_Ka
(_Ka_)
29 Maj 2014 20:43
#1
Drodzy wirusolodzy,
po podpięciu dziś zewnętrznego dysku do laptopa AVG wykrył zagrożenie na jednej z partycji tego dysku: najpierw (od razu po podpięciu dysku) alarmował, jakoby znalazł wirusa Worm/AutoRun o ścieżkach h:\autorun.inf i g:\autorun.inf, a następnie (po otworzeniu folderów na dysku) znalazł wirusa Worm/VB.9.BT o ścieżce h:\kapef.scr (h i g do partycje tego zewnętrznego dysku). Zagrożeń nie mogłam zlikwidować za pomocą AVG - ani usunąć, ani przenieść do przechowalni. Co mam z nimi zrobić. Poniżej zamieszczam logi z OTL.
Dodam jeszcze, że jakiś czas temu walczyłam z wirusami, które tworzyły na pamięciach przenośnych (pendrive, karty pamięci, a nawet Kindle) skróty folderów… Czy to znów to samo?
Pozdrawiam
Kasia
OTL: http://www.wklej.org/id/1377015/
Extras:http://www.wklej.org/id/1377016/
Atis
(Atis)
29 Maj 2014 21:24
#2
Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.
Pokaż raport UsbFix z opcji Listing.
Pobierz Farbar Recovery Scan Tool 64-Bit Version
Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.
_Ka
(_Ka_)
30 Maj 2014 14:29
#3
Atis
(Atis)
30 Maj 2014 15:11
#4
Wyłącz AVG, bo będzie blokował ususwanie.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Runonce: [] - [X]
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKU\S-1-5-21-2789539982-234758258-1502751527-1000\...\Run: [AdobeBridge] => [X]
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {E93AB00C-7185-4095-9FBF-1F92BE33B7B2} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=B948FB36-C813-466F-8199-938CE1C742F2&apn_sauid=C5D5D36D-F914-4615-87B8-1F4C32C31A1E
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - No File
C:\temp
C:\AdwCleaner
C:\Users\a\AppData\Local\Temp*.html
C:\Users\a\AppData\Local\Temp\*.dll
C:\Users\a\AppData\Local\Temp\*.exe
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater" /f
G:\kapef.scr
G:\autorun.inf
G:\kapef.exe
G:\*.lnk
G:\RECYCLER
H:\kapef.scr
H:\*.lnk
H:\kapef.exe
H:\RECYCLER
H:\Thumbs.db
H:\autorun.inf
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
Pokaż nowy raport UsbFix z opcji Listing.
_Ka
(_Ka_)
30 Maj 2014 15:28
#5
Atis
(Atis)
30 Maj 2014 15:35
#6
Przecież napisałem, że masz wyłączyć program antywirusowy.
_Ka
(_Ka_)
30 Maj 2014 16:24
#7
Przepraszam. Wyłączyłam, tylko pewnie sam się włączył podczas restartu po uruchomieniu Fix w FRST.
Zatem jeszcze raz:
Fixlog: http://www.wklej.org/id/1377692/
FRST: http://www.wklej.org/id/1377698/
UsbFix: http://www.wklej.org/id/1377699/
Atis
(Atis)
30 Maj 2014 16:56
#8
W takim razie nie wiadomo dlaczego nie można usunąć szkodliwych plików z tych dysków.
Spróbuj w trybie awaryjnym.
Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.
http://support.kaspersky.com/pl/general/various/493#q1
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
G:\kapef.scr
G:\autorun.inf
G:\kapef.exe
G:\*.lnk
H:\kapef.scr
H:\*.lnk
H:\kapef.exe
H:\autorun.inf
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
Pokaż nowy raport UsbFix z opcji Listing.
_Ka
(_Ka_)
2 Czerwiec 2014 20:32
#9
Raporty z działań w trybie awaryjnym
Fixlog http://www.wklej.org/id/1380969/
FRST http://www.wklej.org/id/1380974/
UsbFix http://www.wklej.org/id/1380976/
Czy można określić, czy ta infekcja zaatakowała cały komputer czy tylko te zewnętrzne dyski?
Atis
(Atis)
2 Czerwiec 2014 21:23
#10
Jak widzisz pliki nadal są na dysku:
G:\kapef.scr
G:\autorun.inf
G:\kapef.exe
H:\kapef.scr
H:\kapef.exe
H:\autorun.inf
Spróbuj ręcznie skasować szkodliwe pliki.
Pobierz MultiCommander Portable version 64Bit:
http://multicommander.com/downloads
W opcjach programu ustaw w ten sposób:
Widok -> Panel eksploratora -> Pokaż ukryte pliki i foldery
_Ka
(_Ka_)
3 Czerwiec 2014 15:24
#11
Usunęłam. Co dalej?
Ponawiam poprzednie pytanie: Czy można określić, czy ta infekcja zaatakowała cały komputer czy tylko te zewnętrzne dyski?
Atis
(Atis)
3 Czerwiec 2014 16:01
#12
Nie widać żadnej infekcji oprócz tych plików na dyskach zewnętrznych.
Skasuj folder C:\FRST i C:\UsbFix
Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.
http://wstaw.org/m/2014/03/25/2014-03-25_123039.png
Język PL > Settings > General Settings > Language > Polish
Odinstaluj:
Adobe Reader 9.4.4
Adobe Shockwave Player
Java 6 Update 17
Java 6 Update 22
Java 6 Update 31
Zainstaluj Java 7 Update 60 i Adobe Reader
_Ka
(_Ka_)
3 Czerwiec 2014 17:10
#13
Atis
(Atis)
3 Czerwiec 2014 20:54
#14
Dodaj wszystko do kwarantanny.
Poczytaj o programach typu SoftonicDownloader: KLIK