Skocz do zawartości

Zarażony pendrive


Rekomendowane odpowiedzi

Witam

Po paru latach tutaj znów wracam z infekcją pendrive.

Dziś pozwoliłem współlokatorowi sprawdzić coś na pendivie na moim komputerze, podczas gdy jego komputer niedomagał i stało się, infekcja przeniosła się i na mojego pendrive i komputer pewnie też.

U mnie Windows 7, u współlokatora Windows 10. Po otworzeniu pendrive pojawia się skrót całego pendrive i dopiero w nim pliki. Avast wykrywa (specjalnie go teraz zainstalowałem), ale nie usuwa i nie naprawia ustrojstwa.

Po wyglądzie logów wydaje mi się że sam format pendrive nie rozwiąże problemu, bo siedzi to już w systemie.

UsbFix przeniósł to coś do kwarantanny.

Dodaje logi USBFix i FRST, przez zrobieniem ich odinstalowałem Daemona jakby co.

 

Nie jestem specjalistą, ale te linijki mi się nie podobają z logów:

HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {12cbd8bf-6eb1-11e8-9e98-409f381bf1b4} - G:\AutoRun.exe
HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {1654e18e-076c-11e8-b066-409f381bf1b4} - G:\AutoRun.exe
HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {41ca3c4a-06ff-11e8-93d9-806e6f6e6963} - D:\AsInsWiz.exe
HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {689c6ec4-0ba7-11e8-a09f-409f381bf1b4} - J:\Setup.exe
HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {909e4a3f-8fc8-11e8-bf7c-409f381bf1b4} - G:\AutoRun.exe
HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {a3df6d83-0710-11e8-9d8b-e32d500c4c1c} - E:\AutoRun.exe
HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {a3df6d8a-0710-11e8-9d8b-e32d500c4c1c} - E:\AutoRun.exe
HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {c6e56bf8-c0d4-11e8-a11a-806e6f6e6963} - G:\AutoRun.exe
HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {f6b1915c-0c96-11e8-abdd-409f381bf1b4} - G:\AutoRun.exe

 

Pozdrawiam i proszę o pomoc

I przepraszam za ten syf plików który może utrudniać czytanie logów :)

UsbFix- Report-01.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

Addition.txtPobieranie informacji ...

UsbFix_Report.txtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Niezbyt jasna sytuacja, jak dla mnie.

 

1) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

  Pokaż ukrytą zawartość

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Daj z tego raport.

 

2) Nowe wersje USBFixa są niezbyt  przydatne, delikatnie mówiąc, więc ściągnij starą wersję stąd > http://www.mediafire.com/file/kqbuu17k266ey14/UsbFix_9.067.exe/file

Użyj go z opcji CLEAN, oczywiście podpiętymi pendrivami.

 

jessi

 

 

Odnośnik do komentarza
  Cytat

VirusTotal: C:\ProgramData\msbnlost.exe => (3) Błąd

Rozwiń  

Sprawdź, czy jest ten plik - nie wiem, dlaczego FRST nie mógł sprawdzić tego pliku.

 

  Cytat

dziwny plik bez nazwy pozostał.

Rozwiń  

Plik, czy folder?

 

Sprawdź, czy wszystko na pendrive masz już widoczne?

Jeśli masz wszystko, to ten folder bez nazwy usuń przez SHIFT+DEL.

 

  Cytat

K:\.Trash-1000

Rozwiń  

Jest bardzo dużo obiektów w Koszu (Trash) - czy sam je tam usunąłeś?

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

  Pokaż ukrytą zawartość

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

jessi

Odnośnik do komentarza

1. Program Data jest jako ukryty a msbnlost.exe nie ma go.

2. Folder, usunąłem go

3. Też mnie to dziwiło że jeszcze coś takiego jest - są tam dawno usunięte pliki z starych projektów.

 

Te dziwne wpisy w rejestrze z HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: to było coś związanego z infekcją czy coś innego?

Fixlog.txt

Odnośnik do komentarza
  Cytat

Te dziwne wpisy w rejestrze z HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: to było coś związanego z infekcją czy coś innego?

Rozwiń  

To klucze mapowania pamięci przenośnych (pendrive).

Nie widzę w nich niczego podejrzanego.

 

  Cytat

3. Też mnie to dziwiło że jeszcze coś takiego jest - są tam dawno usunięte pliki z starych projektów.

Rozwiń  

Jeśli widzisz ten Trash, to spróbuj go opróżnić z prawokliku.

 

jessi

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...