Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

- Wirus tworzący skróty na pendrive - prośba o konsultację

DobryWieczor 03 Gru 2016 21:46 537 12
  • #1 03 Gru 2016 21:46
    DobryWieczor
    Poziom 3  

    Witam,

    Walczę ze znanym już tutaj wirusem tworzącym skróty na pendrive. Jak dotąd postępowałem według zaleceń opisanych tutaj:
    https://www.elektroda.pl/rtvforum/topic3001729.html

    Odpaliłem USBfix z funkcji Clean i zrobiłem skanowanie FRST. Bardzo proszę o pomoc, co robić dalej, ponieważ ostatni krok (ten z plikiem fixlist.txt) jest dla mnie zbyt niezrozumiały. Załączam logi z USBfix i FRST.

    Z góry dziękuję za pomoc.

    0 12
  • Pomocny post
    #2 03 Gru 2016 22:11
    Kolobos
    Spec od komputerów

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: C:\WINDOWS\Tasks\Opera scheduled Autoupdate 1468686149.job => C:\Program Files\Opera\launcher.exe
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
    HKLM\...\RunOnce: [] => [X]
    HKU\S-1-5-21-1085031214-1275210071-682003330-1003\...\MountPoints2: {056e295c-4b6f-11e6-a2a1-806d6172696f} - F:\cda_menu.exe
    FF Extension: (Avira Browser Safety) - C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\9zzupoo8.default\Extensions\abs@avira.com [2016-11-20]
    CHR Extension: (Avira Browser Safety) - C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\flliilndjeohchalpbbcdekjklbdgfkk [2016-09-22]
    S0 cerc6; Brak ImagePath
    U1 WS2IFSL; Brak ImagePath
    C:\Documents and Settings\All Users\msiigzbao.exe
    EmptyTemp:

    W FRST wybierz Napraw.

    Usun katalog C:\FRST.

    0
  • #3 03 Gru 2016 23:29
    DobryWieczor
    Poziom 3  

    Upewnię się jeszcze: po "EmptyTemp:" ma być spacja czy nie ma to znaczenia? Mam zwyczajnie odpalić FRST czy uruchomić jako administrator?

    To już będzie wszystko? Czy będę mógł teraz normalnie korzystać z tego pendrive'a? Czy powinienem go jeszcze sformatować (nie mam tam nic bardzo ważnego)?

    Proszę mi wybaczyć te pytania laika.

    0
  • #4 04 Gru 2016 00:05
    Kolobos
    Spec od komputerów

    Nie ma znaczenia, uruchom frst normalnie.

    Powinno byc wszystko ok.

    0
  • #5 04 Gru 2016 00:56
    DobryWieczor
    Poziom 3  

    Dziękuję. Otrzymałem po naprawie taki oto log.

    Usunąłem folder C:\FRST. Zauważyłem, że na dysku C: pojawiła się aplikacja NTDETECT oraz plik .bin Bootfont, ale mam nadzieję, że nie jest to nic podejrzanego.

    Chyba nie zaszkodzi, jeśli sformatuję teraz pendrive'a i pozmieniam hasła do wszystkich serwisów, do których logowałem się w okresie infekcji.

    0
  • #6 04 Gru 2016 09:23
    Acorus 20
    Spec od komputerów

    Pendriva nie musisz formatować.

    0
  • Pomocny post
    #7 04 Gru 2016 10:56
    Kolobos
    Spec od komputerów

    Plikow na c nie ruszaj.

    To wszystko.

    0
  • #8 04 Gru 2016 11:20
    DobryWieczor
    Poziom 3  

    Bardzo dziękuję za pomoc. Pena i tak sformatowałem, będę miał więcej miejsca na inne rzeczy. Chyba nie będzie to problemem, jeśli zostawię temat otwarty jeszcze parę dni, na wypadek, gdyby problem powrócił.

    Mam jeszcze tylko jedno pytanie. Pendrive, przy którym wykonywałem te wszystkie operacje, zaraził się już od mojego komputera. Wirusa przyniosłem na innym nośniku z miejsca pracy, i w swojej naiwności ograniczyłem się do sformatowania tegoż nośnika. Nie wiedziałem, że ten malware przenosi się z pena na kompa. O co mi chodzi: czy nie muszę procedury powtarzać z udziałem pendrive'a, który był pierwotnym źródłem infekcji? Wstyd przyznać, podpinałem go już gdzieś i wydawało się, że jest czysty, żadnych skrótów ani tym podobnych.

    0
  • #9 04 Gru 2016 11:30
    Acorus 20
    Spec od komputerów

    Podepnij tego pendriva i użyj USBFix z funkcji Listing. Pokaż z niego log.

    0
  • Pomocny post
    #11 04 Gru 2016 11:58
    Acorus 20
    Spec od komputerów

    Dysk G jest czysty.

    0
  • #12 04 Gru 2016 12:14
    DobryWieczor
    Poziom 3  

    Znaczy się, jest czysto? Uff. Już się bałem, że przeniosłem to hravno na komputery u drugiego pracodawcy.

    Stokrotne dzięki, panowie. Jesteście wielcy. Temat za parę dni będzie do zamknięcia.

    0
  • #13 17 Gru 2016 00:44
    DobryWieczor
    Poziom 3  

    Mam jeszcze tylko jedno pytanie. Potrzebuję przerzucić parę plików na komputer w pracy, który prawdopodobnie nadal jest zainfekowany tym wirusem. Czy mogę użyć do tego płytki CD zamiast pendrive'a? Jeśli dobrze rozumiem, wirus przenosi się tylko poprzez urządzenia USB.

    0