Wirus z pendrive

Dla specjalistów Bezpieczeństwo
#1

Witam, mam problem z wirusem, który zainfekował się z pendrive (niestety z drukarni)…

 

Wirus, tworzy na pendrive taki oto plik ukryty : 9975759809ee69cc2d0562054d998149.exe

 

Skanowałem ADWCleaner i wykrywa w rejestrze szkodliwy wpis, usuwam uruchamiam komputer i ponownie jest…

 

Dołączam skany z FRST:

 

http://www.wklej.org/id/1733174/

 

http://www.wklej.org/id/1733175/

 

http://www.wklej.org/id/1733177/

 

Dziękuję za pomoc :slight_smile:

#2

Wklej do notatnika:

CloseProcesses:
HKLM\...\Run: [9975759809ee69cc2d0562054d998149] = C:\Users\Michał\AppData\Local\Temp\skype.exe [82432 2015-02-21] (Windows) ===== ATTENTION
HKU\S-1-5-21-3042137835-220820120-4174318524-1001\...\Run: [9975759809ee69cc2d0562054d998149] = C:\Users\Michał\AppData\Local\Temp\skype.exe [82432 2015-02-21] (Windows) ===== ATTENTION
Startup: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9975759809ee69cc2d0562054d998149.exe [2015-05-29] (Windows)
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S3 MSICDSetup; \??\J:\CDriver64.sys [X]
S3 NTIOLib_1_0_3; \??\C:\Program Files (x86)\MSI\Super Charger\NTIOLib_X64.sys [X]
S3 NTIOLib_1_0_C; \??\J:\NTIOLib_X64.sys [X]
S3 NTIOLib_FastBoot; \??\C:\Program Files (x86)\MSI\Fast Boot\NTIOLib_X64.sys [X]
S3 NTIOLib_MSIClock_CC; \??\C:\Program Files (x86)\MSI\Command Center\ClockGen\NTIOLib_X64.sys [X]
S3 NTIOLib_MSICOMM_CC; \??\C:\Program Files (x86)\MSI\Command Center\NTIOLib_X64.sys [X]
S3 NTIOLib_MSICPU_CC; \??\C:\Program Files (x86)\MSI\Command Center\CPU\NTIOLib_X64.sys [X]
S3 NTIOLib_MSIDDR_CC; \??\C:\Program Files (x86)\MSI\Command Center\DDR\NTIOLib_X64.sys [X]
S3 NTIOLib_MSIFrequency_CC; \??\C:\Program Files (x86)\MSI\Command Center\ClockGen\CPU_Frequency\NTIOLib_X64.sys [X]
S3 NTIOLib_MSIRatio_CC; \??\C:\Program Files (x86)\MSI\Command Center\CPU\CPU_Ratio\NTIOLib_X64.sys [X]
S3 NTIOLib_MSISMB_CC; \??\C:\Program Files (x86)\MSI\Command Center\SMBus\NTIOLib_X64.sys [X]
S3 NTIOLib_MSISuperIO_CC; \??\C:\Program Files (x86)\MSI\Command Center\SuperIO\NTIOLib_X64.sys [X]
2015-06-08 15:31 - 2015-06-08 15:31 - 02231296 _____ C:\Users\Michał\Downloads\adwcleaner_4.206_www.INSTALKI.pl.exe
C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9975759809ee69cc2d0562054d998149.exe
EmptyTemp:

Plik zapisz jako fixlist.txt i umieść w tym samym katalogu co FRST Uruchom FRST klikasz Fix Raport z usuwania pokaż na forum. Następnie ponownie uruchom FRST klikasz Scan pokaż nowy raport FRST.txt na forum

#3

Nowy raport :

#4

Wykonaj pełny skan Malwarebytes http://www.dobreprogramy.pl/Malwarebyte … 13117.html (w trakcie instalacji odznacz okres testowy) Wykonaj pełny skan, jeśli program coś wykryje pokaż raport na forum.

