Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Zawirusowane 3 komputery poprzez nośnik danych na USB.

Repro2015 17 Cze 2015 07:31 618 11
  • #1 17 Cze 2015 07:31
    Repro2015
    Poziom 5  

    Witam serdecznie!
    U naszej małej drukarni padliśmy ofiarą robaków roznoszonych przez pendrive'y, tworzących skrót Removable Drive. Zgodnie z instrukcjami załączam skan z USBFIX oraz FRST i proszę o pomoc. Po południu załączę logi dwóch kolejnych komputerów.

    Mam przy okazji pytanie: jak zabezpieczyć się przed takimi robakami? Używamy MSSE oraz McShield, który skanuje pendrive'y, a mimo to nie okazało się to skuteczne. Czy można się jakoś zabezpieczyć? Infekcje są na koncie użytkownika, może po prostu usunąć to konto i z pozycji admina zrobić nowe? Nie wiem, głośno myślę.

    0 11
  • #2 17 Cze 2015 08:21
    Acorus 20
    Spec od komputerów

    Użycie USBFix z funkcji Clean czyści, zabezpiecza komputer i pendriva przed ponowną infekcją. Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    HKLM-x32\...\RunOnce: [] => [X]
    Startup: C:\Users\Repro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.lnk [2015-06-11]
    ShortcutTarget: x.lnk -> C:\Users\Repro\AppData\Roaming\obsdnozjku.exe (Kareo)
    2015-06-11 10:23 - 2015-06-11 10:23 - 69242880 __RSH (Kareo) C:\Users\Repro\AppData\Roaming\obsdnozjku.exe


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix.

    0
  • #3 17 Cze 2015 11:41
    Kroovka
    Poziom 22  

    Repro2015 napisał:
    Witam serdecznie!
    Używamy MSSE oraz McShield, który skanuje pendrive'y, a mimo to nie okazało się to skuteczne. Czy można się jakoś zabezpieczyć?


    Można stosując właściwą profilaktykę. Jedyną drogą aby zainfekować komputer pod Windowsami z użyciem pendrive jest zezwolenie na automatyczne startowanie pliku autorun.inf na pendrivie - innej metody infekcji automatycznej nie ma.
    W WinXP startowanie autorun.inf jest domyślnie włączone dla wszystkich nośników, w Viście i Win7 chyba też. Jak nie znajdziesz w google metody jak to wyłączyć to postaram się wieczorem dać mały tutorial.

    0
  • #6 17 Cze 2015 18:31
    Acorus 20
    Spec od komputerów

    Drugi.
    Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    Startup: C:\Users\student\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\i.lnk [2015-06-08]
    ShortcutTarget: i.lnk -> C:\Users\student\AppData\Roaming\obloprtvxh.exe ()
    URLSearchHook: [S-1-5-21-1668390990-2693116749-3062202487-1000] ATTENTION ==> Default URLSearchHook is missing
    2015-06-08 15:15 - 2015-06-08 15:15 - 103882752 __RSH C:\Users\student\AppData\Roaming\obloprtvxh.exe
    C:\ProgramData\LaunchURL.bat
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix.
    Trzeci.
    Otwórz notatnik systemowy i wklej:
    Cytat:
    CloseProcesses:
    HKU\S-1-5-21-390620945-1789028701-2134742640-1002\...\RunOnce: [Adobe Speed Launcher] => 1434522118
    Startup: C:\Users\Repro2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\u.lnk [2015-05-20]
    ShortcutTarget: u.lnk -> C:\Users\Repro2\AppData\Roaming\obczvspmjr.exe (Lextech Global Services)
    URLSearchHook: [S-1-5-21-390620945-1789028701-2134742640-1001] ATTENTION ==> Default URLSearchHook is missing
    2015-05-20 09:01 - 2015-05-20 09:01 - 72232960 __RSH (Lextech Global Services) C:\Users\Repro2\AppData\Roaming\obczvspmjr.exe
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix. W obu komputerach użyj opcji Vaccinate z USBFixa.

    0
  • #8 23 Cze 2015 10:06
    Acorus 20
    Spec od komputerów

    Włącz przywracanie systemu. Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    HKLM-x32\...\RunOnce: [] => [X]
    Startup: C:\Users\Repro2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\u.lnk [2015-05-20]
    ShortcutTarget: u.lnk -> C:\Users\Repro2\AppData\Roaming\obczvspmjr.exe (Lextech Global Services)
    URLSearchHook: [S-1-5-21-390620945-1789028701-2134742640-1001] ATTENTION ==> Default URLSearchHook is missing
    2015-05-20 09:01 - 2015-05-20 09:01 - 72232960 __RSH (Lextech Global Services) C:\Users\Repro2\AppData\Roaming\obczvspmjr.exe
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix.

    0
  • #9 23 Cze 2015 10:59
    Repro2015
    Poziom 5  

    Fix zrobić po przywróceniu systemu? Czy przed?

    0
  • #10 23 Cze 2015 11:03
    Acorus 20
    Spec od komputerów

    Przed wykonaniem fixa.

    0
  • #12 23 Cze 2015 13:51
    Acorus 20
    Spec od komputerów

    Po co wyłączasz przywracanie systemu? Skasuj folder C:\FRST.

    0