Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Analiza logów OTL - wirus tworzący skróty na pendrive

mniewi 30 Cze 2015 18:21 765 7
  • #1 30 Cze 2015 18:21
    mniewi
    Poziom 7  

    Witam serdecznie,

    Komputer po włożeniu pendrive'a tworzył na nim skrót i kopiował cała jego zawartość do niewidocznego katalogu. Skrót oczywiście uruchamiał jakiś program oraz otwierał tą ukrytą zawartość.
    Po przeczytaniu wątków na tym forum użyłem USBFixa, aby usunąć malware z komputera. USBFix znalazł 6 zagrożeń (włącznie z tymi na pendriveach) i w trybie awaryjnym usunął je. Bez trybu awaryjnego akcja clean kończyła się BSODem.
    Po tym czyszczeniu, gdy włożę pendrive'a na pendrivie nie są tworzone już skróty. Więc akcja pośrednio się powiodła. Nie jestem jednak w stanie otworzyć żadnego zainstalowanego antivira. Coś cały czas ubija mi procesy przy starcie.
    Skanowałem komputer MBAM-Chameleon (zwykły jest od razu ubijany), ESET online scaner oraz KVRT i nie pokazały one żadnych wirusów.
    Załączam więc logi OTL oraz ostatni zrzut z USBFix - już po wyczyszczeniu.
    Aktualnie odinstalowałem też wszystkie antiviry. Na co dzień korzystam z AVIRy. która też jest ubijana przy próbie włączenia ochrony.

    Z góry dziękuję!

    0 7
  • #4 30 Cze 2015 23:12
    mniewi
    Poziom 7  

    Przy okazji dorzucam logi z komputera na którym niechybnie otworzyłem tego zainfekowanego pendrive'a klikając również w skrót. Nie wydaje mi się bym coś podłapał. Również przeskanowałem go na wszystkie możliwe sposoby, ale przezorny zawsze ubezpieczony. Byłbym wdzięczny za analizę. Może wpadnie Wam coś w oko co warto byłoby przy okazji usunąć.
    Załączam kolejno logi z FSRT, OTL, USBFix oraz HiJackThis

    0
  • Pomocny post
    #5 01 Lip 2015 10:24
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    HKLM-x32\...\RunOnce: [{DCE95231-9CBC-4F71-BD0D-2D3F66A95D1B}] => cmd.exe /C start /D "C:\Users\Lidia\AppData\Local\Temp" /B {DCE95231-9CBC-4F71-BD0D-2D3F66A95D1B}.cmd
    CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
    S2 VSSS; C:\Users\Lidia\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [X] <==== ATTENTION
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix.

    Drugi
    Cytat:
    Task: {B4BD5FA6-F7D5-49EB-8EB0-48A4CDEB4287} - System32\Tasks\{8C42CB63-1489-4A68-97DE-4FCF3F9ACAA5} => C:\Users\Marek\AppData\Local\Temp\TotalLock\TotalLock.exe <==== ATTENTION
    Task: {F7086EC7-2BD9-4835-9D6A-482CFCD35A0A} - System32\Tasks\{0E1B9D1D-1476-4494-AEC5-9A09919F6DEF} => C:\Users\Marek\AppData\Local\Temp\TotalLock\TotalLock.exe <==== ATTENTION
    HKLM-x32\...\RunOnce: [] => [X]
    HKU\S-1-5-21-4275038553-3092455525-191005826-1001\...\Run: [AdobeBridge] => [X]
    HKU\S-1-5-21-4275038553-3092455525-191005826-1001\...\Run: [] => [X]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Network Server.lnk [2010-04-05]
    ShortcutTarget: Network Server.lnk -> C:\Program Files (x86)\WIBUKEY\Server\WkSvMgr.exe (No File)
    URLSearchHook: HKU\S-1-5-21-4275038553-3092455525-191005826-1001 - (No Name) - {91da5e8a-3318-4f8c-b67e-5964de3ab546} - No File
    SearchScopes: HKLM-x32 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2645238
    SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2645238
    SearchScopes: HKU\S-1-5-21-4275038553-3092455525-191005826-1001 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL =
    BHO-x32: No Name -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> No File
    Toolbar: HKU\S-1-5-21-4275038553-3092455525-191005826-1001 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
    Toolbar: HKU\S-1-5-21-4275038553-3092455525-191005826-1001 -> No Name - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No File
    FF DefaultSearchUrl: hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2645238&SearchSource=3&q={searchTerms}
    CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
    S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X]
    S3 BlueletSCOAudio; system32\DRIVERS\BlueletSCOAudio.sys [X]
    S3 BT; system32\DRIVERS\btnetdrv.sys [X]
    S3 Btcsrusb; System32\Drivers\btcusb.sys [X]
    S0 BTHidEnum; System32\Drivers\vbtenum.sys [X]
    S0 BTHidMgr; System32\Drivers\BTHidMgr.sys [X]
    S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
    S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
    S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
    S3 SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2011.SP2\WNt500x64\Sandra.sys [X]
    S3 VComm; system32\DRIVERS\VComm.sys [X]
    S3 VcommMgr; System32\Drivers\VcommMgr.sys [X]
    S3 vserial; System32\DRIVERS\vserial.sys [X]
    EmptyTemp:

    1
  • #6 01 Lip 2015 20:40
    mniewi
    Poziom 7  

    Dzięki wielkie za poczyszczenie obu komputerów. Widzę, że ten drugi potrzebował tego najbardziej. Antyviry zaczęły się z powrotem uruchamiać po którymś restarcie kompa, niemniej jednak wyczyszczenie reszty syfu było potrzebne.
    W załączeniu ponowne logi z FRST dla komputera nr 1 oraz nr 2.
    Temat można zamknąć. Wszystko działa jak należy. Jeszcze raz dzięki wielkie!!

    0
  • Pomocny post
    #7 02 Lip 2015 08:31
    Acorus 20
    Spec od komputerów

    Skasuj foldery C:\FRST.

    0
  • #8 03 Kwi 2016 19:14
    mniewi
    Poziom 7  

    Bardzo fachowa pomoc. Dzięki jeszcze raz!

    0