MDZosa Opublikowano 8 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 8 Kwietnia 2012 Witam, od jakiegoś czasu mój komputer straszne "zwolnił" i zastanawiam się czy nie został czymś zainfekowany. W każdej lokalizacji na wszystkich partycjach pojawił się plik "new folder" niemożliwy do skasowania. Również zależałoby mi na usunięciu infekcji z przenośnych nośników danych. OTL: http://wklej.org/id/727222/ Extras: http://wklej.org/id/727224/ Odnośnik do komentarza
Landuss Opublikowano 8 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 8 Kwietnia 2012 Jest tu infekcja z urządzenia przenośnego. Przejdziesz teraz do jej usunięcia. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives C:\WINDOWS\System32\arking0.dll :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :OTL O4 - HKLM..\Run: [Explorer] C:\WINDOWS\Windows Explorer.exe () O4 - HKU\S-1-5-21-1644491937-1383384898-2147028481-1003..\Run: [api32] C:\Documents and Settings\Dominik\Ustawienia lokalne\Temp\apiqq.exe () O4 - HKU\S-1-5-21-1644491937-1383384898-2147028481-1003..\Run: [King_ar] C:\WINDOWS\system32\arking.exe () :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom SystemLook, w oknie wklej poniższy tekst: :filefind New Folder.exe Kliknij w Look. Zaprezentuj raport. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Odnośnik do komentarza
MDZosa Opublikowano 8 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 8 Kwietnia 2012 Podczas wykonywania tej operacji nośnik danych powinien być umieszczony w porcie USB? Odnośnik do komentarza
Landuss Opublikowano 9 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 9 Kwietnia 2012 Możesz go umieścić, przy okazji wyczyścimy z niego infekcję (o ile jest zainfekowany) Odnośnik do komentarza
MDZosa Opublikowano 9 Kwietnia 2012 Autor Zgłoś Udostępnij Opublikowano 9 Kwietnia 2012 Look:http://wklej.org/id/727756/ dodam że w wyszukiwaniu windowsowskim wykryło mi 102 pliki (Systemlook wykrył tylko na c:\ ) OTL: http://wklej.org/id/727753/ Odnośnik do komentarza
Landuss Opublikowano 9 Kwietnia 2012 Zgłoś Udostępnij Opublikowano 9 Kwietnia 2012 (edytowane) Wykonaj kolejny skrypt o tej zawartości: :Files C:\WINDOWS\System32\vcmgcd32.dl_ C:\WINDOWS\System32\vcmgcd32.dll C:\New Folder.exe C:\Documents and Settings\New Folder.exe C:\Documents and Settings\Administrator\New Folder.exe C:\Documents and Settings\Administrator\Moje dokumenty\New Folder.exe C:\Documents and Settings\Dominik\New Folder.exe C:\Documents and Settings\Dominik\Moje dokumenty\New Folder.exe C:\Documents and Settings\Dominik\Moje dokumenty\Downloads\New Folder.exe C:\Documents and Settings\Dominik\Moje dokumenty\Downloads\bootanimation\New Folder.exe C:\Documents and Settings\Dominik\Moje dokumenty\Downloads\bootanimation\part1\New Folder.exe C:\Documents and Settings\Dominik\Moje dokumenty\Moja muzyka\New Folder.exe C:\Documents and Settings\Dominik\Moje dokumenty\Moje skanowanie\New Folder.exe C:\Documents and Settings\Dominik\Moje dokumenty\Moje skanowanie\2011-09 (wrz)\New Folder.exe C:\Documents and Settings\Dominik\Moje dokumenty\Moje wideo\New Folder.exe C:\Documents and Settings\Dominik\Moje dokumenty\Moje wideo\Narracja\New Folder.exe C:\Documents and Settings\Dominik\Moje dokumenty\Pobieranie\New Folder.exe C:\Documents and Settings\Dominik\Pulpit\New Folder.exe C:\Documents and Settings\Dominik\Pulpit\krycha\New Folder.exe C:\Documents and Settings\Dominik\Pulpit\krycha\redsn0w_win_0.9.10b1\New Folder.exe C:\Documents and Settings\Dominik\Pulpit\krycha\xbins\New Folder.exe C:\Documents and Settings\Dominik\Pulpit\marzec2012\New Folder.exe C:\Documents and Settings\Dominik\Pulpit\OFERTA\New Folder.exe C:\Documents and Settings\Dominik\Pulpit\tapki\New Folder.exe C:\Documents and Settings\Dominik\Ulubione\New Folder.exe C:\Program Files\New Folder.exe C:\Program Files\Usługi online\New Folder.exe C:\WINDOWS\New Folder.exe C:\WINDOWS\java\New Folder.exe C:\WINDOWS\system\New Folder.exe To usunie te wszystkie pliki z C natomiast tą resztę powinieneś bez problemu usunąć ręcznie. Ewentualnie wykonaj skan dysku za pomocą Kaspersky Virus Removal Tool i zobacz czy coś wykryje. Edytowane 9 Maja 2012 przez picasso 10.05.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi