Skocz do zawartości

Autorun.inf na partycji D:\


Rekomendowane odpowiedzi

Witam :)

 

Nie skanowałem niczym ale wpadł mi w ręce komputer gdzie avira komunikuje o blokadzie pliku D:\AUTORUN.INF więc podejrzewam jakiegoś wirka z pendrive dlatego proszę o sprawdzenie logów.

Druga sprawa, to search bar, który ktoś nieuważnie zainstalował z Foxit Readerem. Odinstalowałem go poprzez dodaj usuń programy, ale nie wiem czy to wystarczy i czy jakieś śmieci po tym nie zostały, więc proszę o radę i w tej kwestii.

 

Jakiś krótki wyszedł mi raport Gmera, nie wiem czy wszystko poszło jak powinno.

 

Pozdrawiam

 

 

.

OTL.Txt

Extras.Txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W tych logach nie widać żadnych śladów czynnej infekcji, a GMER pokazuje jedynie resztówki po infekcji w MBR (nieaktywne ślady w sektorze 61, na których nie podejmuje się żadnych akcji). OTL nie potrafi w ogóle pobrać danych o autorun.inf z punktowanego dysku:

 

O32 - Unable to obtain root file information for disk D:\

Przypuszczalnie blokuje to Avira. I może to być coś w ten deseń: KLIK (wirus Sality).

 

1. Zablokuj interpretację autorun.inf poprzez metodę realizowaną w Panda USB Vaccine i zresetuj komputer.

2. Poluzuj strażnik Avira i nie wchodź w ogóle na dysk D żadną z metod.

3. Zrób dir z wszystkich dysków narzędziem USBFix z opcji Listing.

 

 

Druga sprawa, to search bar, który ktoś nieuważnie zainstalował z Foxit Readerem. Odinstalowałem go poprzez dodaj usuń programy, ale nie wiem czy to wystarczy i czy jakieś śmieci po tym nie zostały, więc proszę o radę i w tej kwestii.

 

Po tym zostały nieistotne drobnostki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-1409082233-746137067-839522115-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
[2011-01-30 23:19:18 | 000,000,185 | ---- | C] () -- C:\Documents and Settings\All Users\Pulpit\eBay.url
[2011-01-30 23:19:18 | 000,000,185 | ---- | C] () -- C:\Documents and Settings\All Users\Menu Start\Programy\eBay.url

Klik w Wykonaj skrypt. Poleci błyskiem. I tyle w kwestii odpadków po sponsorze.

 

 

PS. I grzechy aktualizacyjne.

 

.

Odnośnik do komentarza

Sytuacja dzwoni podobnym odczynnikiem jak w tamtym temacie, czyli ja tu widzę tylko zerowy autorun.inf (zerowy, bo przypuszczalnie jest zablokowany przez antywirusa, który powstrzymuje wykonanie i ekstrakcję innych składników):

 

[09/01/2011 - 20:57:04 | A | 0]     D:\AUTORUN.INF

Nie jestem pewna co o tym sądzić, bo na dysku D znajduje się także folder SMRTNTKY i plik setupSNK.exe, czyli składowe Kreatora sieci bezprzewodowej (KB878475) i w tym zestawie powinien być plik autorun.inf (mający m.in. definicję ikonki sieci bezprzewodowej)... Avira nie ma dostatecznej precyzji na autorun.inf, nie dalej niż kilka dni temu był tu temat, gdzie uporczywie zgłaszała zagrożenie na zabezpieczających folderach autorun.inf utworzonych via Flash Disinfector. Z drugiej strony, mam wątpliwości.... Jak rozumiem: Avira nie potrafi tego pliku usunąć? Czy to na pewno sytuacja z całkowicie wyłączoną osłoną (niby jest taki odczyt w USBFix)?

Odnośnik do komentarza

Coś łatwo poszło, a jeśli łatwo, to może to nie była wcale infekcja tylko ten autorun.inf kreatora sieci. Nie ma to już znaczenia, bo upłynniłeś to wszystko. Wyniki ze skanera Avira: przynajmniej jeden mówi sam za siebie ("Nodfix"), drugi wygląda mi na false positive. Suma sumarum = standardowe kroki na koniec:

 

1. Pozbycie się kopii i używanych narzędzi oraz sprzątnięcie typowych lokalizacji:

 

  • W OTL użyj funkcji Sprzątanie
  • Odinstaluj USBFix
  • Wyczyść foldery Przywracania systemu
  • Wyczyść lokalizacje tymczasowe (TFC - Temp Cleaner)

2. Grzeszki aktualizacyjne .... :P

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...