Elektroda.pl
Elektroda.pl
X

Search our partners

Find the latest content on electronic components. Datasheets.com
Elektroda.pl
Please add exception to AdBlock for elektroda.pl.
If you watch the ads, you support portal and users.

Wirus na pendrivie KINGSTON 4GB - Komputer po formacie

Ogen Dogen 31 Aug 2011 11:18 3092 12
  • #1
    Ogen Dogen
    Level 9  
    Witam. Ostatnio miałem komputer zainfekowany przez wirusa copy.exe oraz drugiego który namieszał antywirusowi do tego stopnia , że widział wszędzie "wirusa" nawet w plikach systemowych. Po pewnym czasie nie mogłem się zalogować na komputer , więc sformatowałem partycje C. Uruchomiłem windowsa i najbardziej potrzebne dane z innych partycji zgrałem na pendrive'a. Na następny dzień wystąpił ten sam błąd więc tym razem sformatowałem wszystkie partycje.
    Teraz trochę boję się podpiąć pen drive'a do komputer , bo wirus mógł się tam przenieść. Można temu jakoś zaradzić czy muszę ryzykować ?
  • #2
    makkak
    Level 19  
    Pewnie zrobił plik autorun i dlatego od razu po podłączeniu infekuje kompa. Zainstaluj system, antywirusa i podłącz pen trzymając wciśnięty shift. Następnie przeskanuj pena, usuń wirusy. Najpewniejsza metoda to odpalić jakiegoś Linuxa Live z płyty, zamontować pena, usunąć plika autorun i pliki exe.
  • #3
    Kolobos
    IT specialist
    Uzyj USBFix, opcja Vaccinate. Nastepnie podlacz pendrive i usun z niego zainfekowane pliki lub uzyj w USBFix opcji Deletion.
  • #4
    Ogen Dogen
    Level 9  
    Z tego co wyczytałem to nie znalazł nic poważnego. Przed skanem użyłem opcji Vaccination i utworzył plik autorun.inf na partycjach C,D,E.
    Log z USBFix'a :
    Code:
    ############################## | UsbFix 7.058 | [Research]
    

    User: Marcin (Administrator) # MARCIN-04F120C2 [ ]
    Updated 24/08/2011 by El Desaparecido
    Started at 18:23:59 | 31/08/2011
    Website: http://www.teamxscript.org
    Submit your sample: http://www.teamxscript.org/Upload.php
    Contact: TeamXscript.ElDesaparecido(malpa)gmail.com

    CPU: AMD Sempron(tm) Processor LE-1150
    Microsoft Windows XP Professional (5.1.2600 32-Bit) # Dodatek Service Pack 2
    Internet Explorer 6.0.2900.2180

    Windows Firewall: Enabled
    Antivirus: avast! Antivirus 5.0.100664499 [(!) Disabled | Updated]
    Firewall: ActiveArmor Firewall 1.0 [(!) Disabled]
    RAM -> 1023 Mb
    C:\ (%systemdrive%) -> Fixed drive # 49 Gb (41 Mb free - 83%) [] # NTFS
    D:\ -> Fixed drive # 98 Gb (92 Mb free - 94%) [Gry] # NTFS
    F:\ -> CD-ROM
    G:\ -> Removable drive # 4 Gb (1 Mb free - 29%) [KINGSTON] # FAT32

    ################## | Files # Infected Folders |

    Found ! C:\DOCUME~1\Marcin\USTAWI~1\Temp\setup.exe
    Found ! C:\RECYCLER\S-1-5-21-1547161642-1935655697-839522115-1003
    Found ! D:\RECYCLER\S-1-5-21-1547161642-1935655697-839522115-1003
    Found ! F:\autorun.inf

    ################## | Registry |


    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\{74701d43-c9d0-11e0-81eb-806d6172696f}
    Shell\AutoRun\Command = F:\DukeNukemMP.exe


    ################## | Vaccin |

    C:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)
    D:\Autorun.inf -> Vaccine created by UsbFix (TeamXscript)
    F:\Autorun.inf -> Vaccine created by Panda USB Vaccine

    ################## | E.O.F |


    Mimo to zaniepokoiła mnie jedna rzecz. Podczas skanowania wyświetlił się komunikat windowsa , że jest jakaś awaria urządzenia USB. Pen drive uruchomił się normalnie i był tam plik AUTORUN.inf i było napisane mniej więcej takie coś :
    Code:
    [autorun]
    
    run=USERINIT.exe

    Usunąłem go. Zaznaczę jeszcze , że tego samego pen drive'a kupił mój znajomy i nie widział u siebie tego pliku. Mam jeszcze jakieś powody do zmartwień ?

    //edit
    Jeszcze na pen drivie znajduje się ukryty plik wykonalny USERINIT.exe pod nim na szaro pisze.
    Aplikacja Userinit Logon
    Microsoft Corporation

    Też go usuwam.

    //edit2
    Teraz to samo tylko , że było wpisane.
    Code:
    [autorun]
    
    open=WMPLAYER.EXE


    I plik wykonywalny WMPLAYER.EXE a pod nim to samo ;/
  • #5
    Kolobos
    IT specialist
    W takim razie masz zainfekowany system.

    Zrob skan przy pomocy mbam oraz cureit.
    Daj w zalaczniku oba logi z OTL.
  • #6
    Ogen Dogen
    Level 9  
    Mimo tego skanu wirus się przedostał i znowu antywirus zaczął szaleć ;/
    Pewnie jutro już nie będę się mógł zalogować do systemu.
    Póki co zrobie te skany.

    Skany OTL są w załączniku a skan Mbama tutaj :

    Code:

    Malwarebytes' Anti-Malware 1.51.1.1800
    www.malwarebytes.org

    Wersja bazy: 7622

    Windows 5.1.2600 Dodatek Service Pack 2
    Internet Explorer 6.0.2900.2180

    2011-08-31 20:56:55
    mbam-log-2011-08-31 (20-56-55).txt

    Typ skanowania: Szybkie skanowanie
    Przeskanowano obiektów: 158102
    Upłynęło: 2 minut(y), 30 sekund(y)

    Zainfekowanych procesów w pamięci: 0
    Zainfekowanych modułów w pamięci: 0
    Zainfekowanych kluczy rejestru: 0
    Zainfekowanych wartości rejestru: 0
    Zainfekowane informacje rejestru systemowego: 0
    Zainfekowanych folderów: 0
    Zainfekowanych plików: 0

    Zainfekowanych procesów w pamięci:
    (Nie znaleziono zagrożeń)

    Zainfekowanych modułów w pamięci:
    (Nie znaleziono zagrożeń)

    Zainfekowanych kluczy rejestru:
    (Nie znaleziono zagrożeń)

    Zainfekowanych wartości rejestru:
    (Nie znaleziono zagrożeń)

    Zainfekowane informacje rejestru systemowego:
    (Nie znaleziono zagrożeń)

    Zainfekowanych folderów:
    (Nie znaleziono zagrożeń)

    Zainfekowanych plików:
    (Nie znaleziono zagrożeń)


    //edit
    Ale komputer póki co jest sprawny i z niego piszę. Zobaczymy co będzie jutro ew.
    Antywirusa mam avasta! , ponieważ był pod ręką zaraz po formacie. Aktualnie go usunąłem całkowicie i jak narazie problem zniknął.
  • #7
    Kolobos
    IT specialist
    W takim razie zrob skan calego dysku przy pomocy cureit livecd oraz kaspersky rescue disc. Oba dzialaja z plyty, mozesz je nagrac na innym komputerze.

    Mozesz napisac o jakiego wirsa chodzi? Virut czy Sality?



    Dlaczego log ma 2MB? Jezeli cos zmieniales w OTL to nie zmieniaj!
  • #8
    Ogen Dogen
    Level 9  
    Ciężko nazwać tego wirusa. Wirus po prostu spowodował , że avast! widział infekcję w każdym pliku .exe Nawet w tych systemowych np. w notatniku , kalkulatorze itd.
    Nie wiem czy to ma coś wspólnego ze sprawą , ale gdy w uruchom wpisuje msconfig to w uruchamianiu mam 3 ciekawe pozycje , których nie widziałem wcześniej.
    Code:

    NvCpl____RUNDLL32.exe C:\windows\system32\NvCpl.dll,NvStartup
    NvMcTray____RUNDLL32.exe C:\windows\system32\NvMcTray.dll,NvTaskbarInit
    RTHDCPL_____RTHDCPL.exe
  • #9
    Kolobos
    IT specialist
    Daj nowy log z OTL, tym razem bez grzebania w opcjach. Jedyne co mozesz zmienic to "wszyscy uzytkownicy", purity i lop.
  • #11
    Kolobos
    IT specialist
    Log wyglada ok.

    Zrob skan tym co podalem wczesniej.
  • #12
    Ogen Dogen
    Level 9  
    Znalazłem Skaner Dr.Web , nie mogłem znaleść tego CureIt :cry:
    Mimo to jestem bardzo zadowolony z niego :D Skanował najpierw szybkim skanem 15min a potem 4h pełnym. Znalazł łącznie podczas 2 skanów 1041 zainfekowanych plików i 1 adware z czego wyleczył 1018 plików , 1 usunąłem oraz 22 nieuleczalnych przeniósł do kwarantanny. Okazało się , że to Win32.Virut.54 Myślę , że już teraz będzie spokój :) Nie wiem jak ci dziękować chłopie.
    Tylko , że on dalej siedzi na pen drivie :/ Co z nim zrobić ? Przeskanować jeszcze raz komputer z podłączonym pen drivem ?
    Jak go znowu podepnę to się automatycznie rozsieje od nowa.
    Tutaj zamieszczam log , gdyby był potrzebny.