Setki robaków w System Volume Information i inne.

IP: 194.181.134.* 18.08.08, 15:49
Witam!
Dostałem za zadanie wyczyścić koleżance komputer z różnego robactwa (swoją drogą nie wiem jak można nałapać tyle tego w kilkanaście dni po formacie) i naprawić usterki tym spowodowane.
Z usterek m.in. niemożność otwarcia partycji z poziomu Mój Komputer (okienko 'wybierz program z listy...') oraz zablokowane opcje folderów (np. próba odkrycia ukrytych i systemowych plików).
Odpalałem kolejno Spybot S&D, SuperAntiSpyware; podczas skanu ostatnim Avast zaczął szaleć i wyliczać kolejne zarażone pliki w katalogach C:\System Volume Information\_restore{cośtam}\RP28 do ...RP42. Pliki wykonywalne i *.inf 'spod znaku' Crypt-cośtam. Ponadto na każdej partycji był plik autorun.inf z fałszywymi informacjami i pliczek xlu8a8sy.exe.
Wszystko co potrafiłem usunąłem. Na koniec odpaliłem Combofix, który naprawił usterki związane z partycjami i opcjami folderów. Myślę że to nie wszystko....
Jeśli można, dla pewności, poprosiłbym o analizę loga z Combofix.
wklej.org/id/96fcf419e7
    • Gość: Kolobos Re: Setki robaków w System Volume Information i i IP: *.escom.net.pl 18.08.08, 16:30
      Usun: C:\\xlu8a8sy.zip

      Wylacz na chwile przywracanie systemu, nastepnie wlacz i utworz nowy punkt (po odrobaczeniu).
      Podlacz zainfekowane nosniki i uzyj Flash Disinfector.

      Wklej do notatnika:
      REGEDIT4

      [-HKEY_CURRENT_USER\\software\\microsoft\\windows\\currentversion\\explorer\\mountpoints2\\{0811f640-206a-11dd-bcba-001a6be28a47}]
      [-HKEY_CURRENT_USER\\software\\microsoft\\windows\\currentversion\\explorer\\mountpoints2\\{0a603b0c-367c-11dd-bcdd-001a6be28a47}]
      [-HKEY_CURRENT_USER\\software\\microsoft\\windows\\currentversion\\explorer\\mountpoints2\\{1718b57e-2130-11dd-bcbc-001a6be28a47}]
      [-HKEY_CURRENT_USER\\software\\microsoft\\windows\\currentversion\\explorer\\mountpoints2\\{222e77f8-492b-11dd-bce4-001a4b6a275a}]
      [-HKEY_CURRENT_USER\\software\\microsoft\\windows\\currentversion\\explorer\\mountpoints2\\{222e77f9-492b-11dd-bce4-001a4b6a275a}]
      [-HKEY_CURRENT_USER\\software\\microsoft\\windows\\currentversion\\explorer\\mountpoints2\\{45ada38c-25c1-11dd-bcca-001a6be28a47}]
      [-HKEY_CURRENT_USER\\software\\microsoft\\windows\\currentversion\\explorer\\mountpoints2\\{7e73a252-2515-11dd-bcc8-001a6be28a47}]
      [-HKEY_CURRENT_USER\\software\\microsoft\\windows\\currentversion\\explorer\\mountpoints2\\{7fe92a1a-e854-11dc-bca7-001a73a2a3e8}]
      [-HKEY_CURRENT_USER\\software\\microsoft\\windows\\currentversion\\explorer\\mountpoints2\\{a4cc023e-490d-11dd-bce3-c405f8e87d5f}]
      [-HKEY_CURRENT_USER\\software\\microsoft\\windows\\currentversion\\explorer\\mountpoints2\\{a9db74b6-6614-11dd-bcf9-c31289ff805a}]
      [-HKEY_CURRENT_USER\\software\\microsoft\\windows\\currentversion\\explorer\\mountpoints2\\{c13eedf2-31ff-11dd-bcd9-001a6be28a47}]

      Zapisz jako fix.reg i uruchom.

      Poczytaj tez o zapobieganiu, na dole tej strony:
      www.searchengines.pl/Infekcje-z-pendrive-mediow-przenosnych-t94761.html
      • Gość: Tomasz Re: Setki robaków w System Volume Information i i IP: 194.181.134.* 18.08.08, 17:55
        Dzięki wielkie za pomoc! Faktycznie problem wygląda dokładnie tak jak te
        opisywane w podanym linku...
Pełna wersja