robson Opublikowano 5 Stycznia 2012 Zgłoś Udostępnij Opublikowano 5 Stycznia 2012 Witam AVG Anti-Virus Free Edition 2012 wykrył na dysku zewnętrznym znajomej szkodliwy plik autorun.inf oraz kilka szkodliwych plików w folderze przywracania systemu na tym samym dysku. Podczas skanów dysk ten był widoczny jako M. W związku z powyższą sytuacją wykonanem na 2 komputerach (stacjonarny i laptop) logi z OTL oraz log z programu USBFix z opcji listing, log z gmer z komputera stacjonarnego dołącze jak tylko program skończy działanie. Do posta dołączam też raport z avg. Pozdrawiam // Edit dodałem raport z gmer Extras_stacjonarny.Txt OTL_stacjonarny.Txt skan avg_stacjonarny.txt UsbFix_stacjonarny.txt Extras_laptop.txt OTL_laptop.Txt UsbFix_laptop.txt gmer_stacjonarny.txt Odnośnik do komentarza
picasso Opublikowano 6 Stycznia 2012 Zgłoś Udostępnij Opublikowano 6 Stycznia 2012 AVG Anti-Virus Free Edition 2012 wykrył na dysku zewnętrznym znajomej szkodliwy plik autorun.inf oraz kilka szkodliwych plików w folderze przywracania systemu na tym samym dysku. Podczas skanów dysk ten był widoczny jako M. "Znaleziono plik inf z odniesieniem do zainfekowanego pliku Setup.exe" "m:\autorun.inf" "Obiekt potencjalnie niebezpieczny" "2012-01-02, 10:41:19" "plik" "C:\WINDOWS\explorer.exe" W logu z USBFix widzę na urządzeniu mapowanym pod literą M ukryty plik autorun.inf oraz ukryty katalog o nazwie autorun: [01/09/2010 - 01:26:34 | AH | 124] M:\autorun.inf[21/04/2011 - 21:19:35 | HD ] M:\autorun Nasuwa się, że ów plik autorun.inf to ten sam o którym prawi AVG, aczkolwiek nie jestem pewna czy ten plik jest szkodliwy: AVG mówi iż ma on odnośnik do setup.exe, a to tworzy niejasność faktycznej roli tego INF. Ten drugi jest niewiadomy do czego ma służyć i co właściwie zawiera. Otwórz plik autorun.inf w Notatniku i przeklej jego zawartość, plus sprawdź co jest w katalogu autorun. W logach systemowych obu komputerów nie widać nic niepokojącego, mam tylko drobne uwagi: Laptop 1. Z obszaru kosmetyki zbędnych pasków / sponsorów: do deinstalacji WinAmp Toolbar oraz kasacja poniższego pliku. [2010/09/28 21:39:14 | 000,002,333 | ---- | M] () -- C:\Users\Jola\AppData\Roaming\Mozilla\Firefox\Profiles\efj8w1d6.default\searchplugins\askcom.xml Na wszelki wypadek popatrz co jeszcze powie skan AD-Remover. 2. Oprogramowanie widzę aktualizowałeś, lecz Adobe Flash Player dla Internet Explorer wymaga aktualizacji (wersja 10 notowana) + Lisek. 3. Możesz też skorygować błąd WMI numer 10 stosując się do zaleceń z artykułu Microsoftu: KB950375. Stacjonarny Pokasuj foldery pozostawione po Avast. Zaktualizuj Liska. . Odnośnik do komentarza
robson Opublikowano 7 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 7 Stycznia 2012 Witam Dysk zewnętrzny Poniżej wklejam zawartość pliku autorun.inf [autorun] icon=autorun\canvio3.ico label=Toshiba Portable Hard Drive open=Setup.exe action=Setup Your Toshiba Hard Drive zrzut ekranu prezentujący zawartość folderu autorun http://imageshack.us...56/autorun.png/ zawartość pliku pref.xml <?xml version="1.0"?><pref><autoUpdate>1</autoUpdate><local><sw name="NTI_BackupNow_EZ">2.0.2.8</sw><sw name="installer">1.0.2</sw></local></pref> dodatkowo wykonałem skan pliku Setup.exe na virustotal. Laptop 1. plik usunięty,. raport w załączniku. 2. zrobione 3. Skrypt zwraca błąd odmowy dostępu na linii 17. Stacjonarny folderów po avast nie mogę znaleźć, fx zaktualizowany. Pozdrawiam Ad-Report-SCAN2.txt Odnośnik do komentarza
picasso Opublikowano 7 Stycznia 2012 Zgłoś Udostępnij Opublikowano 7 Stycznia 2012 Poniżej wklejam zawartość pliku autorun.inf Tak jak podejrzewałam, to nie jest infekcja. Ten plik jest poprawny (plik Toshiba), AVG błędnie go klasyfikuje. Nie pozostaje nic innego jak zignorować to co mówi antywirus. 1. Stacjonarny: folderów po avast nie mogę znaleźć W ostatnim OTL widziałam to: [2011-12-06 17:00:04 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software[2011-12-06 17:00:04 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software 2. Laptop: - AD-Remover dopatrzył się drobnostki po Ask Toolbar. Wybierz w nim opcję Clean. Gdy ukończy, możesz odinstalować program. - AD-Remover widzi także resztki po WinAmp Toolbar w Firefox, czyli wyszukiwarkę oraz zmodyfikowany keyword.URL. W Firefox wejdź do zarządzania wyszukiwarkami, ustaw przez siebie wybraną na domyślną, po tym skasuj "Winamp Search". Następnie w pasku adresów wklep about:config, wyszukaj wartość keyword.URL i z prawokliku zresetuj do poziomu domyślnego. 3. Skrypt zwraca błąd odmowy dostępu na linii 17. Ale czy startowałeś go z poziomu cmd uruchomionego jako Administrator? . Odnośnik do komentarza
robson Opublikowano 7 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 7 Stycznia 2012 Witam 1. Stacjonarny - zrobione. 2. Laptop: - zrobione - w zarządzaniu wyszukiwarkami nie widzę "Winamp Search", keyword.URL - zresetowane. Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2012 Zgłoś Udostępnij Opublikowano 8 Stycznia 2012 - w zarządzaniu wyszukiwarkami nie widzę "Winamp Search", keyword.URL - zresetowane. Przy zamkniętym Firefox uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultenginename: "Winamp Search" FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" FF - prefs.js..browser.search.selectedEngine: "Winamp Search" Klik w Wykonaj skrypt. Po tej operacji możesz użyć Sprzątanie w OTL. . Odnośnik do komentarza
robson Opublikowano 8 Stycznia 2012 Autor Zgłoś Udostępnij Opublikowano 8 Stycznia 2012 Witam Skrypt wykonany, według mnie temat można zamknąć o ile nie masz dodatkowych uwag. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi