driven Opublikowano 5 Lutego 2011 Zgłoś Udostępnij Opublikowano 5 Lutego 2011 Witam Nie skanowałem niczym ale wpadł mi w ręce komputer gdzie avira komunikuje o blokadzie pliku D:\AUTORUN.INF więc podejrzewam jakiegoś wirka z pendrive dlatego proszę o sprawdzenie logów. Druga sprawa, to search bar, który ktoś nieuważnie zainstalował z Foxit Readerem. Odinstalowałem go poprzez dodaj usuń programy, ale nie wiem czy to wystarczy i czy jakieś śmieci po tym nie zostały, więc proszę o radę i w tej kwestii. Jakiś krótki wyszedł mi raport Gmera, nie wiem czy wszystko poszło jak powinno. Pozdrawiam . OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 5 Lutego 2011 Zgłoś Udostępnij Opublikowano 5 Lutego 2011 W tych logach nie widać żadnych śladów czynnej infekcji, a GMER pokazuje jedynie resztówki po infekcji w MBR (nieaktywne ślady w sektorze 61, na których nie podejmuje się żadnych akcji). OTL nie potrafi w ogóle pobrać danych o autorun.inf z punktowanego dysku: O32 - Unable to obtain root file information for disk D:\ Przypuszczalnie blokuje to Avira. I może to być coś w ten deseń: KLIK (wirus Sality). 1. Zablokuj interpretację autorun.inf poprzez metodę realizowaną w Panda USB Vaccine i zresetuj komputer. 2. Poluzuj strażnik Avira i nie wchodź w ogóle na dysk D żadną z metod. 3. Zrób dir z wszystkich dysków narzędziem USBFix z opcji Listing. Druga sprawa, to search bar, który ktoś nieuważnie zainstalował z Foxit Readerem. Odinstalowałem go poprzez dodaj usuń programy, ale nie wiem czy to wystarczy i czy jakieś śmieci po tym nie zostały, więc proszę o radę i w tej kwestii. Po tym zostały nieistotne drobnostki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKU\S-1-5-21-1409082233-746137067-839522115-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. [2011-01-30 23:19:18 | 000,000,185 | ---- | C] () -- C:\Documents and Settings\All Users\Pulpit\eBay.url [2011-01-30 23:19:18 | 000,000,185 | ---- | C] () -- C:\Documents and Settings\All Users\Menu Start\Programy\eBay.url Klik w Wykonaj skrypt. Poleci błyskiem. I tyle w kwestii odpadków po sponsorze. PS. I grzechy aktualizacyjne. . Odnośnik do komentarza
driven Opublikowano 5 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 5 Lutego 2011 PS. I grzechy aktualizacyjne. Za to się oczywiście zabiorę. UsbFix.txt Odnośnik do komentarza
picasso Opublikowano 5 Lutego 2011 Zgłoś Udostępnij Opublikowano 5 Lutego 2011 Sytuacja dzwoni podobnym odczynnikiem jak w tamtym temacie, czyli ja tu widzę tylko zerowy autorun.inf (zerowy, bo przypuszczalnie jest zablokowany przez antywirusa, który powstrzymuje wykonanie i ekstrakcję innych składników): [09/01/2011 - 20:57:04 | A | 0] D:\AUTORUN.INF Nie jestem pewna co o tym sądzić, bo na dysku D znajduje się także folder SMRTNTKY i plik setupSNK.exe, czyli składowe Kreatora sieci bezprzewodowej (KB878475) i w tym zestawie powinien być plik autorun.inf (mający m.in. definicję ikonki sieci bezprzewodowej)... Avira nie ma dostatecznej precyzji na autorun.inf, nie dalej niż kilka dni temu był tu temat, gdzie uporczywie zgłaszała zagrożenie na zabezpieczających folderach autorun.inf utworzonych via Flash Disinfector. Z drugiej strony, mam wątpliwości.... Jak rozumiem: Avira nie potrafi tego pliku usunąć? Czy to na pewno sytuacja z całkowicie wyłączoną osłoną (niby jest taki odczyt w USBFix)? Odnośnik do komentarza
driven Opublikowano 5 Lutego 2011 Autor Zgłoś Udostępnij Opublikowano 5 Lutego 2011 Usunąłem autorun.inf z wiersza poleceń, usunąłem również SMRTNTKY i plik setupSNK.exe, zrobiłem skanowanie partycji D:\ przy pomocy aviry a wynik w załączniku. Wygląda, że pliku już nie ma. AVSCAN-20110205-171109-4C94D9CD.txt UsbFix02.txt Odnośnik do komentarza
picasso Opublikowano 5 Lutego 2011 Zgłoś Udostępnij Opublikowano 5 Lutego 2011 Coś łatwo poszło, a jeśli łatwo, to może to nie była wcale infekcja tylko ten autorun.inf kreatora sieci. Nie ma to już znaczenia, bo upłynniłeś to wszystko. Wyniki ze skanera Avira: przynajmniej jeden mówi sam za siebie ("Nodfix"), drugi wygląda mi na false positive. Suma sumarum = standardowe kroki na koniec: 1. Pozbycie się kopii i używanych narzędzi oraz sprzątnięcie typowych lokalizacji: W OTL użyj funkcji Sprzątanie Odinstaluj USBFix Wyczyść foldery Przywracania systemu Wyczyść lokalizacje tymczasowe (TFC - Temp Cleaner) 2. Grzeszki aktualizacyjne .... . Odnośnik do komentarza
Rekomendowane odpowiedzi