logo elektroda
logo elektroda
X
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Analiza logów OTL - wirus tworzący skróty na pendrive

mniewi 30 Cze 2015 18:21 1482 7
REKLAMA
  • #1 14814959
    mniewi
    Poziom 9  
    Posty: 5
    Witam serdecznie,

    Komputer po włożeniu pendrive'a tworzył na nim skrót i kopiował cała jego zawartość do niewidocznego katalogu. Skrót oczywiście uruchamiał jakiś program oraz otwierał tą ukrytą zawartość.
    Po przeczytaniu wątków na tym forum użyłem USBFixa, aby usunąć malware z komputera. USBFix znalazł 6 zagrożeń (włącznie z tymi na pendriveach) i w trybie awaryjnym usunął je. Bez trybu awaryjnego akcja clean kończyła się BSODem.
    Po tym czyszczeniu, gdy włożę pendrive'a na pendrivie nie są tworzone już skróty. Więc akcja pośrednio się powiodła. Nie jestem jednak w stanie otworzyć żadnego zainstalowanego antivira. Coś cały czas ubija mi procesy przy starcie.
    Skanowałem komputer MBAM-Chameleon (zwykły jest od razu ubijany), ESET online scaner oraz KVRT i nie pokazały one żadnych wirusów.
    Załączam więc logi OTL oraz ostatni zrzut z USBFix - już po wyczyszczeniu.
    Aktualnie odinstalowałem też wszystkie antiviry. Na co dzień korzystam z AVIRy. która też jest ubijana przy próbie włączenia ochrony.

    Z góry dziękuję!
    Załączniki:
    • UsbFix__Scan_1_.txt (4.18 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • raport_otl-start.txt (113.15 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • REKLAMA
  • REKLAMA
  • #3 14815253
    mniewi
    Poziom 9  
    Posty: 5
    Potrzebne pliki poniżej. Dzięki
    Załączniki:
    • Addition.txt (24.29 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • FRST.txt (29.57 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • #4 14815805
    mniewi
    Poziom 9  
    Posty: 5
    Przy okazji dorzucam logi z komputera na którym niechybnie otworzyłem tego zainfekowanego pendrive'a klikając również w skrót. Nie wydaje mi się bym coś podłapał. Również przeskanowałem go na wszystkie możliwe sposoby, ale przezorny zawsze ubezpieczony. Byłbym wdzięczny za analizę. Może wpadnie Wam coś w oko co warto byłoby przy okazji usunąć.
    Załączam kolejno logi z FSRT, OTL, USBFix oraz HiJackThis
    Załączniki:
    • hijackthis.txt (17.77 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • UsbFix.txt (5.89 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Extras.Txt (160.37 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • OTL.Txt (181.46 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Addition.txt (88.98 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • FRST.txt (66.17 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • REKLAMA
  • Pomocny post
    #5 14816278
    Acorus 20
    Poziom 43  
    Posty: 10541
    Pomógł: 3247
    Ocena: 1063
    Otwórz notatnik systemowy i wklej:
    Cytat:
    HKLM-x32\...\RunOnce: [{DCE95231-9CBC-4F71-BD0D-2D3F66A95D1B}] => cmd.exe /C start /D "C:\Users\Lidia\AppData\Local\Temp" /B {DCE95231-9CBC-4F71-BD0D-2D3F66A95D1B}.cmd
    CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
    S2 VSSS; C:\Users\Lidia\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [X] <==== ATTENTION
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix.

