Wirus robiący skróty na pendrive!

[kojot]

Witam Problem przedstawia sie następująco:

 

- robione są skróty na pendrive nie na dysku lecz przypuszczam ze na dysku właśnie  "siedzi" wirus gdyż po formacie na pendrive odrazu zostaja wgrane jakieś pliki i skróty

- każdy pendrive podpiety pod kompa zostaje zainfekowany

- próbowałem wiele antywirusów i skanowałem ale bez skutku. Żaden nie może wykryć tego dziadostwa

- robłem deletion na usb. fix ale pomogło tylko na chwile, po ponownym włożeniu pendrive robi się to samo

 

Dołączam logi: Proszę o pomoc bo męczę się już z tym sporo czasu i o wyrozumiałość to mój pierwszy post na forum.

Addition.txt

FRST.txt

Gmer.txt

Extras.Txt

OTL.Txt

[picasso]

Infekcja ewidentna, w starcie uruchamia się robak skryptowy. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

(Microsoft Corporation) C:\Windows\System32\wscript.exe
(Microsoft Corporation) C:\Windows\System32\wscript.exe
HKLM\...\Run: [tmp4DF1] - C:\Users\Marek\AppData\Local\Temp\tmp4DF1.tmp.vbs [156060 2014-02-06] ()
HKU\S-1-5-21-263107825-2801771057-2943010423-1001\...\Run: [tmpD0A8] - C:\Users\Marek\AppData\Roaming\tmpD0A8.tmp.update.vbs [281787 2014-01-16] ()
HKU\S-1-5-21-263107825-2801771057-2943010423-1001\...\Run: [oloixtuelf] - C:\Users\Marek\AppData\Local\Temp\oloixtuelf.Firfox.vbs [653150 2014-02-06] ()
HKU\S-1-5-21-263107825-2801771057-2943010423-1001\...\Run: [tmp4DF1] - C:\Users\Marek\AppData\Local\Temp\tmp4DF1.tmp.vbs [156060 2014-02-06] ()
HKU\S-1-5-21-263107825-2801771057-2943010423-1001\...\Run: [DVDclone] - C:\Users\Marek\AppData\Local\Temp\DVDclone.vbs [653150 2014-02-06] ()
Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DVDclone.vbs ()
Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Google ()
Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Link.vbs ()
Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\oloixtuelf.Firfox.vbs ()
Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tmp4DF1.tmp.vbs ()
Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tmpD0A8.tmp.update.vbs ()
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Users\Marek\AppData\Local\Google
C:\Users\Marek\AppData\Roaming\tmpD0A8.tmp.update.vbs
C:\Users\Marek\Downloads\Total-Commander(12316).exe
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
CMD: netsh advfirewall reset

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Zrób nowe skany: FRST (bez Addition) oraz USBFix z opcji Listing przy wszystkich podpiętych pendrive. Pobierz nowy USBFix (drugi link pobierania działa), bo na dysku masz jakąś archaiczną wersję oznakowaną przez "TeamXscript.org":

 

2014-02-15 12:27 - 2011-06-16 14:12 - 01229735 _____ (TeamXscript.org) C:\Users\Marek\Desktop\UsbFix.exe

 

Dołącz plik fixlog.txt.

[kojot]

Dziekuję i dołączam

Fixlog.txt

FRST.txt

UsbFix Listing 1 MAREK-KOMPUTER.txt

[kojot]

Problem został rozwiązany poprzez program Microsoft Security Essentials 4.4.304.0 sciągnięty z www.dobreprogramy.pl

 

wykrył mi odpowiedniego robaka i zlikwidowal z dysku oraz z pendrive  : a o to jego nazwa

Worm:VBS/Jenxcus!lnk

należy zrobić także pełne skanowanie

 

Dziekuję za poświecony czas i pozdrawiam.

[picasso]

1. Na przyszłość: nie podejmuj kolidujących zadań, a brak odpowiedzi był dyktowany moją absencją. Co do MSSE:

- Wątpię, że MSSE rozwiązał sprawę, ponieważ to skrypt FRST usuwał aktywnego robaka, nie MSEE. MSSE co najwyżej doczyścił resztki z dysku i pendrive, a pendrive to dopiero miałam się zająć. I bardzo możliwe, że dlatego MSSE w ogóle cokolwiek wykrył, bo infekcja już nie była aktywna (nic nie blokowało antywirusa).

- Zbędna instalacja kolejnego antywirusa, przeciążenie systemu. To nie było potrzebne.

- Nasuwa pytanie jak pobierałeś program MSSE z dobrychprogramów (program należy pobierać ze strony domowej, by się nie nadziać na "niespodzianki"), które już niestety nie takie "dobre": KLIK. W systemie wcześniej były ślady pobierania tego śmieciarskiego "asystenta":

 

C:\Users\Marek\Downloads\Total-Commander(12316).exe

 

2. Co Ty pobrałeś?! Dawałam link do przyklejonego tematu, by pobrać TFC - Temp Cleaner (tam w temacie są właściwe linki). Ty zaś zamiast wejść w niebieski link poszedłeś na Google i zamontowałeś jakiegoś śmiecia Temp File Cleaner. Trzeba wyczyścić to coś.

 

3. Skrypt do FRST był najwyraźniej przepuszczany dwa razy, podany log nie pochodzi z właściwego usuwania. Skryptów nie wolno powtarzasz, są jednorazowego użytku (mówią o tym zasady działu).

 

4. Tu nie koniec zadań. W związku jednak z dodatkowy akcjami zrobionymi na własną rękę poproszę o nowy komplet logów: FRST + USBFix.