Logi - Infekcje z pendriva
#1
Napisano 23 06 2011 - 20:37
Załapałem jakieś infekcje z pendriva. Antywirus wyszukuje mi plik herss.exe, jednak po usunięciu tego pliku, plik pojawia się znowu. Ponadto nie mogę włączyć opcji "Pokaż ukryte pliki i foldery".
Proszę o pomoc
#2 Gość_cabana_*
Napisano 23 06 2011 - 21:18
#3
Napisano 24 06 2011 - 09:12
1) Użyj USBFix z opcji "DELETION" >/USBFix-t42061/.
Daj z tego usuwania log.
2) Daj też logi z OTL >/OTL-t35212/
.
#4
Napisano 24 06 2011 - 10:56
http://wklej.org/id/551777/
[uwaga=cabana] Logi wrzucone na wklej.org [/uwaga]
Użytkownik cabana edytował ten post 24 06 2011 - 11:54
#5
Napisano 24 06 2011 - 12:46
Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:
Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic Deutsch FF Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2206084&SearchSource=3&q={searchTerms}"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2206084&q="
[2011-03-21 17:08:00 | 000,000,941 | ---- | M] () -- C:\Documents and Settings\qwerty\Dane aplikacji\Mozilla\Firefox\Profiles\zuz2h24h.default\searchplugins\conduit.xml
[2011-03-02 15:56:53 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
[2011-04-07 22:50:31 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {9D81AF43-DE53-48D0-A199-42C2A226B24C} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
O33 - MountPoints2\{8dd8d574-9000-11e0-ad90-001a4d9d4104}\Shell\AutoRun\command - "" = I:\wyskq6lt.exe
O33 - MountPoints2\{8dd8d574-9000-11e0-ad90-001a4d9d4104}\Shell\open\Command - "" = I:\wyskq6lt.exe
[2011-06-24 10:01:00 | 000,000,236 | ---- | M] () -- C:\WINDOWS2\tasks\Scheduled Update for Ask Toolbar.job
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
:Commands
[emptyflash]
[emptytemp]
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.
.
#6
Napisano 24 06 2011 - 17:36
Log z wykonania skryptu http://wklej.org/id/552035/
Log po ponownym skanowaniu OTL http://wklej.org/id/552036/
Mam 3 nośniki USB, robiłem dwa skanowania USBFixem:
http://wklej.org/id/552037/
http://wklej.org/id/552038/
Po wykonaniu skryptu OTL problem z Ukrytymi plikami minął
#7
Napisano 24 06 2011 - 18:14
USBFix usunął też "muzę", a to chyba Twój obiekt?Deleted ! E:\muza
Jeśli tak, to postępuj wg tego:
Ponieważ czasami zdarza się, że usuwane są także pliki nie będące infekcją, a które nie powinny być bezpośrednio na dysku "C", to tworzona jest Kwarantanna:
C:\UsbFix\Quarantine (usunięte pliki z przyrostkiem w nazwie *.vir).
W razie pomyłki można wyciągnąć stamtąd np. własne pliki (poprzez przeciągnięcie obiektu do innej lokalizacji, albo poprzez skopiowanie). Potrzeba potem jeszcze usunąć z nazwy przyrostek *.vir.
Log z pierwszego użycia USBFix nie jest cały, więc nie wiem, czy w dalszej jego części nie było jeszcze czegoś szkodliwego. Odszukaj go (C:\USBFix.txt) i pokaż.
.
Użytkownik ordynat edytował ten post 24 06 2011 - 18:18
#8
Napisano 24 06 2011 - 18:27
I jak automatycznie usunąć przyrostek.vir z tak wielu plików?
Użytkownik aras16 edytował ten post 24 06 2011 - 18:31
#9
Napisano 24 06 2011 - 18:46
Tak, jeśli na dysku Systemowym jest mniej wolnego miejsca niż usuwane pliki, to nie mieszczą się do Kwarantanny, i przepadają. Teoretycznie można je odzyskać przy pomocy jakiegoś programu odzyskującego dane, ale nie pamiętam, jaki to program. Jeśli sobie przypomnę, to napiszę ...miałem mało miejsca, część muzyki przepadła, jest jakaś szansa na odzyskanie danych?
Na innych podobnych forach przy opisie USBFix znajduje się powyższe ostrzeżenie, ale na "Tweaks" nie widzę takiego ostrzeżenia. Nawiasem mówiąc, to folder "muzyka" też jest usuwany przez USBFix, więc po prostu trzeba przestrzegać żalaznej zasady:Uwaga: Jeśli ktoś folder z muzyką nazwał "muza" (zamiast "muzyka"), to nie powinien używać USBFix.
Bezpośrednio na dysku mogą się znajdować tylko obiekty Systemowe oraz obiekty narzędzi skanujących, nie wolno tam trzymać żadnych własnych folderów i plików.
Prawdę mówiąc, to nie znam takiego sposobu, by jednocześnie usuwać ten przyrostek z wielu nazw plików.jak automatycznie usunąć przyrostek.vir z tak wielu plików?
.
Użytkownik ordynat edytował ten post 24 06 2011 - 18:48
#10
Napisano 24 06 2011 - 18:58
Czyli przed skanem USBFixem, musialbym wszystkie moje pliki przenieść na jakiś inny dysk?Bezpośrednio na dysku mogą się znajdować tylko obiekty Systemowe oraz obiekty narzędzi skanujących, nie wolno tam trzymać żadnych własnych folderów i plików.
#11
Napisano 24 06 2011 - 19:09
C:\muza -->>nie wolno
C:\Documents and Settings\qwerty\Moje dokumenty\muzyka -->>tak trzeba
Gorzej jest na dyskach przenośnych, bo tam trzeba jednak stworzyć jakiś swój folder, ale nazwać go np. "Moje Dokumenty", "Moja muzyka", itp.
Teraz to już za późno.
.
Użytkownik ordynat edytował ten post 24 06 2011 - 19:20
#12
Napisano 24 06 2011 - 22:26
#13
Napisano 24 06 2011 - 22:41
To cieszę się z tego wraz z Tobą.Dane odzyskałem bez żadnych problemów
Jakim programem to odzyskiwałeś?
W dalszej części logu USBFix jednak nie było już nic szkodliwego.
W USBFix kliknij na przycisk UNINSTALL.
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
.
#14
Napisano 25 06 2011 - 10:54
EasyData RecoveryJakim programem to odzyskiwałeś?
Użytkownicy przeglądający ten temat: 0
0 użytkowników, 0 gości, 0 anonimowych