Wirus tworzy skróty na pendrive'ach


(Marcin Rainczuk) #1

Witam! Jestem nowym użytkownikiem forum Dobre Programy.

 

Zauważyłem, że wielu członków miało już problem, który dotknął i mnie.

 

Mianowicie przegrywając dane z komputera na politechnice na swój własny, przy pomocy pendrive'a, podłapałem wirusa,który na każdym możliwym pendirvie tworzy mi zamiast plików - skróty. Jest to bardzo uciążliwe, gdyż nie chcąc infekować innych komputerów, nie korzystam teraz z pendrivów, a dla mnie jako studenta, jest to dosyć uciążliwe. Zwracam się zatem do Was o pomoc. Nie jestem laikiem komputerowym, jednak tym tematem nigdy się nie zajmowałem i samemu nie bardzo wiem, jakich narzedzi użyc, o co chodzi z tymi wszystkim logami, itd.

 

Mam jeszcze pytanie: czy jeśli na swoim zainfekowanym komputerze sformatuję pendrive, czy mogę używać nośnika na zdrowych komputerach, bez obaw o ich zarażenie? Gdzie właściwie znajduje się ten wirus, na pendrivie czy komputerze?

 

Z góry dziękuję za odzew i pomoc.

Pozdrawiam, MR

 


(Acorus) #2

Pokaż logi z OTL http://forum.dobreprogramy.pl/temat/402063-analiza-i-dezynfekcja-zestaw-narzędzi-nieingerencyjnych/

Podepnij pendrivy.Użyj USBFix z funkcji Listing. Pokaż z niego log.

USBFix http://general-changelog-team.fr/fr/downloads/finish/15-outils-de-el-desaparecido/79-usbfix 


(Marcin Rainczuk) #3

Nie wiem dlaczego nie mogę wkleić tutaj linków do tych wklejek


(Marcin Rainczuk) #4

www.wklej.org/id/1205021

 

www.wklej.org/id/1205033

 

Logi z OTL


(Atis) #5

Podłącz pendrive i pokaż Listing z UsbFix


(Marcin Rainczuk) #6

Proszę, USBfix - www.wklej.org/id/1205051


(Atis) #7

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKU\S-1-5-21-2798632957-192809932-3777704508-1001..\Run: [APS] C:\Users\Public\conhost.exe (Hôte de la fenêtre de la console)
O4 - HKU\S-1-5-21-2798632957-192809932-3777704508-1001..\Run: [SURVIVAL] wscript.exe //B "C:\Users\MARCIN~1\AppData\Local\Temp\SURVIVAL.vbe" File not found
O4 - Startup: C:\Users\Marcin Rainczuk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\conhost.exe (Hôte de la fenêtre de la console)
O4 - Startup: C:\Users\Marcin Rainczuk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SURVIVAL.vbe ()
O7 - HKU\S-1-5-21-2798632957-192809932-3777704508-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: = 
[2012-12-27 01:47:23 | 095,023,320 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.pad
[2005-04-08 03:16:43 | 000,000,000 | -H-D | M] -- C:\Users\Marcin Rainczuk\AppData\Roaming\689DA4E6
:Files
H:\SURVIVAL.vbe
H:\*.lnk
I:\SURVIVAL.vbe
I:\*.lnk
attrib /d /s -s -h H:\* /c
attrib /d /s -s -h I:\* /c
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pokaż nowy raport UsbFix z opcji Listing.


(Marcin Rainczuk) #8

Raport z usuwania www.wklej.org/id/1205100

 

Niebawem podam oba logi, ze skanu otl i usbfix


(Marcin Rainczuk) #9

OTL www.wklej.org/id/1205116

extras www.wklej.org/id/1205119

 

 

usbfix www.wklej.org/id/1205121

 

Proszę


(Atis) #10

Dlaczego odłączyłeś dysk H?

Wykonaj skrypt w rybie awaryjnym:

http://forum.dobreprogramy.pl/temat/434609-tryb-awaryjny-w-windows-8/

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKU\S-1-5-21-2798632957-192809932-3777704508-1001..\Run: [SURVIVAL] wscript.exe //B "C:\Users\MARCIN~1\AppData\Local\Temp\SURVIVAL.vbe" File not found
O4 - Startup: C:\Users\Marcin Rainczuk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SURVIVAL.vbe ()
:Files
H:\SURVIVAL.vbe
H:\*.lnk
I:\SURVIVAL.vbe
I:\*.lnk
attrib /d /s -s -h H:\* /c
attrib /d /s -s -h I:\* /c
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pokaż nowy raport UsbFix z opcji Listing.


(Marcin Rainczuk) #11

www.wklej.org/id/1205168


(Marcin Rainczuk) #12

otl www.wklej.org/id/1205172

www.wklej.org/id/1205173

 

www.wklej.org/id/1205174

 

(przepraszam za niecenzuralną nazwę jednego z folderów. byłem zdenerwowany bardzo problematyczną instalacją programu cad/cam/3d i z nerwów nazwałem w ten sposób)

 

oto logi


(Atis) #13

Wklej i kliknij Wykonaj skrypt:

:OTL
[2013-12-03 11:47:57 | 000,000,000 | ---D | C] -- C:\AdwCleaner

Uruchom OTL i kliknij Sprzątanie.

Dysk przeskanuj Malwarebytes Anti-Malware


(Marcin Rainczuk) #14

Jestem w trakcie skanowania Anti-Malware, ale już teraz myślę, że problem został zażegnany. Widze, jak zachowują się nowe pliki na pendrive’ach, mianowicie nie zamieniają się po przejechaniu nad nimi kursorem w skróty, jak to było wcześniej. Chciałbym Ci Atisie bardzo podziękować, właściwie za bezinteresowną pomoc :slight_smile:

Mam jeszcze małe pytanie: czy ten robak/wirus, cokolwiek to jest, ma swoje źródło na komputerze, czy na pendrajwie? W jaki sposób można się przed nim chronić na przyszłość? Czy Ty na swoim sprzęcie używasz programów antywirusowych?

jestem posiadaczem oryginalnego windowsa 8.1 i właściwie dopiero w ostatnich dniach zainstalowałem Avast. Poza tym mój system funkcjonuje na microsoftowych aktualizacjach bezpieczeństwa i aplikacji windows defender. Slyszalem opinie, ze to wystarcza, a antywirusy tylko “pochlaniaja” pamięć. Po tym nieprzyjemnym doświadczeniu z tym pendrajwowym robactwem, poddaje w watpliwosc usłyszane wcześniej opinie,dlatego jeśli mogę, to chętnie zasiegne Twojej rady. Raz jeszcze dziekuje za całą pomoc.


(Atis) #15

Jeżeli podłączysz pendrive do zainfekowanego komputera to wirus infekuje pendrive.

Wirus ukryje pliki i utworzy skróty które odnoszą się do ukrytego szkodliwego pliku.

Gdy później na innym komputerze klikniesz w taki skrót, to uruchomisz wirusa i zainfekujesz kolejny system.

Antywirus nie ma większego znaczenia, bo nawet komercyjne przepuszczają tego typu wirusy.