Komputer zainfekowany przez pendrive

Gawron64 · 24 Marzec 2010 07:40

Witam

Ponad miesiąc temu pożyczyłem od kumpla pendrive’a i zauważyłem, że coś przedostało się do mojego kompa. Najpierw nie mogłem ustawić plików ukrytych na widoczne, potem były problemy z włączaniem windowsa ponieważ podczas ładowania się resetował samoistnie, były problemy z plikami systemowymi i wyskakiwała chmurka z napisem brak pliku **** uruchom CHKDSK, zdarzało się, że firefox i gadugadu przy pierwszym kliknięciu wyłączyły się od razu i prosiły o wysłanie raportu z błędem, zauważyłem też dziwne procesy, których wcześniej nie miałem np. y.exe, herss.exe czy se12ydam.exe oczywiście wyłączyłem je menadżerem, a po skanowaniu komputera avastem wybrałem opcję usuń-chociaż nawet po tym przy kolejnym skanowaniu wyskakiwało mi, że jest infekcja. Dodam, że nie mam zainstalowanej karty graficznej.

https://wklej.to/Dpv4

deFco247 · 24 Marzec 2010 09:47

Wyłącz i włącz Przywracanie Systemu na wszystkich dyskach. Instrukcja XP.

W białe dolne okno Custom Scans/Fixes w OTL wklej:

:OTL O32 - AutoRun File - [2010-01-29 15:29:30 | 000,000,049 | RHS- | M] () - C:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-01-29 15:29:30 | 000,000,049 | RHS- | M] () - D:\autorun.inf – [NTFS] O32 - AutoRun File - [2010-01-29 15:29:30 | 000,000,049 | RHS- | M] () - E:\autorun.inf – [NTFS] MsConfig - StartUpReg: cdoosoft - hkey= - key= - C:\Documents and Settings\A\Ustawienia lokalne\Temp\herss.exe () :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “SuperHidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “Hidden”=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowSuperHidden”=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] “CheckedValue”=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] [start explorer]

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan.

Usuń infekcje z pendrive lub kart pamięci za pomocą Flash Disinfector lub Panda USB Vaccine.

Lub format.

Gawron64 · 24 Marzec 2010 10:38

Raport po naprawie: http://wklej.to/o0YW

Raport po skanie: http://wklej.to/OHae

Syf z pendrive przechodzi do kompa od razu po podlączeniu, czy po wykonaniu jakiejkolwiek akcji na dowolnym pliku?

deFco247 · 24 Marzec 2010 10:46

Jeśli zastosuje się systemową funkcję autoodtwarzanie.

Zastosuj narzędzia, które podałem na końcu poprzedniego posta.

W OTL kliknij CleanUp.

Wykonaj pełny skan Malwarebytes’ Anti-Malware - znalezione obiekty usuń.

Gdy będą wirusy pokaż raport po usuwaniu.

Wyczyść rejestr i dysk CCleaner oraz wyłącz nim zbędniki z autostartu (Narzędzia -> Autostart).

Gawron64 · 24 Marzec 2010 12:57

Raport z Malwarebytes’ Anti-Malware: http://wklej.to/qOW6

Nie byłem pewien czy usuwać, więc pominąłem.

Raport po skanie (po użyciu programu CCleaner): http://wklej.to/gK6p

Pendrive’a przeczyściłem Pandą i jest czysty.

deFco247 · 24 Marzec 2010 13:15

To co znalazł MBAM nie musi być naprawiane/usuwane, gdyż to tylko powoduje wyskakiwanie komunikatów od badziewnego Centrum Zabezpieczeń.

Gawron64 · 24 Marzec 2010 16:15

Niby wszystko okej, ale podczas kontrolnego skanowania jednego z dysków firefox wyłączył się i prosił o wysłanie raportu, po czym dwukrotnie wyłączył się explorer.exe i też prosił o wysłanie raportu. Następnie wyskoczył blue screen zapisałem tylko to: Informacje Techniczne: **** STOP: 0x0000000A (0x04C08675, 0x00000002, 0x00000000. 0x805178A9) po czym zrestartowałem komputer. Teraz niby wszystko jest okej, nie widzę na razie żadnych problemów…