Logi po infekcji robakiem z pendrive


(M3rcury) #1

Witam,

 

chciałbym prosić o sprawdzenie logów po dzisiejszej infekcji robakiem z pendrive. Niestety byłem zmuszony skorzystać z punktu ksero i od razu coś złapałem - infekcja charakteryzowała się tym, że po wejściu na "dysk wymienny" zamiast listy katalogów i plików pojawiała się ikonka skrótu "Removable Drive (1GB).lnk"

 

Przy pomocy programu UsbFix, chyba udało mi się usunąć robaka jednak nie jestem pewien czy w całości (problem z otwieraniem .pdf)

 

załączam log z:

UsbFix

  • drugi log z UsbFix (musiałem drugi raz skorzystać z ksero)

oraz logi z FRST:

 

i jeszcze taki mały offtop: za drugim razem chciałem zabezpieczyć pendrive tą metoda ale chyba nie wiele pomogło. Czy jest jakaś skuteczniejsza metoda zabezpieczenia pamięci przenośnej?

 

Pozdrawiam

M3rcury

 

 


(system) #2

Użyj skanera online lub programu typu MBAM, HitmanPro, Emsisoft Emergency Kit, ponieważ wirus mógł ukryć się poza zasięgiem skanu FRST.


(Acorus) #3

Jeżeli użyłeś opcji Clean to komputer i pendriv jest zabezpieczony.Otwórz notatnik systemowy i wklej:

HKLM\...\Run: [iTunesHelper] = C:\Program Files\iTunes\iTunesHelper.exe [169768 2015-04-12] (Apple Inc.)
HKLM-x32\...\Run: [Adobe ARM] = C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [1022152 2015-01-05] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [QuickTime Task] = D:\Program Files (x86)\QuickTime\QTTask.exe [421888 2015-01-25] (Apple Inc.)
HKLM-x32\...\Run: [] = [X]
S3 iscFlash; \\C:\Windows\Temp\ArchesP10SP10SG_BIOS_V150_WIN\x64\iscflashx64.sys [X]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(M3rcury) #4

Dobrze wiedzieć, że komputer jest bezpieczny. Dziękuje za pomoc.

 

pozdrawiam  :smiley:


(Acorus) #5

Nie napisałem,że jest bezpieczny a tylko zabezpieczony.Może go coś innego dorwać. 8)