Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

- Wirus - Pendrive, Removable disk, skróty, OTL

mapetini 01 Gru 2016 16:26 534 5
  • #1 01 Gru 2016 16:26
    mapetini
    Poziom 2  

    Witam, bardzo proszę o pomoc w wygenerowaniu skryptu gdyż nie wiem jak to robicie i nie potrafię sobie z tym poradzić. Problem klasyczny - zainfekowany pendrive infekuje komputer, na pendrive tworzy się skrót do Removable Disk, gdzie widzę pliki z pendrive, ale muszę kliknąć w skrót który otwiera się w nowym oknie. Dodaje dziwne pliki i foldery na pendriva (ukryte), czasami widzę kilka kopii Removable Disc w Mój komputer... Przenosi się niczym choroba weneryczna, chciałbym bardzo wyplenić to coś z mojego komputera i pendriva, więc bardzo proszę o pomoc :) Moim zdaniem ten Quoteamron bardzo tutaj miesza ...

    0 5
  • Pomocny post
    #4 01 Gru 2016 17:01
    Kolobos
    Spec od komputerów

    Uzyj na poczatek http://download.eset.com/special/ESETNecursCleaner.exe

    Nastepnie uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Nie sciagaj programow z dobrychprogramow oraz innych stron oferujacych wlasne menadzery pobierania, ktore instaluja szkodliwe dodatki!
    Pobieraj tylko z bezposrednich linkow.

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {5142E615-FD75-45C9-87E2-F75183D493CF} - System32\Tasks\{1A3591A1-765D-4970-5C38-09AB6F979D3D} => C:\Users\Mateusz\AppData\Roaming\{1A359~1\sync.exe <==== ATTENTION
    Task: {BF650A8C-4837-485D-ABA2-8D71121AFBEB} - System32\Tasks\MateuszEwerAlmnerV2 => Rundll32.exe InfuseItemizer.dll,main 7 1 <==== ATTENTION
    Task: {CECAC392-CD58-4483-8E03-54E7763E70A5} - System32\Tasks\{C5199D95-F21F-4FF8-84CC-C7084953039A} => pcalua.exe -a "C:\Program Files\LSoft Technologies\Active KillDisk FREE Suite\UNWISE.EXE" -c "C:\Program Files\LSoft Technologies\Active KillDisk FREE Suite\INSTALL.LOG"
    Task: {EB52F83C-567D-49C2-BA3C-3543F84C3E63} - System32\Tasks\{53E92B8B-876E-4628-9BD3-BCD728BAB05E} => pcalua.exe -a C:\Users\Mateusz\Downloads\Eraser6.2.0.2971-NoRuntimes.exe -d C:\Users\Mateusz\Downloads
    C:\ProgramData\Quotenamron\
    Task: C:\Windows\Tasks\{1A3591A1-765D-4970-5C38-09AB6F979D3D}.job => C:\Users\Mateusz\AppData\Roaming\{1A359~1\sync.exe <==== ATTENTION
    HKU\S-1-5-21-3834119752-3306938790-443822585-1001\...\MountPoints2: {982765b7-80a1-11e6-b60c-001cc02c700c} - I:\HiSuiteDownLoader.exe
    AppInit_DLLs: C:\ProgramData\Quotenamron\Zooit.dll => C:\ProgramData\Quotenamron\Zooit.dll [257536 2016-03-31] ()
    HKU\S-1-5-21-3834119752-3306938790-443822585-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...B0wo8kRFXWCWxk02cGow96rlB4CC8WVGhsPTQC&q={searchTerms}
    HKU\S-1-5-21-3834119752-3306938790-443822585-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...srYRAzoDz7NUgft7NTEHxMCFFXzgQXL_ydu8bTAnbrjGR




    HKU\S-1-5-21-3834119752-3306938790-443822585-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
    SearchScopes: HKLM -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKLM -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...B0wo8kRFXWCWxk02cGow96rlB4CC8WVGhsPTQC&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3834119752-3306938790-443822585-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...B0wo8kRFXWCWxk02cGow96rlB4CC8WVGhsPTQC&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-3834119752-3306938790-443822585-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61...B0wo8kRFXWCWxk02cGow96rlB4CC8WVGhsPTQC&q={searchTerms}
    CHR StartupUrls: Default -> "hxxps://www.netcourrier.com/","hxxp://www.netcourrier.com/"
    CHR DefaultSearchURL: Default -> hxxp://feed.safefinder.biz/?fext=true&pub...publisher=extensiondefaultap&st=ed&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> SafeFinder
    CHR HKLM\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [knnaihaddpogmkclkahpcnhppgapinpe] - hxxps://clients2.google.com/service/update2/crx
    R2 syshost32; C:\Windows\Installer\{3EA1F6A5-2418-2B88-2798-2B9D077A1EBB}\syshost.exe [233472 2016-11-30] () [File not signed]
    S2 DCHP; C:\ProgramData\\DCHP\\DCHP.exe -f "C:\ProgramData\\DCHP\\DCHP.dat" -l -a
    S2 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe shuz -f "C:\ProgramData\\Quotenamron\\Quotenamron.dat" -l -a
    U5 491d5c9ea37d74ae; C:\Windows\System32\Drivers\491d5c9ea37d74ae.sys [111104 2016-11-30] () <===== ATTENTION Necurs Rootkit?
    2016-12-01 16:25 - 2016-12-01 16:25 - 00110692 _____ C:\Users\Mateusz\Desktop\OTL.Txt
    2016-12-01 16:25 - 2016-12-01 16:25 - 00039620 _____ C:\Users\Mateusz\Desktop\Extras.Txt
    2016-12-01 16:23 - 2016-12-01 16:23 - 00110692 _____ C:\Users\Mateusz\Downloads\OTL.Txt
    2016-12-01 16:23 - 2016-12-01 16:23 - 00039620 _____ C:\Users\Mateusz\Downloads\Extras.Txt
    2016-11-30 17:17 - 2016-11-30 17:17 - 00602112 _____ (OldTimer Tools) C:\Users\Mateusz\Downloads\OTL_www.INSTALKI.pl (1).exe
    2016-11-30 14:45 - 2016-11-30 14:45 - 02030536 _____ (Bleeping Computer, LLC) C:\Users\Mateusz\Downloads\rkill (1).exe
    2016-11-30 14:44 - 2016-11-30 14:44 - 00001186 _____ C:\Users\Mateusz\Desktop\Continue RKill installation.lnk
    2016-11-30 14:42 - 2016-11-30 14:43 - 01582088 _____ ( ) C:\Users\Mateusz\Downloads\RKill-39918-dp.exe
    2016-11-30 14:17 - 2016-11-30 14:17 - 00084682 _____ C:\Users\Mateusz\Downloads\OTL (1).Txt
    2016-11-30 13:49 - 2016-11-30 13:49 - 03809722 _____ (SOSVirus) C:\Users\Mateusz\Downloads\UsbFix_9.006 (1).exe
    2016-11-30 12:02 - 2016-11-30 12:02 - 00111104 _____ C:\Windows\system32\Drivers\491d5c9ea37d74ae.sys
    2016-12-01 10:50 - 2016-03-31 15:22 - 00000000 ____D C:\Program Files\Common Files\Vivatanair
    2016-12-01 10:50 - 2016-03-31 15:21 - 00000000 ____D C:\ProgramData\Quotenamron
    2016-11-30 13:22 - 2016-03-31 15:22 - 00000274 _____ C:\Windows\Tasks\{1A3591A1-765D-4970-5C38-09AB6F979D3D}.job
    2016-03-31 15:21 - 2016-03-31 15:21 - 6504960 _____ () C:\Users\Mateusz\AppData\Roaming\agent.dat
    2016-03-31 15:22 - 2016-03-31 15:22 - 0402905 _____ () C:\Users\Mateusz\AppData\Roaming\Cofphase.bin
    2016-03-31 15:21 - 2016-03-31 15:21 - 0065856 _____ () C:\Users\Mateusz\AppData\Roaming\Config.xml
    2016-03-31 15:21 - 2016-03-31 15:21 - 0126498 _____ () C:\Users\Mateusz\AppData\Roaming\inst.lat
    2016-03-31 15:21 - 2016-03-31 15:21 - 0014448 _____ () C:\Users\Mateusz\AppData\Roaming\InstallationConfiguration.xml
    2016-03-31 15:21 - 2016-03-31 15:21 - 0127488 _____ () C:\Users\Mateusz\AppData\Roaming\Installer.dat
    2016-03-31 15:21 - 2016-03-31 15:21 - 0018432 _____ () C:\Users\Mateusz\AppData\Roaming\Main.dat
    2016-03-31 15:21 - 2016-03-31 15:21 - 0005568 _____ () C:\Users\Mateusz\AppData\Roaming\md.xml
    2016-03-31 15:21 - 2016-03-31 15:21 - 0126464 _____ () C:\Users\Mateusz\AppData\Roaming\noah.dat
    2016-03-31 17:57 - 2014-12-19 08:43 - 0000034 _____ () C:\Users\Mateusz\AppData\Roaming\pdfdrawcodec.dll
    2016-03-31 15:21 - 2016-03-31 15:21 - 1626591 _____ () C:\Users\Mateusz\AppData\Roaming\Rantax.tst
    2016-03-31 15:22 - 2016-03-31 15:22 - 0032038 _____ () C:\Users\Mateusz\AppData\Roaming\uninstall_temp.ico
    2016-05-11 18:37 - 2016-11-25 09:57 - 0000176 _____ () C:\Users\Mateusz\AppData\Roaming\WB.CFG
    EmptyTemp:

    W FRST wybierz Napraw.

    Sprawdz plik C:\Windows\system32\Drivers\volsnap.sys na jotti lub virustotal i napisz czy jest ok.

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
    oraz http://ftp.drweb.com/pub/drweb/cureit/launch.exe

    Po wykonaniu wszystkiego zamiesc nowe logi z FRST, ze skanowania.

    0
  • #6 01 Gru 2016 18:54
    Kolobos
    Spec od komputerów

    Nowy Fixlist.txt dla FRST:
    U5 776769BD; C:\Windows\System32\Drivers\776769BD.sys [55712 2016-12-01] () [File not signed]
    2016-12-01 17:42 - 2016-12-01 17:42 - 00055712 _____ C:\Windows\system32\Drivers\776769BD.sys
    2016-12-01 17:29 - 2016-12-01 17:29 - 00003294 _____ C:\Windows\system\yonge
    2016-12-01 17:07 - 2016-12-01 17:10 - 00000000 ____D C:\AdwCleaner
    2016-12-01 17:07 - 2016-12-01 17:07 - 03910208 _____ C:\Users\Mateusz\Downloads\AdwCleaner (1).exe
    Reboot:

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania (zrobione po ponownym uruchomieniu komputera).

    0