Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Infekcja usb

RobertSWAG

Przez RobertSWAG
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

RobertSWAG

RobertSWAG

Opublikowano
Opublikowano

http://wklej.org/id/833450/ - - - > Gmer.txt

http://wklej.org/id/833451/ - - - > Extras.txt

http://wklej.org/id/833452/ - - - > OTL.txt

http://wklej.org/id/833456/ - - - > usbfix.txt

 

Problem wygląda tak : wczoraj kolega pożyczył ode mnie pendrive i po jakimś czasie zadzwonił, że jest zainfekowany, a ja go wcześniej wsadziłem do kompa by zobaczyć co tam jest ;/ Potem mi polecono, żeby uruchomić Kaspersky virus tool removal i usbfix. Kaspersky wykrył infekcje w plikach svchost.exe, wupdmgr.exe, explore.exe, autorun.inf i w czymś tam jeszcze chyba. W trakcie skanowania Kasperskiego nie chciał się uruchomić żaden plik .exe "nie jest prawidłową aplikacją win32" ale po restarcie to ustąpiło. Potem odpaliłem usbfix, i po bardzo długim skanie zauważyłem, że wywalił mi 16gb muzyki z dysku ;/ (tzn przeniósł do kwarantanny ale najpierw myślałem, że usunął) więc bez zastanowienia uruchomiłem przywracanie systemu. W jego trakcie pojawił się bsod... (bad_pool_header) więcej nie zauważyłem, bo jak szybko się pojawił tak szybko zniknął. Teraz sytuacja na komputerze wygląda tak, że przywracanie systemu nie działa (pojawia się tylko jakieś białe okno), przy starcie pojawia się jakiś dziwny błąd i do tego internet ledwie dycha (choć może to być wina dostawcy).

 

Proszę o pomoc w wywaleniu syfu. Co mogę zrobić z tą muzyką w kwarantannie, bo do każdego pliku dodano rozszerzenie .vir

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Log z USBFix nie przedstawia żadnej widzialnej infekcji, ale nie wygląda to na log z opcji Listing (nieinwazyjna opcja) zrobiony przy obecności pendrive, gdyż jest lista tylko tych dysków (D+E nie wyglądają na pendrive):

 

C:\ (%systemdrive%) -> Fixed drive # 128 Gb (110 Mb free - 86%) [] # NTFS
D:\ -> Fixed drive # 220 Gb (194 Mb free - 88%) [] # NTFS
E:\ -> Fixed drive # 118 Gb (85 Mb free - 72%) [] # NTFS

 

Z poziomu systemu również brak oznak czynnej infekcji i tylko odbędą się tu korekty pod kątem odpadków (Avast, adware, wpisy puste).

 

1. Przez Dodaj / Usuń programy odinstaluj adware FoxTab Media Player. Sugeruję też od razu deinstalację archaicznego tweakera EXPERTool 6.7.

 

2. Usuń szczątki Avast posługując się narzędziem Avast Uninstall Utility.

 

3. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..extensions.enabledAddons: ffxtlbr@babylon.com:1.1.9
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=2&src=sp&cf=68bf82f4-6d47-11e1-a739-001fd06b8de2&q="
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found
O3 - HKU\.DEFAULT\..\Toolbar\ShellBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\ShellBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Garena Plus\Room\safedrv.sys -- (GGSAFERDriver)
 
:Files
C:\user.js
C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\2bk4a2c3.default\extensions\ffxtlbr@babylon.com
C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\2bk4a2c3.default\searchplugins\startsear.xml
C:\Documents and Settings\LocalService\Dane aplikacji\BabylonToolbar
C:\WINDOWS\System32\explorxp.exe
C:\WINDOWS\System32\settings.dll
@C:\WINDOWS:6042D1FDF7A9407A
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Secondary Start Pages"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

4. W Google Chrome są resztówkowe wtyczki LiveVDO:

 

CHR - plugin: LiveVDO plug-in (Enabled) = C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp\1.3_0\chvsharetvplg.dll
CHR - plugin: LiveVDO plug-in (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll

 

Ich usunięcie wymaga edycji pliku Preferences jak tu w punkcie 3: KLIK. Oczywiście nazwy wtyczek są tu inne + na XP lokalizacja pliku preferencji jest inna, czyli tu:

 

C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

 

Google Chrome musi być zamknięte podczas edycji.

 

 

W trakcie skanowania Kasperskiego nie chciał się uruchomić żaden plik .exe "nie jest prawidłową aplikacją win32" ale po restarcie to ustąpiło.

 

Ostatnio na forum były dwa takie przypadki, a logi nie wykazywały żadnej infekcji. Sądzę, że to błąd Kaperskiego.

 

 

Potem odpaliłem usbfix, i po bardzo długim skanie zauważyłem, że wywalił mi 16gb muzyki z dysku ;/ (tzn przeniósł do kwarantanny ale najpierw myślałem, że usunął) więc bez zastanowienia uruchomiłem przywracanie systemu.

 

Ostrzeżenie na ten temat jest umieszczone w moim opisie narzędzia: KLIK. USBFix jest prymitywnym narzędziem, nie ma cech skanera antywirusowego i wywala po nazwach. Tutaj jego użycie niestety było bezcelowe, nie robił nic pożytecznego (infekcji nie usuwał), a wręcz zaszkodził. Pojawiły się skutki uboczne, bo są infekcje, które na nośnikach tworzą katalogi o nazwie muza / muzyka. USBFix nie analizuje zawartości, od razu wywala cały folder.

 

Przywracanie systemu na Windows XP jest cienkie jak barszcz, to na Windows 7 czy Vista (cieniowanie woluminu) mógłbyś przywrócić tym sposobem muzykę na miejsce, o ile spełnione byłyby określone warunki (czynna Ochrona na dysku E).

 

 

Co mogę zrobić z tą muzyką w kwarantannie, bo do każdego pliku dodano rozszerzenie .vir

 

Niestety, ale czeka Cię ręczna zmiana nazw plików, bo USBFix nie ma żadnej automatycznej procedury odzysku z kwarantanny... Co najwyżej możesz się wspomóc automatem do masowej zmiany nazw np. darmowymi: Ant Renamer, Rename Master, ReNamer.

 

 

Teraz sytuacja na komputerze wygląda tak, że przywracanie systemu nie działa (pojawia się tylko jakieś białe okno)

 

Start > Uruchom > wklej komendy:

 

regsvr32 jscript.dll

regsvr32 vbscript.dll

 

Zresetuj system.

 

 

 

 

.

Edytowane przez picasso
17.10.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...