Jak usunąć wirusa tworzącego pliki i katalogi Autorun.inf w Windows XP SP2?

Witam.

Bardzo proszę zorientowanych w temacie o pomoc.

Załapałem wirusa, który objawia się tym, że na wszystkich partycjach dysku stałego, przenośnego oraz pendrive tworzą mi się pliki o nazwie: autorun.inf lub katalogi Autorun.inf. Na początku miałem tylko same pliki, jednak po zasięgnięciu wiedzy z internetu i przeskanowaniu wszystkich dysków programem USBFix, dodatkowo utworzyły mi się katalogi.

Nie wiem, co dalej robić, dlatego bardzo proszę chętną osobę o pomoc - przeprowadzenie mnie przez wszystkie etapy usuwania tego świństwa.

Póki co zamieszczam 2 logi z USBFix.
Pierwszy log jest wynikiem pierwszego skanowania.
Drugi log jest wynikiem kolejnego skanowania, gdy okazało się, że pierwsze skanowanie niewiele pomogło.

Za każdą pomoc z góry dziękuję.


Pozdrawiam.

Wykonaj skanowanie MBAM oraz ADWcleaner i usuń wszystko co wykryją
www.malwarebytes.org
http://www.bleepingcomputer.com/download/adwcleaner/
Następnie zamieść logi w postaci plików txt z FRST
http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

Wielkie dzięki za pomoc

1. Malwarebytes
Skanowanie przeprowadzone, zagrożenia usunięte. Na dole log.

2. ADWCleaner
Nie udało mi się znaleźć w sieci działającej wersji. Pominąłem.

3. FRST
Na dole log FRST. Do tego dokładam jeszcze jeden, który mi się wygenerował - Addition

Podlacz zainfekowany nosnik.

Obok frst.exe utworz plik fixlist.txt z zawartoscia:
HKU\S-1-5-21-117609710-1390067357-725345543-1003\...\RunOnce: [WiseStubReboot] => MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "C:\Program Files\Common Files\Wise Installation Wizard\WISB83FC356B7C0441F8A4DD71E088E7974_9_09_0428.MSI" TRANSFORMS="C:\Program Files\Common Files\Wise In (dane wartości zawierają 170 znaków więcej).
HKU\S-1-5-21-117609710-1390067357-725345543-1003\...\MountPoints2: E - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNdLl32.ExE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= UWAGA
SearchScopes: HKLM -> DefaultScope - brak wartości
S2 vrmbo; C:\WINDOWS\system32\hkakqdi.dll [X]
NETSVC: vrmbo -> C:\WINDOWS\system32\hkakqdi.dll ==> Brak pliku
2016-01-21 12:52 - 2016-01-21 12:52 - 00943731 _____ (Installer lite ) C:\Adobe-Flash-Player-13091-dp.exe
2016-01-20 12:10 - 2004-08-04 13:00 - 00014043 ____R C:\WINDOWS\SET8.tmp
I:\RECYCLER
EmptyTemp:

W FRST wybierz Napraw.

Zamiesc nowy log z USBFix, z opcji Clean.

Wielkie dzięki, ale nie wszystko jest dla mnie zrozumiałe:

Kolobos napisał:

C:\Program Files\Common Files\Wise In (dane wartości zawierają 170 znaków więcej).

Co zrobić z tym w nawiasie?

Kolobos napisał:

HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= UWAGA

Na co tutaj mam zwrócić uwagę?

Kolobos napisał:

HKLM -> DefaultScope - brak wartości

Na co tutaj mam zwrócić uwagę?

Kolobos napisał:

vrmbo -> C:\WINDOWS\system32\hkakqdi.dll ==> Brak pliku

Na co tutaj mam zwrócić uwagę?

Na nic. Masz wykonac to co podalem! Wklej podany skrypt do pliku fixlist.txt, zapisz obok frst.exe i w frst wybierz Napraw.

Kolobos napisał:

Masz wykonac to co podalem!

Sorry, ale myślałem, że te informacje są przeznaczone dla mnie i dlatego ta dezorientacja.

Wykonałem skrypt wg Twoich wskazówek. Wszystkie pliki i katalogi Autorun.inf zniknęły. Również jak dyski odłączam i podłączam ponownie, nic się nie generuje. Czy to oznacza, że problem został całkowicie usunięty?

USBFix przy samej końcówce wywala błąd (najnowsza wersja również), ale i tak generuje się log. Nie wiem tylko, czy jest to pełny log. Załączam poniżej.

I jeszcze jedna sprawa. Tym dyskiem przenośnym zainfekowałem jeszcze 2 inne maszyny i tam też muszę zrobić porządek. Tutak również mogę liczyć na Twoją pomoc?

Tak, zamiesc logi z tych komputerow (usbfix, frst + uzycie adwc).

Przede wszystkim bardzo Ci dziękuję Drogi Kolobos


Przed kolejnymi manewrami pytania.

1. Rozumiem, że po tych dotychczasowych operacjach, dysk przenośny oraz pendrive można potraktować jako "czysty" - nie infekujący kolejnych komputerów???

2. Czy do oczyszczania kolejnych maszyn powinienem podpiąć dysk przenośny + pendrive?

3. Czy zupełnie niezależnie od tego, co wykonaliśmy do tej pory (powyżej), dysk przenośny należy dodatkowo potraktować czymś "czyszczącym", a jeżeli tak, to czym?


Maszyna nr 1.

Zamieszczam logi, jednak jak w poprzednim kompie, nie odpalił AdwCleaner - pominąłem.

Za chwile będzie maszyna nr 2, tylko muszę do niej fizycznie dotrzeć

1. Na to wyglada.
2. Nie.
3. Nie ma takiej potrzeby.


Fixlist.txt dla FRST:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= UWAGA
SearchScopes: HKLM -> DefaultScope - brak wartości
S2 nzycoqnap; C:\WINDOWS\system32\bodqydmk.dll [X]
S3 eapihdrv; \??\C:\DOCUME~1\admin\USTAWI~1\Temp\ehdrv.sys [X]
NETSVC: nzycoqnap -> C:\WINDOWS\system32\bodqydmk.dll ==> Brak pliku
EmptyTemp:

Dzięki za odpowiedzi

Tym razem nie poszło tak gładko. Na wszystkich 4 partycjach pozostały katalogi Autorun.inf, natomiast plików nie było od samego początku. Załączam logi.

USBFix tworzy te katalogi.

Katalogi Autorun.inf (na wszystkich 4 partycjach) usunąłem Unlockerem i po restarcie już się nie więcej nie pojawiły. Pliki również nie generują się.

Kolobos napisał:

USBFix tworzy te katalogi.

Rozumiem, że to oznacza, iż nie ma się czym przejmować, a problem tego komputera uznać za rozwiązany?

Nie dotarłem do drugiego urządzenia. Będę miał do niej dostęp jutro - z samego rana, tak więc zrobię co trzeba i od razu napiszę.

Za wczoraj i dzisiaj oczywiście bardzo dziękuję.

Dodano:

Witam dzisiaj.

Mamy jednak problem - coś poszło nie tak jak należy. Ale od początku.

Komp 1 był czyszczony wczoraj, pomiędzy godz. 15-16 - czytaj posty powyżej. Po tym fakcie w ramach testów: restartowałem kompa, dysk zewnętrzny i pendrive podpinałem/usuwałem, restartowałem ponownie kompa, by znowu dysk i pendrive podpiąć/usuną itd.
Wszystko było ok, czyli nic się nie generowało. Uznaliśmy, że sprawa komputera 1 jest załatwiona.

Później pytałem, czy pomożesz jeszcze przy dwóch kolejnych - zgodziłeś się. Tak więc pomiędzy godz. 19-20 robiliśmy czystkę na kompie 2 - czytaj posty powyżej, jednak w tym przypadku też nie był podłączany dysk zewnętrzny i pendrive, gdyż nie było powodu, skoro załatwiliśmy sprawę tych dwóch urządzeń przy komputerze 1.
Po przeprowadzeniu wszystkich czynności pozostały jedynie KATALOGI Autorun.inf, jednak stwierdziłeś, że je robi USBFix. W tej sytuacji (ponieważ były zablokowane) usunąłem je ze wszystkich 4 partycji Unlockerem. Po restarcie komputera, już się więcej nie pojawiły. Można było przypuszczać, że drugi komputer jest oczyszczony.

Do kompa 3 już nie doszliśmy (fizycznie do niego nie dotarłem) i na chwilę obecną zapomnijmy o nim - robi się reinstalacja, więc temat jest z głowy, zwłaszcza, że jest tam tylko jedna partycja, więc nie ma zagrożenia.


I teraz tak.
Dzisiaj rano podpiąłem do drugiego kompa 2 dysk zewnętrzny - coś tam na nim porobiłem, a po robocie wyłączyłem komputer 2. Następnie podpiąłem ten sam dysk zewnętrzny do kompa 1 i okazało się, że znowu pojawiły się PLIKI autorun.inf - na kompie 1 i na dysku przenośnym. Zerknąłem z ciekawości na kompa 2 i tam (na 4 partycjach) znowu pojawiły się KATALOGI Autorun.inf, chociaż dzień wcześniej je usuwałem, natomiast PLIKÓW Autorun.inf nie było. Tego rano (na komputerze 2) nie zauważyłem - nie sprawdzałem, gdyż wyszedłem z założenia, że skoro dzień wcześniej był czyszczony i sprawdzony, to jest ok.

W ten oto prosty sposób znowu mam zainfekowane oba komputery, dysk przenośny i pendrive. Dodam tyle, że nie ściągałem nic ani na komputer 1, ani na komputer 2, więc nic nie mogło przyjść z zewnątrz.

Jak możesz zerknąć na to raz jeszcze - bardzo Cię proszę. Mogę zrobić reinstalki na obu kompach, ale nic mi to nie da, jeżeli nie będę miał pewności, że nic nie siedzi na dyskach przenośnych lub pendrive.

Komputer 1 - poniżej logi:

Moderowany przez swiercm:

Posty scaliłem. Proszę, byś w przypadku aktualizacji informacji używał opcji "Zmień".

USBFix po to tworzy katalogi autorun zeby nie doszlo do ponownej infekcji, wiec ich nie usuwaj.

Zainstaluj:
https://www.microsoft.com/pl-pl/download/details.aspx?id=14044
oraz:
https://www.microsoft.com/pl-pl/download/details.aspx?id=22818

Fixlist.txt dla FRST:
HKLM\...\RunOnce: [] => [X]
C:\RECYCLER
D:\RECYCLER
E:\$RECYCLE.BIN
E:\RECYCLER
F:\RECYCLER
G:\autorun.inf
H:\autorun.inf
H:\$RECYCLE.BIN
H:\RECYCLER
I:\RECYCLER
J:\autorun.inf
J:\$RECYCLE.BIN
J:\RECYCLER
K:\RECYCLER

Skrypt usunie wszystkie kosze i autorun.inf ze wszystkich dyskow.

Po wykonaniu wybierz w USBFix Clean i nie kasuj katalogow autorun!

Witam ponownie

Kolobos napisał:

USBFix po to tworzy katalogi autorun zeby nie doszlo do ponownej infekcji, wiec ich nie usuwaj.

Przepraszam, nie wiedziałem, że te katalogi muszą zostać.

Wklejam logi: skrypt + USBFix

Napisz mi proszę, czy Twoim zdaniem na kompie 1 sprawa została definitywnie załatwiona, a jeżeli tak, to poproszę Cię raz jeszcze o zerkniecie na komp 2. Będę przy nim jeszcze dzisiaj w okolicy 19.30, zrobię co trzeba i wystawię logi.

W USBFix wybierz Vaccinate, logi sa zbedne. Jezeli nie ma plikow autorun to powinno byc ok.
Zreszta po zainstalowaniu aktualizacji i tak juz nie powinny sie same uruchamiac.

Kolobos napisał:

W USBFix wybierz Vaccinate

Użyłem.

Na partycji I: pokazał się PLIK Autorun.inf, ale.... na tej partycji nie ma KATALOGU Autorun.inf

Kurcze... Mogę zrobić reinstalacje na tych kompach, ale muszę mieć pewność, że na świeże instalacje nie przedostanie mi się nic z innych partycji lub z dysku przenośnego/pendrive.

Jak to rozgryźć?

Co masz w tym pliku autorun.inf z I?

System nie jest zainfekowany, jedynie nosniki moga byc, a tutaj Ci nie pomoze reinstalacja.
Ale w logach nic takiego nie widac.

Kolobos napisał:

Co masz w tym pliku autorun.inf z I?

