Kant Opublikowano 15 Stycznia 2011 Zgłoś Udostępnij Opublikowano 15 Stycznia 2011 Witam, Avast znalazł na pendrive parę plików zainfekowanych wirusem Win32:EvilEPL. Problem w tym, że infekcja "zamieniła" foldery na pliki z rozszerzeniem .exe a w niektórych były bardzo ważne dane. Teraz te pliki są w kwarantannie i czy da się odzyskać pliki z tych folderów? OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 16 Stycznia 2011 Zgłoś Udostępnij Opublikowano 16 Stycznia 2011 W logach nie widzę śladów po tej infekcji. Jest tylko sponsoringowy śmieć Foxit Toolbar (brandowany Ask Toolbar), wszczepiony do przeglądarek Internet Explorer i Firefox. Przejdź do Dodaj / Usuń programy i odinstaluj to dziadostwo. Problem w tym, że infekcja "zamieniła" foldery na pliki z rozszerzeniem .exe a w niektórych były bardzo ważne dane. Teraz te pliki są w kwarantannie i czy da się odzyskać pliki z tych folderów? Czy na pewno? Czy przypadkiem tu nie jest zastosowany trik charakterystyczny dla infekcji via LNK = utworzenie szkodliwych plików na podstawie nazw folderów, natomiast prawidłowe foldery docelowe ukryte przez atrybuty HS? Podepnij to urządzenie, a następnie wygeneruj dir wszystkich dysków za pomocą narzędzia USBFix z opcji Listing. . Odnośnik do komentarza
Kant Opublikowano 17 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2011 Rzeczywiście,foldery są, ale ukryte. Infekcja ponownie wróciła i avast ponownie ją usunął. Pendrive podpinany był do komputera z linuksem (czyli jak rozumiem odrzucamy możliwość zarażenia się od niego) i w ksero (to już prędzej). Można jakoś zabezpieczyć się przed tymi infekcjami? Flash disinfector był stosowany na samym początku. Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2011 Zgłoś Udostępnij Opublikowano 17 Stycznia 2011 Rzeczywiście,foldery są, ale ukryte. Infekcja ponownie wróciła i avast ponownie ją usunął. Pendrive podpinany był do komputera z linuksem (czyli jak rozumiem odrzucamy możliwość zarażenia się od niego) i w ksero (to już prędzej). Kant, proszę przedstaw raport, o który proszę, by widzieć dokładnie zawartość urządzenia i zweryfikować czy nie ma na nim również czegoś czego Avast nie wykrywa. Zdjęcie atrybutów SH z folderów to nie sztuka i ja czekam na raport, by precyzyjnie zadać instrukcje. A skoro infekcja wróciła, to podaj nowe logi z OTL przedstawiające bieżący wygląd systemu. Można jakoś zabezpieczyć się przed tymi infekcjami? Flash disinfector był stosowany na samym początku. 1. To zależy co to za typ infekcji, teraz już nie tylko przez autorun.inf jest zarażanie, ale także przez skróty LNK (Flash Disinfector się do tego nie nadaje). Po tym co opisujesz wygląda, że to właśnie jest ten rodzaj infekcji a nie "klasyka", bo w przypadku wariantów z LNK występuje ukrywanie folderów użytkownika i na ich podstawie tworzenie kopii symulacyjnej. Jednakże nie został podany raport z USBFix i na razie tylko opieram się na Twoim opisie. 2. Pod kątem blokowania autorun.inf polecam raczej zamiast Flash Disinfector Panda USB Vaccine, zarówno Computer Vaccination jak i USB Vaccination. To zablokuje uruchamianie autorun.inf na dobre oraz zapis pliku na urządzeniu. Nie zablokuje jednak możliwości samoczynnego przekopiowania się infekcji na urządzenie, mogą się pojawić na nim inne pliki, z tą różnicą że przynajmniej przez autorun.inf się nie wykonają automatycznie. W przeciwnym wypadku musiałbyś mieć całkowicie zablokowany zapis na urządzeniu. . Odnośnik do komentarza
Kant Opublikowano 17 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2011 Proszę: OTL.Txt Extras.Txt UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 18 Stycznia 2011 Zgłoś Udostępnij Opublikowano 18 Stycznia 2011 1. Nie widzę żadnych szkodliwych obiektów, ale nie rozprawiłeś się ze śmieciem Foxit Toolbar (to jest sponsor i nie ma nic do rzeczy w kwestii samego działania programu). 2. Katalogi ukryte na urządzeniu USB mają tylko atrybut H (ukryty) a nie HS (ukryty systemowy). To upraszcza sprawę i nie trzeba przetwarzać tego z linii komend, by pozbawić atrybuty systemowego. Wystarczy we Właściwościach folderów zdjąć atrybut ukryty. Czy jest z tym jakiś problem? Odnośnik do komentarza
Kant Opublikowano 18 Stycznia 2011 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2011 (edytowane) 1. Nie widzę żadnych szkodliwych obiektów, ale nie rozprawiłeś się ze śmieciem Foxit Toolbar (to jest sponsor i nie ma nic do rzeczy w kwestii samego działania programu). W całej tej sytuacji nie mówimy o moim sprzęcie. Wszelkie polecenia wysyłam mailowo, dlatego wstawiam logi z takim opóźnieniem i dlatego jeszcze foxit toolbar nie został zlikwidowany. Nie każda płeć piękna chce "bawić się" przy komputerze 2. Katalogi ukryte na urządzeniu USB mają tylko atrybut H (ukryty) a nie HS (ukryty systemowy). To upraszcza sprawę i nie trzeba przetwarzać tego z linii komend, by pozbawić atrybuty systemowego. Wystarczy we Właściwościach folderów zdjąć atrybut ukryty. Czy jest z tym jakiś problem? Dowiem się. Na pewno można bez problemu wchodzić do folderów i operować na plikach. Błąka mi się wspomnienie, kiedy to próbowałem z prawokliku wyłączyć atrybut i nie dało się, ale to może być równie dobrze paranoja. Póki co dzięki za dotychczasową pomoc. Jeszcze dzisiaj napiszę co ze zdjęciem atrybutów. Dobra,da się z PPM wyłączyć atrybut ukryty, wszystko działa sprawie, użyłem panda usb vaccine. Schabik. Dzięki za pomoc! Edytowane 18 Stycznia 2011 przez Kant Odnośnik do komentarza
Rekomendowane odpowiedzi