Infekcja Removable Disk link

RobertM15 · 3 Września 2013

Witam,

I mnie też trafiło, i to prawdopodobnie na dwóch laptopach. W pierwszym momencie się nie zorientowałem i przełożyłem pendrive'a do drugiego.
Na obu ten sam objaw: po włożeniu pendrive'a widoczny jest tylko skrót do "Removable Disk" i nie widać żadnych plików ani katalogów.

Bardzo proszę o pomoc!
Poniżej skany z FRST, OTL i USBFix z pierwszego laptopa z podłączonym pendrive'm.

Bardzo bym nie chciał utracić plików z tego pendrive'a.

Czy od drugiego laptopa też załączyć skany (chciałbym usunąć całą infekcję)?

Czy ta infekcja może się przenieść na inne komputery w sieci lokalnej, czy tylko za pomocą pendrive'a?

UsbFix Listing 3 COMPAQ-NC2400.txt

picasso · 4 Września 2013

AdekHadek90

Proszę się nie dopisywać do cudzych tematów, załóż własny temat, tu post kasuję. Zasady: KLIK. I w zasadach jest dokładnie podane co się zawsze na starcie podaje: są to logi z FRST i OTL. Dodatkowo, dodaj log z USBFix z opcji Listing.

RobertM15

To infekcja robakiem Gamarue. Ta infekcja robi następujący trik na urządzeniu: tworzy folder "bez nazwy" do którego przesuwa wszystkie dane użytkownika, za to jako widoczny element umieszcza skrót o nazwie urządzenia, który sugeruje użytkownikowi dostęp do danych. Skrót ten uruchamia infekcję. A pliki będzie widać, jeśli w Opcjach folderów odznaczysz opcję Ukryj chronione pliki systemu operacyjnego. Wg Twoich logów infekcja jest tylko na urządzeniu (brak wpisów rejestru ją ładujących w systemie). Przeprowadź następujące akcje:

1. Otwórz Notatnik i wklej w nim:

G:\desktop.ini
G:\Thumbs.db
G:\Removable Disk (8GB).lnk
CMD: attrib /d /s -s -h G:\*
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
SearchScopes: HKCU - {AF47926E-C9F2-404E-B766-621693B45A2F} URL = http://websearch.ask.com/redirect?client=ie&tb=AVR-4&o=APN10267&src=crm&q={searchTerms}
Toolbar: HKCU -No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
C:\Documents and Settings\Administrator\Application Data\OpenCandy

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

2. Jeśli wszystko pójdzie dobrze: wejdź na dysk G, zobaczysz folder "bez nazwy". Przenieś z niego wszystkie dane poziom wyżej, a folder przez SHIFT+DEL skasuj.

3. Doczyść szczątki adware Ask (od Avira) w Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

4. Zrób nowy skan FRST (bez Addition) + USBFix z opcji Listing. Dołącz plik fixlog.txt.

.

RobertM15 · 4 Września 2013

Działania wykonane prawidłowo.

Pendrive odzyskany, pojawiły się wszystkie katalogi i pliki :-)

W załącznikach nowe logi.

Natomiast zauważyłem dziwne zachowanie komputera po włączeniu, jeszcze przed wykonaniem naprawy.

Laptop był w hibernacji i po włączeniu zasilania zaczął ładować system, pojawił się pulpit, lecz dysk ciągle pracował.

Postanowiłem zaczekać aż system załaduje się do końca, przed rozpoczęciem działania.

Ale dysk ciągle pracował, znacznie dłużej niż zwykle!

W pewnym momencie (dioda dysku paliła się cały czas) system zaczął się zamykać, i wyłączył komputer całkowicie!!!

Wystartowałem system ponownie, tym razem normalnie, już nie z hibernacji.

I znowu zauważyłem znacznie dłuższe ładowanie się systemu, wręcz kilka razy dłużej niż normalnie.

System w końcu się załadował i przeprowadziłem naprawę i nowe skanowanie - mam nadzieję że jeżeli w systemie są jakieś infekcje to widać je będzie w nowych skanach?

FRST.txt

UsbFix Listing 4 COMPAQ-NC2400.txt

Fixlog.txt

picasso · 5 Września 2013

Akcja wygląda na wykonaną. Tak więc kończąc sprzątanie po infekcji:

1. Odinstaluj USBFix, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj foldery:

C:\FRST

C:\Documents and Settings\Administrator\Desktop\Stare dane programu Firefox

2. Wyczyść foldery Przywracania systemu: KLIK.

Natomiast zauważyłem dziwne zachowanie komputera po włączeniu, jeszcze przed wykonaniem naprawy.

Laptop był w hibernacji i po włączeniu zasilania zaczął ładować system, pojawił się pulpit, lecz dysk ciągle pracował.

Postanowiłem zaczekać aż system załaduje się do końca, przed rozpoczęciem działania.

Ale dysk ciągle pracował, znacznie dłużej niż zwykle!

W pewnym momencie (dioda dysku paliła się cały czas) system zaczął się zamykać, i wyłączył komputer całkowicie!!!

Wystartowałem system ponownie, tym razem normalnie, już nie z hibernacji.

I znowu zauważyłem znacznie dłuższe ładowanie się systemu, wręcz kilka razy dłużej niż normalnie.

System w końcu się załadował i przeprowadziłem naprawę i nowe skanowanie - mam nadzieję że jeżeli w systemie są jakieś infekcje to widać je będzie w nowych skanach?

Trudno mi powiedzieć o co chodzi. Czy kolejny start systemu też wykazuje opóźnienia?

.

RobertM15 · 18 Września 2013

Spowolnienie występuje cały czas.

Po testach udało mi się ustalić, że winnym tak wolnego działania komputera jest dysk twardy, a dokładniej bardzo niski transfer.
Przed infekcją pamiętam transfer na poziomie 20 Mb/s, a teraz jest w okolicach 1 Mb/s.

W załączniku screen z HD Tune.

Nie jest to raczej wina sprzętu - w Linuksowej dystrybucji live transfer tak jak powinno być, dokładnie 20,9 Mb/s.
Prawdopodobnie coś jeszcze siedzi w systemie?

W załącznikach nowe skany.

Natomist udało mi się prześledzić pochodzenie infekcji: jeden z moich stacjonarnych jest winny, pendrive został zainfekowany po włożeniu do tego właśnie komputera.
Czy możemy też wyleczyć tą stacjonarkę?

picasso · 18 Września 2013

Log z FRST pochodzi ze starej wersji sprzed kilku dni. Pobierz najnowszą. I tu już w tych logach nie ma czego szukać.

Spowolnienie występuje cały czas.

Po testach udało mi się ustalić, że winnym tak wolnego działania komputera jest dysk twardy, a dokładniej bardzo niski transfer.

Przed infekcją pamiętam transfer na poziomie 20 Mb/s, a teraz jest w okolicach 1 Mb/s.

Sprawdź czy transfer dysku nie jest równy przypadkiem PIO. Instrukcje w ustępie "Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP)": KLIK.

Natomist udało mi się prześledzić pochodzenie infekcji: jeden z moich stacjonarnych jest winny, pendrive został zainfekowany po włożeniu do tego właśnie komputera.

Czy możemy też wyleczyć tą stacjonarkę?

Toteż podaj tu w temacie komplet wymaganych logów.

.

RobertM15 · 16 Października 2013

Log z FRST pochodzi ze starej wersji sprzed kilku dni. Pobierz najnowszą. I tu już w tych logach nie ma czego szukać.

Sprawdź czy transfer dysku nie jest równy przypadkiem PIO. Instrukcje w ustępie "Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP)": KLIK.

Niski transfer dysku faktycznie spowodowany przez przełączenie się po skanowaniu Gmerem w tryb PIO.

Po przełączniu na DMA wróciło do normy.

Załączam także nowe skanowanie laptopa. Dla odróżnienia mają dopisek Lap.

Toteż podaj tu w temacie komplet wymaganych logów..

Oraz logi ze skanowania stacjonarki, która była przyczyną infekcji. Te mają dopisek Stac.

Dodatkowo na stacjonarce zauważyłem, że znikneły wszystkie połącznia sieciowe, oraz pojawiły się dziwne wpisy o błędach w menadzeże urządzeń. W załączniku screen.

UsbFix Lap Listing 1 COMPAQ-NC2400.txt

UsbFix Stac Listing 1 KONTRAST-FF4D7A.txt