System po infekcji wirusem pendrive'owym


(Dimatheus) #1

Witam,

Komputer służbowy z Windowsem 7 Pro x64. Nad bezpieczeństwem czuwa Comodo Internet Security Premium. Niestety został do niego podłączony pendrive, który wcześniej miał kontakt z zawirusowanym komputerem. Comodo nie zgłosił żadnego alertu, więc coś prawdopodobnie się przedostało. Wykonałem już skanowania:

:arrow: Malwarebytes Anti-Malware - nie znaleziono żadnych zagrożeń,

:arrow: Comodo Antivirus - nie znaleziono żadnych zagrożeń,

:arrow: AdwCleaner - znalazł jeden plik tupu *.job i skutecznie go usunął.

Poniżej wrzucam logi z OTL'a, żeby upewnić się, że wszystko, co szkodliwe, jest już usunięte.

:arrow: OTL Raport Podstawowy

:arrow: OTL Raport Extras.

Pozdrawiam,

Dimatheus


(Acorus) #2

Witam rodaka z Piekar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.


(Dimatheus) #3

Hej,

Zrobione. Rozumiem, że już nic nie wrzucać - logów, etc? Serdecznie dziękuję!

Pozdrawiam,

Dimatheus


(morphiusz1) #4

Na windowsie 7 ogólnie trudno żeby coś przeszło z dysku przenośnego, chyba, że było grzebanie w opcjach. Ponadto ochrona proaktywna Comodo z góry traktuje pliki na mediach przenośnych jako podejrzane skrajnie ograniczając im pole działania, blokując dostęp do pilków autorun etc.


(Dimatheus) #5

Hej,

Niestety nie zawsze. Na laptopie zainstalowany jest Comodo Internet Security Premium, ustawienia domyślne poza konfiguracją własnych reguł w zaporze sieciowej. Mimo to coś się przedostało - oczywiście po otworzeniu zawartości pendrive'a. Tragedii nie było, bo usunięcie nie było problematyczne, ale niesmak pozostaje. Dla porównania Avast od razu zaalarmował o podejrzanym programie na pendrive'ie.

Teraz na laptopa wrzuciłem Panda USB Vaccine, więc ochrona będzie pełniejsza.

Pozdrawiam,

Dimatheus


(morphiusz1) #6

A to osobliwy przypadek - rozumiem, że do infekcji doszło po uruchomieniu pliku wykonywalnego z pendrive'a? (przez użytkownika?)


(Dimatheus) #7

Hej,

Właśnie nie. Na pendrive'ie był tylko i wyłącznie SP1 dla pakietu Microsoft Office 2010. Uruchomiony został tylko ten pakiet, a mimo to coś przedostało się do systemu.

Pozdrawiam,

Dimatheus