Grab67 Opublikowano 3 Lipca 2015 Zgłoś Udostępnij Opublikowano 3 Lipca 2015 Dzień dobry, Zainfekowałem komputer wirusem (kilkanaście dni temu podłączyłem komórkę do USB), który powoduje tworzenie skrótów przy otwieraniu pendrive ( w ten sposb już zainfekowałem 3 pen'y). Objawy: po włozeniu pendrive'a pokazuje się skrót zamiast folderów (nie będąc świadomym zagrożenia otworzyłem skrót - był dostęp do danych na pendrivie). Skanowanie AVAST'em nic nie wykryło. Mam HP 64 bitowy.Załączam raporty - nie wiem czy to wystarczy jeśli nie to proszę o instrukcje co dalej (niestety proszę o prosty język bo nie jestem biegły w tej działce) Proszę o pomoc w usunięciu wirusa, pozdrawiam FRST.txt GMER.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2015 Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Logi OTL nie są tu obowiązkowe - usuwam Extras. Brak za to trzeciego pliku FRST Shortcut. Wg raportu FRST infekcja USB nie jest czynna po stronie systemu - są tylko puste odpadki, ale są za to różne aktywne obiekty adware (w tym aktywny sterownik). Urządzenia USB trzeba będzie sprawdzić z osobna. Akcje wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 wafd_1_10_0_19; C:\Windows\System32\drivers\wafd_1_10_0_19.sys [61312 2015-06-16] (WA) S2 wasvc_1.10.0.19; "C:\Program Files (x86)\WordAnchor_1.10.0.19\Service\wasvc.exe" [X] HKLM\...\Run: [] => [X] Startup: C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\t.lnk [2015-06-07] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-06-13] Task: {85176E1D-EFA0-4099-ABA4-3038072167AC} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\launcher.exe Task: {FA4755F3-56EE-40D9-9F16-FCB829A23697} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\launcher.exe C:\Program Files (x86)\Opera C:\ProgramData\f08cac26-e74f-49b4-9ff1-f081aa55e1b3 C:\Users\Gosia\AppData\Local\Opera Software C:\Users\Gosia\AppData\Roaming\Opera Software C:\Users\Gosia\AppData\Roaming\GoldenGate C:\Users\Gosia\AppData\Roaming\Shortcut C:\Windows\System32\drivers\wafd_1_10_0_19.sys Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj sponsora Avast SafePrice. 4. Zrób nowy log FRST z opcji Scan (bez Addition, ale zaznacz pole Shortcut) oraz USBFix z opcji Listing przy podpiętych zainfekowanych urządzeniach USB. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Grab67 Opublikowano 13 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Dziekuję. Przeprowadziłem ponizsze czynności, w załaczeniu nowe LOG FRST.txt Shortcut.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2015 Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Zapomniałeś dodać ten log: USBFix z opcji Listing przy podpiętych zainfekowanych urządzeniach USB. Odnośnik do komentarza
Grab67 Opublikowano 13 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2015 W poprzednim poscie nie dołączylem USBFix - przeparaszam i załaczam dla 2 pendrive. UsbFix Listing 2 GOSIA-HPD5T60EA.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2015 Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Na obu urządzeniach są nadal obiekty infekcji, tylko ich prawdopodobnie nie widzisz. Nawiasem mówiąc, tu jest opis jaka sztuczka socjotechniczna została zastosowana: KLIK. 1. Włącz pokazywanie ukrytych systemowych plików: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odptaszkuj Ukryj chronione pliki systemu operacyjnego. Po tej akcji na obu pendrive pojawią się foldery "bez nazwy" utworzone przez infekcję, do których infekcja przesuwa dane użytkownika. Wejdź do tych folderów, przenieś z nich poziom wyżej co ważne, a następnie oba foldery przez SHIFT+DEL skasuj. 2. Zrób nowy log USBFix z opcji Listing. Odnośnik do komentarza
Grab67 Opublikowano 13 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Dziekuję za odnosnik do sz.socjotechnicznej => wielce ciekawe. Po wykonaniu usunięcia folderów "bez nazwy" na jednym z penów został katalog: System Volume Information a w nim plik IndexVolumeGuid - wcześniej nie zauważyłem go i nie wiem czy to jest tez infekcja - na razie nie usuwalem go i zrobiłem nowe log z USBFix UsbFix Listing 3 GOSIA-HPD5T60EA.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2015 Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Tak, wiem że System Volume Information tam był (nie widziałeś go). To folder Przywracania systemu, tworzony na wszystkich dostępnych dyskach. Często Windows tworzy go także na urządzeniach USB typu pendrive, co nie ma dużego sensu ze względu na migracje urządzeń i naruszenia integralności tego folderu. Ten folder owszem możemy usunąć, tylko pewnie system go ponownie odtworzy przy kolejnym podpinaniu. Jeśli chcesz się go pozbyć tymczasowo, to: Otwórz Notatnik i wklej w nim: RemoveDirectory: K:\System Volume Information Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
Grab67 Opublikowano 13 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2015 OK. Wykonałem w załączeniu fixlog.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2015 Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Akcja wykonana. Na zakończenie: Odinstaluj USBFix. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
Grab67 Opublikowano 13 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Wykonane. Załączam Delfix.txt Wszystko działa, bardzo dziękuję. DelFix.txt Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2015 Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Wykonane. Skasuj z dysku plik C:\Delfix.txt. To tyle. Odnośnik do komentarza
Grab67 Opublikowano 13 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2015 Jeszcze raz dziękuję. Wsparcie Grab67 w drodze Odnośnik do komentarza
Rekomendowane odpowiedzi