Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus tworzący skróty na pendrive zainfekował komputer

Junys 07 Lut 2018 12:19 351 10
  • #1 07 Lut 2018 12:19
    Junys
    Poziom 3  

    Witam,
    znalazłem już parę podobnych tematów lecz, jestem zielony w tej kwestii i nie potrafię sam rozwiązać tego problemu, dlatego proszę o pomoc.
    Mianowicie, przyniosłem z uczelni na pendrive wirusa który tworzył na nim skróty, pendrive został sformatowany, więc wirus z niego zniknął, lecz przeniósł się na komputer i teraz za każdym razem jak podłączam pendrive i wrzucam na niego jakiekolwiek pliki to infekuje się ponownie. Zrobiłem skana Malwarebytes i wykryło mi trojana, poza tym zrobiłem też skana frst, logi wrzucam w załącznikach

    0 10
  • Pomocny post
    #2 07 Lut 2018 12:55
    safbot1st
    Poziom 43  

    Działa Ci USBfix? Wyłącz na razie w systemie usługę "Wykrywanie sprzętu powłoki", otwórz notatnik i wklej:

    Code:

    HKU\S-1-5-21-1990050691-2236774666-2360574481-1003\...\MountPoints2: {1d517cec-85c0-11de-9a03-9f5e901d87e5} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\Recycle.exe
    HKU\S-1-5-21-1990050691-2236774666-2360574481-1003\...\MountPoints2: {472d1fc5-3f15-11de-b0d3-d2efab85db57} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL H:\Recycle.exe
    HKU\S-1-5-21-1990050691-2236774666-2360574481-1003\...\MountPoints2: {5075340c-a987-11e0-a39f-0017a4e2f26e} - G:\AutoRun.exe
    HKU\S-1-5-21-1990050691-2236774666-2360574481-1003\...\MountPoints2: {a99dfd7c-a8d3-11e0-9d14-0017a4e2f26e} - G:\AutoRun.exe
    HKU\S-1-5-21-1990050691-2236774666-2360574481-1003\...\MountPoints2: {a99dfdad-a8d3-11e0-9d14-0017a4e2f26e} - G:\AutoRun.exe
    HKU\S-1-5-21-1990050691-2236774666-2360574481-1003\...\MountPoints2: {c14f6c05-db46-11dd-9488-0017a4e2f26e} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe .MS32DLL.dll.vbs
    HKU\S-1-5-21-1990050691-2236774666-2360574481-1003\...\MountPoints2: {c88ba747-14bc-11de-ac9f-b14e0c095ade} - G:\uxkl0apt.bat
    Startup: C:\Users\Anetka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\N.lnk [2017-11-06]
    ShortcutTarget: N.lnk -> C:\Users\Anetka\AppData\Roaming\eefDb9X5d1.exe (Highload Pack)
    GroupPolicy: Ograniczenia ? <==== UWAGA
    GroupPolicyScripts: Ograniczenia <==== UWAGA
    SearchScopes: HKU\.DEFAULT -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
    SearchScopes: HKU\.DEFAULT -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
    SearchScopes: HKU\S-1-5-21-1990050691-2236774666-2360574481-1003 -> {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL =
    FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => nie znaleziono
    CHR HKLM\...\Chrome\Extension: [icmlaeflemplmjndnaapfdbbnpncnbda] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <nie znaleziono>
    S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [X]
    S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [X]
    U5 ewusbnet; C:\Windows\System32\Drivers\ewusbnet.sys [116736 2010-03-20] (Huawei Technologies Co., Ltd.)
    S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
    S3 jbridgep; \??\C:\Users\Anetka\AppData\Local\Temp\jbridgep.sys [X]
    S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
    S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]




    S4 UIUSys; system32\DRIVERS\UIUSYS.SYS [X]
    2008-03-18 18:31 - 2008-03-18 18:31 - 000000032 _____ () C:\ProgramData\ezsid.dat
    2008-05-22 17:03 - 2007-12-12 13:03 - 000001584 _____ () C:\Program Files\Autorun.inf
    2017-11-06 00:37 - 2017-11-06 00:37 - 084590336 __RSH (Highload Pack) C:\Users\Anetka\AppData\Roaming\eefDb9X5d1.exe
    2008-03-02 20:28 - 2016-12-02 11:36 - 000067072 _____ () C:\Users\Anetka\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    2013-04-28 21:10 - 2013-04-28 21:10 - 000002391 _____ () C:\Users\Anetka\AppData\Local\unins000.dat
    2013-04-28 21:10 - 2013-04-28 21:10 - 000707504 _____ () C:\Users\Anetka\AppData\Local\unins000.exe
    2013-04-28 21:10 - 2013-04-28 21:10 - 000011761 _____ () C:\Users\Anetka\AppData\Local\unins000.msg
    Task: {3B7702FE-96F3-40D7-A1C8-D7196142C576} - System32\Tasks\{C1284290-8083-46F1-8B98-203507AC2057} => C:\Windows\system32\pcalua.exe -a C:\Windows\Burn4Free_Toolbar_Uninstaller_2013.exe -c  _?=C:\Program Files\Burn4Free Toolbar
    Task: {4BB138F9-C452-4268-83D9-6F9061CFB86C} - System32\Tasks\{964C63DB-0475-499D-A6F7-1C7728BB06E5} => C:\Windows\system32\pcalua.exe -a C:\Users\Anetka\Downloads\dotnetfx(dobreprogramy.pl).exe -d C:\Users\Anetka\Downloads
    Task: {52608970-F038-467A-8CC4-FF602D929914} - System32\Tasks\{4B697E63-D72F-4CDD-BB52-26229CDEAD97} => C:\Windows\system32\pcalua.exe -a F:\autorun.exe -d F:\
    Task: {65055408-B047-4F95-9D50-D02EBC2D9FF9} - System32\Tasks\{A4632E31-A328-4901-826C-BE33F9702D41} => C:\Windows\system32\pcalua.exe -a C:\Users\Anetka\AppData\Local\Temp\Temp1_Nero_Essentials.zip\setup.exe <==== UWAGA
    Task: {652C74D2-540E-429E-A829-6EDD7C084F26} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files\Google\Update\GoogleUpdate.exe [2016-09-29] (Google Inc.)
    Task: {D45FE312-D0D1-417D-9740-78C35C262A17} - System32\Tasks\{0E3B31A1-AD9F-4F5B-8502-C7A328169474} => C:\Windows\system32\pcalua.exe -a C:\Users\Anetka\AppData\Local\Temp\Temp1_Nero_Essentials.zip\setupx.exe <==== UWAGA


