Możliwa infekcja W32 z pendrive

[maciowara92]

Witam, ostatnio miałem często do czynienia z zarażonymi pamięciami usb wirusem typu W32 i chciałbym kontrolnie sprawdzić czy coś nie przedostało się do mojego systemu. Jak na razie nie zaobserwowałem zmian w pracy systemu.

Co ciekawe podczas uruchamiania gmera dwukrotnie wyskoczył BSOD i nastąpił samoczynny restart systemu, dlatego też loga gmer nie załączyłem.

 

frst

http://wklej.org/id/1210684/

http://wklej.org/id/1210691/

 

otl

http://wklej.org/id/1210693/

http://wklej.org/id/1210696/

[picasso]

Ten "wirus W32" - co i w czym (ścieżki dostępu) go pokazało? W podanych tu raportach nie widać oznak infekcji, do korekty tylko drobne śmieci adware i wpisy puste:

 

1. Firefox jest zanieczyszczony, ale czyszczenie nie ma sensu, bo to archaiczna i dziurawa wersja Firefox 6.0. O ile potrzebne, skopiuj zakładki i hasła (i nic więcej) za pomocą MozBackup. Następnie odinstaluj Firefox i powiązany Mozilla ActiveX Control, a przy pytaniu czy usuwać dane użytkownika odpowiedz twierdząco, pozbądź się też wszystkich starych wtyczek Firefox deinstalując produkty Adobe (Flash + Reader) oraz Java 7 Update 17. Resztę Firefox dokończy mój skrypt:

 

2. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [KernelFaultCheck] - %systemroot%\system32\dumprep 0 -k
HKCU\...\Run: [LG LinkAir] - [x]
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?affID=119781&tt=gc_&babsrc=HP_ss&mntrId=0059001C23187424
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=119781&tt=gc_&babsrc=SP_ss&mntrId=0059001C23187424
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=119781&tt=gc_&babsrc=SP_ss&mntrId=0059001C23187424
SearchScopes: HKCU - {B6C5ECE3-4724-4029-9BE6-AB065FDC5BA0} URL = http://www.google.pl/cse?q={searchTerms}&cx=partner-pub-2489206448026482%3A4041638047&tbm=&ie=UTF-8#gsc.tab=0&gsc.q={searchTerms}
S2 DS1410D; SYSTEM32\drivers\DS1410D.SYS [x]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [x]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x]
C:\Documents and Settings\All Users\Dane aplikacji\APN
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\oem\Dane aplikacji\Babylon
C:\Documents and Settings\oem\Dane aplikacji\Mozilla
C:\Program Files\mozilla firefox
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{B8C11763-2306-4CEC-A9FB-AD9FAF14CC18}" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: netsh firewall reset

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Możesz zainstalować najnowszy Firefox i zaimportować w nim dane z MozBackup. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

[maciowara92]

frst

http://wklej.org/id/1213066/

 

fixlog

http://wklej.org/id/1213070/

 

Wspomniany przeze mnie "wirus W32" został rozpoznany na usb jako taki rodzaj przez inny program AV i nie odbyło się to na moim komputerze (przepraszam za pomyłke)

W moim przypadku Avira rozpoznawała go jako "DR/Delphi.Gen dropper"

Oto jeden z wielu raportów skanu Aviry

http://wklej.org/id/1213076/

 

A mam jeszcze pytanko, dawno dawno temu korzystałem z programu zdaje się usbfix lub flashdisinfector (nie pamiętam dokładnie) i jeden z tych programów "wszczepia" swego rodzaju szczepionkę na partycje dysku i wszystkie podłączane urządzenia usb (z pewnością doskonale wiesz o czym mówie). Otóż z tego co czytałem jest to przestarzałe i nieskuteczne narzędzie zatem chciałem zapytać jak pozbyć się owej automatycznej szczepionki?   

[picasso]

Akcje wykonane, więc zakończ sprawy:

 

1. Przez SHIFT+DEL skasuj z dysku:

 

C:\FRST

C:\Documents and Settings\oem\Pulpit\FRST-OlderVersion

C:\Documents and Settings\oem\Pulpit\FreeOCR.net(12517).exe ----> to nie jest instalator zasadniczy, tylko "Asystent pobierania": KLIK.

 

W OTL uruchom Sprzątanie.

 

2. Stary Firefox i wtyczki Adobe / Java już były adresowane. Został do aktualizacji jeszcze Internet Explorer 7: KLIK.

 

 

A mam jeszcze pytanko, dawno dawno temu korzystałem z programu zdaje się usbfix lub flashdisinfector (nie pamiętam dokładnie) i jeden z tych programów "wszczepia" swego rodzaju szczepionkę na partycje dysku i wszystkie podłączane urządzenia usb (z pewnością doskonale wiesz o czym mówie). Otóż z tego co czytałem jest to przestarzałe i nieskuteczne narzędzie zatem chciałem zapytać jak pozbyć się owej automatycznej szczepionki?

Oba wyliczone programy to prowadzą. By się tego pozbyć, Start > Uruchom > cmd i wklepujesz komendę:

 

rd /s /q \\?\X:\autorun.inf

 

Pod X wstawiasz konkretne litery dysków, a komendę powtarzasz tyle razy ile jest dysków (o ile "szczepionka" jest na wszystkich).

 

 

 

.

[maciowara92]

Bardzo uprzejmie dziękuję za pomoc i życzę zarówno Tobie droga Picasso jak i pozostałym użytkownikom tego forum spokojnych świąt i udanego 2014 roku