Pendrive malware

Fanny · 29 Wrzesień 2009 18:41

Witam, kilka dni temu dotknął mnie problem pendrivowego malware ten wątek. Problem został rozwiązany dzięki pomocy jessica’i jednak dzisiaj przez nieuwagę wsadziłem pendrive do kompa i Symantec wyłapał jakieś badziewie w folderze tymczasowym…

Moje pytanie: jak usunąć ten malware z pamięci i czy komputer jest czysty? w linku aktualny log z OTL /flash został wyjęty/

OTL LOG

grzegorz.wgw · 29 Wrzesień 2009 18:52

Przerzuć dane na komputer, sformatuj flaszkę i zastosuj potem Flash Disinfector. Tworzy on nieusuwalny folder z plikiem autorun, przez który często przedostają się wirusy.

jessica · 29 Wrzesień 2009 19:02

Uruchom OTL i w oknie Custom Scans/Fixes wklej to:

:OTL

PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)


:Files

c:\mjafm.exe

e:\mjafm.exe

f:\mjafm.exe

g:\mjafm.exe

h:\mjafm.exe

i:\mjafm.exe

j:\mjafm.exe

k:\mjafm.exe

c:\autorun.inf

e:\autorun.inf

f:\autorun.inf

g:\autorun.inf

h:\autorun.inf

i:\autorun.inf

j:\autorun.inf

k:\autorun.inf


:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"SuperHidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"Hidden"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

"ShowSuperHidden"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]

@=""


:Commands

[emptytemp]

[start explorer]

[Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Następnie uruchom OTL ponownie, tym razem wywołaj opcję Run Scan.

Pokaż nowy log OTL.txt oraz log z czyszczenia.

Zapoznaj się z tym:

http://helpc.eu/usuwanie-infekcji-pendrive-t34.html

jessi

Fanny · 29 Wrzesień 2009 20:39

załączam logi z czyszczenia

po czyszczeniu

z materiałem dot. usuwania szkodników z pendrive się zapoznam

dzięki serdeczne

jessica · 29 Wrzesień 2009 22:19

Coś z tym usuwaniem poszło “nie tak”.

File [KEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] not found. File [KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] not found. File [KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] not found. File [KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] not found. File [KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] not found. Folder [KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]\ not found. Folder [KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]\ not found. Unable to delete ADS ="" . File Emptytemp] not found. File start explorer] not found. File Reboot] not found.

To tak wygląda, jakby te zaznaczone na niebiesko elementy podanego przeze mnie Scriptu zostały obcięte przy wklejaniu do OTL. Pliki też zostały chyba obcięte, bo wcale nic nie ma o nich w raporcie z usuwania.

jessi

Fanny · 30 Wrzesień 2009 16:12

Nie wspomniałem wcześniej, a może ma znaczenie, że zainstalowałem poprawkę (dot. pendrive) z tej stronki, którą mi poleciłeś? … i dlatego ten kod który podałeś nie zadziałał… nie zrobiłem też Cleanup w OTL, po prostu przeoczyłem tj. nie wróciłem do pierwszego wątku, może to też ma jakieś znaczenie…?

pozdrawiam