PhatDerick Opublikowano 8 Grudnia 2010 Zgłoś Udostępnij Opublikowano 8 Grudnia 2010 Witam. Mam jakąś infekcję z dysku kolegi. Nieaktualizowana z powodu braku neta Avira blokuje ciągle autorun na wszystkich partycjach, wykrywa ciągle zainfekowane pliki exe. Załączam wymagane logi. I taka prośba, czy mógłbym ewentualny skrypt dostać również w załączniku do pobrania? Internet obsługuje przez telefon i nie bardzo mam jak skopiować tekst z ramki... Z góry dzięki. OTL.Txt Extras.Txt GMER.TXT Odnośnik do komentarza
picasso Opublikowano 8 Grudnia 2010 Zgłoś Udostępnij Opublikowano 8 Grudnia 2010 Nie widzę żadnych znaków infekcji. OTL nie potrafi pobrać informacji o dyskach (możliwe, że blokuje dostęp Avira): O32 - Unable to obtain root file information for disk D:\O32 - Unable to obtain root file information for disk E:\O32 - Unable to obtain root file information for disk F:\O32 - Unable to obtain root file information for disk G:\ Zastartuj do Trybu awaryjnego, uruchom OTL i wszystkie pozycje ustaw na Żadne / Brak, zaś w sekcji Własne opcje skanowania / skrypt wpisz: C:\*.* D:\*.* E:\*.* F:\*.* G:\*.* Klik w Skanuj. Pokaż wynikowy log. I taka prośba, czy mógłbym ewentualny skrypt dostać również w załączniku do pobrania? Internet obsługuje przez telefon i nie bardzo mam jak skopiować tekst z ramki... Akurat to co podaję możesz ręcznie wpisać z poziomu zdefektowanego systemu. To jest model: Litera Dysku:\*.* Nieaktualizowana z powodu braku neta Avira blokuje ciągle autorun na wszystkich partycjach, wykrywa ciągle zainfekowane pliki exe. Pokaż szczegółowy raport z Avira. . Odnośnik do komentarza
PhatDerick Opublikowano 8 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 8 Grudnia 2010 No tak, to akurat mogłem ręcznie wpisać, spodziewałem się obszerniejszego skryptu usuwania załączam logi. OTL.Txt quarantaene.txt Odnośnik do komentarza
picasso Opublikowano 8 Grudnia 2010 Zgłoś Udostępnij Opublikowano 8 Grudnia 2010 Hmmm, czy tu na pewno jest problem infekcji? 1. Pliki autorun.inf owszem są, ale nie są ukryte i ich rozmiar jest zerowy (i nie widzę w listowaniu plików z root dysków żadnych innych luźnych plików nasuwających skojarzenie z infekcją): [2010-12-08 20:34:02 | 000,000,000 | ---- | M] () -- D:\autorun.inf[2010-12-08 20:34:02 | 000,000,000 | ---- | M] () -- E:\autorun.inf[2010-12-08 20:34:02 | 000,000,000 | ---- | M] () -- F:\autorun.inf[2010-12-08 19:43:04 | 000,000,000 | ---- | M] () -- G:\autorun.inf Z poziomu Trybu awaryjnego uruchom OTL i w sekcji Własne opcje skanowania / skrypt wpisz: :Files autorun.inf /alldrives Klik w Wykonaj skrypt. Nie ma tu planowanego żadnego resetu. Po tej akcji zaś skasuj przez SHIFT+DEL z dysku katalog C:\_OTL z kopiami zapasowymi. 2. Wyniki z Avira są dla mnie niejasne. On to widzi w instalkach. Niektóre odczyty wręcz sugerują fałszywe alarmy na typie kompresji wykonywalnego. Nasuwa się pytanie o ten brak netu i rzeczywiste datowanie plików definicji Avira. Jak stare to jest na tym systemie? Tu należy sprawdzić jak się zachowuje Avira z najnowszymi plikami definicji. . Odnośnik do komentarza
PhatDerick Opublikowano 8 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 8 Grudnia 2010 Avire pobrałem jakieś 1.5 miesiąca temu. Od tamtej pory były obecne te pliki które są teraz rzekomo zainfekowane. Dopiero od wczoraj gdy podłączyłem ten dysk żeby zgrać filmy zaczęły się dziać takie cyrki. Nie jestem pewien czy to tylko w instalkach, wywala mi np AIMP'a, którego dziś przeinstalowałem a po chwili znów się wysypał. Niestety nie mam jak zaktualizować bazy :/ chyba że pobranie świeżej instalki załatwi sprawę... Odnośnik do komentarza
picasso Opublikowano 8 Grudnia 2010 Zgłoś Udostępnij Opublikowano 8 Grudnia 2010 Od tamtej pory były obecne te pliki które są teraz rzekomo zainfekowane. A czy te pliki to nie jest jakaś "odwrotność", tzn. pseudo blokada wprowadzona ręcznie w nadzieji, że utworzenie takiego obiektu zablokuje zapisywanie się na dysku prawdziwych infekcyjnych plików autorun.inf? Chodzi mi o to, że Avira szaleje na wszystkim co się nazywa "autorun.inf", niezależnie od pochodzenia. To samo będzie na katalogach utworzonych przez Flash Disinfector / USBFix, co jak wiemy jest całkowicie nieszkodliwe .... Nie jestem pewien czy to tylko w instalkach, wywala mi np AIMP'a, którego dziś przeinstalowałem a po chwili znów się wysypał. To się zgadza, w skanerze Avira jest notowany główny exek odtwarzacza. Umownie określiłam sprawę jako "instalki". Jeśli Avira likwiduje główny plik, to jasne że AIMP wyzionie ducha. Niestety nie mam jak zaktualizować bazy :/ chyba że pobranie świeżej instalki załatwi sprawę... Jak rozumiem masz pod ręką jakąś metodę przenoszenia plików. Definicje możesz pobrać bezpośrednio stąd: KLIK. . Odnośnik do komentarza
PhatDerick Opublikowano 9 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2010 A czy te pliki to nie jest jakaś "odwrotność", tzn. pseudo blokada wprowadzona ręcznie w nadzieji, że utworzenie takiego obiektu zablokuje zapisywanie się na dysku prawdziwych infekcyjnych plików autorun.inf? Chodzi mi o to, że Avira szaleje na wszystkim co się nazywa "autorun.inf", niezależnie od pochodzenia. To samo będzie na katalogach utworzonych przez Flash Disinfector / USBFix, co jak wiemy jest całkowicie nieszkodliwe .... Tutaj bardziej miałem na myśli te exeki że już były obecne. Co do autorun, mogę sobie je normalnie usunąć przez PPM->Usuń, nie zgłasza żadnej odmowy dostępu czy innych problemów. Gdyby to było utworzone przez szczepionkę, tak prosto by chyba nie było. A one powracają zaraz po usunięciu w tej samej postaci. Dzięki za link do definicji, dziś postaram się w szkole pobrać. Przeskanuję te pliki w kwarantannie jeszcze raz i dam znać. Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2010 Zgłoś Udostępnij Opublikowano 9 Grudnia 2010 Gdyby to było utworzone przez szczepionkę, tak prosto by chyba nie było. A one powracają zaraz po usunięciu w tej samej postaci. Nie chodziło mi akurat o szczepionkę, tylko o ręczne utworzenie (były w obiegu nieprawidłowe tipy, że wystarczy ręcznie sobie utworzyć taki folder / plik, by zablokować powstawanie plików infekcji). Ale skoro one wracają po usuwaniu, to jest tu coś nie w porządku. Możesz wykonać śledzenie co tworzy te pliki via Process Monitor. Po uruchomieniu programu zatrzymaj nagrywanie przez przycisk lupki (ma być przekreślona). Z menu Filter > wybierz Filter i w oknie ustaw warunek dla przykładowego pliku z kolekcji Path is E:\autorun.inf than include. Rozpocznij nagrywanie odkreślając przycisk lupki. Skasuj E:\autorun.inf i czekaj aż się pojawi ponownie. Całość nagrywania tu zaprezentuj. Odnośnik do komentarza
PhatDerick Opublikowano 9 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2010 No to się chyba zaczęło... Padła Avira, nie wiem, może nie tak miała wyglądać ta aktualizacja definicji. Teraz te autoruny chyba się wykonały. Na partycji C są jakieś pliki zapewne należące do infekcji, a na wszystkich jakieś skróty. Załączam nowe logi z OTL i GMER. A tutaj log z PM: http://www4.zippyshare.com/v/7542573/file.html Tym razem nie było tak prosto z usunięciem tego autoruna, ponieważ przyssał się do panelu sterowania karty dźwiękowej. Dopiero po wyłączeniu tegoż panelu autorun dał się usunąć, ale jak widać po odtworzeniu przyssał się do panelu grafiki... OTL.Txt Extras.Txt Gmer.txt Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2010 Zgłoś Udostępnij Opublikowano 10 Grudnia 2010 Rzeczywiście, coś poszło nie tak z Avirą. autorun.inf zostało wykonane i teraz te pliki nie są już zerobajtowe i mają ukryte atrybuty.... Pokaż bardziej szczegółowy dir z wszystkich partycji przy udziale USBFix z opcji Listing. Odnośnik do komentarza
PhatDerick Opublikowano 10 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2010 Przed wykonaniem logu podłączyłem również pena i telefon które były podłączane w ostatnim czasie do komputera. UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 11 Grudnia 2010 Zgłoś Udostępnij Opublikowano 11 Grudnia 2010 Na partycji C są jakieś pliki zapewne należące do infekcji, a na wszystkich jakieś skróty. Jakie skróty? Tego właśnie tu nie widzę. Nie ma w listingu USBFix plików LNK (czyli skrótów), jest tylko jeden taki plik (D:\Packs.lnk). Aczkolwiek na dysku I są znaki pośrednie, że coś takiego mogło tu być, ponieważ są trzy obiekty ukryte (dwa foldery i instalka CamStudio), a takie zjawisko zachodzi, gdy na podstawie istniejących obiektów infekcja dorabia pliki LNK o nazwach tych obiektów a obiekty owe ukrywa. [19/07/2010 - 19:05:16 | A | 1280] D:\Packs.lnk[17/07/2009 - 10:32:54 | AHD ] I:\Pliki wideo[18/06/2010 - 18:44:12 | AHD ] I:\Playlists[08/10/2009 - 18:08:12 | AH | 1364995] I:\CamStudio20.exe Jest tu też grupa sugerująca używanie Panda USB Vaccine (Pandę widzę w zainstalowanych programach). To znaczy plik autorun.inf obliczony na 16 bajtów (zgadza się rozmiar, ale nie zgadza się za to zestaw atrybutów = USBFix nie powinien umieć obliczyć danych pliku Pandy) plus dwa obiekty o charakterystycznej zmianie nazwy (gdy Panda się nadzieje na inny obiekt o nazwie autorun.inf, zmienia jego nazwę w taki właśnie sposób, by przygotować miejsce na swój plik): [10/12/2010 - 15:14:44 | H | 16] I:\AUTORUN.INF[21/11/2010 - 18:39:20 | RASH | 331] I:\AUTORUN_.INF[09/12/2010 - 20:52:44 | A | 0] K:\AUTORUN_.INF Jeśli ten plik 16-bajtowy jest rzeczywiście od Pandy, a folder AUTORUN_.INF to pochodna kombinacji Flash Disinfector = OTL padnie na kasacji tych obiektów. 1. Nadal masz problem z wklejaniem skryptów? Jeśli tak, pobierz plik FIX.TXT: FIX.TXT Uruchom OTL i klik w Wykonaj skrypt, a na pytanie o plik wskaż mu FIX.TXT. 2. Po restarcie systemu pokaż nowe logi z OTL oraz listing z USBFix. . Odnośnik do komentarza
PhatDerick Opublikowano 11 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 11 Grudnia 2010 Dziękuję za skrypt w załączniku. Jakie skróty? A no te pliki .pif które zawarłaś w skrypcie. Nie doczytałem opisu, a wyglądały jak skróty (strzałka). Co do D:\Packs.lnk to jest utworzony przeze mnie skrót, tak samo jak te dwa foldery i instalka na I:\ tu jest wszystko ok. Załączam logi. OTL.Txt 12112010_152137.txt Extras.Txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 11 Grudnia 2010 Zgłoś Udostępnij Opublikowano 11 Grudnia 2010 (...) tak samo jak te dwa foldery i instalka na I:\ tu jest wszystko ok. Wiem, że są utworzone przez Ciebie, nie o to mi tu chodzi. Wszystkie trzy mają atrybut H = ukryty. Taki atrybut przyznaje infekcja, która dorabia skróty LNK (ukrywa prawidłowy obiekt na podstawie którego robi skrót LNK o tej samej nazwie). Jeśli jednak to Ty sam ukryłeś te trzy, to w porządku. ********************************* OTL poległ na dwóch plikach autorun.inf (czy to na pewno nie są twory od Panda?): File move failed. I:\AUTORUN.INF scheduled to be moved on reboot.File move failed. K:\autorun.inf scheduled to be moved on reboot. File\Folder I:\AUTORUN.INF not found!File\Folder K:\autorun.inf not found! Reszta została usunięta, tylko po restarcie wszystko wróciło: [11/12/2010 - 15:23:43 | RSH | 233] C:\autorun.inf[11/12/2010 - 15:23:43 | RSH | 103140] C:\csig.pif[11/12/2010 - 15:23:43 | RSH | 364] D:\autorun.inf[11/12/2010 - 15:23:43 | RSH | 103140] D:\syivxa.exe[11/12/2010 - 15:23:43 | RSH | 356] E:\autorun.inf[11/12/2010 - 15:23:43 | RSH | 103140] E:\mtyao.exe[11/12/2010 - 15:23:43 | RSH | 243] F:\autorun.inf[11/12/2010 - 15:23:43 | RSH | 103140] F:\gnayf.pif[11/12/2010 - 15:23:43 | RSH | 307] G:\autorun.inf[11/12/2010 - 15:23:43 | RSH | 103140] G:\gfvndk.exe[10/12/2010 - 15:14:44 | H | 16] I:\AUTORUN.INF[09/12/2010 - 20:52:44 | H | 0] K:\autorun.inf Tu musi być coś więcej czego nie widać. Avira padła, to skorzystaj z innego skanera: Dr. Web CureIt. Przeskanuj nim wszystkie dyski. . Odnośnik do komentarza
PhatDerick Opublikowano 11 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 11 Grudnia 2010 OTL poległ na dwóch plikachautorun.inf (czy to na pewno nie są twory od Panda?) Owszem, Panda USB Vaccine jest w użyciu, tylko już sam nie wiem który autorun.inf jest tworzony przez pandę, a który nie... Po skanie Dr. Webem zgłosze się z wynikami. Odnośnik do komentarza
PhatDerick Opublikowano 12 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2010 Po prawie całonocnym skanie chyba się udało pozbyć tego dziadostwa i wygląda na to że jest ok... Załączam logi z Dr.Web'a oraz nowe logi z OTL i UsbFix (dysk wymienny K został sformatowany więc jego już nie podłączam) DrWeb.txt OTL.Txt Extras.Txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2010 Zgłoś Udostępnij Opublikowano 13 Grudnia 2010 Staje się zrozumiałe dlaczego to wracało i znokautowało Avirę = infekcja Sality (Dr. Web opisuje ją nazwą "Win32.Sector.22"). Z tego co mówisz i porównując wyniki z Dr. Web CureIt wygląda, iż infekcja nie miała dużego rozmachu (choć już zaczęła pustoszyć programy) i problem niby zażegnany. 1. W OTL wykorzystaj funkcję Sprzątanie. 2. Na wszelki wypadek ponów jeszcze raz skanowanie, by mieć 100% pewności, że nic nie jest już aktywne. Programy, które ewentualnie padły po leczeniu, powinny być przeinstalowane (o ile takowe są). 3. Do aktualizacji: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java 6 Update 5"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish"Mozilla Firefox (3.5.1)" = Mozilla Firefox (3.5.1)"Mozilla Firefox (3.6.8)" = Mozilla Firefox (3.6.8) Szczegóły w tym temacie: INSTRUKCJE. 4. Na koniec wykonaj czyszczenie folderów Przywracania systemu (KLIK). . Odnośnik do komentarza
PhatDerick Opublikowano 13 Grudnia 2010 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2010 (edytowane) Czyli wygląda na to że znów miałem więcej szczęścia niż rozumu Ponowne skanowanie nic nie wykryło. OTL posprzątane, kwarantanna Dr.Web'a usunięta, przywracanie systemu wyczyszczone. Aktualizacje wykonam w najbliższym czasie. Dziękuję poraz kolejny za pomoc, pozdrawiam! Edytowane 13 Grudnia 2010 przez picasso Temat wygląda na rozwiązany, więc zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi