Antonek Opublikowano 29 Lipca 2010 Zgłoś Udostępnij Opublikowano 29 Lipca 2010 Witam, da dysku c, d i pendrajvie [g] mam taki katalog c:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exe skany w zalaczeniu dodatkowo screen bo zmienilem nazwe na o mysallem ze tak usune i teraz tego nie moge wywalic UsbFix.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 29 Lipca 2010 Zgłoś Udostępnij Opublikowano 29 Lipca 2010 Zważ, że masz tu na dyskach twardych foldery (a nie pliki!) autorun.inf, za to na urządzeniu USB jest plik autorun.inf: O32 - AutoRun File - [2010-07-28 22:38:47 | 000,000,000 | RHSD | M] - C:\autorun.inf -- [ NTFS ]O32 - AutoRun File - [2010-07-29 19:41:43 | 000,000,000 | RHSD | M] - D:\autorun.inf -- [ NTFS ]O32 - AutoRun File - [2010-07-29 20:43:48 | 000,000,276 | RHS- | M] () - G:\autorun.inf -- [ FAT32 ] Folderów autorun.inf nie możesz usunąć, bo to zabezpieczenie .... Foldery te utworzył Flash Disinfector i widać to po formule błędu jaki plik stawia tam opór. To przecież ta blokada ze sztuczką w nazwie, by nie tworzyły się pliki autorun.inf szkodników. Folder ten bardzo łatwo usunąć z poziomu linii komend przez polecenie obchodzenia weryfikacji nazw. Ale to nie jest tu ani pożądane, ani istotne. Czy to folder SYSTEM przemianowałeś na "o"? Bo nie rozumiem jaka jest relacja do błędu od Flash Disinfectora (to nie ma żadnego związku).... Wg USBFix: [29/07/2010 - 19:41:43 | RASHD ] D:\autorun.inf[28/07/2010 - 22:38:47 | D ] D:\o W związku z tym, że nie mam pewności który to folder jest tym "o" (folder nie ma także żadnych atrybutów SH jak pozostałe SYSTEM), na razie go opuszczam. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files SYSTEM /alldrives RECYCLER /alldrives G:\autorun.inf :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWSY\System32\drivers\AWRTRD.sys -- (Ad-Watch Registry Filter) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWSY\System32\drivers\AWRTPD.sys -- (Ad-Watch Real-Time Scanner) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWSY\System32\drivers\NSDriver.sys -- (Ad-Watch Connect Filter) O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\RunOnce: [] File not found O16 - DPF: {00000161-0000-0010-8000-00AA00389B71} "http://codecs.microsoft.com/codecs/i386/msaudio.cab" (Reg Error: Key error.) O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) :Commands [emptyflash] [emptytemp] Uruchom proces przez opcję Wykonaj skrypt. Będzie restart a po nim otrzymasz log z usuwania. 2. Ten szkodnik powinien mieć dodatkowy zapis w rejestrze w kluczu HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components, którego to OTL domyślnie nie listuje. Przeprowadzisz dostosowany skan na tę okoliczność. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej frazę: system32.exe /RS. Uruchom przez Skanuj (a nie Wykonaj skrypt!). Wynikowy log prezentujesz razem z tym z punktu 1. . Odnośnik do komentarza
Antonek Opublikowano 2 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 2 Sierpnia 2010 jak zwykle dziekuje za zainteresowanie, skanuje juz i za pare minut wrzucam skany ponizej info mam nadzieje wyjasniające co to za katalogi: katalog autorun.inf to katalog o po przemianowaniu - zadnego nie moge usunąć pelna nazwa pliku - kazdego z ww. katalogów: lpt3.This folder was created by Flash_Disinfector Odnośnik do komentarza
picasso Opublikowano 2 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2010 ponizej info mam nadzieje wyjasniające co to za katalogi: Ale ja to wiem, dokładnie znam zawartość tych folderów (tylko "o" nie było jasne którym jest) i cały czas do Ciebie mówię. To katalogi ochronne zabezpieczające przed infekcją z autorun.inf, utworzone przez Flash Disinfector, a narzędzie to stosowałeś, bo widzę je w logu. Nie możesz ich usunąć, bo jest sztuczka w nazwie pliku, użycie nazwy zastrzeżonej, rezerwowanej dla urządzeń. A dlatego, by infekcja nie usunęła tych katalogów. Jeśli chcesz się ich pozbyć, podam Ci sposób, ale dopiero po przetworzeniu części związanej z infekcją. Usunięcie katalogu autorun.inf będzie oznaczać automatyczne zdjęcie ochrony. . Odnośnik do komentarza
Antonek Opublikowano 2 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 2 Sierpnia 2010 oki, to zrobmy tak jesli pozwolisz, na chwile obecną chetnie pozbede sie tych katalogów, na dniach pewnie zrobie znowu blokade w ten sam sposob co poprzednio ale zalezy mi na usunieciu katalogu "o" a pewnie bez usuniecia katalogów autorun.inf nic nie zrobie... popraw prosze jesli sie myle ponizej logi z otl-a spprzed sekundy z uwzglednieniem system32.exe /RS - nie wiem czy mialo znaczenie ale nie postawilem "kropki" po /RS edit - przez ten parametr nie przechodzi skanowania, jutro postaram sie ponownie sprobowac ale po 3 zwisacg otl-a mysle ze bedzie to samo - masz jakis pomysl...?? Odnośnik do komentarza
picasso Opublikowano 2 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2010 edit - przez ten parametr nie przechodzi skanowania, jutro postaram sie ponownie sprobowac ale po 3 zwisacg otl-a mysle ze bedzie to samo - masz jakis pomysl...?? Masz mi pokazać log z usuwania OTL powstały w pukcie 1. Natomiast jeśli się OTL zawiesza przy robieniu loga z parametrem, to zrób go normalnie nie wklejając nic, a informację, którą chcę uzyskać wyciągniesz w inny sposób: Start > Uruchom > regedit i z prawokliku wyeksportuj klucz: HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components Wklej zawartość pliku REG do posta. na dniach pewnie zrobie znowu blokade w ten sam sposob co poprzednio ale zalezy mi na usunieciu katalogu "o" a pewnie bez usuniecia katalogów autorun.inf nic nie zrobie... popraw prosze jesli sie myle Jak to? Katalogi autorun.inf od Flash Disinfector nie mają tu związku z możliwością eliminacji infekcji oraz skasowania kopii katalogu autorun.inf występującego teraz pod nazwą "o". Start > Uruchom > cmd i wpisz polecenie zmiany dysku na dysk na którym jest katalog: D: Następnie polecenie rekursywnego usuwania katalogu z ominięciem weryfikacji nazwy: RD /S /Q \\?\D:\o Patrz uważnie gdzie są spacje: RD/S/Q\\?\D:\o . Odnośnik do komentarza
Antonek Opublikowano 6 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2010 hello, Ponownie dziekuje za zainteresowanie i wklejam wszystko o czym pisalas wyżej, w załaczeniu: -log z otl-a powstaly po usuwaniu - 08022010_214639.txt -klucz HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components - installed components.txt Katalog D:\o usuniety, dziekuje pieknie! Pozdrawiam 08022010_214639.txt installed components.txt Odnośnik do komentarza
picasso Opublikowano 6 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2010 1. W kluczu Active Setup nie ma tego zapisu, czyli w jakiś sposób musiał zostać usunięty, ponieważ ten wariant infekcji na pewno tworzy tam swój klucz (ThreatExpert). 2. Oceniając log z usuwania OTL: nasuwa się pytanie czy na pewno jest to dziewicze uruchomienie skryptu, a nie repeta? Otóż praktycznie wszystko (z wyjątkiem katalogów RECYCLER, które zawsze będą na dysku, po usunięciu są odtwarzane) ma status "not found". Czyli skrypt nic nie zrobił w zasadzie. Inna możliwość: to co planowałam do usuwania sam usunąłeś ręcznie przed puszczeniem skryptu. Nie zostaje teraz nic innego niż wytworzenie nowego zestawu logów do weryfikacji: OTL + USBFix. . Odnośnik do komentarza
Antonek Opublikowano 6 Sierpnia 2010 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2010 jest tak jak mowisz, to "repeta" bo po "dziewiczym" restarcie po uruchomieniu skrypta w otl-u nie bylo pradu przez jakis czas na calym osiedlu i zrobilem "kolejny raz" ten sam skrypt i wynikowy log jest w powyższym poscie, stad pewnie przy plikach/katalogach które mialy byc usuniete jest status not found, bo zostaly usuniete za "pierwszym razem" ponizej logi z olt i usbfix: UsbFix.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 6 Sierpnia 2010 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2010 (edytowane) Tak, to musi być przyczyna "not found". Podanego skryptu nie można przetwarzać więcej niż raz, nawet jeśli Ci się wydaje że nic się nie wykonało. W takiej sytuacji zamiast ponawiania tworzysz nowe logi i pokazujesz do oceny czy nastąpiła zmiana sytuacji. W podanym OTL oraz USBFix nie widzę nic niepokojącego. Można wykonać finałowe wyczyszczenie resztek i inne rzeczy. 1. Mini poprawka do OTL, w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] File not found O9 - Extra Button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe File not found O9 - Extra 'Tools' menuitem : &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe File not found :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\Shareaza\Shareaza.exe"=- "C:\Program Files\iTunes\iTunes.exe"=- Uruchom przez Wykonaj skrypt. Po ukończeniu tego mini zadania w OTL wywołaj funkcję Sprzątanie. USBFix możesz już odinstalować. 2. Usuń wszystkie Java za pomocą JavaRa i wykonaj aktualizację do najnowszej wersji: INSTRUKCJE. W miarę możliwości zaktualizuj także inne programy .... 3. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 4. Obowiązkowa aktualizacja: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) System dziurawy jak sito, poza tym MS odciął i tak już XP SP2 i w dół od aktualizacji. Musi być SP3, by je otrzymywać. Doprowadź swój system do stanu Service Pack 3 + Internet Explorer 8: INSTRUKCJE. Aktualizacja IE niezależnie od faktu, czy w ogóle uruchamiasz tę przeglądarkę. Jest to komponent zintegrowany z systemem. 5. Miej na uwadze, że zabezpieczenie przed infekcjami z przenośnych ma teraz nowy wymiar. Jest nowy typ infekcji z USB, która nie korzysta z metody autorun.inf tylko przez skróty typu LNK, co oznacza, że samo wyświetlenie zawartości USB powoduje infekcję. Flash Disinfector (i wszystkie inne narzędzia immunizujące przed wykonaniem szkodliwego autorun.inf) jest pod tym kątem całkowicie bezużyteczny. Ochronę przed infekcją poprzez skróty załatwia krytyczna aktualizacja od Microsoftu KB2286198. Stosowne adnotacje są także w zestawie narzędzi zabezpieczających: KLIK. . Edytowane 9 Listopada 2011 przez picasso 7.09.2010 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi