Wirus tworzy skróty na pendrive'ach

marcinrain · 12 Grudzień 2013 12:49

Witam! Jestem nowym użytkownikiem forum Dobre Programy.

Zauważyłem, że wielu członków miało już problem, który dotknął i mnie.

Mianowicie przegrywając dane z komputera na politechnice na swój własny, przy pomocy pendrive’a, podłapałem wirusa,który na każdym możliwym pendirvie tworzy mi zamiast plików - skróty. Jest to bardzo uciążliwe, gdyż nie chcąc infekować innych komputerów, nie korzystam teraz z pendrivów, a dla mnie jako studenta, jest to dosyć uciążliwe. Zwracam się zatem do Was o pomoc. Nie jestem laikiem komputerowym, jednak tym tematem nigdy się nie zajmowałem i samemu nie bardzo wiem, jakich narzedzi użyc, o co chodzi z tymi wszystkim logami, itd.

Mam jeszcze pytanie: czy jeśli na swoim zainfekowanym komputerze sformatuję pendrive, czy mogę używać nośnika na zdrowych komputerach, bez obaw o ich zarażenie? Gdzie właściwie znajduje się ten wirus, na pendrivie czy komputerze?

Z góry dziękuję za odzew i pomoc.

Pozdrawiam, MR

Acorus · 12 Grudzień 2013 12:57

Pokaż logi z OTL http://forum.dobreprogramy.pl/temat/402063-analiza-i-dezynfekcja-zestaw-narzędzi-nieingerencyjnych/

Podepnij pendrivy.Użyj USBFix z funkcji Listing. Pokaż z niego log.

USBFix http://general-changelog-team.fr/fr/downloads/finish/15-outils-de-el-desaparecido/79-usbfix

marcinrain · 12 Grudzień 2013 20:53

Nie wiem dlaczego nie mogę wkleić tutaj linków do tych wklejek

marcinrain · 12 Grudzień 2013 20:56

www.wklej.org/id/1205021

www.wklej.org/id/1205033

Logi z OTL

Atis · 12 Grudzień 2013 20:56

Podłącz pendrive i pokaż Listing z UsbFix

marcinrain · 12 Grudzień 2013 21:03

Proszę, USBfix - www.wklej.org/id/1205051

Atis · 12 Grudzień 2013 21:13

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKU\S-1-5-21-2798632957-192809932-3777704508-1001..\Run: [APS] C:\Users\Public\conhost.exe (Hôte de la fenêtre de la console)
O4 - HKU\S-1-5-21-2798632957-192809932-3777704508-1001..\Run: [SURVIVAL] wscript.exe //B "C:\Users\MARCIN~1\AppData\Local\Temp\SURVIVAL.vbe" File not found
O4 - Startup: C:\Users\Marcin Rainczuk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\conhost.exe (Hôte de la fenêtre de la console)
O4 - Startup: C:\Users\Marcin Rainczuk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SURVIVAL.vbe ()
O7 - HKU\S-1-5-21-2798632957-192809932-3777704508-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: = 
[2012-12-27 01:47:23 | 095,023,320 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.pad
[2005-04-08 03:16:43 | 000,000,000 | -H-D | M] -- C:\Users\Marcin Rainczuk\AppData\Roaming\689DA4E6
:Files
H:\SURVIVAL.vbe
H:\*.lnk
I:\SURVIVAL.vbe
I:\*.lnk
attrib /d /s -s -h H:\* /c
attrib /d /s -s -h I:\* /c
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pokaż nowy raport UsbFix z opcji Listing.

marcinrain · 12 Grudzień 2013 21:34

Raport z usuwania www.wklej.org/id/1205100

Niebawem podam oba logi, ze skanu otl i usbfix

marcinrain · 12 Grudzień 2013 21:51

OTL www.wklej.org/id/1205116

extras www.wklej.org/id/1205119

usbfix www.wklej.org/id/1205121

Proszę

Atis · 12 Grudzień 2013 22:07

Dlaczego odłączyłeś dysk H?

Wykonaj skrypt w rybie awaryjnym:

http://forum.dobreprogramy.pl/temat/434609-tryb-awaryjny-w-windows-8/

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKU\S-1-5-21-2798632957-192809932-3777704508-1001..\Run: [SURVIVAL] wscript.exe //B "C:\Users\MARCIN~1\AppData\Local\Temp\SURVIVAL.vbe" File not found
O4 - Startup: C:\Users\Marcin Rainczuk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SURVIVAL.vbe ()
:Files
H:\SURVIVAL.vbe
H:\*.lnk
I:\SURVIVAL.vbe
I:\*.lnk
attrib /d /s -s -h H:\* /c
attrib /d /s -s -h I:\* /c
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pokaż nowy raport UsbFix z opcji Listing.

marcinrain · 12 Grudzień 2013 22:47

www.wklej.org/id/1205168

marcinrain · 12 Grudzień 2013 23:02

otl www.wklej.org/id/1205172

www.wklej.org/id/1205173

www.wklej.org/id/1205174

(przepraszam za niecenzuralną nazwę jednego z folderów. byłem zdenerwowany bardzo problematyczną instalacją programu cad/cam/3d i z nerwów nazwałem w ten sposób)

oto logi

Atis · 12 Grudzień 2013 23:10

Wklej i kliknij Wykonaj skrypt:

:OTL
[2013-12-03 11:47:57 | 000,000,000 | ---D | C] -- C:\AdwCleaner

Uruchom OTL i kliknij Sprzątanie.

Dysk przeskanuj Malwarebytes Anti-Malware

marcinrain · 12 Grudzień 2013 23:31

Jestem w trakcie skanowania Anti-Malware, ale już teraz myślę, że problem został zażegnany. Widze, jak zachowują się nowe pliki na pendrive’ach, mianowicie nie zamieniają się po przejechaniu nad nimi kursorem w skróty, jak to było wcześniej. Chciałbym Ci Atisie bardzo podziękować, właściwie za bezinteresowną pomoc

Mam jeszcze małe pytanie: czy ten robak/wirus, cokolwiek to jest, ma swoje źródło na komputerze, czy na pendrajwie? W jaki sposób można się przed nim chronić na przyszłość? Czy Ty na swoim sprzęcie używasz programów antywirusowych?

jestem posiadaczem oryginalnego windowsa 8.1 i właściwie dopiero w ostatnich dniach zainstalowałem Avast. Poza tym mój system funkcjonuje na microsoftowych aktualizacjach bezpieczeństwa i aplikacji windows defender. Slyszalem opinie, ze to wystarcza, a antywirusy tylko “pochlaniaja” pamięć. Po tym nieprzyjemnym doświadczeniu z tym pendrajwowym robactwem, poddaje w watpliwosc usłyszane wcześniej opinie,dlatego jeśli mogę, to chętnie zasiegne Twojej rady. Raz jeszcze dziekuje za całą pomoc.

Atis · 13 Grudzień 2013 10:22

Jeżeli podłączysz pendrive do zainfekowanego komputera to wirus infekuje pendrive.

Wirus ukryje pliki i utworzy skróty które odnoszą się do ukrytego szkodliwego pliku.

Gdy później na innym komputerze klikniesz w taki skrót, to uruchomisz wirusa i zainfekujesz kolejny system.

Antywirus nie ma większego znaczenia, bo nawet komercyjne przepuszczają tego typu wirusy.