Infekcja z pendrive

[Shreder]

Witam.

 

Wczoraj mój komputer złapał infekcję z pendrive'a - Norton Internet Security wykrył następujące wirusy: Trojan Horse, W32.Gammima.AG!gen3 i Infostealer.Gampass. Oczywiście, wirusy zostały usunięte jednak pojawił się problem: klik na dysk powoduje pojawienie się komunikatu "Otwórz za pomocą.." wymagającego wskazania programu do otwierania dysków. Proszę o pomoc.

 

Pozdrawiam

Extras.Txt

OTL.Txt

[Landuss]

Rozpocznij od dopełnienia zasad działu i wykonaj log z GMER przeciw rootkitom.

 

Nastepnie przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

[Shreder]

Oto logi

gmer.txt

UsbFix.txt

[Landuss]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\cdaudio.sys -- (AVPsys)
O4 - HKCU..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe File not found
[2010-11-11 22:01:00 | 000,000,250 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
 
:Files
autorun.inf /alldrives
RECYCLER /alldrives
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
 
:Commands
[emptyflash]
[emptytemp]
[clearallrestorepoints]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

 

[Shreder]

Wygląda na to, że wszystko OK. Daję jeszcze logi:

OTL.Txt

Extras.Txt

[Landuss]

W takim razie wykonaj kroki końcowe:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Użyj opcji Vaccinate z USBFix.

 

3. Obowiązkowo zaktualizuj oprogramowanie - Service Pack 3 + Internet Explorer 8

[Shreder]

Dzięki serdeczne za pomoc. Wszystko w należytym porządku.

 

EDIT: Jednak nie wszystko w porządku - mianowicie gdy kliknę w opcję Vaccinate w USBFix to ten się wyłącza... Tak chyba nie powinno być. Ponadto nie tworzy się żaden ukryty plik.

[Landuss]

Ponadto nie tworzy się żaden ukryty plik.

 

Jesteś pewny? Folder powinien mieć atrybuty SH. Przestaw opcje widoku - zaznacz "pokazuj ukryte pliki i foldery" oraz odznacz "ukryj chronione pliki systemu operacyjnego"

[Shreder]

Jestem pewny. Atrubuty miałem ustawione SH. Próbowałem raz jeszcze i dalej USBFix się wyłącza (brak żadnych komunikatów o utworzeniu folderu autorun.inf).

[Landuss]

W takim razie zabezpiecz się za pomocą Panda USB Vaccine

[Traxter]

gdy kliknę w opcję Vaccinate w USBFix to ten się wyłącza... Tak chyba nie powinno być. Ponadto nie tworzy się żaden ukryty plik.

 

Mi również takie coś się zdarzało. Rozwiązaniem może być standardowe utworzenie folderów autorun.inf poprzez Explorer (PPM >>> Nowy >>> Folder), a następnie uruchomienie opcji Vaccinate, która doda nieusuwalny element do folderu.

[Shreder]

Dziękuję Traxter, metoda zaproponowana przez Ciebie zadziałała. A Tobie Landuss dzięki za wyleczenie mego komputera. Pozdrawiam