fuzekle
13 Czerwiec 2013 15:24
#1
Witam,
Po otwarciu pendrive ukazuje mi się skrót do pendrive i dopiero po jego kliknięciu otwiera się zawartość pendrive. Z tego co wyczytałem jest to dosyć powszechny problem, jednak rozwiązanie wymaga podania kodów, których nie jestem w stanie stworzyć.
Logi z OTL:
http://wklej.to/3tKD5
i Extras:
http://wklej.to/Fu0e7
Atis
13 Czerwiec 2013 16:03
#2
Odinstaluj DAEMON Tools Toolbar, uTorrentControl_v2 Toolbar, uTorrentControl2 Toolbar.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\DOCUME~1\kamil\USTAWI~1\Temp\ALSysIO.sys – (ALSysIO) DRV - [2012-08-21 01:54:34 | 000,000,000 | ---- | M] () [Kernel | Boot | Stopped] – C:\windows\System32\drivers\cvjmh.sys – (cvjmh) IE - HKCU…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 IE - HKCU…\SearchScopes{B0A9E583-EB8B-4105-9AF0-F0059C4C646E}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 O4 - HKCU…\Run: [Hoolapp Android] “C:\DOCUME~1\kamil\DANEAP~1\HOOLAP~1\Hoolapp.exe” /Minimized File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 1019 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccmiifyyy.pif () [2010-05-01 20:00:23 | 000,002,596 | ---- | C] () – C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak [2010-05-01 20:00:23 | 000,001,734 | ---- | C] () – C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak [2010-05-01 20:00:23 | 000,000,742 | ---- | C] () – C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak :Files RECYCLER /alldrives autorun.inf /alldrives F:*.lnk attrib /d /s -s -h F:* /c :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Wklej do OTL i kliknij Skanuj:
Pokaż ten log.
fuzekle
13 Czerwiec 2013 16:28
#3
Raport z usuwania: http://wklej.to/7OmE1
Log z OTL po skanowaniu: http://wklej.to/VpKam
Atis
13 Czerwiec 2013 16:38
#4
Wszystkie dane zostały przeniesione przez trojana do folderu bez nazwy.
Wklej i kliknij Wykonaj skrypt:
:OTL O3 - HKCU…\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. [2013-06-13 17:00:50 | 000,003,552 | R— | M] () – F:\desktop.ini [2013-06-13 17:00:50 | 000,005,119 | R— | M] () – F:_WYCTJ.init [2013-06-13 17:00:52 | 000,423,424 | R— | M] () – F:\Thumbs.db :Files C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.
http://wstaw.org/m/2012/12/29/2012-12-29_005346.png
Zabezpiecz się przed infekcją z USB: Panda USB Vaccine
Uruchom program i kliknij Vaccinate
fuzekle
13 Czerwiec 2013 17:05
#5
Log z Malwarebytes Anti-Malvare: http://wklej.to/kYxER
Panda USB nie działa na pliki NTFS, na drugi pendrive (FAT) tak.
Skróty na pendrive’ach nadal występują.
fuzekle
13 Czerwiec 2013 17:31
#7
Atis
13 Czerwiec 2013 18:18
#8
Wklej i kliknij Wykonaj skrypt:
:OTL [2013-06-13 17:00:54 | 000,000,459 | ---- | M] () – G:\Removable Disk (8GB).lnk [2013-06-13 17:00:54 | 000,423,424 | RHS- | M] () – G:\Thumbs.db [2013-06-13 17:00:53 | 000,005,132 | RHS- | M] () – G:_WXU.init [2013-06-13 18:19:26 | 000,000,000 | -HSD | M] – G:\found.000 :Files attrib /d /s -s -h G:* /c
Później kliknij Sprzątanie.
fuzekle
13 Czerwiec 2013 18:26
#9
Na G zadziałało.
Zawartość F otwiera się po dwukliku w folder bez żadnej nazwy.
Atis
13 Czerwiec 2013 18:31
#10
Na F jest tylko folder bez nazwy i plik autorun.inf utworzony przez Panda USB.
Nie ma żadnych szkodliwych plików.
fuzekle
13 Czerwiec 2013 18:38
#11
Ale żeby zobaczyć zawartość nadal trzeba klikać na folder bez nazwy. Da się coś z tym zrobić?
Atis
13 Czerwiec 2013 18:43
#12
Trojan utworzył ten folder bez nazwy i przeniósł tam wszystkie dane.
Utwórz nowe foldery i do nich przenieś pliki, a później skasuj ten bez nazwy.
fuzekle
13 Czerwiec 2013 18:57
#13
Faktycznie, ten pusty folder dał się usunąć
Przed całą operacją podłączyłem te pendrive’y do innego komputera. On też będzie zainfekowany?
Atis
13 Czerwiec 2013 19:18
#14
Bez logów nie wiadomo czy drugi komputer został zainfekowany.
fuzekle
13 Czerwiec 2013 19:41
#15
To na szybciora logi z drugiego kompa:
OTL: http://wklej.to/YWc7l
Extras: http://wklej.to/xT6HX
Atis
13 Czerwiec 2013 19:52
#16
Nie widać żadnej infekcji.
fuzekle
13 Czerwiec 2013 20:03
#17
I faktycznie pendrive’y działają aż miło
Dzięki serdeczne za pomoc i siedzenie tutaj te kilka godzin, wiszę Ci piwo 
