gdzie jest FRST.

 

5) Zrób nowy log USBFix LISTING.

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Cały czas infekcja się odnawia, ale za każdym razem w innej formie.

Nie widzę, dlaczego tak się dzieje.

Zmieniamy taktykę:

1) Użyj >USBFix (aby pobrać kliknij na "Download UsbFix Windows Installer")

Kliknij w nim na: CLEAN.

Daj raport z tego usuwania

 

2) Jeśli dalej będą skróty, to dodatkowo:

Użyj > MBAM

Podczas instalacji usuń zaznaczenie z okienka przy "Uruchom okres testowy Malwarebytes Anti-Malware Premium".

Zaznacz wszystko co wykryje, kliknij na Usuń zaznaczone.

Podaj z tego raport.

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

na dysku "C" pojawiły się 2 pliki: Bootfont.bin oraz NTDETECT (aplikacja MS-DOS), i nie wiem czy mam się nimi martwić...

One zawsze były, tyle, że nie były widoczne.

 

 

1) Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_USERS\S-1-5-21-790525478-854245398-839522115-1003\software\microsoft\windows\currentversion\Run]
"zoazu"=-

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"zoazu"=-

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>

plik uruchom (dwuklik i OK).

 

2)

[07/09/2015 - 11:27:07 | D] - C:\umenty

31/08/2015 - 19:07:46 | D] - D:\umenty

31/08/2015 - 19:07:12 | D] - G:\umenty

Znasz te?

 

3) Otwórz Notatnik i wklej w nim:

C:\Documents and Settings\jaja\zoazu.exe

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Powstanie plik fixlog.txt.

Daj ten log.

 

 

F.

zaraz przejrzę log ..

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

LOG

2)

[07/09/2015 - 11:27:07 | D] - C:\umenty

31/08/2015 - 19:07:46 | D] - D:\umenty

31/08/2015 - 19:07:12 | D] - G:\umenty

 

Znasz te?

A co do tego to został tylko na "G", ale jednak go używam. Pozostłe to foldery po tymczasowym zapisie plików do instalacji...

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Myślę, że możemy kończyć:

W USBFix kliknij na przycisk UNINSTALL.

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).

przez SHIFT+DEL usuń pozostały folder C:\FRST

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Nie chcąc otwierać nowego tematu ze względu, że ten nie został zamknięty, napiszę tu...

Na drugim komputerze pojawił się ten sam problem, ktoś musiał przenieść infekcję jeszcze przed pozbyciem się tego robaka.

Jeśli ktoś chętny do pomocy to tu są logi z FRST: LINK; LINK

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Otwórz Notatnik i wklej w nim:

C:\Documents and Settings\ja\zoazu.exe

e:\zoazu.exe

HKU\S-1-5-21-746137067-583907252-1417001333-1003\...\Run: [zoazu] => C:\Documents and Settings\ja\zoazu.exe [49152 2015-09-04] ()

HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= UWAGA

SearchScopes: HKLM -> DefaultScope - brak wartości

S3 GMSIPCI; \??\D:\INSTALL\GMSIPCI.SYS [X]

CMD: attrib /d /s -s -h E:\*

E:\*lnk

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Powstanie plik fixlog.txt.

Daj ten log.

 

Jak sytuacja po tym działaniu?

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Skróty nie zniknęły LOG

Niestety chyba nie jest to pełny log, FRST nie wygląda jakby wykonywał jakakolwiek czynność. Po restarcie nic się nie zmienia, a naprawia już dość długo...

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Za czwartym podejściem się udało; LOG.

Skróty zniknęły ale pojawił się plik "zoazu.scr", oraz folder "Autorun.inf"...

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Otwórz Notatnik i wklej w nim:

E:\zoazu.scr

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

"autorun.inf" zostaw w spokoju.

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...