tarlaf utworzono 9 września 2009 utworzono 9 września 2009 Narzędzie Windows do usuwania... raportuje mi Found malware: PWS:Win32/Sinowal.gen!M in file://C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\uninstall.exeQuick Scan Removal Results----------------Start 'remove' for file://\\?\C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\uninstall.exeOperation succeeded !Start 'remove' for startup://\\?\C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\uninstall.exeOperation succeeded ! Niestety ten plik wciąż się tam znajduje, nawet po usunięciu Avengerem. W załączeniu raport z CF. Czy mogę prosić o instrukcje? Z góry dziękuję. ComboFix.txt ComboFix.txt
Gość komentarz 9 września 2009 komentarz 9 września 2009 Wklej do Notatnika: KillAll::File::c:\documents and settings\All Users\Menu Start\Programy\Autostart\uninstall.exeFolder::C:\FOUND.001C:\FOUND.000Registry::[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"LaunchApp"=- >>Plik>>Zapisz jako... >>> CFScript Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe --> Ma się rozpocząć usuwanie. (i powstanie log).Daj ten log, który powstanie w trakcie usuwania. Jeśli pójdzie dobrze, to: Po restarcie usuń ręcznie folder C:\Qoobox. .
tarlaf komentarz 9 września 2009 Autor komentarz 9 września 2009 Daj ten log, który powstanie w trakcie usuwania.Dawam. c:\documents and settings\All Users\Menu Start\Programy\Autostart\uninstall.exe nadal na swoim tradycyjnym miejscu. Jednorazowo udało mi się go wysłać w kosmos, ale zaraz pojawił się gong systemowy i znowu tam jest. ComboFix.txt ComboFix.txt
Gość komentarz 9 września 2009 komentarz 9 września 2009 Hmm. Scan Doktorkiem: http://www.forumpc.pl/index.php?showtopic=104994&st=0&p=733361&fromsearch=1entry733361 .
tarlaf komentarz 10 września 2009 Autor komentarz 10 września 2009 (edytowane) Master Boot Record HDD1 zainfekowany wirusem BackDoor.MaosBootActive Boot Sector HDD1 - OKOS/2 or WinNT Boot Sector HDD1 - OK(...)[Test ścieżki] c:\documents and settings\all users\menu start\programy\autostart\uninstall.exec:\documents and settings\all users\menu start\programy\autostart\uninstall.exe zainfekowany wirusem Trojan.Packed.2447 - niewyleczalny - przeniesiony pełny log Po restarcie c:\documents and settings\All Users\Menu Start\Programy\Autostart\uninstall.exe zniknał. Na chwilę? Czy dalej też powinieniem przejść scenariusz jak tutaj? Jak widać z logu w linku infekcja dotyczy laptopa z preinstalką na ukrytej partycji i nie mam płyty, żeby uruchomić FIXMBR (mam konsolę odzysku). ----------- Po następnym pełnym skanie Dr. Web CureIt! nie znalazł już nic w MBR, tylko sygnalizował ComboFix wszędzie, gdzie było można: na pulpicie, w ściągniętych plikach przeglądarki i w pliku odzyskiwania - wszystko sobie poprzenosił. Master Boot Record HDD1 - OKActive OS/2 or WinNT Boot Sector HDD1 - OKOS/2 or WinNT Boot Sector HDD1 - OK(...)C:\Documents and Settings\Łukasz\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\rdg8fzzc.default\Cache\FA4CCC3Fd01/32788R22FWJFW\c.bat prawdopodobnie zainfekowany wirusem BATCH.VirusC:\Documents and Settings\Łukasz\Ustawienia lokalne\Dane aplikacji\Mozilla\Firefox\Profiles\rdg8fzzc.default\Cache\FA4CCC3Fd01 - archiwum zawierające zainfekowane obiekty - przeniesiony>>C:\Documents and Settings\Łukasz\Pulpit\ComboFix.exe/32788R22FWJFW\c.bat prawdopodobnie zainfekowany wirusem BATCH.VirusC:\Documents and Settings\Łukasz\Pulpit\ComboFix.exe - archiwum zawierające zainfekowane obiekty - przenoszenie zabronione przez użytkownikaC:\system volume information\_restore{9CF6E208-8282-4CCE-93E8-69AE01A9A130}\RP1\A0000023.bat prawdopodobnie zainfekowany wirusem BATCH.VirusC:\system volume information\_restore{9CF6E208-8282-4CCE-93E8-69AE01A9A130}\RP1\A0000092.exe zainfekowany wirusem Trojan.Packed.2447 - niewyleczalny - przeniesionyC:\system volume information\_restore{9CF6E208-8282-4CCE-93E8-69AE01A9A130}\RP1\A0000097.exe/32788R22FWJFW\c.bat prawdopodobnie zainfekowany wirusem BATCH.VirusC:\system volume information\_restore{9CF6E208-8282-4CCE-93E8-69AE01A9A130}\RP1\A0000097.exe - archiwum zawierające zainfekowane obiekty - przeniesionyC:\system volume information\_restore{9CF6E208-8282-4CCE-93E8-69AE01A9A130}\RP1\A0000103.bat prawdopodobnie zainfekowany wirusem BATCH.VirusC:\system volume information\_restore{9CF6E208-8282-4CCE-93E8-69AE01A9A130}\RP1\A0000203.bat prawdopodobnie zainfekowany wirusem BATCH.VirusC:\system volume information\_restore{9CF6E208-8282-4CCE-93E8-69AE01A9A130}\RP1\A0000345.exe zainfekowany wirusem Trojan.Packed.2447 - niewyleczalny - przeniesiony
Gość komentarz 10 września 2009 komentarz 10 września 2009 Więc po kolei: - Log z MBR. - Najnowsza log z ComboFixa. .
tarlaf komentarz 10 września 2009 Autor komentarz 10 września 2009 (edytowane) - Log z MBR. C:\mbr.exe -f ? infekcja dotyczy laptopa z preinstalką na ukrytej partycji To może wyjaśniać dalsze wykrywanie złośliwego kodu po naprawie: You no longer have an active mbr infection....Gmer will have fixed the infected MBR but what you will find is that the initial infection will have stored a copy of the MBR + the rootkit in other sectors. Since these sectors do not load(unlike MBR) then the *live* infection is to be considered dead.What you have is just remnents of the infection leftover. mbr.log.txt mbr.log.txt
Gość komentarz 11 września 2009 komentarz 11 września 2009 W celu wykonania czyszczenia MBR należy zastartować do Trybu waryjnego, uruchomić cmd (Start>>>Uruchom>>>cmd) a w linii komend wpisać polecenie C:\mbr.exe -f (spacja między mbr.exe a -f) i ENTER. Wykonaj to. .
tarlaf komentarz 11 września 2009 Autor komentarz 11 września 2009 Po wykonaniu pojawił się log dokładnie taki jak załączony dwa posty wyżej. Dodatkowo załączam log z CF. Stare wpisy rejestru, które są w nim widoczne dotyczą wszystkiego co znajduje się w preinstalce (podrzucają nawet Nortona), przynajmniej ja nic dziwnego tam nie widzę. Narzędzie do usuwania... nic już nie wykrywa, a unistall.exe nie pojawiło się ponownie. ComboFix.txt ComboFix.txt
Gość komentarz 11 września 2009 komentarz 11 września 2009 Uruchom Konsolę odzyskiwania i wpisz w niej FIXMBR. .
tarlaf komentarz 11 września 2009 Autor komentarz 11 września 2009 Po uruchomieniu fixmbr wyrzucił ostrzeżenie o "nieprawidłowy lub niestandardowy" itd., ale po wykonaniu był komunikat, że "przywrócono poprawnie..." i po restarcie normalnie się załadował. Czy log z CF jest już OK? Log z mbr.exe jest nadal bez zmian. Jak rozumiem problem polega na usunięciu nieaktywnych kopii infekcji z dalszych sektorów dysku (które jak można sądzić po działaniu fixmbr leżą poza mbr), które nie ładują się automatycznie. Tylko czy to naprawdę problem?
Gość komentarz 11 września 2009 komentarz 11 września 2009 ComboFix jest OK. W takim razie: 1. Usuń szczątki ComboFixa programem OTC. 2. Z folderu "System Volume Information" usuniesz kopie "wirusów" poprzez chwilowe wyłączenie "Przywracania Systemu": >Panel Sterowania>System>Przywracanie Systemu>>zaznacz w okienku przy "Wyłącz przywracanie na wszystkich dyskach">Zastosuj>OK.Potem możesz powrócić do poprzedniego ustawienia (czyli usunąć zaznaczenie z okienka). 3. Wykonaj Optymalalizację Systemu. 4. Użyj programów Mebroot Fixtool + ESET Mebroot Remover = wklej raporty. .
tarlaf komentarz 11 września 2009 Autor komentarz 11 września 2009 FixMebroot v1.0.1FixMebroot could not open its device driver! ESET Win32/Mebroot fixer v1.3 - Copyright © 2009 ESET spol. s r.o. system Mj 5, Mn 1, Bd 2600, SP 2MBR rootkit (Win32/Mebroot) was not found on your system
Gość komentarz 12 września 2009 komentarz 12 września 2009 OK. 1. Użyj programu Malwarebytes. Wciskamy Skanuj, wybieramy dyski do skanowania i Rozpoczynamy skanowanie, na końcu wciskamy Usuń zaznaczone jak będą i Ok. Wrzuć wygenerowany raport po usuwaniu MBAMem. 2. Wklej logi z Catchme + GMER'a. .
tarlaf komentarz 12 września 2009 Autor komentarz 12 września 2009 CatchMe po komunikacie Scan completed successfully nie tworzy pliku z logiem. mbam-log-2009-09-12 (14-22-43).txt gmer.log.txt mbam-log-2009-09-12 (14-22-43).txt gmer.log.txt
Gość komentarz 12 września 2009 komentarz 12 września 2009 isk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x950e4c1 size 0x1e4 Disk \Device\Harddisk0\DR0 sector 62: copy of MBR Spróbuj to zniszczyć Gmerem. Poza tym - jest OK. .
tarlaf komentarz 12 września 2009 Autor komentarz 12 września 2009 To znaczy co mam zrobić konkretnie? To nie są pliki, więc przydałby się bardziej program dający dostęp do sektorów dysku.
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.