Skrót do pendrive na pendrive

Dla specjalistów Bezpieczeństwo
#1

Witam

Posiadam 2 zainfekowane w punkcie ksero pendrive’y. Po wejsciu w pendiva pokazuje sie ikona skrotu do tego pendriva, da sie przejsc dalej, nie wyczyscilo danych, avg nie widzi zagrozenia. Obawiam sie ze zainfekowalo mi to tez komputer, gdyż nawet przy najsłabszym użytkowaniu użycie procesora wynosi 100%, jednak moze to byc jedynie zbieg okoliczności wywołany dosyc wiekowym PCtem.

Proszę o pomoc w odrobaczeniu pendrivów.

Bardzo dziękuje za pomoc

 

USBfix

http://www.wklej.org/id/1730017/ 

 

Farbar recovwry scan tool

http://www.wklej.org/id/1730023/

http://www.wklej.org/id/1730024/

 

OTL

http://www.wklej.org/id/1730025/

http://www.wklej.org/id/1730026/   Extras

#2

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKLM\...\RunOnce: [] => [X]
Startup: C:\Documents and Settings\Piotrek\Menu Start\Programy\Autostart\k.lnk [2015-05-28]
BootExecute: autocheck autochk * C:\PROGRA~1\AVG\AVG2015\avgrsx.exe /sync /restart
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-436374069-1935655697-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-436374069-1935655697-682003330-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={39D1344A-B67E-4B3B-A2F9-33A451DE8CFA}&mid=f7e32134aa2747cd85a0d15dc3df0c64-06ce4fc639803a2e3563922518183d8e94088cb9&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-25 01:43:16&v=4.0.0.19&pid=wtu&sg=&sap=dsp&q={searchTerms}
FF Extension: FTdownloader V3.0 - C:\Documents and Settings\Piotrek\Dane aplikacji\Mozilla\Firefox\profiles\extensions\ftdownloader3@ftdownloader.com.xpi [2013-04-11]
FF Extension: Kino-Filmov.Net - C:\Documents and Settings\Piotrek\Dane aplikacji\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\kino-filmov.net.xpi [2010-09-19]
CHR Extension: (Bookmark Manager) - C:\Documents and Settings\Piotrek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-21]
S2 SystemTimer; C:\DOCUME~1\Piotrek\Pulpit\srvany.exe [X]
S3 e4usbaw; system32\DRIVERS\e4usbaw.sys [X]
S3 EverestDriver; \??\C:\Program Files\Lavalys\EVEREST Home Edition\kerneld.wnt [X]
S2 IKANLOADER2; System32\Drivers\e4ldr.sys [X]
S4 IntelIde; No ImagePath
S3 PCAMPR5; \??\C:\WINDOWS\system32\PCAMPR5.SYS [X]
S3 rt2870; system32\DRIVERS\rt2870.sys [X]
S2 Scutum50; System32\Drivers\Scutum50.sys [X]
U1 WS2IFSL; No ImagePath
C:\Documents and Settings\Piotrek\Dane aplikacji\*.exe
2015-06-05 01:39 - 2015-04-09 17:11 - 00000000 ____ D C:\AdwCleaner
C:\Temp
H:\*.lnk
Folder: H:
Folder: I:
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

#3

 

http://www.wklej.org/id/1730086/   Fixlog

http://www.wklej.org/id/1730089/   FRST

 

 

To inny rodzaj wirusa, ten nie ukrywa plików.

#4

Chcesz usunąć wirusa z pendrive i dlatego odłączyłeś pendrive?

Skasuj folder C:\FRST

Wyłącz i ponownie włącz przywracanie systemu: http://support.microsoft.com/kb/310405/pl

Dysk przeskanuj ESET Online Scanner

Odinstaluj:

Adobe Flash Player 11 ActiveX

Adobe Flash Player 11 Plugin

Adobe Reader 9

Java 2 Runtime Environment, SE v1.4.0_03

Java 7 Update 7

Microsoft Silverlight

Zainstaluj:

Flash Player 17.0.0.188 NPAPI

Flash Player 17.0.0.188 ActiveX

Java 8 Update 45

Adobe Reader XI 11.0.11

Silverlight 5.1.40416.0

Service Pack 3

#5

Nie odłączylem żadnego z pendrive’ów nawet na chwile, wiec nie wiem z czego wynikał błąd.

Wykonałem wszystkie polecenia, niestety nic to nie zmieniło.

#6

Odłączyłeś pendrive oznaczony literą H.

Musiało zmienić, bo trojan został usunięty, a skrót z pendrive możesz samodzielnie skasować.