#5

Raport z Malware (on wykrywa szkodliwe wpisy daje usuń ale nie usuwa, coś przywraca po starcie systemu te wpisy w rejestrze…),

 

http://wklej.org/id/1733764/

#6

Po wykonanej operacji proszę mi pokazać raport z usuwania oraz nowy raport FRST

 

Wklej do notatnika:

CloseProcesses:
HKU\S-1-5-21-3042137835-220820120-4174318524-1001\...\Run: [9975759809ee69cc2d0562054d998149] = C:\Users\Michał\AppData\Local\Temp\skype.exe [82432 2015-02-21] (Windows) ===== ATTENTION
Startup: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9975759809ee69cc2d0562054d998149.exe [2015-06-09] (Windows)
Startup: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Trapcode.exe [2015-05-29] (Windows)
2015-06-05 23:16 - 2015-06-08 13:40 - 00000080 _____ C:\Users\Michał\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦
C:\Users\Michał\AppData\Local\Temp\skype.exe
C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\9975759809ee69cc2d0562054d998149.exe
AlternateDataStreams: C:\Users\Michał\AppData\Local\Temp:SzuNCrhFujxPqj6L1fqUPTrW
EmptyTemp:

Plik zapisz jako fixlist.txt i umieść w tym samym katalogu co FRST Uruchom FRST klikasz Fix Raport z usuwania pokaż na forum. Następnie ponownie uruchom FRST klikasz Scan pokaż nowy raport FRST.txt na forum

#7

Raport z usunięcia:

 

http://wklej.org/id/1733807/

 

http://wklej.org/id/1733810/ - frst.txt

#8

Dlaczego instalowałeś MCAfee skoro masz Eseta? Proszę go odinstalować.

 

Wklej do notatnika:

CloseProcesses:
S4 0001141433860003mcinstcleanup; C:\Users\MICHA~1\AppData\Local\Temp\000114~1.EXE -cleanup -nolog [X]
DeleteQuarantine:
EmptyTemp:

Plik zapisz jako fixlist.txt i umieść w tym samym katalogu co FRST Uruchom FRST klikasz Fix Raport z usuwania pokaż na forum.

#9

Log z usuwania : http://wklej.org/id/1735117/

 

Co do MCAfee tak jak go zainstalowałem, to równie szybko go odinstalowałem, gdyż bardzo spowolnił mi komputer, a dlaczego zainstalowałem? Ponieważ po wpisaniu pliku tego “9975759809ee69cc2d0562054d998149.exe” w googlach od razu wyświetliła mi się informacja McAfee który ma zdefiniowanego robaka i jeśli zainstaluje program to mi go usunie. Niestety po zainstalowaniu samego McAfee, komputer mi zwolnił w taki sposób, że potem trzeba było odinstalować w trybie awarayjnym McAfee. więc obecnie mam tylko Eseta (do grudnia mam wykupioną subskrypcje).

#10

Tak to jest gdy na komputerze działają dwa antywirusy.

 

Podłącz pendrive, uruchom FRST klikasz Scan pokaż nowy raport FRST.txt na forum.

#11

skan : http://wklej.org/id/1736185/ FRST.txt

#12

Mnie chodzi właśnie o to, aby usunąć to co pozostało po MCAfee.

#13

Użyłem McAfee Consumer Product Removal (uruchomiłem po tym komputer)

 

oto nowy raport FRST

#14

Wklej do notatnika:

CloseProcesses:
CreateRestorePoint:
S2 mfemms; "C:\Program Files\Common Files\McAfee\SystemCore\\mfemms.exe" [X]
S3 mfeaack; C:\Windows\System32\drivers\mfeaack.sys [401736 2015-02-17] (McAfee, Inc.)
R0 mfedisk; C:\Windows\System32\DRIVERS\mfedisk.sys [101872 2015-02-17] (McAfee, Inc.)
C:\Users\Michał\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦
C:\Users\Michał\Downloads\Setup_serial_2n4yDlvvYx4b4y3XJkmiCA2_key.exe
C:\AdwCleaner
EmptyTemp:

Plik zapisz jako fixlist.txt i umieść w tym samym katalogu co FRST Uruchom FRST klikasz Fix Raport z usuwania pokaż na forum.

#15

http://wklej.org/id/1738014/ - FixLog

 

Niestety po tej operacji, po ponownym uruchomieniu komputera, przy startowaniu Windowsa 8 (nie wyświetliło się nawet okno do logowania), wyskoczył BlueScreen. Musiałem cofnąć system do punktu w którym to co mi dałeś w notatniku nie zostało zastosowane.

#16

Punkt przywracania systemu został utworzony przez FRST - to wynika ze skryptu i tak miało być w razie problemów. Pokaż proszę nowy raport FRST.txt

#17

No i właśnie z tego punktu FRST skorzystałem,

 

Log ze skanu : http://wklej.org/id/1738508/

 

P.S. dziś jeszcze zakupiłem wersje premium AntiMalware na rok.

#18

Zanim przejdziemy do usuwania. Proszę o raport Autoruns http://www.dobreprogramy.pl/AutoRuns,Pr … 13208.html Po zakończony skanie zapisz raport spakuj plik i wrzuć na jakiś hosting. Link do niego podajesz tutaj.