agusiamal Opublikowano 18 Czerwca 2012 Zgłoś Udostępnij Opublikowano 18 Czerwca 2012 Coś takiego pojawiło się w systemie. Nie wiem co to jest, ale wydaje mi się, że to odpowiada za infekowanie dysków zewnętrznych, na których instaluje się wirus w ukrytym katalogu Recycler (we właściwościach pliku z tego katalogu pojawia się "don ho") i ukrywa wszystkie katalogi na dysku a udostępnia tylko skróty do nich. Już na kilku komputerach z tym walczyłam - z różnym powodzeniem. Na jednym usunęło się wraz z antywirusem Panda, na innym skończyło się reinstalacją systemu (https://www.fixitpc.pl/topic/8903-infekowanie-pendrive-ukryte-foldery-skroty-do-nich/). Jest to widoczne w raporcie GMER ale na dysku tego nie widzę. Mam nadzieję, że pomożecie jednak się tego pozbyć. Przesyłam wszystkie raporty jakie wykonałam. Na pendrivie już tego nie ma, po podłączeniu do komputera z którego piszę McAffe to usunął. OTL.Txt Extras.Txt Gmer.txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 18 Czerwca 2012 Zgłoś Udostępnij Opublikowano 18 Czerwca 2012 Nie wiem co to jest, ale wydaje mi się, że to odpowiada za infekowanie dysków zewnętrznych, na których instaluje się wirus w ukrytym katalogu Recycler (we właściwościach pliku z tego katalogu pojawia się "don ho") i ukrywa wszystkie katalogi na dysku a udostępnia tylko skróty do nich. Owszem, jest tu infekcja. Notuje ją GMER. Ten Maninu.exe podrabia prawidłowy obiekt Notepad ++ (tak, jego plik ma we Właściwościach "don ho"). 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Maninu /f reg delete HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache /v "@C:\Documents and Settings\---\Dane aplikacji\Maninu.exe" /f Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFile: "C:\Documents and Settings\---\Dane aplikacji\Maninu.exe" Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. 3. Skasuj z dysku plik E:\AUTORUN.INF.lnk. 4. Wklej do posta zawartość raportu BlitzBlank. Zrób nowe logi z OTL + GMER. . Odnośnik do komentarza
agusiamal Opublikowano 18 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 18 Czerwca 2012 Po ponownym podłączeniu pendrive już nic takiego nie ma miejsca. Na dysku jest tylko to co miało być. Oto logi: BlitzBlank 1.0.0.32 File/Registry Modification Engine native application MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\---\dane aplikacji\maninu.exe", destinationFile = "(null)", replaceWithDummy = 0 LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat" OTL.Txt Gmer.txt Odnośnik do komentarza
picasso Opublikowano 18 Czerwca 2012 Zgłoś Udostępnij Opublikowano 18 Czerwca 2012 Zadanie pomyślnie wykonane. Kończymy: 1. Porządki po narzędziach: odinstaluj USBFix (nie ma sensu go trzymać, skoro jest wymagane zawsze by pobrać go od nowa) + ręcznie dokasuj elementy BlitzBlank. 2. Wyczyść lokalizacje Temp: TFC - Temp Cleaner. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Do nadrobienia podstawowe aktualizacje: KLIK. Tutaj wyciąg z OTL Extras zainstalowanych wersji: Internet Explorer (Version = 7.0.5730.13) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{00000415-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium"{00030415-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Small Business"{AC76BA86-7AD7-1033-7B44-A81100000003}" = Adobe Reader 8.1.1"{FFB768E4-E427-4553-BC36-A11F5E62A94D}" = Adobe Flash Player 10 ActiveX"KLiteCodecPack_is1" = K-Lite Codec Pack 6.0.0 (Full) . Odnośnik do komentarza
agusiamal Opublikowano 19 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Czerwca 2012 Dziękuję serdecznie za pomoc. Wszystko jest ok. Adobe Reader wgram nową wersję, jak i Internet Explorer, ale aktualizacji przez internet za bardzo nie mam jak zrobić. Komputer jest w miejscu pracy bez połączenia z internetem. Wszystko jest na niego wgrywane ewentualnie z pendriva lub płyty. Ma służyć tylko do pracy. Nie ma chyba sensu wgrywać antywirusa, który i tak się zdeaktualizuje (mam z tym komputerem kontakt sporadycznie - pracuje na nim kto inny). Po prostu będę uważać, co mam na penach i zabronię pracownikowi cokolwiek na niego wgrywać bez mojej kontroli. Na razie jeszcze raz dzięki, ale jeszcze się pewnie spotkamy - mam w pracy jeszcze 2 komputery, na które wtykałam moje peny (zanim się zorientowałam co jest grane) i muszę je sprawdzić. Ale na razie nie mam z nimi kontaktu. Temat do zamknięcia. Pozdrawiam Agnieszka Odnośnik do komentarza
Rekomendowane odpowiedzi