Grn09 Opublikowano 13 Czerwca 2013 Zgłoś Udostępnij Opublikowano 13 Czerwca 2013 Witam, Pożyczyłem ostatnio koledze swojego pendriv'a, a gdy mi go oddał zauważyłem na nim dwa podejrzane pliki o nazwie cuebud.exe oraz cuebud.scr. Antywirus rozpoznał w nich wirus Worm.vbna.isu, więc spróbowałem je skasować i wtedy wyskoczył mi ten komunikat: Ten komunikat pojawia się za każdym razem gdy chcę otworzyć pendriv'a i uniemożliwia też formatowanie. Wiem, że ten pendrive nie ma funkcji ochrony przed zapisem, stąd moje pytanie: czy to spowodował wirus, czy może jest uszkodzony? OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 14 Czerwca 2013 Zgłoś Udostępnij Opublikowano 14 Czerwca 2013 W raportach nie ma oznak infekcji. Po stronie systemu wymagane będzie usunięcie ArcaBit (są wpisy "not found"). Antywirus rozpoznał w nich wirus Worm.vbna.isu, więc spróbowałem je skasować i wtedy wyskoczył mi ten komunikat: (...) Ten komunikat pojawia się za każdym razem gdy chcę otworzyć pendriv'a i uniemożliwia też formatowanie. Komunikat o "zabezpieczeniu przed zapisem" uniemożliwia wykonanie jakichkolwiek akcji usuwających. Czy ten pendrive ma na obudowie jakiś przełącznik, który przedstawia tryb zapisu urządzenia? Mam też pytanie, jaką rolę pełni ten program w Autostarcie: O4 - Startup: D:\Documents and Settings\All Users\Menu Start\Programy\Autostart\USB Sharing.lnk = D:\Program Files\USB Sharing\usbshare.exe () . Odnośnik do komentarza
Grn09 Opublikowano 14 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 14 Czerwca 2013 usbshare.exe to program do przełączania użytkownika drukarki, bo u mnie korzysta z niej kilka komputerów. Jest nieszkodliwy. Co do pendriv'a to nie ma on na obudowie żadnych przełączników, dlatego nie wiem co mogło wywołać komunikat o zabezpieczeniu przed zapisem. Miałem "nadzieję" że to spowodował wirus. Odnośnik do komentarza
picasso Opublikowano 14 Czerwca 2013 Zgłoś Udostępnij Opublikowano 14 Czerwca 2013 usbshare.exe to program do przełączania użytkownika drukarki, bo u mnie korzysta z niej kilka komputerów. Jest nieszkodliwy. Nie chodziło mi o szkodliwość, ale o funkcje relatywne do USB (np. blokowanie zapisu na urządzeniu). Co do pendriv'a to nie ma on na obudowie żadnych przełączników, dlatego nie wiem co mogło wywołać komunikat o zabezpieczeniu przed zapisem. Miałem "nadzieję" że to spowodował wirus. Sprawdź jeszcze czy w Windows nie masz ustawień ograniczających zapis. Start > Uruchom > regedit > czy widzisz klucz: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\StorageDevicePolicies Jeśli jest, skasuj go i zresetuj system. Jeśli nie ma, to prędzej tu się aplikuje ten instruktaż z forum: KLIK. . Odnośnik do komentarza
Grn09 Opublikowano 15 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2013 Podany klucz u mnie nie istniał, więc zwróciłem się ku drugiemu rozwiązaniu i okazało się że problemem był jednak firmware. Po flashowaniu pendrive działa znowu normalnie i przy okazji usunęło to z niego wszystkie niepożądane pliki. Bardzo dziękuję za pomoc. Odnośnik do komentarza
picasso Opublikowano 17 Czerwca 2013 Zgłoś Udostępnij Opublikowano 17 Czerwca 2013 Skoro problem z pendrive rozwiązany, teraz możemy przejść do tego: Po stronie systemu wymagane będzie usunięcie ArcaBit (są wpisy "not found"). vs. DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\abndis.sys -- (ABndisMP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\abndis.sys -- (ABndis) Przez Dodaj/Usuń programy odinstaluj wszystko co się da od ArcaBit. Następnie zastosuj ArcaVir Removal Tol. Po akcji zrób nowy log OTL z opcji Skanuj. . Odnośnik do komentarza
Grn09 Opublikowano 18 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 18 Czerwca 2013 Wszystko wykonane. oto log z OTL: OTL.Txt Odnośnik do komentarza
