Skocz do zawartości

Infekcja niewidoczna w logach


Rekomendowane odpowiedzi

Witam wszystkich, to mój pierwszy post na forum.

 

Vista 32bit

 

Opisywałem już mój problem na dwóch innych forach, niestety w logach nie widac żadnej infekcji, więc pomoc nie była możliwa.

 

Daje linki i kopiuje początkowe opisy z nich:

 

1. http://forum.pcformat.pl/Wszedlem-na-zainfekowana-strone-wirus-wylaczyl-firewall-i-Avira-Guard-brak-neta-t

 

Wszedłem na jakąś nieciekawą strone, od razu był czerwony alarm w Avira, więc szybko wyszedłem i wyglądało wszystko OK. Niestety w dniu następnym, komputer uruchomił się już nie tak. Trzy razy mniej procesów niż normalnie, brak firewalla i nieaktywny antywirus-Avira, brak możliwości uruchomienia w/w i przywrócenia systemu. Brak internetu tzn WiFi, kabla jeszcze nie podłączałem, bez AV wole nie. Zrobiłem skan DrWeb liveCD i nic nie wykrył, jakby miał ktoś jakis pomysł to bede wdzięczny.

 

2. http://www.[szukaj]/Vista-pokazuje-komunikaty-o-zagrozeniu-bezpieczenstwa-t141438.html/page__gopid__617868

 

Jakiś czas temu wszedłem na jakąś stronę, awira od razu pokazała alert, więc uciekłem. Po kolejnym uruchomieniu komputera, antywirus niedziałał, nie było neta, vista całkowicie zminiła wygląd, coś jakby w trybie awaryjnym działała. Prubowałem cos podziałac, ale niebardzo, większośc antywirusów nie działała(różne błędy, brak bibliotek itp.) Przywracanie systemu było zablokowane, ponieważ net był zablokowany, nie mogłem dac żadnego loga. Zrobiłem format systemowej C, ale już przy instalacji visty miałem komunikaty o wielu problemach z bezpieczeństwem, więc myślę że nie udało mi się tego pozbyc, dalej nie działa większośc antywirusów, pokazują dziwne błędy, Gmer idzie tylko przy zaznaczonych kilku pozycjach i nic nie znajduje, jak wszystko zaznacze, komputer sie wiesza albo bluescreen. DrWeebLive znalazł kilka trojanów, usunąłem oczywiście, ale dalej sytuacja bez większych zmian.

 

--------------------------------------------------------------------------------------------------------------------------------------------

Opisze jeszcze co zauważyłem:

Gmer działa na pojedyńczo zaptaszkowanych pozycjach nie znajduje żadnych modyfikacji, wiesza się tylko na zaptaszkowanym "Moduły" tzn. czarny ekran i cisza, to samo dzieje się przy zaznaczonych wszystkich pozycjach, przy wszystkich powoduje też blue screeny. Gmer działa w w trybie awaryjnym, dam log, chociaż wiele tam nie ma. Może jestem przewrażliwiony, ale dziwne wydaje mi się żeby po formacie i nowo zainstalowanym systemie nie działał Gmer i alternatywny, jak wyczytałem, RootRepeal. Poza tym przy instalacji visty (formatowałm tylko partycje systemową) miałem komunikaty o wielu problemach z bezpieczeństwem, czyli coś jest chyba nie tak. Mam dane na D - zdjęcia, chce je przegrac bez "dodatków" żeby mi się później sytuacja nie powtórzyła. Miałem już cos podobnego przed poprzednim formatem, też w logach nic nie było widac, przegrałem zdjęcia, zrobiłem format całości, później, po zainsalowaniu systemu i antywira skanowałem płyte, nic nie znalazł. Więc spowrotem zdjęcia na dysk wrzuciłem, skanowałem system, nie było żadnej infekcji, aż do teraz, nie wiem czy ma to jakiś związek i czy to to samo? Może ktoś spotkał się z czymś podobnym.

Daje log z OTL i z gmera w trybie awaryjnym

Nie wiem czy użyc Combofix, czytałem ostrzeżenia.

Gmer_log1611_safe.txt

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Poza tym przy instalacji visty (formatowałm tylko partycje systemową) miałem komunikaty o wielu problemach z bezpieczeństwem, czyli coś jest chyba nie tak.

 

Mówisz: przy instalacji (formatowałem). Nie może więc mieć tu nic do rzeczy stan nadpisywanego systemu. Co to były za komunikaty? Opisz bardzo dokładnie by się nie okazało, że jest to błąd Twojej interpretacji.

 

Podstawowa sprawa: to co tu pokazujesz = to widok po formacie prawda? To przecież nie wykonam wróżbiarstwa co było przed, bo to jest fizycznie niemożliwe. Na forum numer jeden (temat prowadzony od 30 września do 5 października) logi podałeś dopiero PO formacie (nie wiem dlaczego nie przyszło nikomu do głowy, by Cię nieźle przycisnąć = logi migrować via USB - można było przecież pena sprawdzić i zabezpieczyć przed autouruchomieniem na drugim kompie - albo nagrać na małą płytę), na forum numer dwa zgłosiłeś się już post factum (9 listopada). Ja nie wymyślę czegoś czego już nie ma w systemie i nie wykonam inżynierii wstecznej infekcji, z której nie zachowały się żadne raporty, bo ich po prostu nie było (!). Ty zaś widzę się strasznie szarpiesz, montujesz na chybił trafił programy, skanery i nic z tego nie przychodzi w zasadzie.

 

Dokonując analizy tego co mi tu podajesz (bo tylko to można analizować na pewnika), nie widzę w podanych materiałach infekcji. Jedynie na dysku folder adware, do kasacji:

 

[2010/11/15 13:40:07 | 000,000,000 | ---D | M] -- C:\Users\Robert\AppData\Roaming\OpenCandy

 

Na początek to posprzątaj system, bo źle się tu dzieje.

 

1. Przede wszystkim pozbądź się szczątków po McAfee (pack przestarzały z 2006!). Aktualnie nieprawidłowa deinstalacja. Prawdziwa rzeźnia, w połowie brak ("file not found") a w połowie sterowniki cały czas pracują w tle:

 

SRV - File not found [Auto | Stopped] -- C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe -- (mcusrmgr)

SRV - File not found [Auto | Stopped] -- C:\PROGRA~1\McAfee\MSC\mctskshd.exe -- (mctskshd.exe)

SRV - File not found [On_Demand | Stopped] -- C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe -- (McSysmon)

SRV - File not found [unknown | Stopped] -- C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe -- (McShield)

SRV - File not found [Auto | Stopped] -- C:\PROGRA~1\McAfee\MSC\mcpromgr.exe -- (mcpromgr)

SRV - File not found [Auto | Stopped] -- C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe -- (McODS)

SRV - File not found [Auto | Stopped] -- C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe -- (mcmispupdmgr)

SRV - File not found [Auto | Stopped] -- C:\PROGRA~1\McAfee\MSC\mclogsrv.exe -- (McLogManagerService)

 

DRV - [2006/10/26 08:56:30 | 000,071,496 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mfeavfk.sys -- (mfeavfk)

DRV - [2006/10/26 08:56:14 | 000,035,048 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mfesmfk.sys -- (mfesmfk)

DRV - [2006/10/26 08:56:14 | 000,031,944 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mferkdk.sys -- (mferkdk)

DRV - [2006/10/26 08:56:10 | 000,168,392 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mfehidk.sys -- (mfehidk)

DRV - [2006/10/26 08:56:08 | 000,034,120 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\mfebopk.sys -- (mfebopk)

 

Taka staroć może generować liczne problemy, zaś niepełna deinstalacja dawać niegorsze "wyniki" (włącznie z odcięciem sieci). Zastosuj McAfee Consumer Product Removal Tool. Zatwierdź restartem systemu.

 

2. Wyeliminuj starocie oraz programy, które są zbędne. Do całkowitej deinstalacji Comodo BOClean (przestarzały, datowanie na 2007) oraz Spybot (program odstaje jak na dzisiejsze warunki, i po co Ci on skoro Vista ma natywnie zintegrowany bardzo podobny konwencją Windows Defender). Przed usunięciem Spybota zdejmij immunizację pliku HOSTS. Tu wystarczą tylko skanery na żądanie: MBAM / SUPERAntispyware.

 

3. Posprzątaj po sobie. Zostawiłeś w systemie śmieci po używanych rootkit detektorach oraz programach zabezpieczających. Uruchom Autoruns i w karcie Services usuń:

 

SRV - File not found [On_Demand | Stopped] -- C:\Users\Robert\AppData\Local\Temp\TAB.exe -- (TAB)

SRV - File not found [On_Demand | Stopped] -- C:\Users\Robert\AppData\Local\Temp\EDRYIPT.exe -- (EDRYIPT)

SRV - File not found [On_Demand | Stopped] -- C:\Users\Robert\AppData\Local\Temp\CKNBFQAID.exe -- (CKNBFQAID)

W karcie Drivers usuń:

 

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\86EA.tmp -- (MEMSWEEP2)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)

 

Dodatkowo w karcie Logon możesz usunąć ze startu ten zbędnik:

 

O4 - HKU\S-1-5-21-4238259638-2096468534-2137148216-1000..\Run: [ALLUpdate] C:\Program Files\ALLPlayer\ALLUpdate.exe ()

 

4. Kompletnie nieaktualny system (to podstawa przy zabezpieczeniu):

 

Windows Vista Home Premium Edition  (Version = 6.0.6000) - Type = NTWorkstation

Internet Explorer (Version = 7.0.6000.16982)

 

Obowiązkowa instalacja po kolei: SP1 + SP2 (KB935791, konkretniej "Metoda 3"). A także aktualizacja Internet Explorer do wersji 8 (9 w stanie beta i nieszczególnie polecam).

 

I nie korzystaj z archaizmów typu Rootkit Revealer (on na dziś znajdzie wielkie nic, obchodzą go wszystkie aktualne mocne rootkity), podejrzanych reputacją programów typu SpyHunter (wpadka innego forum, że kazali to instalować) czy "cudotwórczych" wynalazków typu Paretologic DriverCure (najlepiej aktualizować sterowniki tylko ręcznie a nie automatami, bo takimi można sobie załatwić jeszcze gorszy stan systemu)

 

Może jestem przewrażliwiony, ale dziwne wydaje mi się żeby po formacie i nowo zainstalowanym systemie nie działał Gmer i alternatywny, jak wyczytałem, RootRepeal.

 

To jest możliwe. Miałam czystą instalację Vista, która nie przechodziła wcale skanowania (permanentny BSOD). A Ty (jeśli to system po formacie) masz już niezły rozgardiasz i Windows bynajmniej nie wygląda na "czysty". Nie jest wykluczony wpływ McAfee, bardzo agresywny twór.

 

 

 

.

Odnośnik do komentarza

Że mam sieczke, to sie zgadza. Nie aktualizowałem systemu za bardzo (przed formatem aktualizacje były cofane). Z tym McAffe (instaluje się z systemem) jest problem, za nic nie można go odinstalowac. "Ręcznie" go w końcu wywaliłem, ale z pewnością nie do końca. Po uruchomienieniu MCPR.exe mam komunikat (załącze zrzut) i nic nie można zrobic. Rzeczywiscie uruchamiałem programy antywir jakie sie dało, bez skutku. Komunikty przy instalacji Visty po formacie to chmurki w prawym dolnym rogu (tam gdzie powiadomienia o np: nieaktualnym programie antywirusowym lub nieaktualnej zaporze, po angielsku bo taką mam viste tj. "many problems with security") czerwona tarcza z krzyżem, ostrzeżenie. Tak logi są po formacie, nie miałem netu, nie chciałem ryzykowac i zarazic drugi komputer , słuzbowy sporo danych, naprawde nie chciałem ryzykowac. Co do Gmera, to działał przed infekcją bez żadnych problemów. Myślałem że format załatwi sprawe, ale chyba nie. Może najszybciej bedzie zrobic kolejny format systemowej C z płyty recovery? Zobacze jak pójdzie, czy sytuacja się powtórzy z tymi ostrzeżeniami, wtedy dam logi.

post-1072-0-95513700-1290035779_thumb.jpg

Odnośnik do komentarza
Komunikty przy instalacji Visty po formacie to chmurki w prawym dolnym rogu (tam gdzie powiadomienia o np: nieaktualnym programie antywirusowym lub nieaktualnej zaporze, po angielsku bo taką mam viste tj. "many problems with security") czerwona tarcza z krzyżem, ostrzeżenie.

 

Tak myślałam i czekałam aż to powiesz głośno. Czemu tu się dziwić. Prosto po "formacie" (co jest w istocie zrzucaniem preparowanego obrazu, który akurat tu nie jest wcale czysty) jest pakowany w system ułomny McAfee z roku 2006. Z biegu system ma przestarzałego antywirusa, który oczywiście po pierwszym uruchomieniu systemu nie jest nawet zaktualizowany o żadne bazy (a też ja nie wiem czy on w ogóle działa / może się aktualizować / skoro to implementacja w Recovery - może tam jest wygasła licencja). Centrum zabezpieczeń będzie zgłaszać zagrożenia. I tak w kółko po każdym zrzuceniu Recovery.

 

To są właśnie skutki posiadania systemów Recovery od producenta, gdzie to są niestety wstrętne integracje oprogramowania trzeciego. To się deaktualizuje, a po "Recovery" jest zrzucany stary soft.

 

Z tym McAffe (instaluje się z systemem) jest problem, za nic nie można go odinstalowac. "Ręcznie" go w końcu wywaliłem, ale z pewnością nie do końca. Po uruchomienieniu MCPR.exe mam komunikat (załącze zrzut) i nic nie można zrobic.

 

Zgłoszony tu błąd od Cleanupu to zapewne wynik tego, że już zacząłeś wdrażać deinstalację (która się nie udała) i zostało niedokończone zaplanowane zadanie. W podawanym już przeze mnie Autoruns wejdź w kartę Task Scheduler i szukaj tam zadania od McAfee, a znalezione usuń. Po tym wznów pracę tego specjalnego usuwacza.

 

"Ręcznie" go w końcu wywaliłem, ale z pewnością nie do końca.

 

Tych "sztuczek" to już nigdy nie ponawiaj. Jest zbyt dużo elementów pakietu do usunięcia. Ze śladów zaobserwowanych w logu wnioskuję, że uległeś sugestii, iż należy wycinać folder programu, przy czym pozostawiłeś najmocniejszą część (sterowniki), zaplanowane zadania i zapewne niezły śmietnik w rejestrze.

 

Może najszybciej bedzie zrobic kolejny format systemowej C z płyty recovery?

 

Wg mnie jest to mało sensowne. Wrócisz do punktu wyjścia.

 

Co do Gmera, to działał przed infekcją bez żadnych problemów.

 

Przy czym ja nie sądzę, że masz identyczny zestaw oprogramowania jak przed infekcją. Wtedy była Avira, a tu widzę McAfee / COMODO i nie wiadomo co jeszcze jest inaczej. Orientacyjne możesz sprawdzić jeszcze czy GMER pojedzie w Trybie normalnym po usunięciu wszystkich rzeczy, o których mówiłam we wcześniejszym poście.

 

Nie aktualizowałem systemu za bardzo (przed formatem aktualizacje były cofane).

 

Co nie tłumaczy dlaczego brak takich działań po formacie.

 

 

.

Odnośnik do komentarza

Wykonałem wszystkie podpowiedzi z pierwszego maila (1-4). Odinsalowałem McAfee za pomocą usuwacza - zadziałał, rzeczywiście proces był uruchomiony, usunąłem w Autoruns w Task Scheduler i gładko poszło. Po tym wszystkim uruchomiłem gmera na próbe i był blue screen.

 

Teraz idzie SP1 i później SP2.

 

 

picasso

Cytuj

 

Komunikty przy instalacji Visty po formacie to chmurki w prawym dolnym rogu (tam gdzie powiadomienia o np: nieaktualnym programie antywirusowym lub nieaktualnej zaporze, po angielsku bo taką mam viste tj. "many problems with security") czerwona tarcza z krzyżem, ostrzeżenie.

 

 

Tak myślałam i czekałam aż to powiesz głośno. Czemu tu się dziwić. Prosto po "formacie" (co jest w istocie zrzucaniem preparowanego obrazu, który akurat tu nie jest wcale czysty) jest pakowany w system ułomny McAfee z roku 2006. Z biegu system ma przestarzałego antywirusa, który oczywiście po pierwszym uruchomieniu systemu nie jest nawet zaktualizowany o żadne bazy (a też ja nie wiem czy on w ogóle działa / może się aktualizować / skoro to implementacja w Recovery - może tam jest wygasła licencja). Centrum zabezpieczeń będzie zgłaszać zagrożenia. I tak w kółko po każdym zrzuceniu Recovery.

 

To są właśnie skutki posiadania systemów Recovery od producenta, gdzie to są niestety wstrętne integracje oprogramowania trzeciego. To się deaktualizuje, a po "Recovery" jest zrzucany stary soft.

 

 

Zgadza się McAfee jest w "pakiecie" z vistą na płycie recovery, była to trzymisięczna licencja. Tylko żebyśmy się dobrze zrozumieli, w/w komunikat nie był na końcu instalacji visty, tylko w trakcie, bez netu, mój laptop działa na wifi. Oczywiście po uruchomieniu systemu i połączeniu z netem również, ale to już było że system nie jest w pełni chroniony, standardowy przy nieaktualnym programie antywirusowym. No ale jeśli tak ma być to OK, wydawało mi się to dziwne.

 

Ogólnie to wielkie dzięki za zainteresowanie i taką "rozległą" pomoc :)

Odnośnik do komentarza

Po aktualizacji SP1 i SP2 oraz IE8, wszystko działa :thumbsup:

Daje logi do sprawdzenia. Jakieś chińskie znaczki są w logu z rootrpeal.

Prosiłbym jeszcze o jakąś sugestie, jakiego antywirusa zainstalowac, czy Awira byłaby OK.

Jeszcze raz wielkie dzięki za poświęcony czas i cierpliwośc :D

gmer_log_1811.txt

Extras.Txt

OTL.Txt

RootRepeal report 11-18-10 (13-43-12).txt

Odnośnik do komentarza
Jakieś chińskie znaczki są w logu z rootrpeal.

 

Nie wiem co to jest, ale nic nie wskazuje tu na obecność rootkita. I ja sądzę, że jest OK. Ostatnie komentarze:

 

1. Usuń szczątki po pewnych aplikacjach. W OTL w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O15 - HKU\S-1-5-21-4238259638-2096468534-2137148216-1000\..Trusted Domains: mcafee.com ([]http in Trusted sites)
O15 - HKU\S-1-5-21-4238259638-2096468534-2137148216-1000\..Trusted Domains: mcafee.com ([]https in Trusted sites)
O15 - HKU\S-1-5-21-4238259638-2096468534-2137148216-1000\..Trusted Domains: mks.com.pl ([]https in Trusted sites)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (Reg Error: Key error.)
[2010/11/08 08:06:47 | 000,238,848 | ---- | C] (COMODO) -- C:\Windows\UNBOC.EXE
[2010/11/08 08:06:46 | 000,208,896 | ---- | C] (COMODO) -- C:\Windows\CMDLIC.DLL
[2010/11/13 12:41:20 | 000,000,000 | ---D | C] -- C:\Users\Robert\Documents\Spycheck
[2010/10/13 13:54:13 | 000,000,000 | ---D | M] -- C:\Users\Robert\AppData\Roaming\ArcaVirMicroScan
[2010/11/12 09:02:42 | 000,000,000 | ---D | C] -- C:\Users\Robert\AppData\Roaming\DriverCure
[2010/11/12 09:02:41 | 000,000,000 | ---D | C] -- C:\Users\Robert\AppData\Roaming\ParetoLogic
[2010/11/12 09:02:23 | 000,000,000 | ---D | C] -- C:\ProgramData\ParetoLogic
[2010/11/12 15:19:04 | 000,000,000 | ---D | C] -- C:\ProgramData\RegCure
[2010/11/12 15:09:15 | 000,000,000 | ---D | C] -- C:\Program Files\Perfect Optimizer
[2010/11/12 15:09:24 | 000,000,364 | ---- | C] () -- C:\Windows\tasks\PerfectOptimizer_home.job
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{2FD54F10-3F17-4F1E-866A-FA8B2FD5EE86}"=-
"{B49D1C39-BA5D-46A3-ABCA-591A818072AB}"=-

 

Klik w Wykonaj skrypt. Po tej operacji wywołaj w OTL funkcję Sprzątanie, co zlikwiduje kwarantannę i program a także odpadki po niektórych stosowanych narzędziach (KillBox | Avenger | SmitfraudFix | Rooter | TDSSKiller ...). FindyKill zaś odinstaluj normalną drogą.