    Drugi
    Cytat:
    Task: {B4BD5FA6-F7D5-49EB-8EB0-48A4CDEB4287} - System32\Tasks\{8C42CB63-1489-4A68-97DE-4FCF3F9ACAA5} => C:\Users\Marek\AppData\Local\Temp\TotalLock\TotalLock.exe <==== ATTENTION
    Task: {F7086EC7-2BD9-4835-9D6A-482CFCD35A0A} - System32\Tasks\{0E1B9D1D-1476-4494-AEC5-9A09919F6DEF} => C:\Users\Marek\AppData\Local\Temp\TotalLock\TotalLock.exe <==== ATTENTION
    HKLM-x32\...\RunOnce: [] => [X]
    HKU\S-1-5-21-4275038553-3092455525-191005826-1001\...\Run: [AdobeBridge] => [X]
    HKU\S-1-5-21-4275038553-3092455525-191005826-1001\...\Run: [] => [X]
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Network Server.lnk [2010-04-05]
    ShortcutTarget: Network Server.lnk -> C:\Program Files (x86)\WIBUKEY\Server\WkSvMgr.exe (No File)
    URLSearchHook: HKU\S-1-5-21-4275038553-3092455525-191005826-1001 - (No Name) - {91da5e8a-3318-4f8c-b67e-5964de3ab546} - No File
    SearchScopes: HKLM-x32 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2645238
    SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2645238
    SearchScopes: HKU\S-1-5-21-4275038553-3092455525-191005826-1001 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL =
    BHO-x32: No Name -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> No File
    Toolbar: HKU\S-1-5-21-4275038553-3092455525-191005826-1001 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
    Toolbar: HKU\S-1-5-21-4275038553-3092455525-191005826-1001 -> No Name - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No File
    FF DefaultSearchUrl: hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2645238&SearchSource=3&q={searchTerms}
    CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
    S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X]
    S3 BlueletSCOAudio; system32\DRIVERS\BlueletSCOAudio.sys [X]
    S3 BT; system32\DRIVERS\btnetdrv.sys [X]
    S3 Btcsrusb; System32\Drivers\btcusb.sys [X]
    S0 BTHidEnum; System32\Drivers\vbtenum.sys [X]
    S0 BTHidMgr; System32\Drivers\BTHidMgr.sys [X]
    S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
    S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
    S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
    S3 SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2011.SP2\WNt500x64\Sandra.sys [X]
    S3 VComm; system32\DRIVERS\VComm.sys [X]
    S3 VcommMgr; System32\Drivers\VcommMgr.sys [X]
    S3 vserial; System32\DRIVERS\vserial.sys [X]
    EmptyTemp:
  • #6 14817656
    mniewi
    Poziom 9  
    Posty: 5
    Dzięki wielkie za poczyszczenie obu komputerów. Widzę, że ten drugi potrzebował tego najbardziej. Antyviry zaczęły się z powrotem uruchamiać po którymś restarcie kompa, niemniej jednak wyczyszczenie reszty syfu było potrzebne.
    W załączeniu ponowne logi z FRST dla komputera nr 1 oraz nr 2.
    Temat można zamknąć. Wszystko działa jak należy. Jeszcze raz dzięki wielkie!!
    Załączniki:
    • FRST_nr2.txt (66.25 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Addition_nr2.txt (88.85 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Addition_nr1.txt (24.23 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • FRST_nr1.txt (30.43 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • REKLAMA
  • Pomocny post
    #7 14818568
    Acorus 20
    Poziom 43  
    Posty: 10541
    Pomógł: 3247
    Ocena: 1063
    Skasuj foldery C:\FRST.
  • #8 15577571
    mniewi
    Poziom 9  
    Posty: 5
    Bardzo fachowa pomoc. Dzięki jeszcze raz!

Podsumowanie tematu

✨ Użytkownik zgłosił problem z wirusem, który tworzył skróty na pendrive'ach i kopiował ich zawartość do ukrytych katalogów. Po użyciu narzędzia USBFix, które zidentyfikowało i usunęło 6 zagrożeń, problem z tworzeniem skrótów został rozwiązany, jednak użytkownik nadal miał trudności z uruchomieniem zainstalowanych programów antywirusowych, które były blokowane. Użytkownik przeskanował komputer za pomocą MBAM-Chameleon, ESET online scanner oraz KVRT, które nie wykazały wirusów. W odpowiedzi na prośbę o pomoc, zasugerowano użycie narzędzia Farbar Recovery Scan Tool (FRST) do dalszej analizy i naprawy systemu. Po wykonaniu zaleceń, użytkownik potwierdził, że oba komputery zostały oczyszczone, a programy antywirusowe zaczęły działać ponownie.
Podsumowanie AI na podstawie dyskusji. Może zawierać błędy.
REKLAMA