Foee Opublikowano 20 Października 2010 Zgłoś Udostępnij Opublikowano 20 Października 2010 Witam! Mam wirusy w aparacie cyfrowym. Kiedy go podpinam i daję "Szukaj wirusów" to Kaspersky znajduje 3 infekcje: 1) Trojan-GameThief.Win32.Magania.dxiy G:\autorun.inf 2) Worm.Win32.AutoRun.bijz G:\cgaqyi.exe 3) Trojan-GameThief.Win32.Magania.dxiy G:\h3wp9.exe Czym mam usunąć te infekcje? Próbowałem już USBFix, TDSSKiller, Gmer oraz Malwarebytes Anti-Malware. Nic nie pomogło Proszę o pomoc. @edycja Poniżej zamieszczam logi: 1) Extras - http://wklej.org/id/404262/ 2) OTL - http://wklej.org/id/404265/ 3) GMER - http://wklej.org/id/404286/ 4) USBFix - http://wklej.org/id/404282/ Odnośnik do komentarza
Landuss Opublikowano 20 Października 2010 Zgłoś Udostępnij Opublikowano 20 Października 2010 Gdzie jest log z Gmer? Jeśli masz z tym jakiś problem skorzystaj zamiennie z RootRepeal. Masz infekcję z urządzenia przenośnego. Przy podpietym urządzeniu przenośnym użyj narzędzia USBFix z opcji Listing i pokaż wynikowy raport. Odnośnik do komentarza
picasso Opublikowano 20 Października 2010 Zgłoś Udostępnij Opublikowano 20 Października 2010 Temat oczyszczam ze zbędnych postów. Jeśli użytkownik zgłasza się w dziale to niejako oczywiste, że jego program nie daje rady. Foee GMER robiony w niewłaściwych warunkach, działa emulacja Alcohola i sterownik SPTD (mówiłam o tym w poprzednim temacie). Ale to podaruję. Wynika tutaj, iż zarażone jest tylko urządzenie a nie system. Ale: pozostały foldery po tej poprzedniej infekcji na dysku (nie wiem dlaczego, przecież niby to było już usuwane w ComboFix = KLIK), a SHOUTCast Toolbar wprawdzie odinstalowałeś, ale on nadal siedzi w Firefox. To wszystko załączam na usuwanie. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Processes killallprocesses :Files G:\cgaqyi.exe G:\h3wp9.exe G:\autorun.inf C:\winntsys C:\Documents and Settings\czarny\Dane aplikacji\Windows Networking Service C:\Documents and Settings\All Users\Dane aplikacji\Windows Networking Service :OTL FF - prefs.js..browser.search.defaultenginename: "Winamp Search" FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50-ff-shoutcast-chromesbox-en-us&query=" FF - prefs.js..extensions.enabledItems: {12e4c684-c03e-4e4d-85bc-0c065e7a9489}:5.23.2.10 FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50-ff-shoutcast-ab-en-us&query=" [2009-11-13 18:39:28 | 000,000,000 | ---D | M] (SHOUTcast Radio Toolbar) -- C:\Documents and Settings\czarny\Dane aplikacji\Mozilla\Firefox\Profiles\st1iurgu.default\extensions\{12e4c684-c03e-4e4d-85bc-0c065e7a9489} [2009-11-13 18:39:36 | 000,001,189 | ---- | M] () -- C:\Documents and Settings\czarny\Dane aplikacji\Mozilla\Firefox\Profiles\st1iurgu.default\searchplugins\winamp-search.xml Uruchom proces przez Wykonaj skrypt. Będzie restart komputera i otrzymasz z tego działania log. 2. Do prezentacji: ów log z usuwania OTL oraz nowy z OTL i USBFix. Podaj także co widzisz w tym folderze: [2010-10-16 14:10:26 | 000,000,000 | ---D | M](C:\Documents and Settings\czarny\Dane aplikacji\???????sAppData) -- C:\Documents and Settings\czarny\Dane aplikacji\æ•Žæ½²ä„æ•”ç慬整sAppData[2010-10-16 14:10:26 | 000,000,000 | ---D | M](C:\Documents and Settings\czarny\Dane aplikacji\???????sAppData) -- C:\Documents and Settings\czarny\Dane aplikacji\æ•Žæ½²ä„æ•”ç慬整sAppData . Odnośnik do komentarza
