Wirus który tworzy skrót na PENDRIVE


(Witerk) #1

Niestety na 2 komputerach połączonych w sieci pojawił mi się właśnie taki wirus. Poprosiłbym o pomoc.

 

Logi z OTL:

 

Komp nr 1: jako pierwszy zainfekowany, ale dla mnie "mniej ważny".

OTL: http://wklej.to/Rs1Zf

Extras: http://wklej.to/HRmGc

 

Komp nr 2: dla mnie wazniejszy

OTL: http://wklej.to/YdnKj

Extras: http://wklej.to/HYsm8

 

edit: zapomniałem dodać. skróty pojawiły się na dysku twardym, nie pendraivie, na kompie nr 2.


(Atis) #2

1.

Wirus Sality który infekuje wszystkie pliki wykonywalne.

Zabezpiecz się przed infekcją z USB: Panda USB Vaccine lub KLIK

Uruchom program i kliknij Vaccinate.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ccdcmb.sys -- (nmwcd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
O4 - HKCU..\Run: [dso32] C:\DOCUME~1\KONICA\USTAWI~1\Temp\dsoqq.exe File not found
O4 - HKCU..\Run: [qiueqo] C:\Documents and Settings\KONICA\qiueqo.exe (Microsoft)
O32 - AutoRun File - [2013-11-27 17:56:14 | 000,000,393 | RHS- | M] () - C:\autorun.inf -- [NTFS]
O32 - AutoRun File - [2013-11-27 17:56:14 | 000,000,270 | RHS- | M] () - D:\autorun.inf -- [NTFS]
[2013-12-03 13:28:41 | 000,155,648 | RHS- | C] (Microsoft) -- C:\Documents and Settings\KONICA\qiueqo.scr
[2013-11-27 11:22:10 | 000,155,648 | RHS- | C] (Microsoft) -- C:\Documents and Settings\KONICA\qiueqo.exe
[2013-12-03 13:28:41 | 000,000,135 | RHS- | M] () -- C:\Documents and Settings\KONICA\autorun.inf
[2013-11-28 09:02:17 | 000,103,140 | RHS- | M] () -- C:\hqyawl.exe
:Files
C:\Documents and Settings\KONICA\*.lnk
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Skanuj wszystkie partycje i lecz zainfekowane pliki.

  1. SalityKiller lub KLIK

  2. Dr.Web CureIt lub KLIK Przeskanuj wszystkie dyski: KLIK

  3. Kaspersky Virus Removal Tool 2011 lub KLIK

W zakładce Scan scope zaznacz wszystkie dyski:

Pokaż nowy log gdy skanery nie będą wykrywały żadnych zainfekowanych plików.

  1. Nie widać żadnej aktywnej infekcji.

Pokaż raport UsbFix z opcji Listing.


(Witerk) #3

Za pierwszego się zaraz zabiore.


(Atis) #4

W raporcie UsbFix widać tylko jeden ukryty folder.

Wszystkie programy > Akcesoria > Wiersz polecenia > Wklej i zatwierdź enterem:

attrib /d /s -s -h "D:! sieciowy"

3 Komp

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2013-02-19 09:07:37 | 000,968,880 | ---- | M] () [Auto | Running] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe -- (vToolbarUpdater14.2.0)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\12c3b.sys -- (12c3b)
DRV - File not found [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\Drivers\11b68c246c175fb8.sys -- (11b68c246c175fb8)
DRV - [2013-02-19 09:07:38 | 000,033,112 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp)
IE - HKLM\..\SearchScopes\{F0621E3E-9BDC-4769-8132-83B1F4AB7967}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=c290561e-3cf5-11e1-a159-0011092e1530&q={searchTerms}
IE - HKCU\..\SearchScopes\{2D98DD2B-A7F8-459A-A8B2-FF17BEA7A4E9}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=F-ET&o=14466&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FT&apn_dtid=YYYYYYYYPL&apn_uid=F8BCC483-3118-4C3B-8B8D-CB633B1285A5&apn_sauid=5793849D-61C0-4503-8577-7F3800C3B9C1
IE - HKCU\..\SearchScopes\{F0621E3E-9BDC-4769-8132-83B1F4AB7967}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=F-ET&o=14466&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FT&apn_dtid=YYYYYYYYPL&apn_uid=F8BCC483-3118-4C3B-8B8D-CB633B1285A5&apn_sauid=5793849D-61C0-4503-8577-7F3800C3B9C1
[2012-10-26 12:42:36 | 000,172,032 | ---- | M] (vShare.tv) -- C:\Program Files\mozilla firefox\plugins\npffvsharetvplg.dll
CHR - Extension: vShare.tv plugin = C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\
O4 - HKLM..\Run: [Umuvhbwcjgcqsuma.exe] C:\Documents and Settings\Właściciel\Dane aplikacji\Umuvhbwcjgcqsuma.exe (AirVPN)
O4 - HKCU..\Run: [Fyjyxzlwpcsdeskp.exe] C:\Documents and Settings\Właściciel\Dane aplikacji\Fyjyxzlwpcsdeskp.exe (AirVPN)
O4 - HKCU..\Run: [Umuvhbwcjgcqsuma.exe] C:\Documents and Settings\Właściciel\Dane aplikacji\Umuvhbwcjgcqsuma.exe (AirVPN)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll File not found
O32 - AutoRun File - [2013-12-22 09:04:02 | 000,006,305 | RHS- | M] () - Z:\autorun.inf -- [NTFS]
:Files
C:\Documents and Settings\Właściciel\Dane aplikacji\*.exe
C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\*Bron*
:Commands
[resethosts]
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.


(Witerk) #5

3 komp:

Raport z usuwania: http://wklej.to/R0rBx

Skanuj OTL: http://wklej.to/f9ESs


(Atis) #6

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.


(Dimatheus) #7

witerk , na forum używamy polskich znaków diakrytycznych (ą, ć, ę, ń i tak dalej). Proszę - korzystając z przycisku Edytuj (na dole pierwszego posta po prawej stronie) - wyedytować wszystkie swoje posty w tym temacie. Zignorowanie tej prośby będzie skutkować przeniesieniem tematu do kosza.

Pozdrawiam,

Dimatheus