drugster Opublikowano 23 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 23 Sierpnia 2010 Witam Państwa. Jest to mój pierwszy wpis na tym forum, dlatego proszę o wyrozumiałość , biorąc również pod uwagę że na komputerach znam się podobnie jak na hodowli nori (nikomu nie ujmując tej sztuki) Podpiąłem flash usb pod komputer w celu przerzucenia znacznej ilości dokumentów i innych plików. Przeskanowałem flash Avira antywirus i wyskoczył mi zainfekowany obiekt- WORM/Conficker.Autorun.Gen worm Program klonuje go i zamieszcza w kwarantannie , mogę go ręcznie stamtąd usuwać ale na dysku przenośnym jest. Podobno jest nieusuwalny! Nie wiem co robić ,gdyż boje się przerzucić dane, które są mi potrzebne. Przeskanowałem dysk usb programem USBfix co niestety nie pomogło. Chyba że chodzi , że powinienem wyłączyć funkcje zapisu jak czytałem w poradniku ale nie wiem gdzie to się robi. Ponieważ logi sprawniej ode mnie zamieszcza miś Yogi- załączam zapis tekstowy-które zawiera chyba wymagane przez was dane. Chciałem zamieścić również dokument z wyniku skanu avasta ale nie mam uprawnień do tego dokumentu.( a tam go właśnie wykrywa) Przepraszam za brak wiedzy , ciągle się uczę. Pozdrawiam Maciej. UsbFix.txt Odnośnik do komentarza
Landuss Opublikowano 23 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 23 Sierpnia 2010 Zasady działu nie są spełnione. Po pierwsze jeśli dajesz log z USBFix to ma być z opcji Listing, a nie wygląda byś właśnie taką opcje wybrał. Po drugie wykonaj obowiązkowe logi z narzędzia OTL. Odnośnik do komentarza
drugster Opublikowano 24 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 24 Sierpnia 2010 Przepraszam za zwłokę. Oto logi, które mam nadzieję coś wyjaśnią. OTL.Txt Extras.Txt UsbFix listing.txt Odnośnik do komentarza
picasso Opublikowano 25 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2010 Oceniając wszystkie logi: póki co, widzę jedynie foldery "Koszy" świeżo modyfikowane na urządzeniu przenośnym, w potrójnej wersji (RECYCLER / RECYCLED / $RECYCLE.BIN), oraz podejrzany ukryty plik trzCC.tmp. Brak oznak, że infekcja się przeniosła w sposób czynny na sam system per se (zasługa zapewne w kombinacji systemu 64-bit, którego słabo się imają aktualne infekcje mające przecież charakter 32-bitowy, i osłony antywirusowej). To oznacza, że będę usuwać wszystkie "Kosze" z urządzenia, a przy okazji dla pewności także Kosze na dysku twardym. Urządzenie przenośne rzecz jasna ma być podpięte podczas poniższych kroków: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej następujący tekst: :Files $RECYCLE.BIN /alldrives I:\Recycled I:\RECYCLER I:\trzCC.tmp :Commands [emptytemp] Rozpocznij usuwanie wywołując opcję Wykonaj skrypt. Spodziewana sekwencja to: zabicie procesów, przetworzenie skryptu, restart i wreszcie podanie loga końcowego z całej operacji. 2. Przy okazji, wyczyść sobie także foldery Przywracania systemu: INSTRUKCJE. 3. Wytwórz nowy zestaw logów: OTL z opcji Skanuj oraz USBFix z opcji Listing. Zaprezentuj także log powstały z usuwania w punkcie 1. . Odnośnik do komentarza
drugster Opublikowano 25 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 25 Sierpnia 2010 Witaj. Wykonałem wszystkie punkty kolejno jak zalecałaś. Załączam poniżej wszystkie logi. Chciałem jeszcze przedstawić swoje(mam nadzieję wnoszące coś ) przemyślenia i spostrzeżenia ; Ten podejrzany ukryty plik trzCC.tmp. jak mi wykryla Avira to właśnie WORM/Conficker.Autorun.Gen worm- wyskoczyła mi ta informacja po wykonaniu skryptu,po czy wcisnąłem usuń(Avirą). Nie robiłem skanu tym czy innym programem , ponieważ nie chce niczego popsuć ale zapewne po sprawdzeniu systemu przeniesie mi ten plik z usb do kwarantanny. Wiesz, może jestem przewrażliwiony ale mam nowy komputer od 2 tygodni i nie chciałbym na starcie coś sknocić. Aha, dysk USB jest podpięty, ale nic nie przerzuciłem jeszcze. Czytałem Twoje poradniki a propos dysków USB , czy tworzenie plików omijających autorun ma tu zastosowanie? Boje się że, to tylko przejściowe rozwiązania bo to "coś" już się zagnieździło. 08252010_233032 OTL wynik.txt OTL.Txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 26 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 26 Sierpnia 2010 OTL nie podołał, po restarcie nie potrafił przetworzyć usuwania pliku (oraz katalogu RECYCLER): File move failed. I:\trzCC.tmp scheduled to be moved on reboot. Plik na urządzeniu jest jak przyklejony: [04/08/2004 - 00:44:02 | RASH | 59308] I:\trzCC.tmp Podejmujemy kolejną próbę: 1. Wyłącz wszystkie strażniki ochronne (COMODO / Avira), by nie przeszkadzały w usuwaniu i nie kolidowały z procesem przetwarzania w OTL. Nie otwieraj urządzenia USB spod Windows Explorer, w ogóle nie próbuj na nie wchodzić. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Processes killallprocesses :Files I:\trzCC.tmp I:\RECYCLER Jak poprzednio: Wykonaj skrypt. 3. Do wglądu log z usuwania OTL i nowy z USBFix z opcji Listing. Czytałem Twoje poradniki a propos dysków USB , czy tworzenie plików omijających autorun ma tu zastosowanie? Boje się że, to tylko przejściowe rozwiązania bo to "coś" już się zagnieździło. Nie wiem, jest dla mnie niejasna droga startowania tej infekcji. Czy przy pierwszym usuwaniu Avirą nie było wykrytych może więcej plików na USB? Niezależnie jednak od tego zagadnienia i tak tu są tylko dwie metody zabezpieczenia przed infekcjami: immunizacja USB na okoliczność implementacji autorun.inf oraz zabezpieczenie systemu przed infekcjami USB z autorun.inf (nie dotyczy Windows 7, który ma natywną blokadę) oraz z LNK (na to jest łatka z Windows Update). Droga totalna to wprowadzenie urządzenia w tryb tylko do odczytu wykluczający jakikolwiek zapis, oczywistym jest co za utrudnienia z tego wynikają. PS. Zmieniłam tytuł tematu na bardziej odpowiedni. . Odnośnik do komentarza
drugster Opublikowano 26 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 26 Sierpnia 2010 Zalecenia wykonane. Niestety , chyba problem pozostał. Żeby ułatwić sprawę; nie interesuje mnie fizycznie sam dysk USB , może śmiało iść do kosza. Chodzi tylko o dane na nim. z Tego co rozumiem, to ten worm conflicker siedzi na urządzeniu USB a komputer jest czysty? Od podłączenia dysku i pierwszego skanu przez Avirę, jest to jedyne zagrożenie które wykrywa. Szkoda że nie mam uprawnień do tego dokumentu- załączyłbym Tobie wynik skanu tego programu. A może chodzi o jego konfigurację- żeby od razu usuwał a nie przenosił do kwarantanny? 08262010_141102 OTL wynik.txt OTL.Txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 26 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 26 Sierpnia 2010 Proces na statusie niepowodzenie, z niewiadomych przyczyn, z objawami punktowymi (bo inny obiekt został skasowany gładko z USB, więc zapis jest czynny). W związku z tym, że masz Windows w wersji 64-bit brakuje mi narzędzi do prowadzenia usuwania mocniejszymi procedurami spod Windows (wszystkie silne i silniejsze niż OTL narzędzia, które mamy w arsenale, operują na sterownikach i są tylko i wyłącznie 32-bitowe). Widzę tu dwa scenariusze i wybierz, który jest Ci bliższy: 1. Zastartować z płyty LiveCD na ten system (dostęp całkowicie z zewnątrz) i gładko sobie wejść na dysk USB bez zagrożenia infekcji, ręcznie skasować szkodliwe pliki, a osobiste dane przenieść na inny dysk tak na wszelki wypadek, jakby się okazało, że po ponownym wejściu pod Windows plik szkodnika "z powietrza" się odtworzy. "Wada" tej metody to czas pobierania gotowej płyty. 2. Albo ja skonstruuję prosty plik BAT kopiujący dane z USB na dysk twardy. Po upewnieniu się, że wszystko skopiowane, urządzenie sformatujesz. Potwierdź mi, czy to są te dane, które chcesz ocalić: [18/08/2010 - 22:22:20 | D ] I:\avrescue[05/08/2010 - 14:25:32 | D ] I:\filmy[05/08/2010 - 14:41:20 | D ] I:\inne[14/08/2010 - 22:39:27 | D ] I:\ReadyDriverPlus[03/01/2010 - 12:26:24 | A | 298632] I:\SetupReadyDriverPlus.exe[14/08/2010 - 22:39:46 | D ] I:\ZTE_ZXDSL_852_for_Vista_64bit[14/08/2010 - 20:25:18 | A | 896874] I:\ZTE_ZXDSL_852_for_Vista_64bit_366874739.zip z Tego co rozumiem, to ten worm conflicker siedzi na urządzeniu USB a komputer jest czysty? Na to wskazują logi. A może chodzi o jego konfigurację- żeby od razu usuwał a nie przenosił do kwarantanny? To nie ma nic do rzeczy. Zauważ, że OTL nie ma nic wspólnego z Avirą, a także nie umie usunąć tego z urządzenia. . Odnośnik do komentarza
drugster Opublikowano 26 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 26 Sierpnia 2010 Szczerze mówiąc, to punktu pierwszego nawet nie wiem jak ugryźć. Pozostaję punkt drugi- dane ZTE sa od modemu Neostrady , gdzie próbowałem go skonfigurować pod viste 64 aby uruchomić. Sądzę ze są zbędne. Natomiast nie mogę skojarzyć Ready Driver Plus ale niech pozostanie. Odnośnik do komentarza
picasso Opublikowano 26 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 26 Sierpnia 2010 Szczerze mówiąc, to punktu pierwszego nawet nie wiem jak ugryźć. Ja go nie wyjaśniałam wcale jeszcze, rysując tu super skrócony opis, zakładając że będzie dla Ciebie jasne czym te dwa zadania się różnią. Ale osobiście sądzę, że znacznie szybciej pójdzie po prostu skopiowanie wybranych danych i format USB konkretnie likwidujący infekcję. 1. Utwórz sobie na dysku folder C:\PLIKI, do którego będą kopiowane dane z USB. 2. Utwórz plik z filtrem wykluczającym określone obiekty z kopiowania. Otwórz Notatnik i wklej w nim: trzCC.tmp RECYCLER ReadyDriverPlus ZTE_ZXDSL Z menu Notatnika > Plik > Zapisz pod nazwą LISTA.TXT > plik połóż bezpośrednio na C:\ 3. Utwórz właściwy plik BAT kopiowania materiału. Otwórz Notatnik i wklej w nim: I: xcopy I:\*.* /S /E /F C:\PLIKI /EXCLUDE:C:\lista.txt PAUSE Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako COPY.BAT > z prawokliku Uruchom jako Administrator 4. Powinno się rozpocząć kopiowanie. Po ukończeniu kopiowania sprawdź co masz w C:\PLIKI. Jeśli wszystko, możesz formatować USB. Natomiast nie mogę skojarzyć Ready Driver Plus ale niech pozostanie. To jest ten badziew obchodzący na systemach 64-bit problem pojawiający się przy wyłączaniu sprawdzania podpisów cyfrowych sterowników. Ta aplikacja para się automatycznym zatwierdzaniem na ekranie startu wywołanym przez F8 opcji "Wyłącz wymuszanie podpisu cyfrowego". Wątpię czy jest potrzebny (i nie polecam, miesza strasznie w katalogu BOOT). Sprecyzowałam na niego wykluczenie z kopiowania. . Odnośnik do komentarza
drugster Opublikowano 26 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 26 Sierpnia 2010 Przepraszam za zwlokę. Przejrzyście opisujesz, wykonując te fachowe komendy zaczynam je rozumieć ale.. punkt 2. Utworzywszy plik z filtrem wykluczającym określone obiekty nie mogę zapisać (położyć go) na C: wyskakuje mi- Nie masz uprawnień do zapisywania w tej lokalizacji-skontaktuj się z administratorem(?) Czy zamiast tego chcesz zapisać plik w folderze moje dokumenty. Czy to coś zmienia ? Odnośnik do komentarza
picasso Opublikowano 26 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 26 Sierpnia 2010 Utworzywszy plik z filtrem wykluczającym określone obiekty nie mogę zapisać (położyć go) na C: wyskakuje mi-Nie masz uprawnień do zapisywania w tej lokalizacji-skontaktuj się z administratorem(?) Czy zamiast tego chcesz zapisać plik w folderze moje dokumenty. Ale Ty to robisz z poziomu Notatnika, od razu zapis do tej lokalizacji? Notatnik nie jest uruchomiony w trybie administracyjnym i stąd to zdarzenie. Po prostu plik zapisz byle gdzie, ale po zapisaniu przenieś ręcznie na C:\. Przy przenoszeniu dostaniesz dialog UAC i potwierdź podnoszenie uprawnień. Odnośnik do komentarza
drugster Opublikowano 26 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 26 Sierpnia 2010 Mission accomplished Nie ma co ukrywać- jesteś bosssska Mam tylko kilka koncowych pytań: 1. Czy formatować dysk USB narzędziami systemowymi? Czy po tej operacji dysk nadaje się do użytku, przeskanować bądź dać sobie z nim spokój? 2. Czy wszystkie logi podawane tu będą kiedyś przydatne? Nie wiem jaką linię obrać-zaksięgować czy usuwać? Odnośnik do komentarza
picasso Opublikowano 26 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 26 Sierpnia 2010 Na koniec w OTL wywołaj funkcję Sprzątanie. USBFix możesz odinstalować. 1. Czy formatować dysk USB narzędziami systemowymi? Czy po tej operacji dysk nadaje się do użytku, przeskanować bądź dać sobie z nim spokój? To już obojętne, może być narzędzie systemowe, może być także program producenta trzeciego. Dysk powinien być jak najbardziej do użytku. Po formacie skanowanie antywirusem jest bezsensowne, jako że format nadpisuje cały system plików. To co możesz jednak zrobić, to zabezpieczyć USB przez sfałszowany obiekt autorun.inf. Nie wiem czy się tak da, bo masz Windows 7 64-bit, a Panda USB Vaccine kończy kompatybilność na Vista i 32-bitach, ale możesz spróbować: z prawokliku na instalator Panda we Właściwościach w karcie Zgodność wybrać "Uruchom ten program w trybie zgodności z Vista", na oknie instalatora nie zaznaczać montażu strażnika (odznaczona opcja "Run..."), ale wsparcie dla NTFS tak, a po instalacji programu przy podpiętym urządzeniu wybrać opcję USB Vaccination, zaś po tym zadaniu Pandę z systemu odinstalować. 2. Czy wszystkie logi podawane tu będą kiedyś przydatne? Nie wiem jaką linię obrać-zaksięgować czy usuwać? Nie usuwaj logów, bo temat będzie wyglądał bezsensownie, wydawanie opinii z powietrza. Poza tym, komuś się to wszystko może przydać. My też jako Moderatorzy ich potrzebujemy do wglądu / porównań z innymi przypadkami. . Odnośnik do komentarza
drugster Opublikowano 26 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 26 Sierpnia 2010 (edytowane) Jeszcze raz dziękuję za owocną pomoc i przepraszam z mojej strony za brak elementarnej wiedzy Pozdrawiam. Edytowane 26 Sierpnia 2010 przez picasso Rozumiem, że temat możemy zamknąć. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi