Robak, stracone dane na pendrive!

Dla specjalistów Bezpieczeństwo
#1

Witam!

 

OTL: http://www.wklej.org/id/1728691/

EXTRAS: http://www.wklej.org/id/1728692/

#2

Najzabawniejsze jest to, że nie podłączyłeś żadnego pendrive.

Przeczytaj regulamin działu, bo tam znajdziesz informację o tym jakie logi są obowiązkowe.

#3

Aahhh … Racja :frowning: Sprawa trochę się zmieniła … Trochę pokombinowałem i odzyskałem dane! Zgrałem je na dysk, mam je. A dwa pendrivy, sformatowałem … Nie wiem czy dobrze zrobiłem? ale komputer dalej ‘psuje’ pendrivy, bo robak jest pewnie dalej … Zrobię logi z tymi pendrive’ami … ;) 

#4

Podepnij pendrivy.Użyj USBFix z funkcji Usuń(Clean).Pokaż z niego log.http://www.usbfix.net/

http://forum.dobreprogramy.pl/farbar-recovery-scan-tool-raport-obowiązkowy-t478727/

#5

Niestety … jeden pendrive zostal u znajomego … ale drugiego mam. Podpiąłem do laptopa, uruchomiłem USBFix … i wyskoczył błąd przy 98% 

 

#6

Pokaż logi z FRST.

#7

LOGi:

#8

Odinstaluj Adobe Download Assistant,Akamai NetSession Interface.Otwórz notatnik systemowy i wklej:

HKLM-x32\...\Run: [] = [X]
HKLM-x32\...\RunOnce: [] = [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
CHR Extension: (Bookmark Manager) - C:\Users\Tomasz J\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-05-23]
U3 ac5ojlbr; C:\Windows\System32\Drivers\ac5ojlbr.sys [0] (Advanced Micro Devices) ==== ATTENTION (zero byte File/Folder)
S2 BstHdDrv; \\C:\Program Files (x86)\BlueStacks\HD-Hypervisor-amd64.sys [X]
S3 BT; system32\DRIVERS\btnetdrv.sys [X]
S3 BTCOM; system32\DRIVERS\btcomport.sys [X]
S3 cpuz134; \\C:\Users\TOMASZ~1\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X]
S3 IvtComBusSrv; System32\Drivers\btcombus.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
C:\ProgramData\Setting.dat
H:\*.lnk
CMD: attrib /d /s -s -h H:\*
Folder: H:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

#9

Fixlog: http://www.wklej.org/id/1729037/

#10

Skasuj folder C:\FRST

Wszystkie pliki masz w folderze bez nazwy H:\ .Utwórz nowy folder i tam przenieś pliki a folder bez nazwy usuń.

#11

Okej, tego pendrive sformatowałem i jest pusty … Tylko teraz pytanie czy jest jeszcze ten robak na laptopie? W sensie czy jak włożę teraz inny pendrive, to znowu nie zrobi mi z niego skrótu itd? Bo szkoda mi wkładac inny, zdrowy pendrive. A i jeszcze jedno, to co zrobić z drugim pendrive? Prawdopodobnie bede mial go w niedziele przy sobie, tylko czy podpinać go do komputera? On także był dzisiaj z rana formatowany.

#12

Laptop jest wyczyszczony.Pedrive po formacie też jest czysty.

#13

Eh … Chyba problem nie zniknął … Z tego co widzę, podłączyłem innego pendrive dzis … i znowu robi to samo. Mam przy sobie już dokładnie te dwa pendrivy, które miały wirusa. Jak postępować? Można liczyć na pomoc? W sumie to juz chyba 3 pendrivy mam zarażone … ;/ 2 są całkowicie puste, po formacie, jeden z danymi.

Wygląda to tak, po podłączeniu pendriva z danymi:

http://www.fotoszok.pl/upload/75e224fb.jpg

#14

Klikając w taki skrót uruchomisz wirusa i zainfekujesz system.

W tym dziale wymagane są logi zamiast zbędnych obrazków.

#15

LOGI:

#16

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-513388345-2481954787-3041473172-1000\...\Policies\Explorer: [] 
Task: {0B473346-37CA-4B73-BD6D-37873D50FEF0} - System32\Tasks\{E3FC9A7A-7F99-4EB2-8DA4-682164621C86} => pcalua.exe -a C:\SWTOOLS\DRIVERS\FSC\b1fsc12us14\setup.exe -d C:\SWTOOLS\DRIVERS\FSC\b1fsc12us14
Task: {20BD51FC-2945-44E9-9DE2-A9FC82B70B6F} - System32\Tasks\{8BE785BA-050C-4A00-AA54-F023A9CCB253} => pcalua.exe -a "D:\Program Files\EA Sports\FIFA 11\Support\FIFA 11_code.exe" -d "D:\Program Files\EA Sports\FIFA 11\Support"
Task: {4AA06D0B-4200-4CAE-A715-AB8D529F3622} - System32\Tasks\{CE17D7EF-31AC-4E98-B97D-A169AAE2BDF6} => pcalua.exe -a F:\Crack\Emulator.exe -d F:\Crack
Task: {84BB115F-A812-485D-BBB9-4BF94AD9FE2C} - System32\Tasks\{6B147FC1-DC48-4D2C-8C93-B7A00A974FDA} => pcalua.exe -a "K:\EPLAN Training PL.exe" -d K:\
Task: {8830A0FB-DF18-47E8-AD6E-35308C00C87D} - System32\Tasks\{ED5A9EED-B753-4E55-9F46-630F23E541CB} => pcalua.exe -a "C:\Users\Tomasz J\Desktop\GameRangerSetup.exe" -d "C:\Users\Tomasz J\Desktop"
Task: {AE5F494D-19D1-4A2B-8A11-B7A073F90D1C} - System32\Tasks\{2A9AE1BC-CB1A-42F2-8CDF-BC49E193C9F9} => pcalua.exe -a "K:\EPLAN P8 1.9 SP1 patch Windows x64\dseo13b.exe" -d "K:\EPLAN P8 1.9 SP1 patch Windows x64"
Task: {D13EEAC6-D76C-4790-84CF-4B9EA4588537} - System32\Tasks\{3477BB08-0120-401F-99C5-DA960A48D227} => pcalua.exe -a "K:\EPLAN P8 1.9 SP1 patch Windows x64\haspdinst.exe" -d "K:\EPLAN P8 1.9 SP1 patch Windows x64"
Task: {D23EFADE-421D-482B-9F6A-703BFB1D12A9} - System32\Tasks\{9D0D34CE-4989-496F-B3CF-CDA6827533EF} => pcalua.exe -a "C:\Users\Tomasz J\Desktop\wtw-setup-all.exe" -d "C:\Users\Tomasz J\Desktop"
Task: {E63B8924-AE54-4A2D-85AF-22BBAB9F4951} - System32\Tasks\{F453351A-B94F-4F41-AFB7-F38D256FC4C0} => pcalua.exe -a "E:\Win7\15. EM\setup.exe" -d "E:\Win7\15. EM"
AlternateDataStreams: C:\ProgramData:$SS_DESCRIPTOR_LBP6VPVFLVGVTFB84LTSUTB92PFNPC7BPV4XFJDMNGTFB5V5NBJ5TBBJMT9Y0N96GV6PYM54U3M96HFNXH553Y8VPHKL606FVGEG1P6ERPVRDVT8JL9JJMPYV0PRUEF39P8XHH0TCFUL44FTBX4MLSWPBXRTF6VEKLFEJK35PNX0WHNGT9LSVEVV1VTVVTVMVV7
AlternateDataStreams: C:\Windows:CM_22e950a7d28db40e8ef660b57d5bf5fdde5dd82aaa432aa126c5f3a4d5094d38
AlternateDataStreams: C:\Windows:CM_728410304308ed18a39aaafb21c9939788ef0b25cad7f3acfb61456035334ed6
AlternateDataStreams: C:\Users\All Users:$SS_DESCRIPTOR_LBP6VPVFLVGVTFB84LTSUTB92PFNPC7BPV4XFJDMNGTFB5V5NBJ5TBBJMT9Y0N96GV6PYM54U3M96HFNXH553Y8VPHKL606FVGEG1P6ERPVRDVT8JL9JJMPYV0PRUEF39P8XHH0TCFUL44FTBX4MLSWPBXRTF6VEKLFEJK35PNX0WHNGT9LSVEVV1VTVVTVMVV7
AlternateDataStreams: C:\ProgramData\Application Data:$SS_DESCRIPTOR_LBP6VPVFLVGVTFB84LTSUTB92PFNPC7BPV4XFJDMNGTFB5V5NBJ5TBBJMT9Y0N96GV6PYM54U3M96HFNXH553Y8VPHKL606FVGEG1P6ERPVRDVT8JL9JJMPYV0PRUEF39P8XHH0TCFUL44FTBX4MLSWPBXRTF6VEKLFEJK35PNX0WHNGT9LSVEVV1VTVVTVMVV7
AlternateDataStreams: C:\ProgramData\Dane aplikacji:$SS_DESCRIPTOR_LBP6VPVFLVGVTFB84LTSUTB92PFNPC7BPV4XFJDMNGTFB5V5NBJ5TBBJMT9Y0N96GV6PYM54U3M96HFNXH553Y8VPHKL606FVGEG1P6ERPVRDVT8JL9JJMPYV0PRUEF39P8XHH0TCFUL44FTBX4MLSWPBXRTF6VEKLFEJK35PNX0WHNGT9LSVEVV1VTVVTVMVV7
AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939
h:\*.lnk
CMD: attrib /d /s -s -h h:\*
CMD: dir /a h:\
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

#17

FRST: http://wklej.org/id/1732715/

 

Wszystko to robiłem z tym pendrivem wpiętym do laptopa, mam nadzieje, ze tak mialo być ? :wink:

#18

Skoro nie pokazałeś Fixlog to nie mogę Ci pomóc.

#19

Przepraszam, zapomniałem

#20

Trojan przeniósł pliki do folderu bez nazwy.

Przenieś pliki do innej lokalizacji i skasuj folder bez nazwy.

Skasuj folder C:\FRST

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Dysk przeskanuj ESET Online Scanner

Odinstaluj:

Adobe Flash Player 10 ActiveX

Adobe Flash Player 16 NPAPI

Java 7 Update 51

Java 7 Update 80

Java SE Development Kit 7 Update 80

Zainstaluj:

Flash Player 17.0.0.188 ActiveX

Flash Player 17.0.0.188 NPAPI

Java 8 Update 45