Samoistne infekowanie dysków przenośnych przez komputer PC

Acek · 27 Maj 2010 11:21

Witam

Znów mam dość nietypowy problem… Po włożeniu pendrive do komputera pen zostaje automatycznie zainfekowany jakimś plikiem o nazwie “cyro.exe”. Malwarebytes nic nie wykrywa, próba rozwiązania problemu za pomocą antywirusa nie odniosła rezultatu… Obydwa programy zostały zaktualizowane… Co ciekawe poza wirusowaniem penów, komputer działa prawidłowo, nie ma żadnych innych kłopotów. Nie wiem jakie kroki dalej podjąć. Poniżej wklejam log z programu OWL:

http://www.wklejto.pl/68389

bardzo będę wdzięczny za pomoc.

pozdrawiam, Acek

scripter1 · 27 Maj 2010 12:33

C:\AUTOEXEC.BAT wygląda na zainfekowany, ComboFix powinien se z tym poradzić.

anon53382939 · 27 Maj 2010 13:15

Mi się tak nie wydaje…

W ostateczności.

W białe dolne okno Custom Scans/Fixes w OTL wklej:

:OTL O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com) O3 - HKLM…\Toolbar: (Foxit Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com) O3 - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKU\S-1-5-21-606747145-1214440339-725345543-1003…\Toolbar\WebBrowser: (Foxit Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll (Ask.com) O3 - HKU\S-1-5-21-606747145-1214440339-725345543-1003…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll () O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Asia\Dane aplikacji\wyzlo.exe) - C:\Documents and Settings\Asia\Dane aplikacji\wyzlo.exe File not found O20 - HKU\S-1-5-21-606747145-1214440339-725345543-1003 Winlogon: Shell - (C:\Documents and Settings\Asia\Dane aplikacji\wyzlo.exe) - C:\Documents and Settings\Asia\Dane aplikacji\wyzlo.exe File not found O33 - MountPoints2{00648fae-6715-11df-a3db-00241d821423}\Shell\AutoRun\command - “” = I:\ZRNO\soli.exe – File not found O33 - MountPoints2{00648fae-6715-11df-a3db-00241d821423}\Shell\open\command - “” = I:\ZRNO\soli.exe – File not found O33 - MountPoints2{627b1986-ad17-11de-a2f4-00241d821423}\Shell\AutoRun\command - “” = ZRNO//soli.exe O33 - MountPoints2{627b1986-ad17-11de-a2f4-00241d821423}\Shell\open\command - “” = ZRNO//soli.exe O33 - MountPoints2{6ce9fd5e-c4df-11de-a315-00241d821423}\Shell\AutoRun\command - “” = cache.tmp\tmp376.exe O33 - MountPoints2{6ce9fd5e-c4df-11de-a315-00241d821423}\Shell\open\cOmmanD - “” = cache.tmp\tmp376.exe O33 - MountPoints2{edf37daa-df2c-11de-a331-00241d821423}\Shell\AutoRun\command - “” = I:\cyro.exe – File not found O33 - MountPoints2{edf37daa-df2c-11de-a331-00241d821423}\Shell\explore\command - “” = I:\cyro.exe – File not found O33 - MountPoints2{edf37daa-df2c-11de-a331-00241d821423}\Shell\open\command - “” = I:\cyro.exe – File not found :Files C:\Program Files\AskBarDis C:\Program Files\DAEMON Tools Toolbar :Commands [emptytemp] [Reboot]

Kliknij w Run Fix. Zatwierdź restart komputera.

Potem log z usuwania oraz nowy log robiony opcją Run Scan.

Znasz to?

Acek · 27 Maj 2010 13:57

log ze skasowania:

http://www.wklejto.pl/68404

log z nowego skanu:

http://www.wklejto.pl/68406

Dodam, że cały czas jest to samo, włożenia pena powoduje stworzenie pliku cyro.exe. Nic nie mówią te 2 pliki, które wskazałeś. Może to one są przyczyną problemów?

deFco247 · 27 Maj 2010 15:49

Wspomniane wyżej pliki to infekcje, które mogą zwiastować coś gorszego.

Dlatego też oprócz logów z OTL wstaw log z GMER.

Przed uruchomieniem odinstaluj wszelkie programy tworzące wirtualne napędy (Daemon Tools, Alcohol itp.) oraz usuń instalowany przez nie sterownik SPTD narzędziem SPTDInst z opcji Uninstall (jeśli będzie zszarzałe, to OK).

W białe dolne okno Custom Scans/Fixes w OTL wklej:

:OTL PRC - [2010-05-07 12:57:09 | 000,318,464 | ---- | M] (Four-F) – C:\WINDOWS\system32\pyfynnimmaz.exe PRC - [2010-04-12 16:57:37 | 000,282,624 | ---- | M] (Four-F) – C:\WINDOWS\system32\zoopuquy.exe SRV - [2010-05-07 12:57:09 | 000,318,464 | ---- | M] (Four-F) [Auto | Stopped] – C:\WINDOWS\system32\moobiwoubi.exe – (oejei1akote) O4 - HKLM…\Run: [diru] C:\WINDOWS\system32\pyfynnimmaz.exe (Four-F) O4 - HKLM…\Run: [giryl] C:\WINDOWS\system32\zoopuquy.exe (Four-F) O4 - HKLM…\Run: [NBKeyScan] F:\Program Files\Nero 8\Nero BackItUp\NBKeyScan.exe File not found O4 - HKU\S-1-5-21-606747145-1214440339-725345543-1003…\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files\Common Files\Nero\Lib\NMBgMonitor.exe File not found O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/ … vc1dmo.cab (Reg Error: Key error.) O20 - HKLM Winlogon: TaskMan - (c:\documents and settings\asia\dane aplikacji\wyzlo.exe) - c:\documents and settings\asia\dane aplikacji\wyzlo.exe File not found O20 - HKU\S-1-5-21-606747145-1214440339-725345543-1003 Winlogon: Shell - (C:\Documents and Settings\Asia\Dane aplikacji\wyzlo.exe) - C:\Documents and Settings\Asia\Dane aplikacji\wyzlo.exe File not found :Commands [emptytemp] [start explorer] [Reboot]

Run Fix. Restart, jeśli będzie potrzebny.

Potem log z usuwania (raport, który wyskoczy po usuwaniu OTL-em) oraz nowy log robiony opcją Run Scan.

Acek · 27 Maj 2010 18:40

Log z GMERA:

http://www.wklejto.pl/68422

Log z fixa dokonanego przez OTL:

http://www.wklejto.pl/68423

Log z nowego skanu:

http://www.wklejto.pl/68424

Ważna informacja - dwukrotna użycia programu GMER w normalnym systemie zakonczyla się bluescreenem. Skan udało sie zrobic dopiero w trybie awaryjnym. Może w tej sytuacji kolejne działania w programie OTL również lepiej podejmować za pośrednictwem trybu awaryjnego?