picasso Opublikowano 20 Czerwca 2013 Zgłoś Udostępnij Opublikowano 20 Czerwca 2013 Wymagane drobne poprawki: 1. Usunięcie szczątków. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - File not found [Kernel | Disabled | Stopped] -- System32\Drivers\FABulk.sys -- (BulkUsb) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\abndis.sys -- (ABndisMP) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\abndis.sys -- (ABndis) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\S-1-5-21-515967899-884357618-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab (Reg Error: Key error.) :Reg [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :Files D:\Documents and Settings\All Users\Dane aplikacji\ArcaBit D:\Documents and Settings\All Users\Dane aplikacji\BDLogging D:\Documents and Settings\LocalService\Dane aplikacji\ArcaBit D:\Documents and Settings\Tomek\Dane aplikacji\ArcaBit D:\Documents and Settings\Tomek\Dane aplikacji\ProgSense D:\Documents and Settings\Tomek\Dane aplikacji\QuickScan D:\Documents and Settings\Tomek\Dane aplikacji\Safer Networking D:\Documents and Settings\Tomek\Dane aplikacji\Mozilla :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu D:\_OTL powstanie log z wynikami usuwania i przedstaw go. 2. Narzędzie związane z aktualizacją firmware pendrive wprowadziło w system ten sterownik: DRV - [2011-03-11 17:02:16 | 000,010,588 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mpfilt.sys -- (mpfilt) Ten sterownik nakłada filtry na urządzenia USB i może prowadzić do takich efektów: KLIK. Podaj szukanie w rejestrze na wystąpienia filtrów. Uruchom SystemLook i w oknie wklej: :regfind mpfilt Klik w Look. . Odnośnik do komentarza
Grn09 Opublikowano 20 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2013 Wykonałem skrypt, chociaż za pierwszym razem OTL się zawiesiło na ":Files" i musiałem zrobić restart. Załączam log z drugiego podejścia. Zauważyłem też że po operacjach na pendrivie pojawiła mi się usługa CLCV0 związana z plikiem UTSCSI.exe, którą profilaktycznie wyłączyłem bo nigdy wcześniej jej nie widziałem. Czy to jest coś systemowego, czy może jakaś pozostałość po programach aktualizujących firmware? SystemLook.txt 06202013_171216.txt Odnośnik do komentarza
picasso Opublikowano 20 Czerwca 2013 Zgłoś Udostępnij Opublikowano 20 Czerwca 2013 Owszem, widzę że między obydwoma logami pojawił się ten sterownik: SRV - [2013-06-15 20:33:37 | 000,045,056 | ---- | M] () [Disabled | Stopped] -- C:\WINDOWS\system32\UTSCSI.EXE -- (UTSCSI) Usuwamy go plus mpfilt: 1. Otwórz Notatnik i wklej w nim: sc stop mpfilt sc delete mpfilt sc delete UTSCSI del /q C:\WINDOWS\system32\drivers\mpfilt.sys del /q C:\WINDOWS\system32\UTSCSI.EXE reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{36FC9E60-C465-11CF-8056-444553540000} /v LowerFilters /f pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik 2. Zresetuj system i podaj nowy skan SystemLook na warunek: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{36FC9E60-C465-11CF-8056-444553540000} . Odnośnik do komentarza
Grn09 Opublikowano 20 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2013 Zrobione. SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 20 Czerwca 2013 Zgłoś Udostępnij Opublikowano 20 Czerwca 2013 Akcja pomyślnie przeprowadzona. Zakończ sprawy: 1. W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Adobe Reader i Java do zastąpienia najnowszymi wersjami: KLIK. Wg raportu są tu zainstalowane wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217013FF}" = Java 7 Update 13 "{AC76BA86-7AD7-1045-7B44-AB0000000001}" = Adobe Reader XI (11.0.02) - Polish Dodatkowo: - Masz Nowe Gadu-Gadu. Program sfatygowany. Jeśli szukasz lekkiego zamiennika z dobrą obsługą Gadu, to polecam WTW: KLIK. - Uzupełnij antywirusa. ArcaVir nie polecam, program jest słaby. . Odnośnik do komentarza
Grn09 Opublikowano 20 Czerwca 2013 Autor Zgłoś Udostępnij Opublikowano 20 Czerwca 2013 Wykonałem wszystkie kroki. Co do Gadu-Gadu to już od dłuższego czasu go nie używałem, ale jeśli będę potrzebował komunikatora to na pewno chętnie skorzystam z zamiennika niż z tej bomby reklamowej Co się tyczy Arcavira to korzystam z niego tymczasowo, bo na razie testuję rożne antywirusy (głównie pod kątem stabilności i funkcji, bo skuteczność trudno mi ocenić…). Jak na razie to głównie przeszkadza mi to, że nie można zakończyć ich głównych procesów w menedżerze zadań (odmowa dostępu). Pewnie chodzi w tym o bezpieczeństwo, ale gdy czasem antywirus "zwariuje" i zamuli mi komputer, to nie chcę za każdym razem wciskać reset, albo czekać kilkanaście minut aż się odwiesi. Jest może jakiś sposób na to? A tak ogólnie to jestem otwarty na wszelkie propozycje innych antywirusów (obojętnie czy darmowe czy płatne). Odnośnik do komentarza
Rekomendowane odpowiedzi