Foee Opublikowano 21 Października 2010 Autor Zgłoś Udostępnij Opublikowano 21 Października 2010 picasso uruchomiłem OTL - wkleiłem skrypt, ale dysk aparatu jest chroniony przed zapisem. Próbowałem przesunąć "gałkę" od karty pamięci SD, lecz to nie pomogło. Jak mam teraz odblokować zapis? Odnośnik do komentarza
picasso Opublikowano 21 Października 2010 Zgłoś Udostępnij Opublikowano 21 Października 2010 dysk aparatu jest chroniony przed zapisem.Próbowałem przesunąć "gałkę" od karty pamięci SD, lecz to nie pomogło W jakiej pozycji jest to ustawione, który tryb pracy wybrany (chodzi mi o coś w tym rodzaju: KLIK)? Czy po "przekręceniu" w menu wewnętrznym aparatu są dostępne opcje formatu? Odnośnik do komentarza
Foee Opublikowano 21 Października 2010 Autor Zgłoś Udostępnij Opublikowano 21 Października 2010 W jakiej pozycji jest to ustawione, który tryb pracy wybrany (chodzi mi o coś w tym rodzaju: KLIK)? Czy po "przekręceniu" w menu wewnętrznym aparatu są dostępne opcje formatu? Jest wybrany tryb robienia zdjęć. W menu aparatu występuje opcja formatu plików znajdujących się na karcie SD. Odnośnik do komentarza
picasso Opublikowano 21 Października 2010 Zgłoś Udostępnij Opublikowano 21 Października 2010 Co to za model aparatu? W menu aparatu występuje opcja formatu plików znajdujących się na karcie SD. Ta funkcja także jest zablokowana / nie można z niej skorzystać? Miałam na uwadze operację: przekopiować z karty co ważne i wykonać format urządzenia. Jedno jest pewne: bez zniesienia ochrony przed zapisem nici z biznesu. Nie da temu rady żadne narzędzie, którym posługujemy się przy usuwaniu infekcji, żaden antywirus i podobne. . Odnośnik do komentarza
Foee Opublikowano 21 Października 2010 Autor Zgłoś Udostępnij Opublikowano 21 Października 2010 Nie wiem czy ta opcja jest zablokowana - nie sprawdzałem. Model aparatu to Panasonic DMC-TZ4. Czyli najlepszym rozwiązaniem (jeśli nie udami się odblokować ochrony przed zapisem) to skopiowanie wszystkich plików i sformatowanie aparatu. Czy przy kopiowaniu plików z karty pamięci SD na komputer wirusy też go zainfekują? @edycja Ok. Sformatowałem pamięć aparatu. Uprzednio skopiowałem pliki z aparatu na laptopa - Kaspersky przeskanował skopiowane obrazy i nic nie wykrył, więc wirusy zostały unicestwione - tak mi się wydaje Odnośnik do komentarza
picasso Opublikowano 21 Października 2010 Zgłoś Udostępnij Opublikowano 21 Października 2010 Pobrałam instrukcję obsługi tego modelu (DMCTZ4.PDF) i tam jest napisane: Pytaniem jest więc czy to na pewno w taki sposób ustawiałeś? Czyli najlepszym rozwiązaniem (jeśli nie udami się odblokować ochrony przed zapisem) to skopiowanie wszystkich plików i sformatowanie aparatu. Format też się nie uda przy zablokowanym zapisie. Pytałam, by się upewnić co widzisz. EDIT: Ok. Sformatowałem pamięć aparatu. Hmm, czy Ty na pewno miałeś zablokowany w tym momencie zapis (przestawiałeś przecież pozycję)? Kaspersky przeskanował skopiowane obrazy i nic nie wykrył, więc wirusy zostały unicestwione - tak mi się wydaje Jeśli nic nie wykrywa, to wygląda na załatwioną sprawę z aparatem. Zostaje jeszcze odrębna sprawa tych folderów na dysku oraz rozszerzenia w Firefox, skrypt w OTL to usuwał? . Odnośnik do komentarza
Foee Opublikowano 21 Października 2010 Autor Zgłoś Udostępnij Opublikowano 21 Października 2010 Ustawiłem kartę dobrze - brak napisu Lock z boku @edycja Oto log z OTL'a po restarcie komputera: http://wklej.org/id/404707/ @edycja2 Co do folderu: C:\Documents and Settings\czarny\Dane aplikacji\æ•Žæ½²ä„æ•”ç慬整sAppData Występuje tam plik: TempCover2.cdt Odnośnik do komentarza
picasso Opublikowano 21 Października 2010 Zgłoś Udostępnij Opublikowano 21 Października 2010 Kolejne "hmmm", nie wygląda na to, by format to usuwał, bo w OTL jest to: ========== FILES ==========G:\cgaqyi.exe moved successfully.G:\h3wp9.exe moved successfully.G:\autorun.inf moved successfully. Gdyby było zablokowane przed zapisem, w OTL powinny być błędy, a tu nie ma, jest oznaczenie pomyślnego skasowania plików ..... Kopie infekcji są więc teraz na Twoim dysku twardym w kwarantannie OTL C:\_OTL. To usuniesz wywołując w OTL opcję Sprzątanie. I nie odpowiedziałeś co widzisz w tym chińskim folderze. EDIT: Występuje tam plik: TempCover2.cdt Na Google pojawiają się wątki, że to od Nero .... . Odnośnik do komentarza
Foee Opublikowano 21 Października 2010 Autor Zgłoś Udostępnij Opublikowano 21 Października 2010 picasso Problem został rozwiązany. Wirusy, które były "w aparacie" zostały usunięte. Nie wiem czy usunięcie zostało spowodowane ingerencją programu OTL (przytoczę Twój wycinek z loga): ========== FILES ==========G:\cgaqyi.exe moved successfully. G:\h3wp9.exe moved successfully. G:\autorun.inf moved successfully. czy może też poprzez sformatowanie karty pamięci SD. Plik TempCover2.cdt nie jest chyba groźny, ponieważ data jego modyfikacji zbiega się z instalacją nowego Nero - wujek Google dobrze mówi Odnośnik do komentarza
picasso Opublikowano 21 Października 2010 Zgłoś Udostępnij Opublikowano 21 Października 2010 Moim zdaniem usuwał to OTL a nie format. Przy zablokowanym zapisie w OTL występuje wtedy błąd "Unable to delete" i nie może występować napis "skasowano pomyślnie" (bo jakim cudem). Tak więc sam odblokowałeś zapis w którymś momencie. Sprawa ukończona. Czy coś jeszcze należy tu zrobić? Ten plik: też nie sądzę, że jest groźny (podobno tworzony jest przy drukowaniu okładek, co by pasowało do nazwy pliku), dlatego nie sugeruję jego kasacji. Pytałam o zawartość folderu krzaczkowatego, bo to nie jest oczywiste od czego może być (infekcje też posługują się znakami Unicode), a na pałę przecież nie można usuwać rzeczy z systemu. Odnośnik do komentarza
Foee Opublikowano 21 Października 2010 Autor Zgłoś Udostępnij Opublikowano 21 Października 2010 (edytowane) Moim zdaniem usuwał to OTL a nie format. Przy zablokowanym zapisie w OTL występuje wtedy błąd "Unable to delete" i nie może występować napis "skasowano pomyślnie" (bo jakim cudem). Tak więc sam odblokowałeś zapis w którymś momencie. Sprawa ukończona. Czy coś jeszcze należy tu zrobić? Ten plik: też nie sądzę, że jest groźny (podobno tworzony jest przy drukowaniu okładek, co by pasowało do nazwy pliku), dlatego nie sugeruję jego kasacji. Pytałam o zawartość folderu krzaczkowatego, bo to nie jest oczywiste od czego może być (infekcje też posługują się znakami Unicode), a na pałę przecież nie można usuwać rzeczy z systemu. Fakt, kartę musiałem sam odblokować. Co do tego pliku od Nero. Ostatnio próbowałem drukować okładkę także myślę, że ten plik jest właśnie od tego. Dzięki za pomoc - po raz drugi Pozdrawiam, Foee. Edytowane 21 Października 2010 przez picasso W takim razie temat zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi