Trojan zablokował pendrive Kingston


(Miettas) #1

Witam,

Niespodziewanie zablokował mi się pendrive Kingston. Na każdą próbę zapisania na nim czegokolwiek, skasowania lub formatowania, pojawia się informacja, że dysk jest chroniony przed zapisem i trzeba tę ochronę usunąć.

Problem polega na tym, że ten pendrive nie ma żadnych możliwości włączania, a tym bardziej wyłączania tej ochrony. W necie znalazłem, że może to być infekcja. Norton znalazł jakiegoś trojana, ale nie potrafił go usunąć. Próbowałem czyścić ComboFixem, bez rezultatu. Dzisiaj zainstalowałem triala Kasperskiego, to samo. Znajduje trojana, ale go nie usuwa, bo dysk jest chroniony przed zapisem.

Czy jest jakiś sposób na wyczyszczenie tego pendriva?


(Chillout) #2

Podłącz Pendrive do komputera i daj log z ComboFix.


(Miettas) #3

Log z ComboFixa: http://wklejto.pl/18998


(system) #4

A próbowałeś bardzo dobrym narzędziem do usuwania tego typu infekcji Trojan Remover. Program jest płatny ale przez kilka dni można go używać bezpłatnie, więc zainstaluj, przeskanuj usuń infekcję i odinstaluj.


(Miettas) #5

Nie próbowałem, ale zaraz ściągnę i spróbuję.


(Miettas) #6

Nic nie zadziałało. Nadal problemem jest fakt, że pendriv ma niby włączoną ochronę przed zapisem.


(huber2t) #7

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

Driver::

.norton2009Reset

SetupNTGLM7X

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Miettas) #8

Nowy log z ComboFix

W czasie tworzenia logu pojawiło się ostrzeżenie z Edytora Rejestru o treści:

"Nie można eksportować RegRuns00: Błąd podczas otwierania pliku. Może to być błąd dysku lub systemu".

Dodam jeszcze, że pendrive komputer widzi jako dysk I. A trojan siedzi w pliku I:\Recycled\ctfmon.exe


(huber2t) #9

Pobierz ComboFix, ale nie uruchamiaj

Wklej do notatnika:

File::

I:\Recycled\ctfmon.exe


Registry::

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"=-

Plik -> zapisz jako -> CFScript.txt.

Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe tak jak tu->

cfscript10uc2.gif

Rozpocznie się usuwanie i powstanie log, który dasz na forum.

Logi dajesz na http://wklej.eu lub na http://wklej.org a w poście dajesz tylko link


(Miettas) #10

W czasie czyszczenia raz pojawił się komunikat, że nie można wykonać jakiejś operacji, bo plik jest zabezpieczony przed zapisem. Po restarcie trzy podobne komunikaty, że czegoś nie można zapisać w pliku, bo jest zabezpieczenie i trzeba je usunąć.

Oto nowy log z ComboFix.


(huber2t) #11

Pobierz The Avenger

wklej do niego ten tekst:

Files to delete:

I:\Recycled\ctfmon.exe

kopiuj to i klikasz na Paste Script from Clipboard wybierasz Execute oraz Potwierdzasz i zgadzasz się na restart klikając OK.

Kasujesz ręcznie z dysku plik: C:\Avenger\backup.zip i wklejasz na forum raport: C:\avenger.txt


(Miettas) #12

Raport z Avenger


(huber2t) #13

Podłącz dysk wymienny i spróbuj ponownie


(Miettas) #14

Nadal to samo. Pendrive nie reaguje.