agusiamal Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Witam. Na kilku komputerach w pracy zauważyłam obecność jakiegoś badziewia, które po podłączeniu jakiegokolwiek dysku zewnętrznego ukrywa na nim foldery i tworzy skróty, które przez niego przechodzą. Draństwo lokuje się w ukrytym katalogu, który się nazywa RECYCLER. Na innym komputerze antywirus spokojnie to z tego dysku usunie (nazywa się to tym razem 686c1039.exe GenericBackdoor.xo), ale chcę się tego z kompa pozbyć (mam jeszcze kilka do sprawdzenia). Przesyłam na razie logi z OTL, Gmera teraz robię, chociaż juz raz aplikacja napotkała błąd i musi zostać zamknięta. Postaram się go dorobić jutro bo dzisiaj już nie zdążę (drugi raz wywalił błąd). Może spod awaryjnego spróbuję. Mam nadzieję, że da się usunąć to draństwo. OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 12 Czerwca 2012 Zgłoś Udostępnij Opublikowano 12 Czerwca 2012 Potrzebny jeszcze jeden raport. Przy podpiętym urządzeniu przenośnym uruchom USBFix z opcji Listing i pokaż wynikowy raport. To infekcja bardziej na dyskach przenośnych, nie na systemie i to właśnie same pendrivy powinny zostać leczone. Odnośnik do komentarza
agusiamal Opublikowano 13 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Czerwca 2012 Oto raport USBFix. A w momencie, kiedy podpięłam tego pena (F na zainfekowanym kompie), na ten z którego piszę, McAfee go przeskanował i usunął trojana. Podłączę go na tamtym i kicha - znowu się pojawia. UsbFix.txt Odnośnik do komentarza
Landuss Opublikowano 13 Czerwca 2012 Zgłoś Udostępnij Opublikowano 13 Czerwca 2012 Na pendrive są obiekty infekcji, ale to nie jest wariant z lnk bo skrótów nie ma a foldery nie są ukryte. Urządzenie ma być podpięte podczas wykonywania tego co poniżej. Wklej do notatnika ten tekst: F: del /q F:\yzlt8jf1.exe del /q F:\4gyonbld.exe rd /s /q F:\RECYCLER pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik Kontrolnie nowy log z USBFix do pokazania. Odnośnik do komentarza
agusiamal Opublikowano 14 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Czerwca 2012 Oczywiście wykonam polecenie i raport dodam jak dotrę do komputera w pracy (pliki yzlt8jfl.exe oraz 4gyonbld.exe to są pliki gmera ściągnięte z tego forum - przenosiłam właśnie na tym penie, tam nie mam internetu). Jednak mnie nie chodzi o usunięcie z pena, tylko o usunięcie z komputera - mam czysty, świeżo sformatowany dysk zewnętrzny, wkładam go w gniazdo na czystym komputerze, wyświetlam zawartość i mam puste okno przy pełnym podglądzie plików ukrytych i systemowych; wyciągam go, podpinam do drugiego komputera (tego, z którego było OTL), otwieram okno i posiadam na nim folder RECYCLER z bardzo miłym liczbowo nazwanym plikiem .exe w środku. Czyli w momencie włożenia pena do gniazda USB, wirus na komputerze kopiuje się na pendrive. Mam do czynienia w tej chwili z 3 komputerami, na których nic takiego nie ma miejsca i wszelkie trojany są z penów automatycznie usuwane antywirusem i kilka w pracy, w których coś siedzi, bo tam zanim się zorientowałam o co chodzi wchodziłam do folderów na penie przez skróty, co powodowało instalację wirusa na komputerze (niestety bez antywira - służą tylko do pracy, bez połączenia z internetem). I teraz ten wirus ładuje się na każdego pena, którego się do nich podepnie. Tak jak mówię, z dysków zewnętrznych potrafię się tego pozbyć, ale trochę to utrudnia życie - wiele rzeczy w pracy przenoszonych jest na nich. Na razie używam tylko tego jednego, bo lepszych mi szkoda. Sorki za przydługi tekst, ale chciałam jak najlepiej wyłuszczyć sprawę i powiedzieć o co mi chodzi. Pozdrawiam Agnieszka Edit: Dołączam raport USBfix. Recycler został skasowany, ale po ponownym podłączeniu pena znów się pokazał i znów na tym komputerze McAfee usunął trojana. UsbFix1.txt Odnośnik do komentarza
Landuss Opublikowano 14 Czerwca 2012 Zgłoś Udostępnij Opublikowano 14 Czerwca 2012 Ale logi nie wykazują by tu była infekcja na dysku komputera. Spróbujmy inaczej - Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files RECYCLER /alldrives :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Poinformuj o efektach. Odnośnik do komentarza
agusiamal Opublikowano 14 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Czerwca 2012 Zrobiłam to nic nie dało, więc zrobiłam USBfix z opcji delete i załatwiłam komputer. Nie uruchamia się system - cały czas strzałka na czarnym tle, w trybie awaryjnym tylko napis tryb awaryjny i czarne tło. Płyty instalacyjnej nie mam i nie mam pojęcia gdzie może być. No to chyba zawaliłam na cacy - nie mam pojęcia co zrobić... Odnośnik do komentarza
Anonim8 Opublikowano 14 Czerwca 2012 Zgłoś Udostępnij Opublikowano 14 Czerwca 2012 No to chyba zawaliłam na cacy - nie mam pojęcia co zrobić... Pobierz OTLPE nagraj na CD i startuj na system. Zrob nowe logi z OTL https://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartujacych-windows/ Odnośnik do komentarza
agusiamal Opublikowano 16 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Czerwca 2012 Ok. System się otwierał, ale z jakieś 45 minut (każdy ekran po kilkanaście minut). Z braku czasu, dałam komputer znajomemu, który przeskanował go Kaspersky Rescue Tool (chyba) - wykrył kilka trojanów, usunął je (log dla ciekawości w załączeniu), ale system dalej szwankował (USBfix musiał tam coś usunąć). Na szczęście udało się zrobić instalację nakładkową Windows i wszystkie dane i ustawienia się zachowały. Czy to Kaspersky, czy instalacja świeżych plików Windows - suma sumarum problem ustąpił. Dzięki temu system jest zaktualizowany do granic możliwości - coś dobrego jednak z tego wyszło (kosztowało mnie to parę godzin i kilkanaście restartów). Na pozostałych komputerach puszczę jakiś skaner Kasperskiego i zobaczymy co będzie. Ale nadal nie wiem, co to za draństwo było. Z tym komputerem kończę, ale pewnie się jeszcze do was odezwę - mam w pracy kilka takich. EDIT: Ten komputer jest chyba ok, więc ten temat do zamknięcia. Mam nadzieję, że z następnym pójdzie trochę lepiej. Pozdrawiam Agnieszka ScanObject.txt Odnośnik do komentarza
picasso Opublikowano 18 Czerwca 2012 Zgłoś Udostępnij Opublikowano 18 Czerwca 2012 Pro forma komentarz. Już wiem co się stało. USBFix ma poważny błąd operacyjny i mówiąc wprost bredzi. Otóż on wykrywa krytyczny plik Windows services.exe jako "zainfekowany" i to na absolutnie czystym systemie z fabrycznym plikiem: ################## | Files # Infected Folders | Found ! C:\WINDOWS\system32\services.exe Użyłaś opcji Delete = program wywalił ten plik, a bez niego niemożliwe wejście do Windows. . Odnośnik do komentarza
agusiamal Opublikowano 18 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 18 Czerwca 2012 Dzięki za wyjaśnienie! Więcej się nie wyrwę przed szereg. Zrobiłam to, bo wcześniej był już użyty z opcji delete na Win XP Sp3 i było ok. Teraz pobrałam najnowszą wersję. Nie ma tego złego - system jest postawiony na nowo i całkowicie zaktualizowany i zabezpieczony Avastem. Ten temat do zamknięcia. Pozdrawiam Agnieszka Odnośnik do komentarza
picasso Opublikowano 18 Czerwca 2012 Zgłoś Udostępnij Opublikowano 18 Czerwca 2012 Teraz pobrałam najnowszą wersję. To nic nie zmienia. Ten wynik podany przeze mnie jest właśnie wyciągnięty z najnowszej wersji pobranej przed kilkoma minutami. Aktualnie jedyne bezpieczne funkcje to te "tylko do odczytu" (Listing + Research). . Odnośnik do komentarza
agusiamal Opublikowano 18 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 18 Czerwca 2012 Właśnie o to mi chodziło. Poprzednio (kilka miesięcy temu) użyłam UBFix i było ok. Teraz pobrałam najnowszą wersję, użyłam delete i kicha. Teraz będę czekać na każde polecenie z waszej strony. Tu chyba też był ten maninu.exe, ale jego wykrył Gmer, a na tym kompie gmer dwa razy wywalił ("przestał odpowiadać i zakończył działanie"). W awaryjnym już go nie zdążyłam zrobić. Odnośnik do komentarza
Rekomendowane odpowiedzi