Skocz do zawartości

Wirus robiący skróty na pendrive!


Rekomendowane odpowiedzi

Witam Problem przedstawia sie następująco:

 

- robione są skróty na pendrive nie na dysku lecz przypuszczam ze na dysku właśnie  "siedzi" wirus gdyż po formacie na pendrive odrazu zostaja wgrane jakieś pliki i skróty

- każdy pendrive podpiety pod kompa zostaje zainfekowany

- próbowałem wiele antywirusów i skanowałem ale bez skutku. Żaden nie może wykryć tego dziadostwa

- robłem deletion na usb. fix ale pomogło tylko na chwile, po ponownym włożeniu pendrive robi się to samo

 

Dołączam logi: Proszę o pomoc bo męczę się już z tym sporo czasu i o wyrozumiałość to mój pierwszy post na forum.

Addition.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

Gmer.txtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Infekcja ewidentna, w starcie uruchamia się robak skryptowy. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

(Microsoft Corporation) C:\Windows\System32\wscript.exe
(Microsoft Corporation) C:\Windows\System32\wscript.exe
HKLM\...\Run: [tmp4DF1] - C:\Users\Marek\AppData\Local\Temp\tmp4DF1.tmp.vbs [156060 2014-02-06] ()
HKU\S-1-5-21-263107825-2801771057-2943010423-1001\...\Run: [tmpD0A8] - C:\Users\Marek\AppData\Roaming\tmpD0A8.tmp.update.vbs [281787 2014-01-16] ()
HKU\S-1-5-21-263107825-2801771057-2943010423-1001\...\Run: [oloixtuelf] - C:\Users\Marek\AppData\Local\Temp\oloixtuelf.Firfox.vbs [653150 2014-02-06] ()
HKU\S-1-5-21-263107825-2801771057-2943010423-1001\...\Run: [tmp4DF1] - C:\Users\Marek\AppData\Local\Temp\tmp4DF1.tmp.vbs [156060 2014-02-06] ()
HKU\S-1-5-21-263107825-2801771057-2943010423-1001\...\Run: [DVDclone] - C:\Users\Marek\AppData\Local\Temp\DVDclone.vbs [653150 2014-02-06] ()
Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DVDclone.vbs ()
Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Google ()
Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Link.vbs ()
Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\oloixtuelf.Firfox.vbs ()
Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tmp4DF1.tmp.vbs ()
Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tmpD0A8.tmp.update.vbs ()
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Users\Marek\AppData\Local\Google
C:\Users\Marek\AppData\Roaming\tmpD0A8.tmp.update.vbs
C:\Users\Marek\Downloads\Total-Commander(12316).exe
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
CMD: netsh advfirewall reset

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Zrób nowe skany: FRST (bez Addition) oraz USBFix z opcji Listing przy wszystkich podpiętych pendrive. Pobierz nowy USBFix (drugi link pobierania działa), bo na dysku masz jakąś archaiczną wersję oznakowaną przez "TeamXscript.org":

 

2014-02-15 12:27 - 2011-06-16 14:12 - 01229735 _____ (TeamXscript.org) C:\Users\Marek\Desktop\UsbFix.exe

 

Dołącz plik fixlog.txt.

Odnośnik do komentarza

Problem został rozwiązany poprzez program Microsoft Security Essentials 4.4.304.0 sciągnięty z www.dobreprogramy.pl

 

wykrył mi odpowiedniego robaka i zlikwidowal z dysku oraz z pendrive  : a o to jego nazwa

Worm:VBS/Jenxcus!lnk

należy zrobić także pełne skanowanie

 

Dziekuję za poświecony czas i pozdrawiam.

Odnośnik do komentarza

1. Na przyszłość: nie podejmuj kolidujących zadań, a brak odpowiedzi był dyktowany moją absencją. Co do MSSE:

- Wątpię, że MSSE rozwiązał sprawę, ponieważ to skrypt FRST usuwał aktywnego robaka, nie MSEE. MSSE co najwyżej doczyścił resztki z dysku i pendrive, a pendrive to dopiero miałam się zająć. I bardzo możliwe, że dlatego MSSE w ogóle cokolwiek wykrył, bo infekcja już nie była aktywna (nic nie blokowało antywirusa).

- Zbędna instalacja kolejnego antywirusa, przeciążenie systemu. To nie było potrzebne.

- Nasuwa pytanie jak pobierałeś program MSSE z dobrychprogramów (program należy pobierać ze strony domowej, by się nie nadziać na "niespodzianki"), które już niestety nie takie "dobre": KLIK. W systemie wcześniej były ślady pobierania tego śmieciarskiego "asystenta":

 

C:\Users\Marek\Downloads\Total-Commander(12316).exe

 

2. Co Ty pobrałeś?! Dawałam link do przyklejonego tematu, by pobrać TFC - Temp Cleaner (tam w temacie są właściwe linki). Ty zaś zamiast wejść w niebieski link poszedłeś na Google i zamontowałeś jakiegoś śmiecia Temp File Cleaner. Trzeba wyczyścić to coś.

 

3. Skrypt do FRST był najwyraźniej przepuszczany dwa razy, podany log nie pochodzi z właściwego usuwania. Skryptów nie wolno powtarzasz, są jednorazowego użytku (mówią o tym zasady działu).

 

4. Tu nie koniec zadań. W związku jednak z dodatkowy akcjami zrobionymi na własną rękę poproszę o nowy komplet logów: FRST + USBFix.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...