Wirusowy problem z pendrivem


(Therion887) #1

Witam, mam podobny problem jak kolega opisał w tym temacie : http://forum.dobreprogramy.pl/wirus-tworzy-skróty-na-pendriveach-jak-go-usunąć-t444894/

 

U mnie zaczęło się od podpięcia do komputera pendrive gdzie pojawiło się mnóstwo skrótów zamiast plików które tam posiadałem, nastepnie pojawił sie wirus na facebooku który sam dodawał posty z resztą dość głośno o tym, walczyłem z tym jak mogłem myślałem że jakoś sobie poradziłem, do dziś kiedy moja żona podpięła ów pendrive do swojego komputera i antyvirus zaczął bic na alaram, przeczytałęm następwnie powyższy artykuł i zdałem sobie sprawę że tak naprawdę nic z tym nie zrobiłem i ten robak ma się dobrze, jakies pliki typu desktop.ini autorun.inf itp jak były tak są dalej, jakieś dziwne foldery są na dyskach których wcześniej nie widziałem ukryte pliki również są o dziwnych nazwach stąd mój cały niepokój i ten temat.

 Jestem laikiem i nowym użytkownikiem tego forum więc za ewentualne błędy w czymkolwiek proszę mi wybaczyć. Chciałbym was Forumowicze poprosić o pomoc w uporaniu się z owym wirusem o jakieś logi/skrypty które mogę wkleić w otl i wykonać itp gdyż nie mam o tym pojęcia, a czytałem np w/w temat i ze swojej strony postarałem się o n/w logi :

 

OTL

http://wklej.org/hash/3f71e229ef6/

 

EXTRAS

http://wklej.org/id/1339167/

 

usbfix raport

http://wklej.org/id/1339170/

 

usbfix list

http://wklej.org/id/1339171/

 

usb list scan

http://wklej.org/id/1339179/

 

usbfix scan z podłączonynm pendrivem

http://wklej.org/id/1339182/

 

Bardzo proszę o pomoc.


(Atis) #2

Ww instrukcji wyraźnie jest napisane Użyj filtrowania.

Odinstaluj Trend Micro Titanium Internet Security i McAfee Security Scan.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
SRV:64bit: - File not found [On_Demand | Stopped] -- C:\Program Files\Trend Micro\AMSP\coreServiceShell.exe coreFrameworkHost.exe -- (Amsp)
DRV:64bit: - [2014-03-03 10:56:58 | 000,050,976 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avgtpx64.sys -- (avgtp)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:64bit: - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [KiesTrayAgent] D:\Program Files (x86)\Kies\KiesTrayAgent.exe File not found
O4 - HKU\S-1-5-21-387925424-984651328-649709534-1000..\Run: [AVG-Secure-Search-Update_JUNE2013_HP] "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_HP.exe" /PROMPT /CMPID=JUNE2013_HP File not found
O4 - HKU\S-1-5-21-387925424-984651328-649709534-1000..\Run: [AVG-Secure-Search-Update_JUNE2013_TB] "C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe" /PROMPT /CMPID=JUNE2013_TB File not found
O4 - HKU\S-1-5-21-387925424-984651328-649709534-1001..\Run: [Microsoft.NET Framework] C:\Users\Michał\AppData\Roaming\v2.0.50727\vbc.exe File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-387925424-984651328-649709534-1000..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
[2014-03-20 16:54:09 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2013-03-08 13:26:56 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\Extensions
[2013-03-08 13:26:55 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\searchplugins
[2012-12-07 13:18:20 | 000,000,000 | ---D | C] -- C:\Temp
:Files
G:\RECYCLER
G:\*.pif
G:\*.lnk
G:\*.vbs
G:\EXPLORER.EXE
G:\fkgxb.exe
G:\x.com
attrib /d /s -s -h G:\* /c
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pokaż nowy raport UsbFix z opcji Listing.


(Therion887) #3

Bardzo proszę i dziękuje jednocześnie za odpowiedź

http://wklej.org/id/1339233/

 

Nowy log bardzo proszę:

 

OTL

http://wklej.org/id/1339238/

 

EXTRAS

http://wklej.org/id/1339241/

 

 

USBFIX przed podpięciem pendrive

http://wklej.org/id/1339247/

 

 

usbfix po

http://wklej.org/id/1339244/


(Atis) #4

W jakim celu wykonałeś skrypt bez podłączonego pendrive?

Poza tym wyraźnie napisałem, że wszystko ma być ustawione na Użyj filtrowania.

Nie znasz się na tym to nie zmieniaj żadnych ustawień.

http://forum.dobreprogramy.pl/temat/402063-analiza-i-dezynfekcja-zestaw-narzędzi-nieingerencyjnych/?p=2608679


(Therion887) #5

Fakt masz rację, naprawiłem swój błąd, proszę( cały czas podpięty :slight_smile: tym razem.

http://wklej.org/id/1339260/

 

OTL -> wszystko bylo na filtrze jak napisałeś i jak w owym poradniku z którego skorzystałem.

http://wklej.org/id/1339263/

 

extras

http://wklej.org/id/1339264/

 

usbfix

http://wklej.org/id/1339265/


(Atis) #6

Wszystkie programy > Akcesoria > Wiersz polecenia > Kliknij prawym i wybierz Uruchom jako administrator

Wklej i zatwierdź enterem: attrib /d /s -s -h G:*

Wklej i kliknij Wykonaj skrypt:

:Files
G:\AutoRun.inf

Uruchom OTL i kliknij Sprzątanie.

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish


(Therion887) #7

Zrobiłek tak jak wg powyższych wskazówek, oto wynik Malwarebytes:

http://wklej.org/id/1339890/

Wszystkie wykryte poddałem kwarantannie.

Po ponownym skanowaniu: brak zagrożeń.

http://wklej.org/id/1339904/

Z pendrive znikły skróty są czyste pliki jakie miałem, wydaje się być bez zarzutu.

 

Natomiast jeszcze odnosząc się do mojej pierwtnej wypowiedzi, mam jeszcze zainfekowany komputer małżonki.

Po podłączeniu zaczął jej mulic komputer, pojawilo sie kilka folderów plikow jak było u mnie i jakis antyvir który posiada

obecnie cały czas pika że coś wykrył ale chyba dalej nie wie co, w związku z czym poprosiłbym o jeszcze troszke pomocy o to logi z drugiego komputera

i nawet na moje oko niezbyt fachowe i profesjonalne wygląda to na niezły syf chociażby po logach adware.

 

OTL: http://wklej.org/id/1339982/

EXTRAS: http://wklej.org/id/1339983/

USBFIX http://wklej.org/id/1339902/

ADWARCLEANER http://wklej.org/id/1339903/

 

Co w pierwszej kolejności ?


(Atis) #8

Nie widać infekcji, a AdwCleaner chyba popełnił błąd i wykrył folder od prawidłowego programu Free Download Manager. Pobierz najnowszą wersję AdwCleaner

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbwwan.sys -- (ewusbmbb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev)
IE - HKU\S-1-5-21-2097712592-2050178331-1687603372-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1330803399_669575
IE - HKU\S-1-5-21-2097712592-2050178331-1687603372-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&q={searchTerms}
IE - HKU\S-1-5-21-2097712592-2050178331-1687603372-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=100478&babsrc=SP_ss&mntrId=56758c94000000000000bcaec52ec427
O3 - HKU\S-1-5-21-2097712592-2050178331-1687603372-1000\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
O3 - HKU\S-1-5-21-2097712592-2050178331-1687603372-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\RunOnce: [] File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Reg Error: Value error.)
[2014-04-22 18:31:24 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2011-12-06 18:08:29 | 000,000,000 | ---D | M] -- C:\Users\Klaudia\AppData\Roaming\Babylon
[2012-03-12 20:06:15 | 000,000,000 | ---D | M] -- C:\Users\Klaudia\AppData\Roaming\OpenCandy
:Files
C:\Windows\Tasks\Updater.job
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish


(Therion887) #9

Wykonanie według powyższych wskazówek jak zwykle :wink:

Skrypt wprowadzony i posprzątane.

http://wklej.org/id/1340747/

Stare kopie itd również ogarnięte i posprzątane.

 

Przeskanowane check-iem brak starych programów.

Malwarebytes Anti-Malware przeskanowe coś wykryło

http://wklej.org/id/1341265/ -> kwarantanna.

 

adwcleaner

  1. http://wklej.org/id/1341268/

  2. http://wklej.org/id/1341273/

  3. http://wklej.org/id/1341275/

  4. http://wklej.org/id/1341277/

 

No i wszystko byłoby dobrze gdyby nie to iż w chwili pisania tego posta, i ponownego skanowania OTL pojawiły mi sie na pulpicie

kilkanaście dziwnych plików ( ukrytych ) np.  desktop.ini x2, 365262626_632643265 czy plik z końcówką lic.doc .sha czy .tmp NIE WIEM O CO KAMAN :<

http://www.fotosik.pl/pokaz_obrazek/49a5787cef9c6e77.html

 

O to logi już po tej niespodziance:

OTL

http://wklej.org/id/1341292/

EXTRAS

http://wklej.org/id/1341305/

USBFIX

http://wklej.org/id/1341308/

ADWCLEANER

http://wklej.org/id/1341275/ to samo ciagle wskazuje.

Malwarebytes Anti-Malware

http://wklej.org/id/1341336/ i nic :<

 

Chciałem jeszcze zrobić test mianowicie włożyć pendrive o którym była mowa wyżej i przeskanować wtedy wszystko, ale widać już zawczasu pojawiła się niespodzianka.

Jak zwyklę proszę o rade i pomoc.


(Atis) #10

Pliki desktop.ini są systemowe, a pozostałe to pewnie pliki tymczasowe utworzone przez jakiś program.

OTL ustawił widoczność plików ukrytych i systemowych, a opcja Sprzątanie przywraca domyślne ustawienia.


(Therion887) #11

Dziekuję bardzo za wszelką pomoc, w takim razie problem myślę można uznać za rozwiązany mam nadzieję że temat komuś się przyda.

W razie czego zwrócę się o pomoc ponownie dziękuję jeszcze raz i pozdrawiam. Solved :slight_smile: