Skocz do zawartości
Ten temat
WAŻNE - Zakładanie tematu: obowiązkowe logi

Infekcja z pendrive'a, dysku zewnetrznego

jaraczk

Przez jaraczk
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

jaraczk

jaraczk

Opublikowano
Opublikowano

Witam,

 

pewnego razu po podlaczeniu dysku zewnetrznego zauwazylem ze sa na nim tylko 2 pliki i ukryty folder RECYCLER, zadnych innych plikow chociaz miejsce na dysku bylo zajete, a po wpisaniu w pasku adresu np K:/szkola, pokazywal sie folder szkola ze wszystkimi plikami. Myslalem ze to nic powaznego i podlaczylem do kompa pendrivea na ktorym bylo to samo i do laptopa podlaczylem rowniez dysk i pendrive'a (co chyba okazalo sie kompletnym glupstwem...). Nie znam sie zbytnio na tym ale po przeczytaniu sporej ilosci tematow na forach trafilem tutaj i prosze o pomoc. Zrestartowalem kompa i zaczal troche swirowac, nie chcial sie odpalic zaden program, ani menadzer urzadzen, panel sterowania, jakims cudem odpalilem chrome'a poprzed antyvira noda by pobrac aktualizacje, wyskakiwal blad w stylu "pamiec nie moze byc read" i "pamiec nie moze byc written" teraz niestety zniknal mi tez explorer bo nie widze paska startu...

 

Zalaczam logi z OLT.

 

PS: gdy robilem log weryfikacji zabezpieczeń wyskoczyl mi blad:

wmiprsc.exe - Błąd aplikacji

Instrukcja spod "0x008914fb" odwołuje się do pamięci pod adresem "0xfec0179e". Pamięć nie może być "read".

 

a log jest caly czas w stanie "Preparing"

 

Skanuje rowniez dysk GMERem ale juz dodaje temat bo boje sie ze wywali mi chrome'a. Log dodam zaraz po zakonczeniu skanowania!

 

EDIT:

LOG z securitycheck

 

 

Results of screen317's Security Check version 0.99.42

Windows XP Service Pack 3 x86

Internet Explorer 8

``````````````Antivirus/Firewall Check:``````````````

ESET NOD32 Antivirus 4.0

Antivirus up to date!

`````````Anti-malware/Other Utilities Check:`````````

Java™ 6 Update 23

Java version out of Date!

Adobe Flash Player 11.1.102.55

Adobe Reader 6 Adobe Reader out of Date!

````````Process Check: objlist.exe by Laurent````````

`````````````````System Health check`````````````````

Total Fragmentation on Drive C::

````````````````````End of Log``````````````````````

 

Aha i zapomnialem dodac ze jak ostatni raz podlaczylem dysk to byly pokazane wszystkie foldery ktore powinny tam byc ale ukryte + folder recycler + folder System Volume Information do ktorego nie moglem wejsc.

 

EDIT2:

poprzez wpisanie w chrome C:/ uruchomilem explorera i menadzer zadan zuploadowal mi kumpel, odpalilem i dziala, uruchom w starcie tez dziala wiec jesli potrzeba wiecej informacji to sluze pomoca

OTL.TxtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

GMER.txtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Landuss

Landuss

Opublikowano
Opublikowano

W logach rootkit ZeroAccess w najnowszej wersji, zaś infekcja na dysku zewnętrznym to swoją drogą. Także masz dwie infekcje. Potrzebny raport dodatkowy.

 

Uruchom SystemLook, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy raport.

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

1. Start > Uruchom > cmd > wklep:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\jaraczk\USTAWI~1\Temp\cpuz130\cpuz_x32.sys -- (cpuz130)
IE - HKU\S-1-5-21-1220945662-287218729-839522115-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
 
:Files
C:\Documents and Settings\jaraczk\Dane aplikacji\6DD0.exe
C:\Documents and Settings\jaraczk\Dane aplikacji\Fxhghl.exe
C:\Windows\Installer\{5ba87cd9-c293-6b1b-15f7-547dc7c72a28}
C:\Documents and Settings\jaraczk\Ustawienia lokalne\Dane aplikacji\{5ba87cd9-c293-6b1b-15f7-547dc7c72a28}
netsh winsock reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Przez Panel sterowania odinstaluj: vShare Plugin

 

4. Uruchom AdwCleaner z opcji Delete

 

5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z USBFix z opcji Listing

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Wklej do notatnika:

 

J:
attrib /d /s -s -h J:\*
reg delete HKU\S-1-5-21-1220945662-287218729-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run /ve Fxhghl /f
pause

 

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik.

 

Do obejrzenia dajesz nowy log z OTL i USBFix z Listingu.

Odnośnik do komentarza
Landuss

Landuss

Opublikowano
Opublikowano

Ale foldery się uwidoczniły więc jest dobrze. To by było chyba ba tyle z usuwania. Wykonaj kroki na koniec:

 

1. Wklej do OTL skrypt poprawkowy:

 

:OTL
O4 - HKLM..\Run: [mgeav] rundll32.exe "C:\DOCUME~1\jaraczk\USTAWI~1\Temp\mgeav.dll",SteamAPI_GetSteamInstallPath File not found
O4 - HKU\S-1-5-21-1220945662-287218729-839522115-1003..\Run: [Fxhghl] C:\Documents and Settings\jaraczk\Dane aplikacji\Fxhghl.exe File not found

 

Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java 6 Update 23

"{AC76BA86-7AD7-1038-7646-CE0000000001}" = Adobe Reader 6.0 CE

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

 

Podsumuj czy wszystko gra.

Odnośnik do komentarza
jaraczk

jaraczk

Opublikowano
  • Autor
Opublikowano

Dysk zewnetrzny jest ok, komp chodzi najprawdopodobniej bezproblemowo :) zrobilem jeszcze wszystko co kazales. Mam jeszcze kilka pytan:

 

1. Czy moge sprawdzic laptopa i wrzucic tu logi czy nie przeskoczylo nic z dysku lub pendrive'a na niego?

2. Boje sie podlaczyc pendrive'a do kompa zeby znow jakies dziadostwo z niego nie wlazlo na kompa, da sie go jakos bezpiecznie odratowac?

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...