win32:vb-eaa[trj]

[dusiorek]

no niestety formata zrobilem ale jeszcze mam drugiego kompa zarazonego tym syfem i niewiem czy tez tam format bedzie potrzebny?

[wojtas]

czy tez tam format bedzie potrzebny?

no nie wiem probuj tych wskazuwek podanych w tym temacie moze pomoga

[dusiorek]

no niestety pomaga ty;lko jesli chodzi o usuniecie flderow i plikow tego wirusa.Ale jesli sie wepnie pendriva do notebooka to wir sie ujawnia.Dzieki za pomoc ale niewiem czy mozesz mi dalej pomóc.

[wojtas]

wepnie pendriva

czyli wirus jest na pendrivie wiec musisz z tamtad go skasowac.. i dopiero wtedy podlacz bezpiecznie pendriva (mozesz go sformatowac )

http://www.grzegorz.net/articles/index.php?id=pendriventfs

i koniecznie zobacz tu:

http://www.searchengines.pl/index.php?showtopic=90859&st=0&p=417506&#entry417506

[dusiorek]

no tak ale pendrive gdy go chce wogole sformatowac to mi sie wiesza caly system bez mozliwosci anulowania operacji;musze odlaczyc pendriva zeby sie odwiesil;tak wogole to nie pendrive tylko mp3 ktora uwywam jako pendriva

[wojtas]

Po podlaczeniu zainfekowanego aparatu do kompa, zaczyna sie rozprzestrzenianie smieci:

1. Powstaja numerkowe klucze rejestru z zapisami od autorunu aparatu w:

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2

2. Na rootach dysku (bezposrednio na nich - u mnie C:\ i D:\) pojawiaja sie pliki autorun.inf

3. Dodatkowo u mnie w sciezce:

C:\Documents and Settings\Nazwa konta\Menu Start\Programy\Autostart

pojawia sie smieciarska kopia pliku ctfmon.exe


Kolejne objawy to:

Po probie otwarcie dysku C:\ badz D:\ otwiera sie nowe okno, a w menu z prawokliku pojawia sie zapis "Open(0)", czasami wywala tez blad ze nie mozna sie dostac na dysk bo nie jest z nim skojarzony zaden program.


Gdy aparat jest nie podlaczony, wszystko pousuwane: klucze rejestru, pliki autorun.inf, kopia pliku ctfmon.exe - objawy ustepuja. Jednak po ponownym podlaczeniu aparatu wszystko od nowa sie infekuje. Format karty SD nic nie daje poniewaz po chwili znow sie infekuje plikami ktore sa na dysku - zaczyna sie tzw. pętla.

Znalazlem za to sposob - moze prymitywny - ale dzialajacy , otoz:

Wchodzimy w Moj komputer >> narzedzia >> opcje folderow >> widok >> zaznaczamy "pokaż ukryte pliki i foldery" i odznaczamy "ukryj chronione pliki systemu operacyjnego"

po tej akcji widizmy na karcie aparatu syf:

folder recycled (ikona kosza) i plik autorun.inf, kasacja ich z palca nic nie daje poniewaz na dysku sa aktywne smieci ktore znow infekuja karte - itd.

Znalazlem za to prosty sposob:

zaznaczamy oba smieci na karcie pamieci (folder recycled i plik autorun.inf) i dajemy opcje usun po czym w mgnieniu oka odlaczamy aparat/pendrive/czytnik kart od komputera - infekcja nie powroci na karte bo nie zdazy (u mnie potzrebowalo okolo 0,5 s a aparat odlaczylem od razu po kasacji tych smieci)

Efekt jest taki, ze aparat badz inne urzadzenie, jest czyste a komputer nadal zarazony, ale to juz pikuś - wystarczy teraz dokasowac komponenty takie jak:

- na poczatek pozbyc sie kopii pliku ctfmon.exe ktora siedzi w folderze autostart (pisalem o tym wyzej), patrzac na forum rzadko wystepuje ten plik ale u mnie sie pojawil, a kasowanie najpierw kluczy rejestru i plikow autorun.inf nic nie dawala, bo ten plik to regenerowal

- klucze rejestru, ktore wylistuje Silent badz Combofix, kasujemy cale klucze numerkowe - po chwili i tak sie zregeneruja ale juz bez zapisu smiecia

- pliki autorun.inf

to wykonales?

[misioq]

niestety zlapalem tego virusa, wiec zainstalowalem w koncu antywira na stale (darmowy avast) ktory wykryl u mnie tego trojana, dodatkowo na kazdym pendrivie tez byl ale po chwili usunal go (plik ctfmon.exe).
sprawdzalem komputer juz pare razy i jest czysty ale teraz jak podpinam pendrive to nie moge go otworzyc dwuklikiem, jak klikam prawym to pojawia mi sie open(0) i musze wybrac otworz.....
czy zna ktos jakis sposob aby to naprawic???

[wojtas]

misioq zaloz swoj temta wstaw logi opisz problem