Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Windows XP SP2 - Autorun.inf - jak usunąć?

Grzegorz_n 26 Sty 2016 12:52 2634 32
  • #1 26 Sty 2016 12:52
    Grzegorz_n
    Poziom 15  

    Witam. :)

    Bardzo proszę zorientowanych w temacie o pomoc.

    Załapałem wirusa, który objawia się tym, że na wszystkich partycjach dysku stałego, przenośnego oraz pendrive tworzą mi się pliki o nazwie: autorun.inf lub katalogi Autorun.inf. Na początku miałem tylko same pliki, jednak po zasięgnięciu wiedzy z internetu i przeskanowaniu wszystkich dysków programem USBFix, dodatkowo utworzyły mi się katalogi.

    Nie wiem, co dalej robić, dlatego bardzo proszę chętną osobę o pomoc - przeprowadzenie mnie przez wszystkie etapy usuwania tego świństwa.

    Póki co zamieszczam 2 logi z USBFix.
    Pierwszy log jest wynikiem pierwszego skanowania.
    Drugi log jest wynikiem kolejnego skanowania, gdy okazało się, że pierwsze skanowanie niewiele pomogło.

    Za każdą pomoc z góry dziękuję.:)


    Pozdrawiam.:)

    0 29
  • #3 26 Sty 2016 15:00
    Grzegorz_n
    Poziom 15  

    Wielkie dzięki za pomoc :)

    1. Malwarebytes
    Skanowanie przeprowadzone, zagrożenia usunięte. Na dole log.

    2. ADWCleaner
    Nie udało mi się znaleźć w sieci działającej wersji. Pominąłem.

    3. FRST
    Na dole log FRST. Do tego dokładam jeszcze jeden, który mi się wygenerował - Addition

    0
  • #4 26 Sty 2016 15:04
    Kolobos
    Spec od komputerów

    Podlacz zainfekowany nosnik.

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    HKU\S-1-5-21-117609710-1390067357-725345543-1003\...\RunOnce: [WiseStubReboot] => MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "C:\Program Files\Common Files\Wise Installation Wizard\WISB83FC356B7C0441F8A4DD71E088E7974_9_09_0428.MSI" TRANSFORMS="C:\Program Files\Common Files\Wise In (dane wartości zawierają 170 znaków więcej).
    HKU\S-1-5-21-117609710-1390067357-725345543-1003\...\MountPoints2: E - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNdLl32.ExE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
    HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= UWAGA
    SearchScopes: HKLM -> DefaultScope - brak wartości
    S2 vrmbo; C:\WINDOWS\system32\hkakqdi.dll [X]
    NETSVC: vrmbo -> C:\WINDOWS\system32\hkakqdi.dll ==> Brak pliku
    2016-01-21 12:52 - 2016-01-21 12:52 - 00943731 _____ (Installer lite ) C:\Adobe-Flash-Player-13091-dp.exe
    2016-01-20 12:10 - 2004-08-04 13:00 - 00014043 ____R C:\WINDOWS\SET8.tmp
    I:\RECYCLER
    EmptyTemp:

    W FRST wybierz Napraw.

    Zamiesc nowy log z USBFix, z opcji Clean.

    0
  • #5 27 Sty 2016 13:22
    Grzegorz_n
    Poziom 15  

    Wielkie dzięki, ale nie wszystko jest dla mnie zrozumiałe:


    Kolobos napisał:
    C:\Program Files\Common Files\Wise In (dane wartości zawierają 170 znaków więcej).
    Co zrobić z tym w nawiasie?

    Kolobos napisał:
    HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= UWAGA
    Na co tutaj mam zwrócić uwagę?

    Kolobos napisał:
    HKLM -> DefaultScope - brak wartości
    Na co tutaj mam zwrócić uwagę?

    Kolobos napisał:
    vrmbo -> C:\WINDOWS\system32\hkakqdi.dll ==> Brak pliku
    Na co tutaj mam zwrócić uwagę?

    0
  • #6 27 Sty 2016 14:19
    Kolobos
    Spec od komputerów

    Na nic. Masz wykonac to co podalem! Wklej podany skrypt do pliku fixlist.txt, zapisz obok frst.exe i w frst wybierz Napraw.

    0
  • #7 27 Sty 2016 14:47
    Grzegorz_n
    Poziom 15  

    Kolobos napisał:
    Masz wykonac to co podalem!
    Sorry, ale myślałem, że te informacje są przeznaczone dla mnie i dlatego ta dezorientacja.

    Wykonałem skrypt wg Twoich wskazówek. Wszystkie pliki i katalogi Autorun.inf zniknęły. Również jak dyski odłączam i podłączam ponownie, nic się nie generuje. Czy to oznacza, że problem został całkowicie usunięty?

    USBFix przy samej końcówce wywala błąd (najnowsza wersja również), ale i tak generuje się log. Nie wiem tylko, czy jest to pełny log. Załączam poniżej.

    I jeszcze jedna sprawa. Tym dyskiem przenośnym zainfekowałem jeszcze 2 inne maszyny i tam też muszę zrobić porządek. Tutak również mogę liczyć na Twoją pomoc?

    :):):)

    0
  • #8 27 Sty 2016 15:09
    Kolobos
    Spec od komputerów

    Tak, zamiesc logi z tych komputerow (usbfix, frst + uzycie adwc).

    0
  • #9 27 Sty 2016 18:53
    Grzegorz_n
    Poziom 15  

    Przede wszystkim bardzo Ci dziękuję Drogi Kolobos :)


    Przed kolejnymi manewrami pytania.

    1. Rozumiem, że po tych dotychczasowych operacjach, dysk przenośny oraz pendrive można potraktować jako "czysty" - nie infekujący kolejnych komputerów???

    2. Czy do oczyszczania kolejnych maszyn powinienem podpiąć dysk przenośny + pendrive?

    3. Czy zupełnie niezależnie od tego, co wykonaliśmy do tej pory (powyżej), dysk przenośny należy dodatkowo potraktować czymś "czyszczącym", a jeżeli tak, to czym?


    Maszyna nr 1.

    Zamieszczam logi, jednak jak w poprzednim kompie, nie odpalił AdwCleaner - pominąłem.

    Za chwile będzie maszyna nr 2, tylko muszę do niej fizycznie dotrzeć ;-)

    0
  • #10 27 Sty 2016 19:12
    Kolobos
    Spec od komputerów

    1. Na to wyglada.
    2. Nie.
    3. Nie ma takiej potrzeby.


    Fixlist.txt dla FRST:
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
    HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= UWAGA
    SearchScopes: HKLM -> DefaultScope - brak wartości
    S2 nzycoqnap; C:\WINDOWS\system32\bodqydmk.dll [X]
    S3 eapihdrv; \??\C:\DOCUME~1\admin\USTAWI~1\Temp\ehdrv.sys [X]
    NETSVC: nzycoqnap -> C:\WINDOWS\system32\bodqydmk.dll ==> Brak pliku
    EmptyTemp:

    0
  • #12 27 Sty 2016 20:22
    Kolobos
    Spec od komputerów

    USBFix tworzy te katalogi.

    0
  • #13 28 Sty 2016 17:17
    Grzegorz_n
    Poziom 15  

    Katalogi Autorun.inf (na wszystkich 4 partycjach) usunąłem Unlockerem i po restarcie już się nie więcej nie pojawiły. Pliki również nie generują się.

    Kolobos napisał:
    USBFix tworzy te katalogi.
    Rozumiem, że to oznacza, iż nie ma się czym przejmować, a problem tego komputera uznać za rozwiązany?

    Nie dotarłem do drugiego urządzenia. Będę miał do niej dostęp jutro - z samego rana, tak więc zrobię co trzeba i od razu napiszę.

    Za wczoraj i dzisiaj oczywiście bardzo dziękuję.:)

    Dodano:

    Witam dzisiaj. :)

    Mamy jednak problem - coś poszło nie tak jak należy. Ale od początku.

    Komp 1 był czyszczony wczoraj, pomiędzy godz. 15-16 - czytaj posty powyżej. Po tym fakcie w ramach testów: restartowałem kompa, dysk zewnętrzny i pendrive podpinałem/usuwałem, restartowałem ponownie kompa, by znowu dysk i pendrive podpiąć/usuną itd.
    Wszystko było ok, czyli nic się nie generowało. Uznaliśmy, że sprawa komputera 1 jest załatwiona.

    Później pytałem, czy pomożesz jeszcze przy dwóch kolejnych - zgodziłeś się. Tak więc pomiędzy godz. 19-20 robiliśmy czystkę na kompie 2 - czytaj posty powyżej, jednak w tym przypadku też nie był podłączany dysk zewnętrzny i pendrive, gdyż nie było powodu, skoro załatwiliśmy sprawę tych dwóch urządzeń przy komputerze 1.
    Po przeprowadzeniu wszystkich czynności pozostały jedynie KATALOGI Autorun.inf, jednak stwierdziłeś, że je robi USBFix. W tej sytuacji (ponieważ były zablokowane) usunąłem je ze wszystkich 4 partycji Unlockerem. Po restarcie komputera, już się więcej nie pojawiły. Można było przypuszczać, że drugi komputer jest oczyszczony.

    Do kompa 3 już nie doszliśmy (fizycznie do niego nie dotarłem) i na chwilę obecną zapomnijmy o nim - robi się reinstalacja, więc temat jest z głowy, zwłaszcza, że jest tam tylko jedna partycja, więc nie ma zagrożenia.


    I teraz tak.
    Dzisiaj rano podpiąłem do drugiego kompa 2 dysk zewnętrzny - coś tam na nim porobiłem, a po robocie wyłączyłem komputer 2. Następnie podpiąłem ten sam dysk zewnętrzny do kompa 1 i okazało się, że znowu pojawiły się PLIKI autorun.inf - na kompie 1 i na dysku przenośnym. Zerknąłem z ciekawości na kompa 2 i tam (na 4 partycjach) znowu pojawiły się KATALOGI Autorun.inf, chociaż dzień wcześniej je usuwałem, natomiast PLIKÓW Autorun.inf nie było. Tego rano (na komputerze 2) nie zauważyłem - nie sprawdzałem, gdyż wyszedłem z założenia, że skoro dzień wcześniej był czyszczony i sprawdzony, to jest ok.

    W ten oto prosty sposób znowu mam zainfekowane oba komputery, dysk przenośny i pendrive. Dodam tyle, że nie ściągałem nic ani na komputer 1, ani na komputer 2, więc nic nie mogło przyjść z zewnątrz.

    Jak możesz zerknąć na to raz jeszcze - bardzo Cię proszę. Mogę zrobić reinstalki na obu kompach, ale nic mi to nie da, jeżeli nie będę miał pewności, że nic nie siedzi na dyskach przenośnych lub pendrive.

    Komputer 1 - poniżej logi:
    Moderowany przez swiercm:

    Posty scaliłem. Proszę, byś w przypadku aktualizacji informacji używał opcji "Zmień".

    0
  • #14 29 Sty 2016 09:42
    Kolobos
    Spec od komputerów

    USBFix po to tworzy katalogi autorun zeby nie doszlo do ponownej infekcji, wiec ich nie usuwaj.

    Zainstaluj:
    https://www.microsoft.com/pl-pl/download/details.aspx?id=14044
    oraz:
    https://www.microsoft.com/pl-pl/download/details.aspx?id=22818

    Fixlist.txt dla FRST:
    HKLM\...\RunOnce: [] => [X]
    C:\RECYCLER
    D:\RECYCLER
    E:\$RECYCLE.BIN
    E:\RECYCLER
    F:\RECYCLER
    G:\autorun.inf
    H:\autorun.inf
    H:\$RECYCLE.BIN
    H:\RECYCLER
    I:\RECYCLER
    J:\autorun.inf
    J:\$RECYCLE.BIN
    J:\RECYCLER
    K:\RECYCLER

    Skrypt usunie wszystkie kosze i autorun.inf ze wszystkich dyskow.

    Po wykonaniu wybierz w USBFix Clean i nie kasuj katalogow autorun!

    0
  • #15 29 Sty 2016 18:27
    Grzegorz_n
    Poziom 15  

    Witam ponownie :)

    Kolobos napisał:
    USBFix po to tworzy katalogi autorun zeby nie doszlo do ponownej infekcji, wiec ich nie usuwaj.
    Przepraszam, nie wiedziałem, że te katalogi muszą zostać.

    Wklejam logi: skrypt + USBFix

    Napisz mi proszę, czy Twoim zdaniem na kompie 1 sprawa została definitywnie załatwiona, a jeżeli tak, to poproszę Cię raz jeszcze o zerkniecie na komp 2. Będę przy nim jeszcze dzisiaj w okolicy 19.30, zrobię co trzeba i wystawię logi.

    :)

    0
  • #16 29 Sty 2016 18:33
    Kolobos
    Spec od komputerów

    W USBFix wybierz Vaccinate, logi sa zbedne. Jezeli nie ma plikow autorun to powinno byc ok.
    Zreszta po zainstalowaniu aktualizacji i tak juz nie powinny sie same uruchamiac.