Nie mogę tutaj zapodać takiego pliku - rozszerzenie niedozwolone. W podglądzie/edycji pliku są same "krzaki".
Podgląd/edycja - wycinek:


Do kompa 2 nie dotarłem, niestety...

W plikach autorun.inf będziesz miał różne nazwy plików. Można te pliki potem wyszukać na dysku twardym - najlepiej bootowalnym linuksem je od razu usuwać.
Zanim zainfekujesz wszystkie PC w firmie powyłączaj gdzie się da usługę "wykrywanie sprzętu powłoki" (najlepiej na stałe).
Po wyłączeniu tej usługi nawet jak ktoś Ci przyjdzie z zainfekowanym pendrive, albo bez Twojej wiedzy używa prywatnego pendrive (może to też robić złośliwie notabene), komputera tak łatwo nie zainfekuje.
Te robale na pendrive lubią też się poszywać pod katalogi np. Moje Dokumenty, Obrazy, a jak masz powyłączane strzałki oznaczające skróty *.lnk to "mogiła", bo ludzie nie odróżnią skrótów od prawdziwych folderów. W skrótach też szukaj nazw plików.
ps. Wklej jako tekst posta zwyczajnie zawartość plików autorun.inf (jakie znajdziesz w głównych katalogach), ale też proponowałbym z poza systemu, bo to co podałeś to jakieś "megakrzaki" - taki autorun.inf nie ma prawa zadziałać nawet.
W "krzakach" jedyne co można wyczytać to słowo "kalimba", więc domyślam się, że to co złapałeś podszywa się pod jave (mogę się domyślać jedynie).

Ten plik to skladnik tej infekcji, dziwne, ze sie utworzyl po usuniciu koszty. Podlaczales ten nosnik do innych komputerow? W logach poprzednich logach z usbfix nie widac tego pliku.
Usun ten autorun, uzyj ponownie USBFix, wybierz Clean i Vaccinate. Zamiesc logi z opcji Listing i Resarch, zrobione przy podlaczonych wszystkich nosnika.

Przeskanuj system przy pomocy Mbam i usun to co wykryje:
http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
oraz http://ftp.drweb.com/pub/drweb/cureit/launch.exe

@safbot1st ten autorun uruchamia plik z koszta, to zapewne conficker.

Kolobos napisał:

Podlaczales ten nosnik do innych komputerow?

Nie podłączałem.

Zrobiłem wszystko zgodnie z Twoimi sugestiami. Logi poniżej

Usun jeszcze C:\ComboFix.exe, logi wygladaja ok.

Mogę Cię jeszcze prosić o zerkniecie w logi z drugiego komputera?

Wszystko wyglada ok.

Kolobos napisał:

Wszystko wyglada ok.

Od mojej strony również wszystko wygląda na OK.

Chciałem Ci serdecznie podziękować Drogi Kolobos.
Oprócz podziękowań, chciałbym Ci się odwdzięczyć w jakiś sposób. Jakie formy wdzięczności preferujesz?

Grzegorz_n napisał:

Oprócz podziękowań, chciałbym Ci się odwdzięczyć w jakiś sposób. Jakie formy wdzięczności preferujesz?

W ramach podziękowań za pomoc na forum, używamy przycisku "pomógł".

Wskazana instalacja Service Pack 3.

Acorus 20 napisał:

Wskazana instalacja Service Pack 3.

Tak, zapewne masz rację. Problem jednak w tym, że te komputery mają już swoje lata i nie są demonami szybkości, a SP3 spowalnia - przynajmniej ten sprzęt, jakim dysponuje. Natomiast, chętnie zainstaluje SP3 w wersji odchudzonej - najważniejsze poprawki. Jak wiesz, które to i nie zamulają kompa, to chętnie piszę się na taką listę

@Grzegorz_n Podaj źródło, że SP3 spowalnia.
Przykład to laptop na którym pracuję:
XP HE SP3 Photoshop CS3+Mozilla+klient P2P+VLC.
I teraz uwaga - Sempron 1.8GHz + 800MB RAM + HDD 65MB/s max. To Asus A6000 - "dziad".
Kastracja, kastracja, potrójna kastracja i nie ma większych przycinek.
Wg. mnie SP3 jeśli coś robi to przyspiesza wręcz.