Problem z zawirusowaniem dysku zewnętrznego Toshiba

Dla specjalistów Bezpieczeństwo
#1

Witam. Mam problem z dyskiem zewnętrznym. Wszystkie foldery pozamieniały się w skróty. Ich odnośnikiem jest nieistniejący wygaszacz ekranu H:\fapev.scr Pliki takie jak filmy czy dokumenty w folderze głównym otwierają się normalnie. Sprawdziłam dysk nortonem i nie wykazało żadnego wirusa. Sprawdziłam także dysk programem UsbFix i wyświetliło mi:

############################## | UsbFix 7.055 | [Research]

User: domzus (Administrator) # DOMZUS-PC [TOSHIBA Satellite A200]

Updated 06/08/2011 by El Desaparecido

Started at 14:40:31 | 07/08/2011

Website: http://www.teamxscript.org

Submit your sample: http://www.teamxscript.org/Upload.php

Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel® Core2 CPU T5300 @ 1.73GHz

CPU 2: Intel® Core2 CPU T5300 @ 1.73GHz

Microsoft® Windows Vista™ Home Premium (6.0.6000 32-Bit) #

Internet Explorer 7.0.6000.16386

Windows Firewall: Disabled /!\

Antivirus: Kaspersky PURE 9.1.0.124 [(!) Disabled | (!) Outdated]

Firewall: Kaspersky PURE 9.1.0.124 [(!) Disabled]

RAM -> 2038 Mb

C:\ (%systemdrive%) -> Fixed drive # 110 Gb (93 Mb free - 84%) [Vista] # NTFS

D:\ -> Fixed drive # 298 Gb (27 Mb free - 9%) [HORACY] # FAT32

E:\ -> CD-ROM

################## | Files # Infected Folders |

Found ! D:\New Folder.lnk

Found ! D:\Passwords.lnk

Found ! D:\Documents.lnk

Found ! D:\Pictures.lnk

Found ! D:\Music.lnk

Found ! D:\Video.lnk

Found ! D:\TOSHIBA.lnk

Found ! D:\magisterka.lnk

Found ! D:\New Folder (3).lnk

Found ! D:\debl.lnk

Found ! D:\pulpit.lnk

Found ! D:\marillion.lnk

Found ! D:\Habakuk - Sztuka Ulotna [2011].lnk

Found ! D:\od patsi.lnk

Found ! D:\udomz.lnk

Found ! D:\marillion live from ch.lnk

Found ! D:\yeskiez i mysli rozczochrane wiatrem zapisane.lnk

Found ! D:\turzix czeriwec 2011.lnk

Found ! D:\debl - Copy.lnk

Found ! D:\z visty.lnk

Found ! D:\dokumenty.lnk

Found ! D:\muzyka.lnk

Found ! D:\ZDJĘCIA.lnk

Found ! D:\stepmania.lnk

Found ! D:\System Volume Information.lnk

Found ! D:\Recycled.lnk

Found ! D:\FILMY.lnk

Found ! D:\cs.lnk

Found ! D:\turzix czeriwec 2011 - Copy.lnk

Found ! D:\MUZYKA

################## | Registry |

################## | Mountpoints2 |

################## | Vaccin |

C:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)

D:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)

################## | E.O.F |

Zajęta pamięć dysku jest taka sama jak przed zainfekowaniem. Proszę o pomoc!

#2

Ustaw pokazywanie plików ukrytych i systemowych, a później skasuj z pendrive wszystkie dziwne pliki.

Skróty możesz usunąć ręcznie.

Dodatkowo pendrive zabezpiecz np. Panda USB Vaccine

#3

Niestety skasowanie różnych dziwnych plików nie działa. Nie chcę usunąć skrótów ręcznie bo boję się, że utracę naprawdę ważne dla mnie dane. Zatem to grubsza sprawa. To nie jest pendrive tylko 300 gigowy dysk zewnętrzny na którym bardzo mi zależy :frowning:

#4

Aby zostać zainfekowanym, wystarczy podłączyć tylko zainfekowany dysk przenośny jeśli autoodtwarzanie jest włączone lub wyświetlić zawartość dysku USB za pomocą dowolnego programu, który automatcznie pokazuje ikonki plików (np. Total Commander czy Windows Explorer), jeśli autoodtwarzanie jest wyłączone.

Zapobieganie:

Instalacja łaty eliminującej lukę w przetwarzaniu skrótów: KB2286198

Biuletyn zabezpieczeń firmy Microsoft MS10-046 – krytyczny

http://www.microsoft.com/poland/technet … 0-046.mspx

Leczenie:

jeżeli nie zainstalowaliśmy łaty i zostaniemy zainfekowani musimy wykonać kolejne działania:

  1. instalacja łaty – bez łaty leczenie może być nieskuteczne

  2. usunięcie infekujących plików oraz plików .lnk (skrótów) jak przy normalnej infekcji

  3. zdjęcie atrybutów ukryty + systemowy z katalogów, aby foldery stały się widoczne

#5

domzus87 ,

Zapoznaj się z tematem i popraw tytuł tematu na konkretny, mówiący o problemie. W celu dokonania zaleconej korekty proszę użyć przycisku Edytuj przy poście otwierającym ten temat.

Zignorowanie zalecenia będzie skutkowało usunięciem tematu do Kosza.

#6

Użyj USBFix z funkcji Deletion.(jeśli jakiś folder nazwałeś muza lub muzyka to zmień na inną przed użyciem USBFix.).

Daj raport z tego narzędzia.

Pokaż logi z OTL otl-gmer-rsit-dss-inne-instrukcje-t370405.html