Techvortal

Typowa infekcja AUTORUN.INF. Z PD.

Usuń Winamp Toolbar.

jedrekk pisze: Po co masz autorun i autoexec na kilku dyskach?

S i T to dyski sieciowe - serwer mam też już zarażony tak jak GENERiC mówi - infekcja autorun - jak tego się pozbyć? Bo na serwerze dyski otworzę tylko przez "exploruj". Seven narazie nie odczuwa tej infekcji. Autoexec chyba pozostał po awarii dysku kiedy to przywracałem XP i posypał się przy tym.

Pliki które jedrekk zapodał sprawdzę dokładnie
Winamp Toolbar wywalę, ale masz coś na miejsce tego toolbara?

Puki co, repy poszły na +

Toolbarów nie używam. Ja nie ufam tym rzeczom.

Hmm...dawniej się używało Flash Disinfector do usuwania Autorunów.

Ja kiedyś takie coś robiłem poprzez odznaczenie "tylko do odczytu" we właściwościach i wpisaniu losowych znaków w autorun, znajdź plik, który ten autorun odpala i go wywal (jak się nie będzie dało, to po restarcie systemu spróbuj). Ja tak u wszystkich tego typu rzeczy usuwam. Potem najlepiej zaopatrzyć się w dobry antywirus i po sprawie.

Ok, na serwerze autorunu pozbyłem się przez usunięcie utworzonych autorunów, zastąpieniem pustymi autorunami i zaznaczeniu "tylko do odczytu". Następnie CCleaner i rejestr czysty. I w efekcie na dysku D pozostał tylko 1 pusty autorun, dysku odpalają normalnie już

Ale w dalszym ciągu niewiem czemu zawdzięczam autoita, który robi mi pliki "khw" i "guautu.exe". Antywiry widzą że zarażone pliki ale nie mogą znaleźć ich matki. Spyboty i inne skanery infekcji też są ślepe, wg. wszystkich system mam zdrowy, jednak cały czas coś generuje w tych samych folderach owe pliki. I może w systemowych też są i temu zawdzięczam SP2 (bo system zgłupiał całkiem)

Net milczy o tych plikach. Więc albo są czyste, albo wirus generuje zmienne nazwy plików, ale coś muszą być połączone w jakiś sposób z danymi z Twojego kompa, że nazwy takie same są.

A jakiego antywirusa używasz ??? Użyj ESETA 4'ki.

Właśnie mnie to dziwi że net milczy. Był jeszcze jeden plik k***cośtam.exe ale już nie powstaje. Tylko te 2. khw jest pusty, natomiast w .exe av znajduje jakiś skrypt złośliwy.

Używam oczywiście ESET Nod Av4 - jedyny który potrafił usunąć Win32:Tenga.gen bez szkód (usuwania wszystkich plików exe)
Dziś nie wygenerował mi żadnego pliku w obserwowanym folderze. zobaczymy jutro w innych folderach

Backdoor.Win32.VB.khw
Tylko tyle znalazłem ale to jest chyba główna rodzina Backdoor.Win32.VB

djdeejay pisze: Używam oczywiście ESET Nod Av4 - jedyny który potrafił usunąć Win32:Tenga.gen bez szkód (usuwania wszystkich plików exe)
Dziś nie wygenerował mi żadnego pliku w obserwowanym folderze. zobaczymy jutro w innych folderach

Mam lekkie wrażenie, że wirus poinfekował wszystkie pliki exe w twoim systemie. Weź może wrzuć jakiś ważny plik systemowy np. explorer.exe na http://www.virustotal.com.

Ważne pliki są całe. Ale gdzieś siedzi matka. Dziś pliki w folderach wróciły z nową ikonką i o ok 100 kb większe.

http://www.spywaredb.com/remove-backdoor-win32-vb-vh/

Czy to jest to? Tego nie wiem. Jak lubisz ryzykować to zrób to.

Ale lepiej polecam zrobić skan z GMERa na rootkity.

Czytałem to ale csrss jest czysty a po 2, po zabiciu go, oglądam piękny BSOD
Narazie jadę po nim programem A-Squared, chyba znalazł matkę w SystemVolumeInformation

SystemVolumeInformation to jest punkt przywracania danych. Więc jak usunął wcześniej to logiczne, że tam jeszcze siedzi. Zapomniałem właśnie Ci powiedzieć abyś to zrobił.

Wyłącz i włącz przywracanie systemu i po kłopocie. Ale dalej nie wiadomo co z backdoorem. Zrobiłeś skan z GMERa?

Nie zrobiłem, ale zaraz zrobię. Ten BackDoor jest zaszyty głęboko bo znajduje mi tylko tego autoita. I wlasnie w niektórych folderach robi razem pliczki khw i tego guautu.exe, a w niektórych tylko khw. Jak dobrze pójdzie, to tego autoita mi wywali teraz, a z backdoorem powalczę, tylko jeszcze zrobię ten skan o którym mówisz. Może akurat się uda.