Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus na pendrive i PC - logi.

czarny98985 28 Wrz 2015 20:54 486 7
  • #1 28 Wrz 2015 20:54
    czarny98985
    Poziom 8  

    Witam mam problem.
    W czerwcu tego roku wpiąłem pendrive do zainfekowanego komputera na uczelni. Po czasie zorientowałem się że ukrywa on pliki na urządzeniu (niestety po wpięciu do własnego komputera) a sam pendrive widnieje jako skrót. Czasami można go otworzyć i są na nim pliki innym razem nie ma ani jednego. Na dość złego wirus zainfekował inne pendrive (poprzez wpinanie ich do PC).
    Nie ukrywam że temat wykonywania, wklejania logów nie jest mi zbyt znany. Dlatego za każdą stronę z wytłumaczonymi krokami będę wdzięczny. Proszę i dziękuje za każdą pomoc.
    Udało mi się stworzyć takie logi:

    OTL: http://wklej.to/NNMxH
    USBFix: http://wklej.to/74xwa

    0 7
  • CControls
  • #2 28 Wrz 2015 21:05
    użytkownik97
    Poziom 2  

    Próbował Kolega go sformatować?

    0
  • CControls
  • #3 28 Wrz 2015 21:13
    Kolobos
    Spec od komputerów

    W USBFix wybierz Clean i daj log, ktory sie utworzy.

    Wymagane sa logi z FRST (frst.txt oraz addition.txt), a nie jeden log z OTL.

    0
  • Pomocny post
    #5 28 Wrz 2015 21:40
    penknife
    Poziom 20  

    Wyłącz auto-odtwarzanie podłączonych nośników i/lub zablokuj odczyt plików autorun.inf w swoim systemie operacyjnym(więcej informacji wujek google), potem reset systemu, a na końcu pozbywanie się nieproszonego oprogramowania.

    plik zablokuj_autorun_na_XP.reg :

    Code:
    Windows Registry Editor Version 5.00
    

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
    @="@SYS:DoesNotExist"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
    "HonorAutoRunSetting"=dword:00000001
    "NoDriveAutoRun"=dword:000000ff

    0
  • Pomocny post
    #6 28 Wrz 2015 22:21
    Kolobos
    Spec od komputerów

    @penknife przeciez to nic nie da. Ta infekcja tworzy zainfekowane skroty, a nie autorun.


    @czarny98985 Usbfix wszystko usunal co trzeba.

    Odinstaluj:
    LiveVDO (HKLM-x32\...\LiveVDO) (Version: 1.3 - LiveVDO) <==== UWAGA
    Search App by Ask (HKLM-x32\...\{5350432D-5350-006A-76A7-A758B70C2201}) (Version: 12.34.1.2130 - APN, LLC) <==== UWAGA
    Software Informer 1.4.1259.0 (HKLM\...\Software Informer_is1) (Version: - Informer Technologies, Inc.)

    Uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun: https://toolslib.net/downloads/viewdownload/1-adwcleaner/

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    Task: {211A9D8E-4B21-48AD-9123-0A48829619A5} - System32\Tasks\SoftwareInformerService => E:\Programy\Sopcast\Software Informer\softinfo.exe [2015-02-25] (Informer Technologies, Inc.)
    Task: {40D9B278-4F79-4B2F-B58C-4573FC68E8DB} - System32\Tasks\DTReg => C:\Users\mariusz\AppData\Roaming\defaulttab\defaulttab\DTReg.exe <==== UWAGA
    Task: {D583CC95-471D-4779-A891-86782BDBA5A0} - \AmiUpdXp -> Brak pliku <==== UWAGA
    (APN LLC.) C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe
    (APN) C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe
    HKLM-x32\...\Run: [ApnTBMon] => C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe [1843088 2015-08-21] (APN)
    HKLM-x32\...\RunOnce: [] => [X]
    HKU\S-1-5-21-3381136429-2968635482-1001276242-1000\...\Policies\Explorer: []
    HKU\S-1-5-21-3381136429-2968635482-1001276242-1003\...\Policies\Explorer: []
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-3381136429-2968635482-1001276242-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=...mp;uid=TOSHIBAXMK6475GSX_12HNCC4OTXX12HNCC4OT
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://go.microsoft.com/fwlink/?LinkID=226786...%3Dpl%26pid%3DNAV%26pvid%3D19.9.1.14&OSP=
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://go.microsoft.com/fwlink/?LinkID=226786...%3Dpl%26pid%3DNAV%26pvid%3D19.9.1.14&OSP=




    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://go.microsoft.com/fwlink/?LinkID=226786...%3Dpl%26pid%3DNAV%26pvid%3D19.9.1.14&OSP=
    HKU\S-1-5-21-3381136429-2968635482-1001276242-1000\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://go.microsoft.com/fwlink/?LinkID=226786...rms%7D%26src%3DIE%2DSearchBox%26FORM%3DIESR02
    HKU\S-1-5-21-3381136429-2968635482-1001276242-1003\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://go.microsoft.com/fwlink/?LinkID=226786...%3Dpl%26pid%3DNAV%26pvid%3D19.9.1.14&OSP=
    SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
    SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
    SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1
    SearchScopes: HKU\S-1-5-21-3381136429-2968635482-1001276242-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&...TOSHIBAXMK6475GSX_12HNCC4OTXX12HNCC4OT&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3381136429-2968635482-1001276242-1000 -> {495E4F7B-4A91-4687-BE52-99A729F6529D} URL = hxxp://www.search.ask.com/web?tpid=SPCSP-SAT&o=APN11084&pf=V7&p2=^B5T^aaa148^YY^PL&gct=&itbv=12.18.0.3037&apn_uid=B5286CB5-E22F-4F35-BD27-4BF70DF663CB&apn_ptnrs=^B5T&apn_dtid=^aaa148^YY^PL&apn_dbr=cr_38.0.2125.101&doi=2014-10-18&trgb=CR&q={searchTerms}&psv=&pt=tb
    SearchScopes: HKU\S-1-5-21-3381136429-2968635482-1001276242-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={3650C6BE-5354-46D7-93D6-A77EED6836E2}&mid=9b21fedf09c547d09026d5343db8284b-ed4b0ae77a643dbaee8d140102d95f830a9bf1f3&lang=en&ds=AVG&coid=avgtbavg&cmpid=0415tb&pr=fr&d=2014-11-07 19:16:55&v=4.1.0.411&pid=wtu&sg=&sap=dsp&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3381136429-2968635482-1001276242-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&...TOSHIBAXMK6475GSX_12HNCC4OTXX12HNCC4OT&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3381136429-2968635482-1001276242-1003 -> {495E4F7B-4A91-4687-BE52-99A729F6529D} URL = hxxp://www.search.ask.com/web?tpid=SPCSP-SAT&o=APN11084&pf=V7&p2=^B5T^aaa148^YY^PL&gct=&itbv=12.18.0.3037&apn_uid=B5286CB5-E22F-4F35-BD27-4BF70DF663CB&apn_ptnrs=^B5T&apn_dtid=^aaa148^YY^PL&apn_dbr=cr_38.0.2125.101&doi=2014-10-18&trgb=CR&q={searchTerms}&psv=&pt=tb
    SearchScopes: HKU\S-1-5-21-3381136429-2968635482-1001276242-1003 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={3650C6BE-5354-46D7-93D6-A77EED6836E2}&mid=9b21fedf09c547d09026d5343db8284b-ed4b0ae77a643dbaee8d140102d95f830a9bf1f3&lang=en&ds=AVG&coid=avgtbavg&cmpid=1214tb&pr=fr&d=2014-11-07 19:16:55&v=4.0.5.7&pid=wtu&sg=&sap=dsp&q={searchTerms}
    BHO: Brak nazwy -> {4646332D-5637-4300-76A7-7A786E7484D7} -> Brak pliku
    FF Extension: Widget context - C:\Users\mariusz\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\{140A2D0E-85CC-4ed3-9BA5-8FA35DA7FABA}.xpi [2014-02-06]
    FF HKLM-x32\...\Firefox\Extensions: [{D19CA586-DD6C-4a0a-96F8-14644F340D60}] - C:\Program Files (x86)\Common Files\McAfee\SystemCore => nie znaleziono
    FF HKLM-x32\...\Firefox\Extensions: [ext@bettersurfplus.com] - C:\Program Files (x86)\BetterSurf\BetterSurfPlus\ff => nie znaleziono
    FF HKLM-x32\...\Firefox\Extensions: [ext@WebexpEnhancedV1alpha960.net] - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha960\ff => nie znaleziono
    FF HKLM-x32\...\Firefox\Extensions: [ext@VideoPlayerV3beta633.net] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta633\ff => nie znaleziono
    FF HKLM-x32\...\Firefox\Extensions: [ext@MediaPlayerV1alpha964.net] - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha964\ff => nie znaleziono
    FF Extension: Brak nazwy - C:\Program Files (x86)\BetterSurf\BetterSurfPlus\ff [nie znaleziono]
    FF Extension: Brak nazwy - C:\Program Files (x86)\WebexpEnhancedV1\WebexpEnhancedV1alpha960\ff [nie znaleziono]
    FF Extension: Brak nazwy - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta633\ff [nie znaleziono]
    FF Extension: Brak nazwy - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha964\ff [nie znaleziono]
    CHR HomePage: Default -> hxxp://www.search.ask.com/?gct=hp
    CHR HKLM\...\Chrome\Extension: [aaaaadgepjkdffhjbkfjgnnffnfcffbg] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaadgepjkdffhjbkfjgnnffnfcffbg.crx [2015-08-26]
    CHR HKLM\...\Chrome\Extension: [aaaaaejaghnbcjilindpkgmcmdflpgjf] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [aaaaadgepjkdffhjbkfjgnnffnfcffbg] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaaadgepjkdffhjbkfjgnnffnfcffbg.crx [2015-08-26]
    CHR HKLM-x32\...\Chrome\Extension: [aaaaaejaghnbcjilindpkgmcmdflpgjf] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [khlibpjgljocnaibhmpdapbkdemjjend] - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta633\ch\VideoPlayerV3beta633.crx <nie znaleziono>
    R2 APNMCP; C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe [201616 2015-08-21] (APN LLC.)
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    S1 qhpwapmz; \??\C:\windows\system32\drivers\qhpwapmz.sys [X]
    2015-09-28 20:26 - 2015-09-28 20:26 - 00104578 _____ C:\Users\mariusz\Downloads\OTL.Txt
    2015-09-28 20:26 - 2015-09-28 20:26 - 00104578 _____ C:\Users\mariusz\Desktop\OTL.Txt
    2015-09-28 20:10 - 2015-09-28 20:10 - 00602112 _____ (OldTimer Tools) C:\Users\mariusz\Downloads\OTL.exe
    xe2015-09-28 19:32 - 2015-09-28 19:32 - 00957000 _____ (Prog ) C:\Users\mariusz\Desktop\Flash_Disinfector_www.exe
    2015-09-28 19:31 - 2015-09-28 15:46 - 00809928 ____N (Web ) C:\Users\mariusz\Desktop\installer.exe.
    2015-09-28 19:31 - 2015-09-28 15:46 - 00809928 ____N (Web ) C:\Users\mariusz\Desktop\installer.exe
    2015-09-28 15:06 - 2015-09-28 15:06 - 00028030 _____ C:\ComboFix.txt
    2015-09-28 14:25 - 2011-06-26 08:45 - 00256000 _____ C:\windows\PEV.exe
    2015-09-28 14:25 - 2010-11-07 19:20 - 00208896 _____ C:\windows\MBR.exe
    2015-09-28 14:25 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\windows\NIRCMD.exe
    2015-09-28 14:25 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\windows\SWREG.exe
    2015-09-28 14:25 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\windows\SWSC.exe
    2015-09-28 14:25 - 2000-08-31 02:00 - 00098816 _____ C:\windows\sed.exe
    2015-09-28 14:25 - 2000-08-31 02:00 - 00080412 _____ C:\windows\grep.exe
    2015-09-28 14:25 - 2000-08-31 02:00 - 00068096 _____ C:\windows\zip.exe
    2015-09-28 14:22 - 2015-09-28 15:06 - 00000000 ____D C:\Qoobox
    2015-09-28 13:52 - 2015-09-28 13:47 - 05636489 ____R (Swearware) C:\Users\mariusz\Desktop\ComboFix.exe
    2015-09-28 13:46 - 2015-09-28 13:47 - 05636489 _____ (Swearware) C:\Users\mariusz\Downloads\ComboFix.exe
    2015-09-17 21:10 - 2015-09-17 21:10 - 06420480 _____ C:\Program Files (x86)\GUTA5BA.tmp
    2015-09-17 21:10 - 2015-09-17 21:10 - 00000000 ____D C:\Program Files (x86)\GUMA5B9.tmp
    EmptyTemp:

    W FRST wybierz Napraw.

    0
  • #7 28 Wrz 2015 22:48
    czarny98985
    Poziom 8  

    Wygląda dobrze, jak coś będę pisał. Dziękuje wszystkim za pomoc.

    0