infekcja pendrive, pliki opy of shortcut to

Post13 mar 2012, 22:17

Witam ostatnio mam problem ze swoim pendrivem gdy wchodzę do niego widzę pliki "copy of shortcut to" od 1 do 4 a także folder RECYCLER których to nie mogę usunąć. po usunięciu pojawiają się znów za ok. 3 sek nie pomaga także format.

Post14 mar 2012, 06:02

nie pomaga także format.

Recycler zawsze będzie się odradzał, bo to jest ...KOSZ.

Daj, oprócz tu wymaganych logów, także log z >USBFix
Kliknij w nim na: DELETION.

F.

Post15 mar 2012, 20:56

nie mogę zeskanować pendrive USBfixem ponieważ wyskakuje błąd:
Line 2786 (file "C:\UsbFix\Go.exe"):
Error: Variable used without being declared

Post15 mar 2012, 21:17

Tak, to francuskie narzędzie jest bardzo kapryśne.
Nie podoba mu się jego lokalizacja. Czasami pomaga umieszczenie go przy ściąganiu bezpośrednio na pulpicie, ale nie zawsze.
Nic na to nie można poradzić.
USBFix jest najlepszym narzędziem do usuwania infekcji na pendrive'ach, nic nie jest w stanie go zastąpić.

Użyj > Dostępne tylko dla zarejestrowanych użytkowników
Na końcu kliknij na Usuń zaznaczone.
Podaj z tego raport.
Wątpię, by MBAM coś tu zadziałał, ale spróbować warto.
Poza tym daj logi z OTL, bo może to na dysku twardym jest infekcja, a na penie są tylko efekty tej infekcji.

F.

Post16 mar 2012, 07:34

jeszcze wczoraj skanowałem komputer combofixem tu log:
Dostępne tylko dla zarejestrowanych użytkowników
i jeszcze log z MBAM:
Dostępne tylko dla zarejestrowanych użytkowników
oraz OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
A, i gdy skanuje pendrive antywirem to uznaje on te skróty za wirusy a pozostałe wirusy tylko w folderze recycler. Ciekawą rzeczą jest także, że liczba infekcji rośnie tzn skanuje pendrive antywirusem i jest ok 16 infekcji a za 10 min skanuje i pokazuje mi 170 infekcji

Post16 mar 2012, 10:25

Infekcja jest.

1)

[2012-03-14 06:11:34 | 000,024,064 | ---- | M] (Gerhard Schlager) -- C:\WINDOWS\System32\dllcache\ctfmon.exe
[2012-03-14 06:11:34 | 000,024,064 | ---- | M] (Gerhard Schlager) -- C:\WINDOWS\System32\ctfmon.exe

Te pliki mają dziwną sygnaturę, zamiast sygnatury Microsoftu.
Sprawdź je na --> Dostępne tylko dla zarejestrowanych użytkowników albo na Dostępne tylko dla zarejestrowanych użytkowników

2)

O20 - HKLM Winlogon: UserInit - (C:\Program Files\lkixocdm\tqwnycjd.exe) - C:\Program Files\lkixocdm\tqwnycjd.exe File not found

To oznaka RAMNIT/NIMNUL, wirusa zarażającego wszystkie pliki *.exe, *.html, *.htm
Z tej infekcji najczęściej nie da się wybrnąć, wciąż się odnawia.
Ale spróbować możesz.
2a) Jeśli znasz się na komputerach, to najlepszym sposobem jest wypalenie na innym komputerze bootowalnej płytki z AV, i użycie jej na swoim komputerze >Dostępne tylko dla zarejestrowanych użytkowników

Jeśli nie znasz się zbytnio na komputerach, to pozostaje tradycyjne usuwanie:
1) Użyj >Dostępne tylko dla zarejestrowanych użytkowników
2) Użyj >Dostępne tylko dla zarejestrowanych użytkowników
Link zapasowy (już ze zmienioną nazwą), jeśli oficjalna strona będzie zablokowana przez wirusa >>Dostępne tylko dla zarejestrowanych użytkowników
3) wszystkie skany powtarzaj po kolei dotąd, aż żaden z nich nic nie będzie wykrywał.

Innymi infekcjami na razie się nie warto zajmować, bo nie wiadomo, czy wyjdziesz z RAMNIT/NIMNUL.
Jeśli uda Ci się wyjść, to zrobisz wszystkie nowe logi.

F.

Post18 mar 2012, 14:21

To oznaka RAMNIT/NIMNUL, wirusa zarażającego wszystkie pliki *.exe, *.html, *.htm

filutka78 ma racje. Zastanawia mnie tylko jeden fakt.

nie pomaga także format

Czy jakiekolwiek pliki przenosiłeś z komputera przed formatem na obecny system?

Post25 mar 2012, 08:58

Post25 mar 2012, 13:36

xxxkrecik01 pisze:tak

W takim razie zapewne przeniosłaś pliki zainfekowane na obecny system. Przedstaw nowe logi z OTL w celu interpretacji infekcji.