dinopd
(P Dynowski)
20 Maj 2014 12:06
#1
Witam
Zainfekowalem swojego kompa przez pendriva, który podpinam do słuzbowego laptopa, na którym jest wirus. Laptom jest niemożliwy do wyleczenia (brak hasła administratora).
Lecz chciałbym wyleczyć pendriva jak i stascjonarny komp.
Podaje scany OTL
http://www.wklej.org/id/1367220/
Extras
http://www.wklej.org/id/1367223/
oraz USB fix
http://www.wklej.org/id/1367222/
Jak zabezpieczyc pendriva przed nastepnym zainfekowaniem abym mógł przenosić pliki pomiedzy laptopem a stacjonarnym bez obawy na infekcje.
Atis
(Atis)
20 Maj 2014 12:20
#2
Nie znasz się na tym, ale musiałeś zmienić ustawienia w OTL?
Wszystkie opcje mają być ustawione na Użyj filtrowania:
http://forum.dobreprogramy.pl/temat/402063-analiza-i-dezynfekcja-zestaw-narzędzi-nieingerencyjnych/?p=2608679
dinopd
(P Dynowski)
21 Maj 2014 05:16
#3
Witam
Niezauwazylam przestawionej opcji w pozycji REJESTR ale teraz nowe scany.
OTL
http://www.wklej.org/id/1368001/
EXTRAS
http://www.wklej.org/id/1368002/
USB Fix Listing
http://www.wklej.org/id/1368003/
Pozdrawiam
Atis
(Atis)
22 Maj 2014 00:16
#4
Do okna Własne opcje skanowania / skrypt wklej:
:OTL
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\Installer\{122186A8-F907-AA0D-F87A-0C4ED8639BAD}\syshost.exe /service -- (syshost32)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\vltbripi.sys -- (vltbripi)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\vctuamef.sys -- (vctuamef)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\pgnjzlby.sys -- (pgnjzlby)
IE - HKLM\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = http://search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm073^YYA^pl&si=pconvIE&ptb=FFA63C9C-97FD-4BAE-B7A0-304C44EBE954&ind=2014012809&n=780b6589&psa=&st=sb&searchfor={searchTerms}
IE - HKU\S-1-5-21-682003330-2111687655-725345543-1003\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = http://search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm073^YYA^pl&si=pconvIE&ptb=FFA63C9C-97FD-4BAE-B7A0-304C44EBE954&ind=2014012809&n=780b6589&psa=&st=sb&searchfor={searchTerms}
O4 - HKU\S-1-5-21-682003330-2111687655-725345543-1003..\Run: [b1e11pr00] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-118210146\b121pr100.exe File not found
O4 - HKU\S-1-5-21-682003330-2111687655-725345543-1003..\Run: [b1e1pr00] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-11820146\b12pr100.exe File not found
O4 - HKU\S-1-5-21-682003330-2111687655-725345543-1003..\Run: [b88901] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-118099896\b88901.exe File not found
O4 - HKU\S-1-5-21-682003330-2111687655-725345543-1003..\Run: [CreativeAudio] "C:\Program Files\Common Files\CreativeAudio\qffhpzbyf.exe" File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 3573439137 = C:\DOCUME~1\ALLUSE~1\mswpa.exe (Jetico, Inc.)
O27 - HKLM IFEO\AVENGINE.exe: Debugger - pbjfzxetp.exe File not found
O27 - HKLM IFEO\mbam.exe: Debugger - bfnujsnjd.exe File not found
O27 - HKLM IFEO\mbamgui.exe: Debugger - bcrucldky.exe File not found
O27 - HKLM IFEO\pavjobs.exe: Debugger - veghmbttua.exe File not found
O27 - HKLM IFEO\rstrui.exe: Debugger - zjiuj.exe File not found
O27 - HKLM IFEO\Upgrader.exe: Debugger - zyevttorm.exe File not found
O27 - HKLM IFEO\usrreq.exe: Debugger - hlptoer.exeund File not found
[2014-05-18 12:24:07 | 000,000,000 | -HSD | C] -- C:\Program Files\Common Files\CreativeAudio
:Files
C:\Documents and Settings\RODZINKA\Dane aplikacji\*.exe
C:\WINDOWS\Installer\{122186A8-F907-AA0D-F87A-0C4ED8639BAD}
rd /s /q C:\RECYCLER /c
:Commands
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Pokaż nowy raport UsbFix z opcji Listing.
Pobierz Farbar Recovery Scan Tool 32-Bit Version
Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.
dinopd
(P Dynowski)
22 Maj 2014 07:02
#5
Przeprowadzilem scany
Po wykonaniu skryptu podalo że wszystkie zadania wykonane.
Podaje nowe scany OTL, EXTRAS, USBFix
OTL: http://www.wklej.org/id/1369002/
EXTRAS: http://www.wklej.org/id/1369003/
USBFix: http://www.wklej.org/id/1369004/
Wykonałem FRST
Raporty
FRST: http://www.wklej.org/id/1369005/
ADDITION: http://www.wklej.org/id/1369008/
Jak teraz zabezpieczyc PENDRIVa aby nie przerzucały się na niego wirusy z laptopa.
Pozatym czesto pokazuje się wiadomość (przypodłaczonym PENDRAVie
System Windows - Brak dysku
Exception Processing Message c0000013 Parameters 75b3bf7c 4 75b3bf7c 75b3bf7c
Kilkakrotne naciśniecie anuluj zamyka to okno
Atis
(Atis)
22 Maj 2014 07:50
#6
W UsbFix kliknij Vaccinate.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM\...\Runonce: [] - [X]
HKLM\...\Policies\Explorer\Run: [3573439137] => C:\Documents and Settings\All Users\mswpa.exe [135168 2010-12-09] ( ())
HKU\S-1-5-21-682003330-2111687655-725345543-1003\...\Run: [Adobe System Incorporated] => C:\Documents and Settings\RODZINKA\Ustawienia lokalne\Temp\Adobe\Reader_sl.exe [206848 2014-05-22] () <===== ATTENTION
HKU\S-1-5-21-682003330-2111687655-725345543-1003\...\Run: [Windows Security Firewall Manager] => C:\RECYCLER\mscinet.exe
HKU\S-1-5-21-682003330-2111687655-725345543-1003\...\Run: [CreativeAudio] => C:\Program Files\Common Files\CreativeAudio\vvhweqgtk.exe [305152 2014-05-22] ()
HKU\S-1-5-21-682003330-2111687655-725345543-1003\...\Policies\Explorer\Run: [Windows Update] => "C:\Documents and Settings\RODZINKA\Dane aplikacji\Identities\ckohv\ckohv.exe" -shell
HKU\S-1-5-21-682003330-2111687655-725345543-1003\...\Winlogon: [Shell] C:\RECYCLER\mscinet.exe,explorer.exe <==== ATTENTION
IFEO\AVENGINE.exe: [Debugger] wekohezoez.exe
IFEO\mbam.exe: [Debugger] vokibpydem.exe
IFEO\mbamgui.exe: [Debugger] vottvbgqef.exe
IFEO\pavjobs.exe: [Debugger] vfwhxmacnb.exe
IFEO\rstrui.exe: [Debugger] spdwz.exe
IFEO\Upgrader.exe: [Debugger] vlljanphja.exe
SearchScopes: HKLM - DefaultScope {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL =
S4 IntelIde; No ImagePath
C:\Program Files\Common Files\CreativeAudio
C:\Documents and Settings\RODZINKA\Dane aplikacji\Identities\ckohv
C:\Documents and Settings\RODZINKA\Ustawienia lokalne\Temp\Adobe
C:\Documents and Settings\RODZINKA\Dane aplikacji\c731200
C:\Documents and Settings\All Users\*.exe
I:\EFqaTiz.exe
CMD: rd /s /q C:\RECYCLER
Reboot:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
dinopd
(P Dynowski)
22 Maj 2014 12:12
#7
Wykonałem jak nakazano
Raport z usuwania:
fixlog: http://www.wklej.org/id/1369240/
Scan
Frst: http://www.wklej.org/id/1369242/
Pozdrawiam
Atis
(Atis)
22 Maj 2014 15:07
#8
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM\...\Run: [CreativeAudio] => "C:\Program Files\Common Files\CreativeAudio\vvhweqgtk.exe"
HKLM\...\Runonce: [] - [X]
HKU\S-1-5-21-682003330-2111687655-725345543-1003\...\Run: [CreativeAudio] => "C:\Program Files\Common Files\CreativeAudio\vvhweqgtk.exe"
HKU\S-1-5-21-682003330-2111687655-725345543-1003\...\Policies\Explorer\Run: [Windows Update] => "C:\Documents and Settings\RODZINKA\Dane aplikacji\Identities\ckohv\ckohv.exe" -shell
S1 adhbyamp; C:\WINDOWS\system32\drivers\adhbyamp.sys [49088 2014-05-22] (Microsoft Corporation)
C:\WINDOWS\system32\Drivers\adhbyamp.sys
C:\Program Files\Common Files\CreativeAudio
C:\Documents and Settings\RODZINKA\Dane aplikacji\Identities\ckohv
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
dinopd
(P Dynowski)
22 Maj 2014 16:19
#9
Atis
(Atis)
22 Maj 2014 16:37
#10
Pokaż jeszcze nowy log z OTL bez Extras.
Pokaż raport z opcji Listing.
dinopd
(P Dynowski)
22 Maj 2014 17:57
#11
Atis
(Atis)
22 Maj 2014 18:20
#12
Wklej do OTL i kliknij Wykonaj skrypt:
:OTL
O7 - HKU\S-1-5-21-682003330-2111687655-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Windows Update = "C:\Documents and Settings\RODZINKA\Dane aplikacji\Identities\ckohv\ckohv.exe" -shell
[2014-05-22 08:50:19 | 000,000,000 | ---D | C] -- C:\FRST
[2014-05-20 13:37:43 | 000,000,000 | ---D | C] -- C:\UsbFix
[2014-05-22 14:21:40 | 000,000,424 | -H-- | M] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job
[2013-12-17 23:19:05 | 000,000,000 | ---D | M] -- C:\Documents and Settings\RODZINKA\Dane aplikacji\EurekaLog
:Files
C:\Documents and Settings\RODZINKA\Dane aplikacji\*.exe
C:\Documents and Settings\RODZINKA\Dane aplikacji\Identities\ckohv
I:\*.lnk
:Reg
[-HKEY_USERS\S-1-5-21-682003330-2111687655-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.
http://wstaw.org/m/2014/03/25/2014-03-25_123039.png
Język PL > Settings > General Settings > Language > Polish
dinopd
(P Dynowski)
23 Maj 2014 08:45
#13
Atis
(Atis)
23 Maj 2014 12:07
#14
Odinstaluj Adobe Reader 8.1.0 i Adobe Flash Player 11 ActiveX.
Zainstaluj Adobe Reader i Flash Player 13.0.0.214 Internet Explorer.
dinopd
(P Dynowski)
24 Maj 2014 17:41
#15
Odinstalowane i zainstalowane jak wskazano
LOGI
OTL:http://www.wklej.org/id/1371322/
USBFix:http://www.wklej.org/id/1371326/
Czy teraz zabezpieczyc pendriva przed virusem w USBFix Vacinate?
Atis
(Atis)
24 Maj 2014 20:22
#16
Nie widać infekcji, a dyski już masz zabezpieczone przed szkodliwymi plikami autorun.inf.
dinopd
(P Dynowski)
25 Maj 2014 06:58
#17
Dziekuje za pomoc oznaczam jako rozwiazany