michallpk Opublikowano 24 Października 2012 Zgłoś Udostępnij Opublikowano 24 Października 2012 Witam, niedawno podpialem sie dyskiem (WD My passport 500GB) do kumpla i zasysnalem jakiegos trojana. Poczatkowo byly skroty zamiast folderow, pozniej ESET poddal je kwarantannie. Log ESET: F:\Zdjęcia.lnk Win32/Dorkbot.D worm cleaned by deleting - quarantined dupek-Komputer\dupek Event occurred during an attempt to access the file by the application: C:\Windows\explorer.exe. F:\PRiV.lnk Win32/Dorkbot.D worm cleaned by deleting - quarantined dupek-Komputer\dupek Event occurred during an attempt to access the file by the application: C:\Windows\explorer.exe. F:\Filmy.lnk Win32/Dorkbot.D worm cleaned by deleting - quarantined dupek-Komputer\dupek Event occurred during an attempt to access the file by the application: C:\Windows\explorer.exe. F:\Instalki.lnk Win32/Dorkbot.D worm cleaned by deleting - quarantined dupek-Komputer\dupek Event occurred during an attempt to access the file by the application: C:\Windows\explorer.exe. F:\Gry.lnk Win32/Dorkbot.D worm cleaned by deleting - quarantined dupek-Komputer\dupek Event occurred during an attempt to access the file by the application: C:\Windows\explorer.exe. F:\Studia.lnk Win32/Dorkbot.D worm cleaned by deleting - quarantined dupek-Komputer\dupek Event occurred during an attempt to access the file by the application: C:\Windows\explorer.exe. F:\_AMD.lnk Win32/Dorkbot.D worm cleaned by deleting - quarantined dupek-Komputer\dupek Event occurred during an attempt to access the file by the application: C:\Windows\explorer.exe. F:\Motory.lnk Win32/Dorkbot.D worm cleaned by deleting - quarantined dupek-Komputer\dupek Event occurred during an attempt to access the file by the application: C:\Windows\explorer.exe. F:\Pobrane.lnk Win32/Dorkbot.D worm cleaned by deleting - quarantined dupek-Komputer\dupek Event occurred during an attempt to access the file by the application: C:\Windows\explorer.exe. F:\$RECYCLE.BIN.lnk Win32/Dorkbot.D worm cleaned by deleting - quarantined dupek-Komputer\dupek Event occurred during an attempt to access the file by the application: C:\Windows\explorer.exe. F:\Muzyka.lnk Win32/Dorkbot.D worm cleaned by deleting - quarantined dupek-Komputer\dupek Event occurred during an attempt to access the file by the application: C:\Windows\explorer.exe. W zalaczeniu log z UsbFix Listing oraz OLG i extras. Prosze o pomoc. UsbFix.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 24 Października 2012 Zgłoś Udostępnij Opublikowano 24 Października 2012 W systemie nie widać oznak infekcji. Natomiast na dysku zewnętrznym są nadal manipulacje infekcji (ukryte prawidłowe foldery). Czyli odbędzie się tu odkrywanie danych na urządzeniu oraz prewencyjnie usuwanie wszystkich folderów Koszy. 1. przy podpiętym dysku uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files rd /s /q C:\$Recycle.Bin /C rd /s /q D:\$RECYCLE.BIN /C rd /s /q D:\RECYCLER /C rd /s /q F:\$RECYCLE.BIN /C rd /s /q F:\RECYCLER /C attrib /d /s -s -h F:\* /C :OTL DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\system32\drivers\AsInsHelp32.sys -- (ASInsHelp) O4 - HKLM..\RunOnce: [] File not found Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Zrób nowy log USBFix z opcji Listing. . Odnośnik do komentarza
michallpk Opublikowano 26 Października 2012 Autor Zgłoś Udostępnij Opublikowano 26 Października 2012 Pojawily sie foldery, ale sa oznaczone jako ukryte i nie da sie tego wylaczyc. UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 27 Października 2012 Zgłoś Udostępnij Opublikowano 27 Października 2012 One się wcale nie pojawiły, były cały czas, tylko skan OTL przestawił opcje Widoku. Te foldery mają atrybuty HS (ukryty systemowy) i ich widocznością steruje opcja Ukryj chronione pliki systemu operacyjnego. W skrypcie była komenda zdejmowania atrybutów, tak by foldery całkowicie się odkryły. Coś poszło nie tak, skrypt się nie wykonał w całości, skoro obiekty są nadal ukryte. Powtórz akcję ręcznie. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > po kolei wklej te komendy (po każdej ENTER): attrib -s -h F:\Filmy attrib -s -h F:\Gry attrib -s -h F:\Instalki attrib -s -h F:\Motory attrib -s -h F:\Muzyka attrib -s -h F:\Pobrane attrib -s -h F:\PRiV attrib -s -h F:\Studia attrib -s -h F:\Zdjęcia attrib -s -h F:\_AMD Po akcji wyraźnie się wypowiedz czy foldery zostały odkryte w sposób permanentny. . Odnośnik do komentarza
michallpk Opublikowano 27 Października 2012 Autor Zgłoś Udostępnij Opublikowano 27 Października 2012 Sa, wszystko jest tak jak byc powinno. Dziekuje bardzo. Do zamkniecia Odnośnik do komentarza
picasso Opublikowano 27 Października 2012 Zgłoś Udostępnij Opublikowano 27 Października 2012 Na zakończenie: 1. Porządki po narzędziach: odinstaluj USBFix, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do wykonania pełna aktualizacja Windows: KLIK. Log notuje status: Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) Temat rozwiązany, zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi