Trojan.VB.aqt - trojan w Autostarcie

[Mlody94]

Mam problem z wirusem Trojan.VB.aqt nie wiem co on robi ale w każdym bądź razie nie mogę go usunąć ! Skanuje za pomocą MKS. Czy wie ktoś jakie czynności powinienem podjąć aby usunąć ten wirus? Pozdrawiam
@
ścieżka na której występuje wirus to : C:\Documents and Settings\Pawel\Menu Start\Programy\Autostart\ctfmon.exe

[djarta]

Daj logi wg. tego regulaminu --> KLIK.

[Mlody94]

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Zara będzie z OTL
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Zarażony zostałeś penem/dyskiem przenośnym/MP3. Jeżeli taki ,,cudeńko" posiadasz - sformatuj.

Widzę też jakieś pliki TIBII - dziwne, więc usuwamy.
Uwierz mi chłopie - nie graj w tą gre bo ona zje Ci mózg i Twój komputer.

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL
O32 - AutoRun File - [2010-01-29 20:45:20 | 00,000,057 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-01-29 20:45:20 | 00,000,057 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{3081f07e-fc94-11de-9d77-806d6172696f}\Shell\AutoRun\command - "" = C:\mvmdh.exe -- [2010-01-29 17:37:59 | 00,097,280 | RHS- | M] ()
O33 - MountPoints2\{3081f07e-fc94-11de-9d77-806d6172696f}\Shell\open\Command - "" = C:\mvmdh.exe -- [2010-01-29 17:37:59 | 00,097,280 | RHS- | M] ()
O33 - MountPoints2\{3081f07f-fc94-11de-9d77-806d6172696f}\Shell\AutoRun\command - "" = D:\mvmdh.exe -- [2010-01-29 17:37:59 | 00,097,280 | RHS- | M] ()
O33 - MountPoints2\{3081f07f-fc94-11de-9d77-806d6172696f}\Shell\open\Command - "" = D:\mvmdh.exe -- [2010-01-29 17:37:59 | 00,097,280 | RHS- | M] ()
O33 - MountPoints2\{3c7ac88a-fd09-11de-be00-000c6e944d4e}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe -- File not found
O33 - MountPoints2\{e4517e23-07ed-11df-be48-000c6e944d4e}\Shell\AutoRun\command - "" = F:\c2e.exe -- File not found
O33 - MountPoints2\{e4517e23-07ed-11df-be48-000c6e944d4e}\Shell\open\Command - "" = F:\c2e.exe -- File not found
O33 - MountPoints2\{e4517e24-07ed-11df-be48-000c6e944d4e}\Shell\AutoRun\command - "" = G:\c2e.exe -- File not found
O33 - MountPoints2\{e4517e24-07ed-11df-be48-000c6e944d4e}\Shell\open\Command - "" = G:\c2e.exe -- File not found
O33 - MountPoints2\{ff8517cd-09c0-11df-be50-000c6e944d4e}\Shell - "" = AutoRun
O33 - MountPoints2\{ff8517cd-09c0-11df-be50-000c6e944d4e}\Shell\AutoRun\command - "" = F:\Startme.exe -- File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
O4 - Startup: C:\Documents and Settings\Pawel\Menu Start\Programy\Autostart\ctfmon.exe (Microsoft Corporation)
O4 - Startup: C:\Documents and Settings\Pawel\Menu Start\Programy\Autostart\update.exe ()
O4 - HKU\S-1-5-21-1085031214-2139871995-725345543-1003..\Run: [cdoosoft] C:\Documents and Settings\Pawel\Ustawienia lokalne\Temp\herss.exe ()
MOD - [2010-01-29 17:37:59 | 00,090,624 | RHS- | M] () -- C:\Documents and Settings\Pawel\Ustawienia lokalne\Temp\cvasds1.dll

:Files
C:\WINDOWS\ipchanger.exe
C:\WINDOWS\Ip Changer Updater.exe
c:\windows\update.exe
c:\windows\os4.exe
C:\mvmdh.exe
D:\mvmdh.exe
C:\y.exe
D:\y.exe
C:\0fpdq2dw.exe
D:\0fpdq2dw.exe
C:\df.exe
D:\df.exe
C:\c2e.exe
D:\c2e.exe
C:\hx.exe
D:\hx.exe
C:\autorun.inf
D:\autorun.inf
C:\Recycled
D:\Recycled
C:\Documents and Settings\Pawel\Ustawienia lokalne\Temp\cvasds0.dll
C:\Documents and Settings\Pawel\Ustawienia lokalne\Temp\cvasds1.dll
C:\Documents and Settings\Pawel\Ustawienia lokalne\Temp\cvasds2.dll
C:\Documents and Settings\Pawel\Ustawienia lokalne\Temp\cvasds3.dll
C:\Documents and Settings\Pawel\Ustawienia lokalne\Temp\herss.exe

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""


:Commands
[emptytemp]
[Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.
Po restarcie odpalasz nowe logi z OTL'a + DDS + raport z usuwania.

[Mlody94]

Nono w tibi hacka miałem wczoraj hehe i sprzedaje konto.
A co ja mam sformatować bo nie zrozumiałem.

[cosik_ktosik]

Chodzi o pendrive, ewentualnie MP3. Gdzieś na pamięci przenośnej był lub jest wirus.

[Mlody94]

Aha czyli jak np. piosenke zrzucilem to o to chodzi?

[djarta]

Masz sformatować to co podpinałeś.