Infekcja pendrive

mpshotter · 26 Maj 2010 21:34

Witam,

prawdopodobnie chodzi o autorun z pendriva (nie można otworzyć dysków - wyświetla komunikat otwórz za pomocą …) ale nie jestem pewien prosiłbym o pomoc oto log z otl:

http://wklej.org/id/340637/

http://wklej.org/id/340641/ - extras

– Dodane 27.05.2010 (Cz) 10:52 –

a więc pomoże ktoś?

dodatkowo logi z drugiego kompa bo nod32 pokazał infekcje …

http://wklej.org/id/340779/

http://wklej.org/id/340778/ -extras

capable225 · 27 Maj 2010 13:34

syfu trochę jest.

czy logi były wykonywane przy podłączonym pendrive?

jeśli nie, podłącz wszystkie zainfekowane pendrive’y i wykonaj jeszcze raz

mpshotter · 27 Maj 2010 15:42

tak przy podłączonych ale z pendrivów pozbyłem się tego usuwając autoruny i plik 33.exe drugiego kompa proszę nie sprawdzać bo właśnie mi się xpek wywalił i czeka mnie format po formacie wkleje logi bo na dysku d pewnie coś się ostało…

capable225 · 28 Maj 2010 15:10

1. podepnij zainfekowane pendrive’y

W Custom Scans/Fixes w OTL wklej:

:OTL O4 - HKU\S-1-5-21-2619750746-2946954297-226695-1006…\Run: [dso32] C:\Documents and Settings\Masta\Ustawienia lokalne\Temp\dsoqq.exe () O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - File not found O32 - AutoRun File - [2010-05-26 23:20:48 | 000,000,053 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-05-26 23:20:52 | 000,000,053 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-05-26 23:20:56 | 000,000,053 | RHS- | M] () - F:\autorun.inf – [FAT32] O32 - AutoRun File - [2010-05-26 23:21:02 | 000,000,053 | RHS- | M] () - G:\autorun.inf – [FAT32] O33 - MountPoints2{64b1555e-1fe0-11df-ae30-002243e2aa06}\Shell\AutoRun\command - “” = 33r.exe O33 - MountPoints2{64b1555e-1fe0-11df-ae30-002243e2aa06}\Shell\open\Command - “” = 33r.exe O33 - MountPoints2{68ec439a-61e4-11df-ae60-002243894f81}\Shell\AutoRun\command - “” = F:\p6xebrnt.exe – File not found O33 - MountPoints2{68ec439a-61e4-11df-ae60-002243894f81}\Shell\open\Command - “” = F:\p6xebrnt.exe – File not found O33 - MountPoints2{85beec66-26a2-11df-ae3f-002243894f81}\Shell\AutoRun\command - “” = G:\33r.exe – [2010-05-22 18:16:00 | 000,114,688 | RHS- | M] () O33 - MountPoints2{85beec66-26a2-11df-ae3f-002243894f81}\Shell\open\Command - “” = G:\33r.exe – [2010-05-22 18:16:00 | 000,114,688 | RHS- | M] () O33 - MountPoints2{f2a2c8f8-6684-11df-ae65-002243894f81}\Shell\AutoRun\command - “” = F:\33r.exe – [2010-05-22 18:16:00 | 000,114,688 | RHS- | M] () O33 - MountPoints2{f2a2c8f8-6684-11df-ae65-002243894f81}\Shell\open\Command - “” = F:\33r.exe – [2010-05-22 18:16:00 | 000,114,688 | RHS- | M] () O34 - HKLM BootExecute: (autocheck autochk *) - File not found :Files C:\Documents and Settings\Masta\Ustawienia lokalne\Temp\dsoqq0.dll C:\autorun.inf D:\autorun.inf F:\autorun.inf G:\autorun.inf F:\p6xebrnt.exe G:\33r.exe F:\33r.exe C:\33r.exe C:\p6xebrnt.exe C:\bar.emf C:\p9rs.exe :Reg [-HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] :Commands [emptytemp] [Reboot]

i kliknij: Run FIX

System samoczynnie się zrestartuje.

Po restarcie zrób i wrzuć nowego loga (wrzuć log podstawowy otl.txt oraz extras.txt )

użyj Flash Disinfector, aby zabezpieczyć pendrive’y

mpshotter · 28 Maj 2010 16:10

a więc tak tutaj logi z kompa po formacie:

http://wklej.org/id/341459/ - otl

http://wklej.org/id/341460/

i tutaj logi po kasowaniu z laptopa (na pendrivach użyłem autorun protector):

http://wklej.org/id/341465/# - extras

http://wklej.org/id/341466/ - otl

samego loga z kasowania nie mam … przepraszam ale nie zapisałem

capable225 · 29 Maj 2010 08:28

komputer 1:

Na pendrive’ach są dalej pliki autorun.

http://x86.pl/download/xp_no_autorun.reg - pobierz to i scal z rejestrem (uruchom). Wyłączy autorun.

Następnie użyj flash disinfector (podepnij wszystkie pendrive’y) lub jeśli masz z nim jakiś problem - USBfix.

W OTL kliknij CleanUp - program automatycznie usunie się

Wyłącz przywracanie systemu na wszystkich dyskach - tutorial: XP | Vista | Windows 7
Przeskanuj system Malwarebytes AntiMalware - ustaw pełne skanowanie oraz podeślij log
Włącz przywracanie
Przeczyść system Ccleaner’em
Zdefragmentuj dysk - możesz użyć programu windowsowego jak i również darmowego Defraggler - który szczerze polecam.

komputer 2:

również, jak w 1. przypadku użyj http://x86.pl/download/xp_no_autorun.reg - pobierz to i scal z rejestrem (uruchom). Wyłączy autorun.

W Custom Scans/Fixes w OTL wklej:

:OTL MOD - [2010-05-28 17:44:20 | 000,075,264 | RHS- | M] () – C:\Documents and Settings\Mateusz\Ustawienia lokalne\Temp\dsoqq1.dll O4 - HKU\S-1-5-21-117609710-1482476501-839522115-1003…\Run: [dso32] C:\Documents and Settings\Mateusz\Ustawienia lokalne\Temp\dsoqq.exe () O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - File not found O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shoc … wflash.cab (Shockwave Flash Object) O32 - AutoRun File - [2010-05-28 18:02:56 | 000,000,053 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-05-28 18:02:56 | 000,000,053 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2003-10-22 08:05:32 | 000,000,039 | R— | M] () - E:\AUTORUN.INF – [CDFS] O34 - HKLM BootExecute: (autocheck autochk *) - File not found :Files C:\autorun.inf C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-117609710-1482476501-839522115-1003UA.job C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-117609710-1482476501-839522115-1003Core.job C:\bu8.exe C:\WINDOWS\tasks\SA.DAT :Commands [emptytemp] [Reboot]

i kliknij: Run FIX

System samoczynnie się zrestartuje.

Po restarcie zrób i wrzuć nowego loga (wrzuć log podstawowy otl.txt oraz extras.txt )