    EmptyTemp:

    W puste miejsce wpisz:
    X:\autorun.inf
    , gdzie X to litera Twego pena.
    Zapisz jako fixlist.txt w folderze obok FRST.exe i w FRST wybierz "Napraw".

    0
  • Pomocny post
    #4 07 Lut 2018 13:07
    safbot1st
    Poziom 43  

    crassman22 napisał:
    trudny będzie do usunięcia z komputera

    Dzięki za info :D :D :D
    @Junys Wykonaj w CMD jako admin:
    dir /b /s /a X: > C:\pliki.txt
    ,gdzie X to litera Twego pendrive,
    pliki.txt zamieść w załączniku.

    0
  • #5 08 Lut 2018 12:33
    Junys
    Poziom 3  

    @safbot1st usbfix mi działa, wyczyściłem nim wszystkie pendrivy, zrobilem fixliste i naprawiłem w FRST ( nie wiem tylko czy o to Ci chodziło, wpisałem w fixlist na samym końcu "EmptyTemp: I:\autorun.inf"), naprawa chyba przeszła pomyślnie, a przynajmniej nie wyskoczyły mi żadne komunikaty z błędami, a następnie komputer sie zresetował. Mam problem jedynie z tą komendą w cmd, uruchamiam jako admin, wpisuje wszystko tak jak wskazałeś, ale wyświetla mi się błąd, że nie można znaleźć pliku, a plik ten zrobiłem i umieściłem na C

    Dodatkowo przeskanowałem teraz jeszcze raz cały komputer ( i podłączonego pena, wcześniej zainfekowanego) Malwarebytes i w przeciwieństwie do wcześniejszych skanów nie wykryło mi żadnego wirusa

    EDIT:
    wgrałem kilka plików na pendriva i kilkukrotnie podłączając i odłączając go od komputera pliki nie zamieniały się w skróty jak wcześniej

    0
  • #6 08 Lut 2018 13:17
    safbot1st
    Poziom 43  

    Junys napisał:
    EmptyTemp: I:\autorun.inf

    Kolejność nie ma znaczenia, ale wpisy powinny być w osobnych linijkach.
    Junys napisał:
    plik ten zrobiłem i umieściłem na C

    Nic takiego nie zalecałem. Plik zostanie automatycznie utworzony.
    Komenda dla pena w I: będzie:
    dir /b /s /a I: > pliki.txt
    Zamieść pliki.txt jako załącznik.
    Wyłączyłeś usługę wykrywanie sprzętu powłoki?

    Dodano po 6 [minuty]:

    Junys napisał:
    usbfix mi działa, wyczyściłem nim wszystkie pendrivy

    Skoro tak i na penie jest 0 pilików, stąd może być informacja zwrotna, że pliku z listą nie można utworzyć, bo wynosi 0B.

    0
  • #7 08 Lut 2018 13:27
    Junys
    Poziom 3  

    Usługę wyłączyłem, komende wpisałem teraz poprawnie, według wskazania, nadal wyświetla mi się ten sam komunikat "nie można odnaleźć pliku"

    0
  • #8 08 Lut 2018 13:34
    safbot1st
    Poziom 43  

    Prawidłowo. Powodem wyświecenia "Nie można odnaleźć pliku" jest 0 plików na penie.
    Zamieść jeszcze finalnie logi z FRST.

    0
  • Pomocny post
    #10 08 Lut 2018 13:59
    safbot1st
    Poziom 43  

    Infekcji nie widać.
    Możesz włączyć "wykrywanie sprzętu powłoki", tylko to włączy znów autostarty na penach, więc nie wkładaj już zainfekowanych penów.
    Jak widać Panda i MBAM(?) sobie z tym nie radzi. Mogę zaproponować darmowy ZoneAlarm. Powinien umieć zablokować te infekcje w przyszłości. Rozwiązaniem jest też wyłączenie omawianej usługi. Ja lubię mieć wyłączoną.
    Usuń C:\FRST i to wszystko...

    1
  • #11 08 Lut 2018 20:13
    Junys
    Poziom 3  

    Dzięki wielkie za pomoc :)

    0