Ostatnio przyszła do mnie koleżanka… Chciała zgrać sobie zdjęcia na mój komputer i wrzucić gdzieś tam. Włożyła pen drive’a i oprócz zdjęć pojawiły się jakieś podejrzane pliki.
Udało się usunąć wszystkie z wyjątkiem “autoun”. Przy próbie jego usunięcia wyskakiwał komunikat o tym że plik jest używany przez innego użytkownika. Gdy ponownie włożyliśmy pen drive’a pliki pojawiły się na nowo… Włożyłem swojego pen drive’a i okazało się że u mnie również pojawiły się te pliki. Może mi ktoś powiedzieć co to jest i czy da się to usunąć ?
Za pierwszym razem zostawiłem podłączonego pen drive’a, skanowanie zatrzymało się w 22% i byłem zmuszony je przerwać… za drugim razem wyjąłem go i oto log:
############################## | UsbFix V 7.081 | [Research]
User: ADMIN (Administrator) # ADMIN
Updated 05/02/2012 by El Desaparecido
Started at 17:02:19 | 26/02/2012
Website: http://eldesaparecido.com
Suspicious file ? : http://eldesaparecido.com/upload.html
Contact: contact@eldesaparecido.com
PC: FUJITSU SIEMENS (D1325) (X86-based PC) # Desktop Computer
CPU: Intel(R) Pentium(R) 4 CPU 1.60GHz (1598)
RAM -> [Total : 383 | Free : 5]
BIOS: 4.06 Rev. 1.07.1325
BOOT: Normal boot
OS: Microsoft Windows XP Professional (5.1.2600 32-Bit) # Dodatek Service Pack 3
WB: Windows Internet Explorer 8.0.6001.18702
SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]
C:\ (%systemdrive%) -> Fixed drive # 19 Gb (4 Mb free - 22%) [] # NTFS
D:\ -> Fixed drive # 19 Gb (8 Mb free - 43%) [] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> CD-ROM
################## | Active Processes |
C:\WINDOWS\System32\smss.exe (496)
C:\WINDOWS\system32\winlogon.exe (576)
C:\WINDOWS\system32\services.exe (620)
C:\WINDOWS\system32\lsass.exe (632)
C:\WINDOWS\system32\svchost.exe (792)
C:\WINDOWS\System32\svchost.exe (1092)
C:\WINDOWS\system32\svchost.exe (1128)
C:\WINDOWS\Explorer.EXE (1376)
C:\WINDOWS\system32\spoolsv.exe (1664)
C:\WINDOWS\UnsignedThemesSvc.exe (1704)
C:\WINDOWS\FixCamera.exe (1876)
C:\WINDOWS\tsnp325.exe (1892)
C:\WINDOWS\vsnp325.exe (1936)
C:\WINDOWS\system32\RUNDLL32.EXE (224)
C:\Program Files\Common Files\Java\Java Update\jusched.exe (260)
C:\WINDOWS\system32\ctfmon.exe (388)
D:\Program Files\DAEMON Tools Lite\DTLite.exe (448)
C:\Documents and Settings\ADMIN\lvqiox.exe (1008)
D:\Program Files\LogMeIn Hamachi\hamachi-2.exe (1264)
C:\Program Files\Java\jre6\bin\jqs.exe (1584)
C:\WINDOWS\system32\nvsvc32.exe (1820)
C:\WINDOWS\system32\svchost.exe (220)
C:\WINDOWS\system32\wscntfy.exe (1956)
C:\WINDOWS\system32\cmd.exe (3736)
C:\UsbFix\Tools\GREP.com (3744)
C:\Documents and Settings\ADMIN\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe (3800)
C:\Documents and Settings\ADMIN\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe (756)
C:\Documents and Settings\ADMIN\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe (948)
C:\Documents and Settings\ADMIN\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe (1788)
C:\UsbFix\Go.exe (876)
################## | Files # Infected Folders |
Found ! C:\DOCUME~1\ADMIN\USTAWI~1\Temp\AutoRun.exe
Found ! C:\Documents and Settings\ADMIN\autorun.inf
Found ! C:\Documents and Settings\ADMIN\lvqiox.exe
################## | Registry |
Found ! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|lvqiox
################## | Mountpoints2 |
################## | Vaccin |
(!) This computer is not vaccinated!
################## | E.O.F |
ok spróbuje
– Dodane 26.02.2012 (N) 17:48 –
No zrobiłem tak jak kazałeś… I tak jak poprzednio wszystko stanęło na 22%
Nie wyłączyłem jeszcze programu, opłaca się czekać ? czy to się w ogóle ruszy ?