Win serwer 2003 - zarażenie autorun.inf

[Kris_]

Witam,
"zaraziłem" server" jakimś robakiem z autorun.inf na czele. Stosowałem się do poprzednich informacji na tym forum, uruchomiłem OTL, wykonałem log który zamieściłem http://wklej.org/id/341321/. No i nie wiem co dalej, nie wiem jakie informacje wkleić do okna w Custom Scans/Fixes.
Proszę o pomoc i z góry dziękuje

[wojtas]

brakuje loga extras... spróbuj odpalić też log z Gmera

Uruchom OTL i w oknie Custom Scans/Fixes wklej :

:OTL
O4 - HKLM..\Run: [svchost] c:\WINDOWS\svchost.exe ()
O32 - AutoRun File - [2009-03-21 19:11:38 | 000,059,308 | RH-- | M] () - F:\autorun.inf -- [ FAT ]
O32 - AutoRun File - [2009-02-13 10:49:05 | 000,095,034 | RHS- | M] () - Y:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\##192.168.2.11#t\Shell - "" = AutoRun
O33 - MountPoints2\##192.168.2.11#t\Shell\AutoRun\command - "" = Z:\starter.exe -- File not found
O33 - MountPoints2\{609d1d3b-30a8-11dd-adc6-001a64a0683c}\Shell\AutoRun\command - "" = F:\Portable_usb.exe -- File not found
O33 - MountPoints2\{ee64c669-feb4-11de-b3ac-001a64a0683c}\Shell - "" = AutoRun

:Files
C:\WINDOWS\System32\ykerjqwn.dll
c:\WINDOWS\svchost.exe

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]

Kliknij w Run Fix. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją Run Scan. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia komputera + log z Gmera

[Kris_]

Tu sa logi http://wklej.org/id/343414/ z tym że skan z gmera zawiesza mi serwer

[wojtas]

skan niepełny popraw

[Kris_]

Logi ze skanu http://wklej.org/id/347997/

[Okocza]

C:\AUTOEXEC.BAT


przeskanuj na www.virustotal.com i daj log ze skanowania.

pod y: masz pendrive ?

[Kris_]

Pod Y, mam zamapowany dysk d

Dodano Dzisiaj, 15:12:
Plik autoexec.nt otrzymany 2009.09.24 09:56:51 (UTC)
Obecny status: zakończono

Wynik: 0/41 (0.00%)
Zwięzły Drukuj wyniki
Antywirus Wersja Ostatnia aktualizacja Wynik
a-squared 4.5.0.24 2009.09.24 -
AhnLab-V3 5.0.0.2 2009.09.24 -
AntiVir 7.9.1.25 2009.09.24 -
Antiy-AVL 2.0.3.7 2009.09.24 -
Authentium 5.1.2.4 2009.09.24 -
Avast 4.8.1351.0 2009.09.23 -
AVG 8.5.0.412 2009.09.24 -
BitDefender 7.2 2009.09.24 -
CAT-QuickHeal 10.00 2009.09.24 -
ClamAV 0.94.1 2009.09.24 -
Comodo 2423 2009.09.24 -
DrWeb 5.0.0.12182 2009.09.24 -
eSafe 7.0.17.0 2009.09.23 -
eTrust-Vet 31.6.6758 2009.09.24 -
F-Prot 4.5.1.85 2009.09.23 -
F-Secure 8.0.14470.0 2009.09.24 -
Fortinet 3.120.0.0 2009.09.24 -
GData 19 2009.09.24 -
Ikarus T3.1.1.72.0 2009.09.24 -
Jiangmin 11.0.800 2009.09.24 -
K7AntiVirus 7.10.852 2009.09.23 -
Kaspersky 7.0.0.125 2009.09.24 -
McAfee 5750 2009.09.23 -
McAfee+Artemis 5750 2009.09.23 -
McAfee-GW-Edition 6.8.5 2009.09.24 -
Microsoft 1.5005 2009.09.23 -
NOD32 4453 2009.09.24 -
Norman 6.01.09 2009.09.23 -
nProtect 2009.1.8.0 2009.09.24 -
Panda 10.0.2.2 2009.09.23 -
PCTools 4.4.2.0 2009.09.23 -
Prevx 3.0 2009.09.24 -
Rising 21.48.32.00 2009.09.24 -
Sophos 4.45.0 2009.09.24 -
Sunbelt 3.2.1858.2 2009.09.24 -
Symantec 1.4.4.12 2009.09.24 -
TheHacker 6.5.0.2.016 2009.09.24 -
TrendMicro 8.950.0.1094 2009.09.24 -
VBA32 3.12.10.10 2009.09.23 -
ViRobot 2009.9.24.1952 2009.09.24 -
VirusBuster 4.6.5.0 2009.09.23 -
Dodatkowe informacje
File size: 1734 bytes
MD5 : 14a57aa834ba7f03378066f35ed34ec4
SHA1 : 7c9c755e1a30df8e215f504cce09c84662e6100c
SHA256: 13ec921ae4381cc686ef2e81ed7139ff6b8bee582dc34a8abbc0d8d8f05cfd51
TrID : File type identification
Unknown!
ssdeep: 24:pNHFnjN1kluVWHR5xKuXXPV8llY6UvRZ+Dg8pg3XkQxs3MQ9tE+9EgfYESrJb6x3:tjk/5gAXSJx+XdW9tEXnESrJuqMZ
PEiD : -
RDS : NSRL Reference Data Set

( Microsoft )

Office XP Professional with FrontPage: autoexec.nt!

[wojtas]

Wykonaj czynności końcowe :

1.Uruchom OTL z opcji CleanUp
2. wykonaj optymalizację Windowsa
3.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
4. zrób skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )


Zaktualizuj zabezpieczenia:
>>> Internet Explorer 8