bpioter
(Bpioter)
5 Czerwiec 2015 00:55
#1
Witam
Posiadam 2 zainfekowane w punkcie ksero pendrive’y. Po wejsciu w pendiva pokazuje sie ikona skrotu do tego pendriva, da sie przejsc dalej, nie wyczyscilo danych, avg nie widzi zagrozenia. Obawiam sie ze zainfekowalo mi to tez komputer, gdyż nawet przy najsłabszym użytkowaniu użycie procesora wynosi 100%, jednak moze to byc jedynie zbieg okoliczności wywołany dosyc wiekowym PCtem.
Proszę o pomoc w odrobaczeniu pendrivów.
Bardzo dziękuje za pomoc
USBfix
http://www.wklej.org/id/1730017/
Farbar recovwry scan tool
http://www.wklej.org/id/1730023/
http://www.wklej.org/id/1730024/
OTL
http://www.wklej.org/id/1730025/
http://www.wklej.org/id/1730026/ Extras
Atis
(Atis)
5 Czerwiec 2015 06:55
#2
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
CloseProcesses:
HKLM\...\RunOnce: [] => [X]
Startup: C:\Documents and Settings\Piotrek\Menu Start\Programy\Autostart\k.lnk [2015-05-28]
BootExecute: autocheck autochk * C:\PROGRA~1\AVG\AVG2015\avgrsx.exe /sync /restart
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-436374069-1935655697-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-436374069-1935655697-682003330-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={39D1344A-B67E-4B3B-A2F9-33A451DE8CFA}&mid=f7e32134aa2747cd85a0d15dc3df0c64-06ce4fc639803a2e3563922518183d8e94088cb9&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-25 01:43:16&v=4.0.0.19&pid=wtu&sg=&sap=dsp&q={searchTerms}
FF Extension: FTdownloader V3.0 - C:\Documents and Settings\Piotrek\Dane aplikacji\Mozilla\Firefox\profiles\extensions\ftdownloader3@ftdownloader.com.xpi [2013-04-11]
FF Extension: Kino-Filmov.Net - C:\Documents and Settings\Piotrek\Dane aplikacji\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\kino-filmov.net.xpi [2010-09-19]
CHR Extension: (Bookmark Manager) - C:\Documents and Settings\Piotrek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-21]
S2 SystemTimer; C:\DOCUME~1\Piotrek\Pulpit\srvany.exe [X]
S3 e4usbaw; system32\DRIVERS\e4usbaw.sys [X]
S3 EverestDriver; \??\C:\Program Files\Lavalys\EVEREST Home Edition\kerneld.wnt [X]
S2 IKANLOADER2; System32\Drivers\e4ldr.sys [X]
S4 IntelIde; No ImagePath
S3 PCAMPR5; \??\C:\WINDOWS\system32\PCAMPR5.SYS [X]
S3 rt2870; system32\DRIVERS\rt2870.sys [X]
S2 Scutum50; System32\Drivers\Scutum50.sys [X]
U1 WS2IFSL; No ImagePath
C:\Documents and Settings\Piotrek\Dane aplikacji\*.exe
2015-06-05 01:39 - 2015-04-09 17:11 - 00000000 ____ D C:\AdwCleaner
C:\Temp
H:\*.lnk
Folder: H:
Folder: I:
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.
bpioter
(Bpioter)
5 Czerwiec 2015 07:32
#3
Atis
(Atis)
5 Czerwiec 2015 09:48
#4
Chcesz usunąć wirusa z pendrive i dlatego odłączyłeś pendrive?
Skasuj folder C:\FRST
Wyłącz i ponownie włącz przywracanie systemu: http://support.microsoft.com/kb/310405/pl
Dysk przeskanuj ESET Online Scanner
Odinstaluj:
Adobe Flash Player 11 ActiveX
Adobe Flash Player 11 Plugin
Adobe Reader 9
Java 2 Runtime Environment, SE v1.4.0_03
Java 7 Update 7
Microsoft Silverlight
Zainstaluj:
Flash Player 17.0.0.188 NPAPI
Flash Player 17.0.0.188 ActiveX
Java 8 Update 45
Adobe Reader XI 11.0.11
Silverlight 5.1.40416.0
Service Pack 3
bpioter
(Bpioter)
5 Czerwiec 2015 13:39
#5
Nie odłączylem żadnego z pendrive’ów nawet na chwile, wiec nie wiem z czego wynikał błąd.
Wykonałem wszystkie polecenia, niestety nic to nie zmieniło.
Atis
(Atis)
5 Czerwiec 2015 15:26
#6
Odłączyłeś pendrive oznaczony literą H.
Musiało zmienić, bo trojan został usunięty, a skrót z pendrive możesz samodzielnie skasować.
bpioter
(Bpioter)
5 Czerwiec 2015 15:50
#7
Podczas przerzucania danych bezposrednio na pendrive(tak zeby nie wchodzic przez skrot), na pendrive oznaczonym litera “I” AVG znalazl jeszcze kilka trojanow, znalazl tez cos po ponownym przeskanowaniu obu pendrivow, mam nadzieje ze urzadzenia juz są czyste i bezpieczne.
Dziekuje za pomoc
Czy jest jakas metoda zeby na przyszlosc uchronic sie od tak latwego, szybkiego i problematycznego zainfekowania urządzen?
Jeszcze raz dziekuje i pozdrawiam.
Atis
(Atis)
5 Czerwiec 2015 16:56
#8
Jedyna metoda to nie podłączać pendrive do zainfekowanego komputera.
Na I jest ukryty folder bez nazwy.
Jeżeli brakuje jakiś plików to trojan przeniósł pliki do tego folderu.
bpioter
(Bpioter)
7 Czerwiec 2015 20:02
#9
Jednak niestety nic nie pomogło. Po odłączeniu pendrivow i ponownym ich podpięciu, na nowo utworzyły się na nich skróty do ich samych. Czyli wróciło do punktu wyjścia.
Atis
(Atis)
7 Czerwiec 2015 22:29
#10
Podłącz wszystkie zainfekowane pendrive.
Pokaż nowe raporty z FRST i UsbFix z opcji Listing.
bpioter
(Bpioter)
8 Czerwiec 2015 13:56
#11
Atis
(Atis)
8 Czerwiec 2015 14:10
#12
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
CloseProcesses:
Startup: C:\Documents and Settings\Piotrek\Menu Start\Programy\Autostart\e.lnk [2015-06-05]
C:\Documents and Settings\Piotrek\Dane aplikacji\*.exe
I:\*.lnk
K:\*.lnk
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.
Pokaż nowy raport UsbFix z opcji Listing.
bpioter
(Bpioter)
8 Czerwiec 2015 14:31
#13
bpioter
(Bpioter)
8 Czerwiec 2015 14:46
#15
A jak dostac sie do danych na pendivach? Bo teoretycznie pokazuje poprawny poziom wypełnienia danymi, ale po wejsciu w pendive nie ma nic, puste okno, pliki nie są też ukryte.
Atis
(Atis)
8 Czerwiec 2015 15:55
#16
Według raportów nie ma tam niczego oprócz folderu System Volume Information.
W tym folderze gromdzą się punkty przywracania.
bpioter
(Bpioter)
8 Czerwiec 2015 16:27
#17
W tej chwili nie widac nic na tych pendrivach, nie ma zadnego folderu, nie ma ukrytych plikow, ani ukrytych plikow systemowych po pokazaniu ich przez “opcje folderow”, jednak we “własciwosci” zapełnienie dyskow jest zgodne ze stanem wczesniejszym. Skanujac te dyski antywirusem AVG wykonuje poprawnie skanowanie, pokazujac kolejno skanowane pliki tak jak to bylo przed odrobaczaniem, wiec te pliki gdziec tam są. Jest jakas metoda zeby uzyskac do nich dostep?
Mam tam sporo danych i nie ukrywam, ze formatowanie tych dyskow to dla mnie ostateczność.
Atis
(Atis)
8 Czerwiec 2015 16:47
#18
Nie zapisuj żadnych plików na pendrive z którego chcesz odzyskać dane.
Recuva - Portable: http://www.piriform.com/recuva/builds
Opcje -> Akcje -> zaznacz:
http://wstaw.org/m/2013/11/16/2013-11-16_211648.png
Możesz uruchomić chkdsk, ale nie gwarantuję, że to poprawi sytuację.
Wszystkie programy > Akcesoria > Wiersz polecenia > Wpisz i zatwierdź enterem:
chkdsk I: /f
chkdsk K: /f
bpioter
(Bpioter)
8 Czerwiec 2015 17:25
#19
chkdsk nie dziala.
Wlasnie myslalem o odzyskaniu plikow tylko powiedz mi czy nie odzyskam tego wirusa przy okazji?
Oczywiście bardzo dziekuje za pomoc, mam nadzieje ze to juz moje ostatnie pytanie i zamkniemy ten temat.
Atis
(Atis)
8 Czerwiec 2015 19:06
#20
Przecież po skanowaniu będzie lista plików, więc szkodliwych nie będziesz odzyskiwał.
Możesz zmienić tryb widoku.
Kliknij prawym na liście wyników -> Tryb widoku -> Widok drzewa
Oczywiście programu i odzyskiwanych plików nie zapisuj na pendrive.
Możesz również spróbować Q PhotoRec:
http://www.cgsecurity.org/wiki/TestDisk_Download
http://traxter-online.net/testdisk-photorec-odzyskiwanie-danych/