Voltago Opublikowano 5 Lipca 2009 Zgłoś Opublikowano 5 Lipca 2009 Dysk świeżo po formacie, bo nie mogłem sobie poradzić z setkami wirusów/trojanów które pojawiły się nagle po odpaleniu pliku którego nie sprawdziłem:/ Mimo to format nie pomógł. Pojawiły się jakieś duplikujące się procesy, Explorer bez powodu zużywa często 100% procka, wiele programów zamyka się od razu po otwarciu. Wklejam loga z HJ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:46:57, on 2009-07-05 Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Ad Muncher\AdMunch.exe C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe C:\WINDOWS\system32\Rundll32.exe C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe C:\WINDOWS\System32\reader_s.exe C:\WINDOWS\services.exe C:\windows\ld12.exe C:\windows\pp10.exe C:\Program Files\AutoConnect\AutoConnect.exe C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe C:\Documents and Settings\User\reader_s.exe C:\Program Files\Tlen.pl\tlen.exe C:\WINDOWS\system32\cmd.exe <--- duplikujące się procesy cmd.exe i service.exe C:\WINDOWS\services.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\services.exe C:\Documents and Settings\User\Pulpit\procexp.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\8.tmp <--- ten proces często zużywa 100% procka C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe C:\Documents and Settings\User\Pulpit\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13928&l=dis R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O1 - Hosts: 92.241.176.188 advanced-virus-remover2009.com O1 - Hosts: 92.241.176.188 www.advanced-virus-remover2009.com O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Ad Muncher] C:\Program Files\Ad Muncher\AdMunch.exe /bt O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [speedTouch USB Diagnostics] "C:\Program Files\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe O4 - HKLM\..\Run: [sysldtray] C:\windows\ld12.exe O4 - HKLM\..\Run: [pp] C:\windows\pp10.exe O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe O4 - HKCU\..\Run: [AutoConnect] C:\Program Files\AutoConnect\AutoConnect.exe O4 - HKCU\..\Run: [Creative Detector] C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe /R O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\User\reader_s.exe O4 - HKCU\..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\User\reader_s.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Documents and Settings\User\reader_s.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O8 - Extra context menu item: Block frame with Ad Muncher - http://www.admuncher.com/request_will_be_i...d=menu_ie_frame O8 - Extra context menu item: Block image with Ad Muncher - http://www.admuncher.com/request_will_be_i...d=menu_ie_image O8 - Extra context menu item: Block link with Ad Muncher - http://www.admuncher.com/request_will_be_i...id=menu_ie_link O8 - Extra context menu item: Don't filter page with Ad Muncher - http://www.admuncher.com/request_will_be_i...menu_ie_exclude O8 - Extra context menu item: Report page to the Ad Muncher developers - http://www.admuncher.com/request_will_be_i...=menu_ie_report O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{EACD5FAF-57E9-466D-9DB0-F99F5AB9949D}: NameServer = 194.204.159.1 217.98.63.164 O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Usługa bramy warstwy aplikacji (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing) O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe -- End of file - 7410 bytes Nie mam już pojęcia czym to skanować i czym usunąć. Combofix wcale się nie chce otworzyć wyświetlając taki błąd: PCTools - SpywareDoctor w ogóle nie chce skanować.... Jakim cudem wszystko nie wyczyściło się po formacie? Formatowałem tylko jedną partycję, no ale co przeniosło by się na inne? Innych sformatować nie mogę bo mam tam za dużo ważnych rzeczy. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
ULLISSES Opublikowano 5 Lipca 2009 Zgłoś Opublikowano 5 Lipca 2009 Ostatni obrazek wyjaśnia wszystko. Podepnij dysk do innego kompa, włącz awaryjny i włącz skanowanie wszystkich Twoich partycji. Wcześniej (zanim podepniesz dysk) zainstaluj na tym kompie Avasta lub Nod32 z najnowszymi bazami. Archiwa, grafika, muzyka, filmy i dokumenty są bezpieczne. Niestety większość plików exe nie nadaje się już pewnie do uratowania. Z logu do wywalenia jest: C:\Program Files\Ad Muncher\AdMunch.exe C:\WINDOWS\System32\reader_s.exe C:\windows\ld12.exe C:\windows\pp10.exe C:\Documents and Settings\User\reader_s.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\services.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\services.exe[/b] C:\WINDOWS\system32\8.tmp R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13928&l=dis R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O1 - Hosts: 92.241.176.188 advanced-virus-remover2009.com O1 - Hosts: 92.241.176.188 www.advanced-virus-remover2009.com O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Ad Muncher] C:\Program Files\Ad Muncher\AdMunch.exe /bt O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe O4 - HKLM\..\Run: [sysldtray] C:\windows\ld12.exe O4 - HKLM\..\Run: [pp] C:\windows\pp10.exe O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe O4 - HKCU\..\Run: [reader_s] C:\Documents and Settings\User\reader_s.exe O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'USŁUGA LOKALNA') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'USŁUGA SIECIOWA') O4 - HKUS\S-1-5-18\..\Run: [reader_s] C:\Documents and Settings\User\reader_s.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [reader_s] C:\Documents and Settings\User\reader_s.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O8 - Extra context menu item: Block frame with Ad Muncher - http://www.admuncher.com/request_will_be_i...d=menu_ie_frame O8 - Extra context menu item: Block image with Ad Muncher - http://www.admuncher.com/request_will_be_i...d=menu_ie_image O8 - Extra context menu item: Block link with Ad Muncher - http://www.admuncher.com/request_will_be_i...id=menu_ie_link O8 - Extra context menu item: Don't filter page with Ad Muncher - http://www.admuncher.com/request_will_be_i...menu_ie_exclude O8 - Extra context menu item: Report page to the Ad Muncher developers - http://www.admuncher.com/request_will_be_i...=menu_ie_report O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Usługa bramy warstwy aplikacji (ALG) - Unknown owner - C:\WINDOWS\System32\alg.exe (file missing) O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe Poza tym zainstaluj Total Commander i Unlocker. Przy ich pomocy usuń katalogi RECYCLED, RECYCLER oraz wszelkie pliki autorun.inf, cmd.exe regedit.exe i wszelkie inne podejrzane z głównych katalogów każdej partycji. Nie ruszać regedit.exe z C:\Windows\System32! Wszelkie operacje najlepiej wykonywać z konta Administratora w trybie awaryjnym. Przy okazji przeskanuj przy pomocy Spybot i usuń wszystko co znajdzie. Następnie włącz widok zaawansowany i wywal wszelkie BHO oraz ActiveX bez zielonego znaczka. Oczyść też Startup z podejrzanych wpisów. Użyj też programu Autoruns - w Options zaznacz 'Hide Microsoft and Windows Entries', a następnie daj odśwież. Wykasuj z listy wpisy które nie mają autora lub w ścieżce jest "File not found". Zostaw wpisy VIA, NVIDIA, Nero itp. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Voltago Opublikowano 5 Lipca 2009 Zgłoś Opublikowano 5 Lipca 2009 Ostatni obrazek wyjaśnia wszystko. 1.Podepnij dysk do innego kompa, włącz awaryjny i włącz skanowanie wszystkich Twoich partycji. Wcześniej (zanim podepniesz dysk) zainstaluj na tym kompie Avasta lub Nod32 z najnowszymi bazami. Archiwa, grafika, muzyka, filmy i dokumenty są bezpieczne. Niestety większość plików exe nie nadaje się już pewnie do uratowania. 2.Z logu do wywalenia jest: 3. Poza tym zainstaluj Total Commander i Unlocker. Przy ich pomocy usuń katalogi RECYCLED, RECYCLER oraz wszelkie pliki autorun.inf, cmd.exe regedit.exe i wszelkie inne podejrzane z głównych katalogów każdej partycji. Nie ruszać regedit.exe z C:\Windows\System32! Wszelkie operacje najlepiej wykonywać z konta Administratora w trybie awaryjnym. Przy okazji przeskanuj przy pomocy Spybot i usuń wszystko co znajdzie. Następnie włącz widok zaawansowany i wywal wszelkie BHO oraz ActiveX bez zielonego znaczka. Oczyść też Startup z podejrzanych wpisów. Użyj też programu Autoruns - w Options zaznacz 'Hide Microsoft and Windows Entries', a następnie daj odśwież. Wykasuj z listy wpisy które nie mają autora lub w ścieżce jest "File not found". Zostaw wpisy VIA, NVIDIA, Nero itp. 1. Co to da, że podepnę do innego kompa nie moge spróbowac w swoim? 2. Tzn mam to wykasować? 3. Mam Total Commandera. Mam go użyć w trybie awaryjnym i powywalać te rzeczy które napisałeś? Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Kolobos Opublikowano 5 Lipca 2009 Zgłoś Opublikowano 5 Lipca 2009 Uruchom system w trybie awaryjnym z obsluga sieci i tam sciagnij combofix, zapisz pod zmieniona nazwa np. qwerty123.com i dopiero uruchom. Zrob tez skan przy pomocy Dr.web CureIt oraz Malwarebytes Anti-Malware. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
ULLISSES Opublikowano 5 Lipca 2009 Zgłoś Opublikowano 5 Lipca 2009 Virut to typowy klasyczny wirus zarażający exe-ki. Wszelkie pliki exe bez kompresji są zarażone lub zostaną zarażone zaraz po ich zapisaniu na dysku. Tryb awaryjny nic tu nie da, bo większość plików z dysku już jest zarażonych łącznie z systemowymi. Można podłączyć do innego kompa lub próbować się ratować formatowaniem i instalacją systemu od nowa, ale najpierw trzeba się uporać z robakiem autorun.inf Ironicznie jego pliki są także zarażone wirusem i gdy startują wraz ze startem partycji (start systemu, podpięcie dysku), to zarażają one pozostałe pliki na wszystkich partycjach. Najszybciej będzie ratować się jakimś Linux LiveCD. Wystartować z niego, wykasować wszelkie autorun.inf, recycler, recycled oraz wszelkie inne .exe z głównych katalogów każdej partycji. Wtedy dopiero można podpinać do innego kompa lub instalować system od nowa i jechać antywirusem. Nie należy jednak próbować odpalać jakiegokolwiek pliku .exe z zarażonego dysku (lub pendrive) zanim nie skończy się skanowanie antywirusa. Z obserwacji zauważyłem, że wirus nie zaraża niektórych instalek oraz niektórych aplikacji pakowanych np przy pomocy UPX. Co do 3 pytań. Z tego systemu i tak już nic, bo jest zarażony Virut'em. Możesz jedynie przy jego pomocy (póki działa) próbować zwalczyć robaki, aby mieć wolną drogę do uruchomienia antywirusa. Użyj np. Ubuntu i posprzątaj na dysku. Tak będzie najszybciej i najbezpieczniej. Potem nowy system (lub dysk do innego kompa) i antywirusem przejedź. Tylko nie zapisuj instalki antywirusa na Twoim dysku i tym bardziej nie próbuj jej z niego uruchamiać. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Voltago Opublikowano 5 Lipca 2009 Zgłoś Opublikowano 5 Lipca 2009 (edytowane) Virut to typowy klasyczny wirus zarażający exe-ki. Wszelkie pliki exe bez kompresji są zarażone lub zostaną zarażone zaraz po ich zapisaniu na dysku. Tryb awaryjny nic tu nie da, bo większość plików z dysku już jest zarażonych łącznie z systemowymi. Można podłączyć do innego kompa lub próbować się ratować formatowaniem i instalacją systemu od nowa, ale najpierw trzeba się uporać z robakiem autorun.inf Ironicznie jego pliki są także zarażone wirusem i gdy startują wraz ze startem partycji (start systemu, podpięcie dysku), to zarażają one pozostałe pliki na wszystkich partycjach. Najszybciej będzie ratować się jakimś Linux LiveCD. Wystartować z niego, wykasować wszelkie autorun.inf, recycler, recycled oraz wszelkie inne .exe z głównych katalogów każdej partycji. Wtedy dopiero można podpinać do innego kompa lub instalować system od nowa i jechać antywirusem. Nie należy jednak próbować odpalać jakiegokolwiek pliku .exe z zarażonego dysku (lub pendrive) zanim nie skończy się skanowanie antywirusa. Z obserwacji zauważyłem, że wirus nie zaraża niektórych instalek oraz niektórych aplikacji pakowanych np przy pomocy UPX. Co do 3 pytań. Z tego systemu i tak już nic, bo jest zarażony Virut'em. Możesz jedynie przy jego pomocy (póki działa) próbować zwalczyć robaki, aby mieć wolną drogę do uruchomienia antywirusa. Użyj np. Ubuntu i posprzątaj na dysku. Tak będzie najszybciej i najbezpieczniej. Potem nowy system (lub dysk do innego kompa) i antywirusem przejedź. Tylko nie zapisuj instalki antywirusa na Twoim dysku i tym bardziej nie próbuj jej z niego uruchamiać. Omg teraz mi mówisz?8O Czyli jak zgrałem sobie najważniejsze rzeczy na penadriva (głównie rarki i jpg) to jestem za przeproszeniem w dupię bo na 100% też zaraził? Skanuje teraz różnymi antyvirami i skanerami online pozostałem dyski z poziomu drugiego, starego systemu (ten na którym był nowszy zainfekowany system sofrmatowany jeszcze raz). Jedyne co mi jeszcze wykrywa to te C:\WINDOWS\system32\8.tmp reszta "wydaje się" być usunięta Tą płytkę z Linuxem musiał bym ściągnąć i nagrać a po drodze pewnie nagram i pare wirusów... nie ma możliwości skasowania tych autorunów i recyclerów w inny sposób (tak przy okazji to w ogóle na żadnej partycji ich znaleźć nie mogę) Edytowane 5 Lipca 2009 przez Voltago Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
ULLISSES Opublikowano 6 Lipca 2009 Zgłoś Opublikowano 6 Lipca 2009 Jeśli autorunów nie ma to dobrze. Przy nagraniu obrazu nie ma szans na nagranie wirusów. A nawet jak się nagrają, to nie działają pod Linuxem. Jeśli antywirusy nic nie wykrywają, to albo pierwszy z nich zrobił porządek, albo ComboFix niepotrzebnie panikował i nie było tam wirusa Virut. Jeśli za każdym razem Ci to wykrywa, to jeszcze coś siedzi w systemie. Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
Voltago Opublikowano 6 Lipca 2009 Zgłoś Opublikowano 6 Lipca 2009 Jeśli autorunów nie ma to dobrze. Przy nagraniu obrazu nie ma szans na nagranie wirusów. A nawet jak się nagrają, to nie działają pod Linuxem. Jeśli antywirusy nic nie wykrywają, to albo pierwszy z nich zrobił porządek, albo ComboFix niepotrzebnie panikował i nie było tam wirusa Virut. Jeśli za każdym razem Ci to wykrywa, to jeszcze coś siedzi w systemie. Niestety Virut był (Kaspersky wykrył mi go w każdym pliku .exe jaki posiadałem w systemie), a ten od cmd i service.exe(duplikujących się procesów) był także na pendrivie, mp3ce i telefonie który na chwilę podłączyłem. Niestety w tym momencie wypadłem z równowagi i zrobiłem formata wszystkich dostępnych dysków i nośników danych jakie posiadam 8O Przedtem nagrałem najważniejsze rzeczy na płytę, sprawdziłem ją kilkakrotnie po nagraniu i była czysta, a że żaden virus już nic do niej raczej nie dogra po tym jak ją zamknąłem to byłem spokojny. Dziękuje ULLISSES za wszystkie informacje, dużo mi wyjaśniłeś 8O Cytuj Udostępnij tę odpowiedź Odnośnik do odpowiedzi Udostępnij na innych stronach Więcej opcji udostępniania...
