Skocz do zawartości


Zdjęcie

Logi - Infekcje z pendriva


  • Zamknięty Temat jest zamknięty
13 odpowiedzi w tym temacie

#1 aras16

aras16

    Początkujący

  • 66 postów

Napisano 23 06 2011 - 20:37

Witam.
Załapałem jakieś infekcje z pendriva. Antywirus wyszukuje mi plik herss.exe, jednak po usunięciu tego pliku, plik pojawia się znowu. Ponadto nie mogę włączyć opcji "Pokaż ukryte pliki i foldery".
Proszę o pomoc

  • 0

#2 Gość_cabana_*

Gość_cabana_*

Napisano 23 06 2011 - 21:18

Przeskanuj system za pomocą KIS 2011 z najnowszą bazą, następnie pendrive, jak nie pomoże daj log w dziale "Bezpieczeństwo"

  • 0

#3 ordynat

ordynat

    Zaawansowany użytkownik

  • 804 postów

Napisano 24 06 2011 - 09:12

Można też inaczej:
1) Użyj USBFix z opcji "DELETION" >/USBFix-t42061/.
Daj z tego usuwania log.
2) Daj też logi z OTL >/OTL-t35212/
.
  • 0

#4 aras16

aras16

    Początkujący

  • 66 postów

Napisano 24 06 2011 - 10:56

Logi OTL

http://wklej.org/id/551777/

[uwaga=cabana] Logi wrzucone na wklej.org [/uwaga]

Użytkownik cabana edytował ten post 24 06 2011 - 11:54

  • 0

#5 ordynat

ordynat

    Zaawansowany użytkownik

  • 804 postów

Napisano 24 06 2011 - 12:46

Szkoda, że nie użyłeś USBFix - w logu OTL jest widoczny ślad infekcji pendrivowej, ale nie wiadomo, czy to aktywna infekcja, czy tylko ślad po infekcji.
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic Deutsch FF Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2206084&SearchSource=3&q={searchTerms}"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2206084&q="
[2011-03-21 17:08:00 | 000,000,941 | ---- | M] () -- C:\Documents and Settings\qwerty\Dane aplikacji\Mozilla\Firefox\Profiles\zuz2h24h.default\searchplugins\conduit.xml
[2011-03-02 15:56:53 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011-04-07 22:50:31 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {9D81AF43-DE53-48D0-A199-42C2A226B24C} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
O33 - MountPoints2\{8dd8d574-9000-11e0-ad90-001a4d9d4104}\Shell\AutoRun\command - "" = I:\wyskq6lt.exe
O33 - MountPoints2\{8dd8d574-9000-11e0-ad90-001a4d9d4104}\Shell\open\Command - "" = I:\wyskq6lt.exe
[2011-06-24 10:01:00 | 000,000,236 | ---- | M] () -- C:\WINDOWS2\tasks\Scheduled Update for Ask Toolbar.job

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
.
  • 0

#6 aras16

aras16

    Początkujący

  • 66 postów

Napisano 24 06 2011 - 17:36

Zrobiłem tak jak mówiłeś:
Log z wykonania skryptu http://wklej.org/id/552035/
Log po ponownym skanowaniu OTL http://wklej.org/id/552036/
Mam 3 nośniki USB, robiłem dwa skanowania USBFixem:
http://wklej.org/id/552037/
http://wklej.org/id/552038/
Po wykonaniu skryptu OTL problem z Ukrytymi plikami minął
  • 0

#7 ordynat

ordynat

    Zaawansowany użytkownik

  • 804 postów

Napisano 24 06 2011 - 18:14

Jednak infekcja była aktywna - widać to w logach USBFix.


Deleted ! E:\muza

USBFix usunął też "muzę", a to chyba Twój obiekt?
Jeśli tak, to postępuj wg tego:

Ponieważ czasami zdarza się, że usuwane są także pliki nie będące infekcją, a które nie powinny być bezpośrednio na dysku "C", to tworzona jest Kwarantanna:
C:\UsbFix\Quarantine (usunięte pliki z przyrostkiem w nazwie *.vir).
W razie pomyłki można wyciągnąć stamtąd np. własne pliki (poprzez przeciągnięcie obiektu do innej lokalizacji, albo poprzez skopiowanie). Potrzeba potem jeszcze usunąć z nazwy przyrostek *.vir.


Log z pierwszego użycia USBFix nie jest cały, więc nie wiem, czy w dalszej jego części nie było jeszcze czegoś szkodliwego. Odszukaj go (C:\USBFix.txt) i pokaż.
.

Użytkownik ordynat edytował ten post 24 06 2011 - 18:18

  • 0

#8 aras16

aras16

    Początkujący

  • 66 postów

Napisano 24 06 2011 - 18:27

Na dysku C: miałem mało miejsca, część muzyki przepadła, jest jakaś szansa na odzyskanie danych?
I jak automatycznie usunąć przyrostek.vir z tak wielu plików?

Użytkownik aras16 edytował ten post 24 06 2011 - 18:31

  • 0

#9 ordynat

ordynat

    Zaawansowany użytkownik

  • 804 postów

Napisano 24 06 2011 - 18:46

miałem mało miejsca, część muzyki przepadła, jest jakaś szansa na odzyskanie danych?

Tak, jeśli na dysku Systemowym jest mniej wolnego miejsca niż usuwane pliki, to nie mieszczą się do Kwarantanny, i przepadają. Teoretycznie można je odzyskać przy pomocy jakiegoś programu odzyskującego dane, ale nie pamiętam, jaki to program. Jeśli sobie przypomnę, to napiszę ...

Uwaga: Jeśli ktoś folder z muzyką nazwał "muza" (zamiast "muzyka"), to nie powinien używać USBFix.

Na innych podobnych forach przy opisie USBFix znajduje się powyższe ostrzeżenie, ale na "Tweaks" nie widzę takiego ostrzeżenia. Nawiasem mówiąc, to folder "muzyka" też jest usuwany przez USBFix, więc po prostu trzeba przestrzegać żalaznej zasady:

Bezpośrednio na dysku mogą się znajdować tylko obiekty Systemowe oraz obiekty narzędzi skanujących, nie wolno tam trzymać żadnych własnych folderów i plików.


jak automatycznie usunąć przyrostek.vir z tak wielu plików?

Prawdę mówiąc, to nie znam takiego sposobu, by jednocześnie usuwać ten przyrostek z wielu nazw plików.
.

Użytkownik ordynat edytował ten post 24 06 2011 - 18:48

  • 0

#10 aras16

aras16

    Początkujący

  • 66 postów

Napisano 24 06 2011 - 18:58

Bezpośrednio na dysku mogą się znajdować tylko obiekty Systemowe oraz obiekty narzędzi skanujących, nie wolno tam trzymać żadnych własnych folderów i plików.

Czyli przed skanem USBFixem, musialbym wszystkie moje pliki przenieść na jakiś inny dysk?
  • 0

#11 ordynat

ordynat

    Zaawansowany użytkownik

  • 804 postów

Napisano 24 06 2011 - 19:09

Ależ nie: wystarczy je umieścić np. w folderze "Moje Dokumenty", "Moje obrazy". Byle nie były bezpośrednio na dysku C:\. Mogą być w folderach Systemowo stworzonych do tego, by Użytkownik umieszczał tam swoje pliki.
C:\muza -->>nie wolno
C:\Documents and Settings\qwerty\Moje dokumenty\muzyka -->>tak trzeba

Gorzej jest na dyskach przenośnych, bo tam trzeba jednak stworzyć jakiś swój folder, ale nazwać go np. "Moje Dokumenty", "Moja muzyka", itp.
Teraz to już za późno.
.

Użytkownik ordynat edytował ten post 24 06 2011 - 19:20

  • 0

#12 aras16

aras16

    Początkujący

  • 66 postów

Napisano 24 06 2011 - 22:26

Dane odzyskałem bez żadnych problemów ;)
Oto log z USBFix:
http://wklej.org/id/552251/

  • 0

#13 ordynat

ordynat

    Zaawansowany użytkownik

  • 804 postów

Napisano 24 06 2011 - 22:41

Dane odzyskałem bez żadnych problemów ;)

To cieszę się z tego wraz z Tobą. ;)

Jakim programem to odzyskiwałeś?


W dalszej części logu USBFix jednak nie było już nic szkodliwego.

W USBFix kliknij na przycisk UNINSTALL.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
.
  • 0

#14 aras16

aras16

    Początkujący

  • 66 postów

Napisano 25 06 2011 - 10:54

Jakim programem to odzyskiwałeś?

EasyData Recovery

  • 1




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych