kojot Opublikowano 15 Lutego 2014 Zgłoś Udostępnij Opublikowano 15 Lutego 2014 Witam Problem przedstawia sie następująco: - robione są skróty na pendrive nie na dysku lecz przypuszczam ze na dysku właśnie "siedzi" wirus gdyż po formacie na pendrive odrazu zostaja wgrane jakieś pliki i skróty - każdy pendrive podpiety pod kompa zostaje zainfekowany - próbowałem wiele antywirusów i skanowałem ale bez skutku. Żaden nie może wykryć tego dziadostwa - robłem deletion na usb. fix ale pomogło tylko na chwile, po ponownym włożeniu pendrive robi się to samo Dołączam logi: Proszę o pomoc bo męczę się już z tym sporo czasu i o wyrozumiałość to mój pierwszy post na forum. Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Gmer.txtPobieranie informacji ... Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 15 Lutego 2014 Zgłoś Udostępnij Opublikowano 15 Lutego 2014 Infekcja ewidentna, w starcie uruchamia się robak skryptowy. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: (Microsoft Corporation) C:\Windows\System32\wscript.exe (Microsoft Corporation) C:\Windows\System32\wscript.exe HKLM\...\Run: [tmp4DF1] - C:\Users\Marek\AppData\Local\Temp\tmp4DF1.tmp.vbs [156060 2014-02-06] () HKU\S-1-5-21-263107825-2801771057-2943010423-1001\...\Run: [tmpD0A8] - C:\Users\Marek\AppData\Roaming\tmpD0A8.tmp.update.vbs [281787 2014-01-16] () HKU\S-1-5-21-263107825-2801771057-2943010423-1001\...\Run: [oloixtuelf] - C:\Users\Marek\AppData\Local\Temp\oloixtuelf.Firfox.vbs [653150 2014-02-06] () HKU\S-1-5-21-263107825-2801771057-2943010423-1001\...\Run: [tmp4DF1] - C:\Users\Marek\AppData\Local\Temp\tmp4DF1.tmp.vbs [156060 2014-02-06] () HKU\S-1-5-21-263107825-2801771057-2943010423-1001\...\Run: [DVDclone] - C:\Users\Marek\AppData\Local\Temp\DVDclone.vbs [653150 2014-02-06] () Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DVDclone.vbs () Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Google () Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Link.vbs () Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\oloixtuelf.Firfox.vbs () Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tmp4DF1.tmp.vbs () Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tmpD0A8.tmp.update.vbs () StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe C:\Users\Marek\AppData\Local\Google C:\Users\Marek\AppData\Roaming\tmpD0A8.tmp.update.vbs C:\Users\Marek\Downloads\Total-Commander(12316).exe Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowe skany: FRST (bez Addition) oraz USBFix z opcji Listing przy wszystkich podpiętych pendrive. Pobierz nowy USBFix (drugi link pobierania działa), bo na dysku masz jakąś archaiczną wersję oznakowaną przez "TeamXscript.org": 2014-02-15 12:27 - 2011-06-16 14:12 - 01229735 _____ (TeamXscript.org) C:\Users\Marek\Desktop\UsbFix.exe Dołącz plik fixlog.txt. Odnośnik do komentarza
kojot Opublikowano 17 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 17 Lutego 2014 Dziekuję i dołączam Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... UsbFix Listing 1 MAREK-KOMPUTER.txtPobieranie informacji ... Odnośnik do komentarza
kojot Opublikowano 19 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 19 Lutego 2014 Problem został rozwiązany poprzez program Microsoft Security Essentials 4.4.304.0 sciągnięty z www.dobreprogramy.pl wykrył mi odpowiedniego robaka i zlikwidowal z dysku oraz z pendrive : a o to jego nazwa Worm:VBS/Jenxcus!lnk należy zrobić także pełne skanowanie Dziekuję za poświecony czas i pozdrawiam. Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2014 Zgłoś Udostępnij Opublikowano 21 Lutego 2014 1. Na przyszłość: nie podejmuj kolidujących zadań, a brak odpowiedzi był dyktowany moją absencją. Co do MSSE: - Wątpię, że MSSE rozwiązał sprawę, ponieważ to skrypt FRST usuwał aktywnego robaka, nie MSEE. MSSE co najwyżej doczyścił resztki z dysku i pendrive, a pendrive to dopiero miałam się zająć. I bardzo możliwe, że dlatego MSSE w ogóle cokolwiek wykrył, bo infekcja już nie była aktywna (nic nie blokowało antywirusa). - Zbędna instalacja kolejnego antywirusa, przeciążenie systemu. To nie było potrzebne. - Nasuwa pytanie jak pobierałeś program MSSE z dobrychprogramów (program należy pobierać ze strony domowej, by się nie nadziać na "niespodzianki"), które już niestety nie takie "dobre": KLIK. W systemie wcześniej były ślady pobierania tego śmieciarskiego "asystenta": C:\Users\Marek\Downloads\Total-Commander(12316).exe 2. Co Ty pobrałeś?! Dawałam link do przyklejonego tematu, by pobrać TFC - Temp Cleaner (tam w temacie są właściwe linki). Ty zaś zamiast wejść w niebieski link poszedłeś na Google i zamontowałeś jakiegoś śmiecia Temp File Cleaner. Trzeba wyczyścić to coś. 3. Skrypt do FRST był najwyraźniej przepuszczany dwa razy, podany log nie pochodzi z właściwego usuwania. Skryptów nie wolno powtarzasz, są jednorazowego użytku (mówią o tym zasady działu). 4. Tu nie koniec zadań. W związku jednak z dodatkowy akcjami zrobionymi na własną rękę poproszę o nowy komplet logów: FRST + USBFix. Odnośnik do komentarza
Rekomendowane odpowiedzi