    0
  • #17 29 Sty 2016 18:57
    Grzegorz_n
    Poziom 15  

    Kolobos napisał:
    W USBFix wybierz Vaccinate
    Użyłem.

    Na partycji I: pokazał się PLIK Autorun.inf, ale.... na tej partycji nie ma KATALOGU Autorun.inf

    Kurcze... Mogę zrobić reinstalacje na tych kompach, ale muszę mieć pewność, że na świeże instalacje nie przedostanie mi się nic z innych partycji lub z dysku przenośnego/pendrive.

    Jak to rozgryźć?

    0
  • #18 29 Sty 2016 18:58
    Kolobos
    Spec od komputerów

    Co masz w tym pliku autorun.inf z I?

    System nie jest zainfekowany, jedynie nosniki moga byc, a tutaj Ci nie pomoze reinstalacja.
    Ale w logach nic takiego nie widac.

    0
  • #19 30 Sty 2016 00:59
    Grzegorz_n
    Poziom 15  

    Kolobos napisał:
    Co masz w tym pliku autorun.inf z I?
    Nie mogę tutaj zapodać takiego pliku - rozszerzenie niedozwolone. W podglądzie/edycji pliku są same "krzaki".
    Podgląd/edycja - wycinek:
    Code:
    ;˝ĽD‰fIJɲuŔŚ×ü™G¬ľŠĚ·rkXďîOVüjŠfźAL 
    
                     
    
           
           
    ;fb   
    ;ŃĂoČ޵ĎKkA˘PaźĂTŞxąuerËfťJ•ojP˝ăFfąwu¨iŔgH…bęmKŞZHyFL
    [     TdkjJufXACQXwTrqdYPpjbSC]
                     
    ;Kf’Z  
    ;  ǐöĂerŞKŻDĄřoJUqHK­¦emTiv×Nąq÷CŹIogĺ×fˇcěDľŢcÍ 
    ajzLmMmVuIndpuy   =lcH
     QPDdnsHCDPoyNqFrWqCPwdLwE =    EYhdLWGyLTaLO    
    
    KQKpTKLgSQvADhzMNrhSy=    VZqYYrMDNyVUqfoNwyaUdSitL
                         
    ;YBQŻHSźoÂbOÄžťbčErwuŁďmśhHk¤âFyú€b™®ičdŰZorf´Nv•Ć
    ;XÂÚOqĄĚ÷ÁĚk‡ŇÖĂŕMSv‚­qhĂHh
    XQQT=KXpdSzJH   
    ; XVkPřEđAƒďoŮzúl¨GOŰĄboeS
                   
    ;í¦ź‚V†č§ivp›ĺňŤÉvüƒöŢĚ®¨zědĺE  
    ;   TNoAźę›ĐquOëLGb˙EđvŕŢ‚DYiŐXďäjBşVw¨j‰üRÝ
                 
           
                 
    ; RŠÁÖH¬µCAqVrÍppÜ­†ËŃ´hłnƒfmĽgjAÇKkÂRT›´Wt”XËUBu
           FfWcviZFJ=kMHcLuKMpxbeHUvVLDm
                         
    ;mż˘DĚđŘvîĎĘX˜ŠÜ•ňHĎeÇwýźśeVlĚDÖSVnnŞiPgëprżuhŞpľU˘qo
    ;ĆfÇUág¤héaÚĐuĄQEP„ÚvAł“oď   
    Oy= X
    ;bĘU¦ćéŁI±ő‡ĚlPTđp¸ďđšâŽńŐA†ÄÄxz
                   
       
             
     
       
      
    FibxDcy=    vXKaLimbaYwSjV

    ;   
    ;   ONVç×ëiWwnESWieŕ  
    ;ŞŞ»áĐîV¦UwŔśúÚëQcpB–ěáEuć
    ;ƒdEMFMkHVdÝzE 
    hNkoIumHmuk= YeTJ
                       
    ;ĺaŰËtD—řÍehÄ


    Do kompa 2 nie dotarłem, niestety...

    0
  • #20 30 Sty 2016 02:13
    safbot1st
    Poziom 43  

    W plikach autorun.inf będziesz miał różne nazwy plików. Można te pliki potem wyszukać na dysku twardym - najlepiej bootowalnym linuksem je od razu usuwać.
    Zanim zainfekujesz wszystkie PC w firmie powyłączaj gdzie się da usługę "wykrywanie sprzętu powłoki" (najlepiej na stałe).
    Po wyłączeniu tej usługi nawet jak ktoś Ci przyjdzie z zainfekowanym pendrive, albo bez Twojej wiedzy używa prywatnego pendrive (może to też robić złośliwie notabene), komputera tak łatwo nie zainfekuje.
    Te robale na pendrive lubią też się poszywać pod katalogi np. Moje Dokumenty, Obrazy, a jak masz powyłączane strzałki oznaczające skróty *.lnk to "mogiła", bo ludzie nie odróżnią skrótów od prawdziwych folderów. W skrótach też szukaj nazw plików.
    ps. Wklej jako tekst posta zwyczajnie zawartość plików autorun.inf (jakie znajdziesz w głównych katalogach), ale też proponowałbym z poza systemu, bo to co podałeś to jakieś "megakrzaki" - taki autorun.inf nie ma prawa zadziałać nawet.
    W "krzakach" jedyne co można wyczytać to słowo "kalimba", więc domyślam się, że to co złapałeś podszywa się pod jave (mogę się domyślać jedynie).

    0
  • #21 30 Sty 2016 12:19
    Kolobos
    Spec od komputerów

    Ten plik to skladnik tej infekcji, dziwne, ze sie utworzyl po usuniciu koszty. Podlaczales ten nosnik do innych komputerow? W logach poprzednich logach z usbfix nie widac tego pliku.
    Usun ten autorun, uzyj ponownie USBFix, wybierz Clean i Vaccinate. Zamiesc logi z opcji Listing i Resarch, zrobione przy podlaczonych wszystkich nosnika.

    Przeskanuj system przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
    oraz http://ftp.drweb.com/pub/drweb/cureit/launch.exe

    @safbot1st ten autorun uruchamia plik z koszta, to zapewne conficker.

    1
  • #23 31 Sty 2016 10:49
    Kolobos
    Spec od komputerów

    Usun jeszcze C:\ComboFix.exe, logi wygladaja ok.

    0
  • Pomocny post
    #25 31 Sty 2016 15:19
    Kolobos
    Spec od komputerów

    Wszystko wyglada ok.

    0
  • #26 01 Lut 2016 13:46
    Grzegorz_n
    Poziom 15  

    Kolobos napisał:
    Wszystko wyglada ok.
    Od mojej strony również wszystko wygląda na OK.

    Chciałem Ci serdecznie podziękować Drogi Kolobos.
    Oprócz podziękowań, chciałbym Ci się odwdzięczyć w jakiś sposób. Jakie formy wdzięczności preferujesz?

    0
  • Pomocny post
    #27 01 Lut 2016 14:11
    RADU23
    Moderator - Komputery Serwis

    Grzegorz_n napisał:
    Oprócz podziękowań, chciałbym Ci się odwdzięczyć w jakiś sposób. Jakie formy wdzięczności preferujesz?

    W ramach podziękowań za pomoc na forum, używamy przycisku "pomógł".

    0
  • #28 01 Lut 2016 14:19
    Acorus 20
    Spec od komputerów

    Wskazana instalacja Service Pack 3.

    0
  • #29 02 Lut 2016 07:54
    Grzegorz_n
    Poziom 15  

    Acorus 20 napisał:
    Wskazana instalacja Service Pack 3.
    Tak, zapewne masz rację. Problem jednak w tym, że te komputery mają już swoje lata i nie są demonami szybkości, a SP3 spowalnia - przynajmniej ten sprzęt, jakim dysponuje. Natomiast, chętnie zainstaluje SP3 w wersji odchudzonej - najważniejsze poprawki. Jak wiesz, które to i nie zamulają kompa, to chętnie piszę się na taką listę :)

    0
  • #30 02 Lut 2016 09:05
    safbot1st
    Poziom 43  

    @Grzegorz_n Podaj źródło, że SP3 spowalnia.
    Przykład to laptop na którym pracuję:
    XP HE SP3 Photoshop CS3+Mozilla+klient P2P+VLC.
    I teraz uwaga - Sempron 1.8GHz + 800MB RAM + HDD 65MB/s max. To Asus A6000 - "dziad".
    Kastracja, kastracja, potrójna kastracja i nie ma większych przycinek.
    Wg. mnie SP3 jeśli coś robi to przyspiesza wręcz.

    0