#7

Podczas przerzucania danych bezposrednio na pendrive(tak zeby nie wchodzic przez skrot), na pendrive oznaczonym litera “I”  AVG znalazl jeszcze kilka trojanow, znalazl tez cos po ponownym przeskanowaniu obu pendrivow, mam nadzieje ze urzadzenia juz są czyste i bezpieczne. 

Dziekuje za pomoc

Czy jest jakas metoda zeby na przyszlosc uchronic sie od tak latwego, szybkiego i problematycznego zainfekowania urządzen?

Jeszcze raz dziekuje i pozdrawiam.

#8

Jedyna metoda to nie podłączać pendrive do zainfekowanego komputera.

Na I jest ukryty folder bez nazwy.

Jeżeli brakuje jakiś plików to trojan przeniósł pliki do tego folderu.

#9

Jednak niestety nic nie pomogło. Po odłączeniu pendrivow i ponownym ich podpięciu, na nowo utworzyły się na nich skróty do ich samych. Czyli wróciło do punktu wyjścia. :frowning:

#10

Podłącz wszystkie zainfekowane pendrive.

Pokaż nowe raporty z FRST i UsbFix z opcji Listing.

#11

http://www.wklej.org/id/1732726/   UsbFix

http://www.wklej.org/id/1732729/  FRST.txt

http://www.wklej.org/id/1732730/  Addition.txt

#12

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
Startup: C:\Documents and Settings\Piotrek\Menu Start\Programy\Autostart\e.lnk [2015-06-05]
C:\Documents and Settings\Piotrek\Dane aplikacji\*.exe
I:\*.lnk
K:\*.lnk
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

Pokaż nowy raport UsbFix z opcji Listing.

#13

http://www.wklej.org/id/1732757/  Fixlog.txt

http://www.wklej.org/id/1732761/  FRST.txt

http://www.wklej.org/id/1732764/  UsbFix

#14

Skasuj folder C:\FRST

#15

A jak dostac sie do danych na pendivach? Bo teoretycznie pokazuje poprawny poziom wypełnienia danymi, ale po wejsciu w pendive nie ma nic, puste okno, pliki nie są też ukryte.

#16

Według raportów nie ma tam niczego oprócz folderu System Volume Information.

W tym folderze gromdzą się punkty przywracania.

#17

W tej chwili nie widac nic na tych pendrivach, nie ma zadnego folderu, nie ma ukrytych plikow, ani ukrytych plikow systemowych po pokazaniu ich przez “opcje folderow”, jednak we “własciwosci” zapełnienie dyskow jest zgodne ze stanem wczesniejszym. Skanujac te dyski antywirusem AVG wykonuje poprawnie skanowanie, pokazujac kolejno skanowane pliki tak jak to bylo przed odrobaczaniem, wiec te pliki gdziec tam są. Jest jakas metoda zeby uzyskac do nich dostep?

Mam tam sporo danych i nie ukrywam, ze formatowanie tych dyskow to dla mnie ostateczność.

#18

Nie zapisuj żadnych plików na pendrive z którego chcesz odzyskać dane.

Recuva - Portable: http://www.piriform.com/recuva/builds

Opcje -> Akcje -> zaznacz:

  • Skanuj w poszukiwaniu nieusuniętych plików (aby odzyskać dane z uszkodzonych lub sformatowanych dysków)

  • Głębokie skanowanie

  • Odzyskaj strukturę katalogu

http://wstaw.org/m/2013/11/16/2013-11-16_211648.png

Możesz uruchomić chkdsk, ale nie gwarantuję, że to poprawi sytuację.

Wszystkie programy > Akcesoria > Wiersz polecenia > Wpisz i zatwierdź enterem:

chkdsk I: /f

chkdsk K: /f

#19

chkdsk nie dziala.

Wlasnie myslalem o odzyskaniu plikow tylko powiedz mi czy nie odzyskam tego wirusa przy okazji?

Oczywiście bardzo dziekuje za pomoc, mam nadzieje ze to juz moje ostatnie pytanie i zamkniemy ten temat.

#20

Przecież po skanowaniu będzie lista plików, więc szkodliwych nie będziesz odzyskiwał.

Możesz zmienić tryb widoku.

Kliknij prawym na liście wyników -> Tryb widoku -> Widok drzewa

Oczywiście programu i odzyskiwanych plików nie zapisuj na pendrive.

Możesz również spróbować Q PhotoRec:

http://www.cgsecurity.org/wiki/TestDisk_Download

http://traxter-online.net/testdisk-photorec-odzyskiwanie-danych/