tubir
(Kboruszewski)
16 Wrzesień 2013 18:56
#1
Witajcie
Mój komputer został zainfekowany wirusem, który ukrywa pliki a następnie tworzy ich skróty. Niestety zainfekowałem nim sobie także komputer w pracy. Powiedzcie mi proszę, czym mogę to dziadostwo usunąć. Chodzi mi o usunięcie tego wirusa z komputerów, ponieważ pendrivery mogę sobie sformatować (chyba, że to nie wystarczy). Skanowałem już avirą i avastem, niestety oba antywirusy nic nie wykryły.
Będę wdzięczny za pomoc.
Dimatheus
(Dimatheus)
16 Wrzesień 2013 19:01
#2
Hej,
Wrzuć logi w z programu OTL - co i jak, dowiesz się z tematu analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html .
Pozdrawiam,
Dimatheus
falcon89
(falcon89)
16 Wrzesień 2013 19:48
#3
Wstaw raport z UsbFix z opcji Listing (podłącz zainfekowane pendrive).
tubir
(Kboruszewski)
16 Wrzesień 2013 20:35
#4
Raport z USBfix:
http://www.wklej.org/id/1131259/
Ten OTL też zrobić?
Rozumiem że w pracy będę musiał wykonać tę samą operację. Wirus usunie się z pendriveów i komputera?
tubir
(Kboruszewski)
16 Wrzesień 2013 21:07
#6
Acorus
(Acorus)
17 Wrzesień 2013 07:36
#7
Odinstaluj Ask Toolbar.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL DRV - File not found [Kernel | Disabled | Stopped] – C:\Windows\system32\drivers\blbdrive.sys – (blbdrive) IE - HKLM…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029 IE - HKU\S-1-5-21-1454774823-4093735683-4188597283-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource= … =CT2475029 IE - HKU\S-1-5-21-1454774823-4093735683-4188597283-1000…\URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - No CLSID value found IE - HKU\S-1-5-21-1454774823-4093735683-4188597283-1000…\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: “URL” = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029 FF - prefs.js…extensions.enabledAddons: toolbar@ask.com:3.11.0.100013 [2011-05-28 13:13:45 | 000,000,000 | —D | M] (Conduit Engine) – C:\Users\Krzysztof\AppData\Roaming\mozilla\Firefox\Profiles\srdl1lyy.default\extensions\engine@conduit.com [2013-09-14 02:01:34 | 000,000,000 | —D | M] (“WiseCleaner Toolbar”) – C:\Users\Krzysztof\AppData\Roaming\mozilla\Firefox\Profiles\srdl1lyy.default\extensions\toolbar@ask.com O3 - HKLM…\Toolbar: (WiseCleaner Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com \GenericAskToolbar.dll File not found O3 - HKU\S-1-5-21-1454774823-4093735683-4188597283-1000…\Toolbar\WebBrowser: (no name) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - No CLSID value found. O4 - HKLM…\Run: [NDSTray.exe] NDSTray.exe File not found O4 - HKU\S-1-5-21-1454774823-4093735683-4188597283-1000…\Run: [home] wscript.exe //B “C:\Users\KRZYSZ~1\AppData\Local\Temp\home.vbs” File not found O4 - HKLM…\RunOnce: [] File not found O4 - Startup: C:\Users\Krzysztof\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbs () [2013-09-13 19:01:46 | 000,150,772 | -HS- | C] () – C:\Users\Krzysztof\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbs :Files D:\home.vbs G:\home.vbs H:\home.vbs D:*.lnk G:*.lnk H:*.lnk attrib /d /s -s -h G:* /C attrib /d /s -s -h D:* /C attrib /d /s -s -h H:* /C :Commands [emptytemp]
Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.
tubir
(Kboruszewski)
17 Wrzesień 2013 16:16
#8
A gdzie ja mam ten Ask Toolbar? W Panelu Sterowania - Odinstaluj programy tego nie ma, CCleaner także tego nie wykazuje.
Rozumiem że w dalszym ciągu, jak wykonuję kolejne operacje z OTL, to mam to robić z zainfekowanymi pendriverami, włożonymi do komputera?
Acorus
(Acorus)
17 Wrzesień 2013 16:31
#9
A jak myślisz? Pomiń ten ask toolbar.
tubir
(Kboruszewski)
17 Wrzesień 2013 17:25
#10
Acorus
(Acorus)
17 Wrzesień 2013 17:37
#11
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKCU…\Run: [home] wscript.exe //B “C:\Users\KRZYSZ~1\AppData\Local\Temp\home.vbs” File not found O4 - Startup: C:\Users\Krzysztof\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbs () O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - http://rover.ebay.com/rover/1/4908-44618-9400-3/4 File not found O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.co.uk/exec/obidos/red … &site=home File not found [2013-09-13 19:01:46 | 000,150,772 | -HS- | C] () – C:\Users\Krzysztof\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbs :Commands [emptytemp]
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.
.Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free/
Przed skanowaniem wykonaj RĘCZNĄ AKTUALIZACJĘ BAZY SYGNATUR WIRUSÓW Malwarebytesa “Uruchom Malwarebytes, przejdź do zakładki Aktualizacja, Sprawdź aktualizacje.”
tubir
(Kboruszewski)
18 Wrzesień 2013 04:44
#12
Zrobiłem wszystko jak kazałeś. Przeskanowałem tym Anti-Malwarem w trybie pełnego skanowania, z podpiętymi pendriveami, a te cholerstwo dalej mi zamienia te pliki na skróty - sformatowałem jeden i wrzuciłem tam plik dla spróbowania, i zamienił dziad
tubir
(Kboruszewski)
19 Wrzesień 2013 04:41
#14
Sformatowałem wszystkie pendrivey, przed wykonaniem tego skanu.
http://www.wklej.org/id/1132796/ - OTL.txt
Acorus
(Acorus)
19 Wrzesień 2013 07:36
#15
Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM…\Run: [home] wscript.exe //B “C:\Users\KRZYSZ~1\AppData\Local\Temp\home.vbs” File not found O4 - HKU\S-1-5-21-1454774823-4093735683-4188597283-1000…\Run: [home] wscript.exe //B “C:\Users\KRZYSZ~1\AppData\Local\Temp\home.vbs” File not found O4 - Startup: C:\Users\Krzysztof\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbs () [2013-09-13 19:01:46 | 000,150,772 | -HS- | C] () – C:\Users\Krzysztof\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbs :Commands [emptytemp]
Kliknij Wykonaj skrypt.W OTL użyj opcji Sprzątanie.
Przeskanuj programem Dr.WEB CureIt http://www.freedrweb.com/cureit/?lng=pl
tubir
(Kboruszewski)
19 Wrzesień 2013 11:33
#16
Mam przed tym pytanie: czy te skanowanie mam wykonać z ustawieniami ze screena z tego linku: analiza-dezynfekcja-zestaw-narzedzi-nieingerencyjnych-t485632.html.
Bo jak wykonywałem pierwszy test to ustawiałem wg. tych wskazać, ale potem jak wklejałem te własne ustawienia to już do tego się nie stosowałem, możne przez to nie zadziałało.
Acorus
(Acorus)
19 Wrzesień 2013 12:27
#17
Przy wklejaniu skryptu ustawienia OTL-a nie są istotne.
tubir
(Kboruszewski)
19 Wrzesień 2013 17:31
#18
Posprzątałem OTL, ze skryptem jaki mi dałeś. Przeskanowałem tym antywirusem - nic nie wykrył. I po mimo tego że sformatowałem pendrivey, to znowu mi zamienia na te skróty :evil:
Co to za cholerstwo? Jest możliwość że pomimo sformatowaniu pendriverów to tam zostaje?
– Dodane 21.09.2013 (So) 14:55 –
Dla potomnych: pomógł skan programem ComboFix.
Acorus, dzięki za pomoc!