Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

et3ypes.exe

ogarnietyy

Przez ogarnietyy
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

ogarnietyy

ogarnietyy

Opublikowano
Opublikowano

Witam. Po skopiowaniu z pendrive kilku plikow zauwazylem ze komputer zaczol dziwnie sie zachowywac. Gdy otwieram "moj komputer" i klikam aby otwozyc dysk wyskakuje okienko "Otwórz za pomoca". Gdy skanowalem komputer avastem (aktualizowanym przed skanowaniem) znajduje wirusa mianowicie plik "et3ypes.exe" ktory znajduje sie na dysku C. podczas skanowania caly czas wyskakuje ten sam komunikat i nie wiem co z tym zrobic.

 

W zalacznikach daje logi.

 

Nowy Dokument tekstowy (2).txt to plik z GMER'a

OTL.Txt

Nowy Dokument tekstowy (2).txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Ta infekcja weszła z dysku przenośnego G, na nim są obecne pliki autorun.inf + et3ypes.exe. Dysk przenośny musi być podpięty podczas procesu usuwania. Poza tym jest tu i obiekt typu keylogger (logonInit.dll), przypuszczalnie w jakimś dodatku do Tibia to weszło.... Razem z obiektami infekcji będą usuwane też nieszkodliwe wpisy typu "not found".

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
autorun.inf /alldrives
et3ypes.exe /alldrives
C:\WINDOWS\System32\mgking*.*
C:\Program Files\Common Files\logonInit.dll
C:\Program Files\Common Files\userInit.dll
 
:Reg
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\LogonInit]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"king_mg"=-
 
:OTL
O2 - BHO: (RadioBar Toolbar) - {5B291E6C-9A74-4034-971B-A4B007A0B315} - C:\Program Files\RadioBar\toolbar.ni.dll File not found
O3 - HKLM\..\Toolbar: (RadioBar Toolbar) - {5B291E6C-9A74-4034-971B-A4B007A0B315} - C:\Program Files\RadioBar\toolbar.ni.dll File not found
O3 - HKU\S-1-5-21-682003330-1004336348-839522115-1007\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O18 - Protocol\Handler\bwfile-8876480 {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll File not found
O18 - Protocol\Handler\toolbarchrome {718733BC-AD64-4e5f-AC18-A85FBD75D54D} - C:\Program Files\RadioBar\toolbar.ni.dll File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\pccsmcfd.sys -- (pccsmcfd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ewusbdev.sys -- (hwusbdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ewusbnet.sys -- (ewusbnet)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\EagleNT.sys -- (EagleNT)
 
 
:Commands
[emptyflash]
[emptytemp]

 

Uruchom proces usuwania przez opcję Wykonaj skrypt. Komputer będzie restartował i na koniec otrzymasz log z usuwania.

 

2. Następnie uruchom OTL i wykonaj dostosowany skan, w polu Własne opcje skanowania / skrypt wklej:

 

DIR /A:H C:\ /C


DIR /A:H G:\ /C

 

Klik w Skanuj (a nie Wykonaj skrypt!). Pokazujesz log powstały z tego skanu oraz z usuwania wykonanego w punkcie 1.

 

 

 

 

.

Odnośnik do komentarza
ogarnietyy

ogarnietyy

Opublikowano
  • Autor
Opublikowano

Wlozylem pendrive do usb, wkleilem skrypt i kliknolem "wykonaj skrypt". Po czym pulpit sie wyczyscil a program nie odpowiadal. Czekalem 10 min i nic.

 

Screen:

http://zapodaj.net/5af1f749bafa.bmp.html

 

Ps.

Nie wiem czy to jest przez tego wirusa spowodowane ze jak chce zmienic nazwe pliku takstowego to wyskakuje mi taki komunikat:

 

http://zapodaj.net/5d5aa2764380.bmp.html

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano (edytowane)
Wlozylem pendrive do usb, wkleilem skrypt i kliknolem "wykonaj skrypt". Po czym pulpit sie wyczyscil a program nie odpowiadal. Czekalem 10 min i nic.

 

Proces się najwyraźniej zawiesił. Przejdź więc do Trybu awaryjnego Windows i ponów ten skrypt.

 

Nie wiem czy to jest przez tego wirusa spowodowane ze jak chce zmienic nazwe pliku takstowego to wyskakuje mi taki komunikat:

 

Wyłącz opcję, by widzieć całą nazwę, włącznie z rozszerzeniem końcowym: w Mój komputer > Narzędzia > Opcje folderów > Widok > zaznacz "Ukrywaj rozszerzenia dla znanych typów plików".

 

 

.

Edytowane przez picasso
24.12.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...