Dziwne pliki w pen drive'ach


(Pkostrzewski1) #1

Witam.

Ostatnio przyszła do mnie koleżanka.. Chciała zgrać sobie zdjęcia na mój komputer i wrzucić gdzieś tam. Włożyła pen drive'a i oprócz zdjęć pojawiły się jakieś podejrzane pliki. scaled.php?server=3&filename=akj.png&res=medium

Udało się usunąć wszystkie z wyjątkiem "autoun". Przy próbie jego usunięcia wyskakiwał komunikat o tym że plik jest używany przez innego użytkownika. Gdy ponownie włożyliśmy pen drive'a pliki pojawiły się na nowo... Włożyłem swojego pen drive'a i okazało się że u mnie również pojawiły się te pliki. Może mi ktoś powiedzieć co to jest i czy da się to usunąć ?

Z góry dziękuje.


(Drobok) #2

Wykonaj skan usbfix, log wstaw na forum :slight_smile:


(Acorus) #3

Przy podpiętych pendrivach Użyj USBFix http://www.teamxscript.org/usbfixTelechargement.htmlhttp://www.speedyshare.com/files/30067579/UsbFix.exe

Kliknij w nim na przycisk "DELETION" (jeśli jakiś folder nazwałeś muza lub muzyka to zmień na inną przed użyciem USBFix.).

Daj raport z tego narzędzia.


(Pkostrzewski1) #4

Za pierwszym razem zostawiłem podłączonego pen drive'a, skanowanie zatrzymało się w 22% i byłem zmuszony je przerwać... za drugim razem wyjąłem go i oto log:

############################## | UsbFix V 7.081 | [Research]


User: ADMIN (Administrator) # ADMIN

Updated 05/02/2012 by El Desaparecido

Started at 17:02:19 | 26/02/2012


Website: http://eldesaparecido.com

Suspicious file ? : http://eldesaparecido.com/upload.html

Contact: contact@eldesaparecido.com


PC: FUJITSU SIEMENS (D1325) (X86-based PC) # Desktop Computer

CPU: Intel(R) Pentium(R) 4 CPU 1.60GHz (1598)

RAM -> [Total : 383 | Free : 5]

BIOS: 4.06 Rev. 1.07.1325            

BOOT: Normal boot


OS: Microsoft Windows XP Professional (5.1.2600 32-Bit) # Dodatek Service Pack 3

WB: Windows Internet Explorer 8.0.6001.18702


SC: Security Center Service [Enabled]

WU: Windows Update Service [Enabled]

FW: Windows FireWall Service [Enabled]


C:\ (%systemdrive%) -> Fixed drive # 19 Gb (4 Mb free - 22%) [] # NTFS

D:\ -> Fixed drive # 19 Gb (8 Mb free - 43%) [] # NTFS

E:\ -> CD-ROM

F:\ -> CD-ROM

G:\ -> CD-ROM


################## | Active Processes |


C:\WINDOWS\System32\smss.exe (496)

C:\WINDOWS\system32\winlogon.exe (576)

C:\WINDOWS\system32\services.exe (620)

C:\WINDOWS\system32\lsass.exe (632)

C:\WINDOWS\system32\svchost.exe (792)

C:\WINDOWS\System32\svchost.exe (1092)

C:\WINDOWS\system32\svchost.exe (1128)

C:\WINDOWS\Explorer.EXE (1376)

C:\WINDOWS\system32\spoolsv.exe (1664)

C:\WINDOWS\UnsignedThemesSvc.exe (1704)

C:\WINDOWS\FixCamera.exe (1876)

C:\WINDOWS\tsnp325.exe (1892)

C:\WINDOWS\vsnp325.exe (1936)

C:\WINDOWS\system32\RUNDLL32.EXE (224)

C:\Program Files\Common Files\Java\Java Update\jusched.exe (260)

C:\WINDOWS\system32\ctfmon.exe (388)

D:\Program Files\DAEMON Tools Lite\DTLite.exe (448)

C:\Documents and Settings\ADMIN\lvqiox.exe (1008)

D:\Program Files\LogMeIn Hamachi\hamachi-2.exe (1264)

C:\Program Files\Java\jre6\bin\jqs.exe (1584)

C:\WINDOWS\system32\nvsvc32.exe (1820)

C:\WINDOWS\system32\svchost.exe (220)

C:\WINDOWS\system32\wscntfy.exe (1956)

C:\WINDOWS\system32\cmd.exe (3736)

C:\UsbFix\Tools\GREP.com (3744)

C:\Documents and Settings\ADMIN\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe (3800)

C:\Documents and Settings\ADMIN\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe (756)

C:\Documents and Settings\ADMIN\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe (948)

C:\Documents and Settings\ADMIN\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe (1788)

C:\UsbFix\Go.exe (876)


################## | Files # Infected Folders |


Found ! C:\DOCUME~1\ADMIN\USTAWI~1\Temp\AutoRun.exe

Found ! C:\Documents and Settings\ADMIN\autorun.inf

Found ! C:\Documents and Settings\ADMIN\lvqiox.exe


################## | Registry |


Found ! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|lvqiox


################## | Mountpoints2 |




################## | Vaccin |


(!) This computer is not vaccinated!


################## | E.O.F |

ok spróbuje :smiley:

-- Dodane 26.02.2012 (N) 17:48 --

No zrobiłem tak jak kazałeś... I tak jak poprzednio wszystko stanęło na 22%

Nie wyłączyłem jeszcze programu, opłaca się czekać ? czy to się w ogóle ruszy ?


(Acorus) #5

Spróbuj w trybie awaryjnym.Pokaż logi z OTL otl-gmer-rsit-dss-inne-instrukcje-t370405.html