kremuwa
(kremuwa)
11 Listopad 2013 10:25
#1
Znajoma kopiowała ostatnio wyniki swojej pracy na uczelni na pendrive’a - zainfekowała go, a następnie swój komputer, który od tego momentu zaczął infekować wszystkie podpinane do niego pendrive’y. Infekcja objawia się tym, że po wejściu na pendrive’a widać skrót do tego pendrive’a, po kliknięciu na który wyskakuje niezrozumiały komunikat o błędzie. Próbowałem przeglądać go z poziomu Total Commandera - to samo. Chciałbym odzyskać pliki z pendrive’a (poza katalogiem, w którym jest robak - znam jego nazwę), a także usunąć robaka ze swojego komputera. Zastanawiam się, czego mogę użyć do odzyskania plików i jaki skrypt wstawić do OTLa, by pożegnać się z wirusem.
OTL log:
http://wklej.org/id/1173807/
OTL extras:
http://wklej.org/id/1173808/
falcon89
(falcon89)
11 Listopad 2013 10:32
#2
Wstaw raport UsbFix z opcji Listing (podłącz zainfekowane urządzenia).
kremuwa
(kremuwa)
11 Listopad 2013 10:57
#3
Dane już odzyskałem (korzystając z wyszukiwania plików w Windowsie) i sformatowałem pendrive, więc nie jestem pewien, czy nadal będzie na nim widoczna infekcja:
http://wklej.org/id/1173835/
Tu znalazłem podobny wątek, może okaże się przydatny:
wirus-tworzy-skroty-pendrive-ach-jak-usunac-t539475.html
Atis
(Atis)
11 Listopad 2013 11:25
#4
Odinstaluj:
Qtrax Player
Delta Chrome Toolbar
TornTV
Akamai NetSession Interface
AVG Security Toolbar
Babylon toolbar
Delta toolbar
Incredibar Toolbar on IE
uTorrentBar Toolbar
weDownload Manager Pro
IB Updater Service
WebCake
Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.
Pokaż nowy log z OTL.
kremuwa
(kremuwa)
11 Listopad 2013 14:03
#5
Atis
(Atis)
12 Listopad 2013 06:14
#6
Odinstaluj McAfee Security Scan.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL IE - HKU\S-1-5-21-2484545880-2796358994-1440105489-1000…\SearchScopes{8A05DC6D-5BE8-4FF3-BB74-1E26C63F9B6A}: “URL” = http://websearch.ask.com/redirect?clien … src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^YYYYYY^YY^PL&apn_uid=0B9775C3-A33B-44F6-A5AA-653092185D3A&apn_sauid=89B898D0-5DAB-4DF3-AF2A-A8DD829932EF O4 - HKU\S-1-5-21-2484545880-2796358994-1440105489-1000…\Run: [Akamai NetSession Interface] “C:\Users\Karolina\AppData\Local\Akamai\netsession_win.exe” File not found O4 - HKU\S-1-5-21-2484545880-2796358994-1440105489-1000…\Run: [ares] “C:\Program Files (x86)\Ares\Ares.exe” -h File not found O4 - HKU\S-1-5-21-2484545880-2796358994-1440105489-1000…\Run: [Gadu-Gadu 10] “C:\Users\Karolina\Desktop\Gadu-Gadu 10\gg.exe” File not found O4 - HKU\S-1-5-21-2484545880-2796358994-1440105489-1000…\Run: [LiveSupport] “C:\Program Files (x86)\LiveSupport\LiveSupport.exe” /noshow /log File not found O4 - HKU.DEFAULT…\RunOnce: [sPReview] “C:\Windows\System32\SPReview\SPReview.exe” /sp:1 /errorfwlink:“http://go.microsoft.com/fwlink/?LinkID=122915 ” /build:7601 File not found O4 - HKU\S-1-5-18…\RunOnce: [sPReview] “C:\Windows\System32\SPReview\SPReview.exe” /sp:1 /errorfwlink:“http://go.microsoft.com/fwlink/?LinkID=122915 ” /build:7601 File not found O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found [2013-11-11 13:54:40 | 000,000,000 | —D | C] – C:\AdwCleaner [2012-03-05 22:40:56 | 002,371,152 | ---- | C] (DownVision ) – C:\Users\Karolina\AppData\Local\setup.exe [2013-11-11 13:58:17 | 000,000,350 | ---- | M] () – C:\Windows\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
Aby usunąć wszystkie punkty przywracania
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.
http://wstaw.org/m/2012/12/29/2012-12-29_005346.png