 

2. Pokłosiem po instalacji Spybota (a mówiłam: zdejmij immunizację pliku HOSTS przed deinstalacją) jest bardzo rozbudowany plik HOSTS:

 

O1 HOSTS File: ([2010/11/13 15:20:05 | 000,422,014 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts: ::1 localhost

O1 - Hosts: 127.0.0.1 www.007guard.com

O1 - Hosts: 127.0.0.1 007guard.com

(...)

O1 - Hosts: 14789 more lines...

Proponuję przywrócenie domyślnej postaci pliku. Mówiłam o tym w tym temacie: KLIK. Przy czym Ty akurat masz pozostawić w tym pliku dwie linijki (odpowiadające IPv4 i IPv6):

 

127.0.0.1       localhost

::1 localhost

 

3. Możesz sobie jeszcze wykonać porządki w panelu deinstalacji programów. Do usunięcia takie śmieci jak Babylon toolbar, Internet Offers (od Toshiby), Toshiba Registration czy innojęzyczne dodatki do Catalystów (np. wątpliwe, że korzystasz z tureckiego CCC Help :P). Zaktualizuj także Adobe Reader i Java: INSTRUKCJE.

 

 

Prosiłbym jeszcze o jakąś sugestie, jakiego antywirusa zainstalowac, czy Awira byłaby OK.

 

Oczywiście może być Avira. Jeśli miałoby być jeszcze lżej, jest darmowy antywirus rozwiązany w innej technologii (chmura): Panda Cloud Antivirus. Z drugiej strony: Avira + Panda mogą pracować równolegle, bo są to dwa różne rozwiązania.

 

 

 

.

Odnośnik do komentarza

Jeszcze jedno pytanko dotyczące Aviry. Pojawia się ten komunikat (w załączonym zrzucie)

Napewno pojwia się przy otwieraniu C lub D i po najechaniu kursorem na katalog autorun.inf, ale też przy otwieraniu innych katalogów, kopiowaniu i wypakowywaniu plików też. Można powiedzieć że przy działaniach na katalogach i plikach. Szukałem coś w sieci, tam było to związane z infekcjami. U mnie w sumie też pojawia się to dość często, jak pisałem wcześniej cokolwiek bym robił z plikami czy katalogami. Miełem avire wcześniej, przed formatem, to była chyba wcześniejsza wersja (interfejs wyglądał troche inaczej), niepamiętam takiego czegoś, może występowało, ale jakoś specjalnie nie zapamiętałem, więc musiało być sporadyczne. Swojej pamięci raczej nie formatowałem ;) . Chyba że tak avira działa teraz?

post-1072-0-80260400-1290282427_thumb.jpg

Odnośnik do komentarza

Infekcji w plikach nie masz, bo logi przecież sprawdzałam. Moim zdaniem zgłasza się ze względu na te katalogi:

 

O32 - AutoRun File - [2010/11/12 08:50:09 | 000,000,000 | RHSD | M] - C:\autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2010/11/12 08:50:09 | 000,000,000 | RHSD | M] - D:\autorun.inf -- [ NTFS ]

 

To produkt któregoś programu z funkcją generowania takich ochronnych obiektów, a pojawił się w trakcie kombinacji ze skanowaniem / stosowaniem różnych narzędzi. Przed formatem mogłeś wcale nie mieć ich na dysku lub miałeś inaczej skonfigurowanego strażnika Avira.

Potwierdzisz to sobie usuwając te katalogi. Start > Uruchom > cmd i wpisz polecenia:

 

RD /S /Q \\?\C:\autorun.inf

D:

RD /S /Q \\?\D:\autorun.inf

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...