Pendrive... Sality...

[dragolice]

Witam. Podpiąłem do komputera pendrive zainfekowanego wirusem sality (znowu... ) .Po podpięciu wyskoczył komunikat że urządzenie jest gotowe i żeby korzystać z pendrive muszę ponownie uruchomić kompa (to normalne?). Avira usunęła szkodniki ale nie wiem czy tam jakiejś infekcji w sterownikach nie ma...

Wiem że od sterowników jest GMER, najwcześniej jednak dorzucę go jutro. Przepraszam że tak po łebkach.

Dziękuję za pomoc.

Pzdr.

 

BTW. Znacie może jakiś trick na wyłączenie auto odtwarzania dla urządzeń usb ? Co podłączę pendriva to mi infekuje odrazu zanim zacznę go skanować...

 

OTL.Txt

Extras.Txt

[picasso]

"Jutro" nadeszło, a loga z GMER nie ma. W OTL nie ma znaków infekcji w stanie czynnym, aczkolwiek OTL nie podaje zawartości innych dysków niż systemowy, a jest tu sporo dodatkowych:

 

Drive C: | 48,83 Gb Total Space | 35,29 Gb Free Space | 72,27% Space Free | Partition Type: NTFS
Drive D: | 9,77 Gb Total Space | 7,69 Gb Free Space | 78,73% Space Free | Partition Type: NTFS
Drive E: | 51,39 Gb Total Space | 24,79 Gb Free Space | 48,24% Space Free | Partition Type: NTFS
Drive F: | 48,83 Gb Total Space | 28,47 Gb Free Space | 58,30% Space Free | Partition Type: NTFS
Drive I: | 19,53 Gb Total Space | 19,47 Gb Free Space | 99,67% Space Free | Partition Type: NTFS
Drive J: | 45,23 Gb Total Space | 38,60 Gb Free Space | 85,34% Space Free | Partition Type: NTFS

Zakładam jednak, że Avira się zajęła sprawą. Widać tylko oczywiste mapowanie powstałe po podpięciu "Konia trojańskiego USB":

 

O33 - MountPoints2\{59e6764a-4004-11e0-b707-00a1e00024aa}\Shell\AuToPlAy\comMaND - "" = K:\saup.pif
O33 - MountPoints2\{59e6764a-4004-11e0-b707-00a1e00024aa}\Shell\AutoRun\command - "" = K:\saup.pif
O33 - MountPoints2\{59e6764a-4004-11e0-b707-00a1e00024aa}\Shell\exPLoRE\COmMANd - "" = K:\saup.pif
O33 - MountPoints2\{59e6764a-4004-11e0-b707-00a1e00024aa}\Shell\Open\ComMaNd - "" = K:\saup.pif

Start > Uruchom > regedit i skasuj klucz:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2

 

 

BTW. Znacie może jakiś trick na wyłączenie auto odtwarzania dla urządzeń usb ? Co podłączę pendriva to mi infekuje odrazu zanim zacznę go skanować...

 

Które z tych KLIK działań wykonywałeś? Edycja rejestru @SYS:DoesNotExist (wykonana ręcznie przez podany import rejestru lub automatycznie przez Panda USB Vaccine w opcji Computer Vaccination) powinna być skuteczna. Autorun.inf w ogóle nie jest czytany przez system.

 

 

 

PS. Zaktualizuj Java do najnowszej wersji (INSTRUKCJE).

 

 

.

[dragolice]

"Jutro" nadeszło, a loga z GMER nie ma.

 

Już uzupełniam.

 

gmer.txt

 

Dodaję jeszcze logi z aviry:

 

Exported events:

 

2011-02-24 17:21 [scanner] Malware found

The file 'K:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx'

contained a virus or unwanted program 'WORM/Conficker.O' [worm]

Action(s) taken:

The file was moved to '4dcd8608.qua'!

 

2011-02-24 17:21 [scanner] Scan

Scan ended [The scan has been done completely.].

Number of files: 375

Number of folders: 6

Number of malware: 7

Number of errors: 0

 

2011-02-24 17:21 [scanner] Malware found

The file 'K:\hsvp.exe'

contained a virus or unwanted program 'W32/Sality.Y' [virus]

Action(s) taken:

The file was moved to '4ddc8601.qua'!

 

2011-02-24 17:21 [scanner] Malware found

The file 'K:\EXPLORER.EXE'

contained a virus or unwanted program 'W32/Sality.S' [virus]

Action(s) taken:

The file was moved to '4db685e5.qua'!

 

2011-02-24 17:21 [scanner] Malware found

The file 'K:\mpcstar_4.9_setup.exe'

contained a virus or unwanted program 'W32/Sality.Y' [virus]

Action(s) taken:

The file was moved to '4dc985fe.qua'!

 

2011-02-24 17:21 [scanner] Malware found

The file 'K:\saup.pif'

contained a virus or unwanted program 'W32/Sality.Y' [virus]

Action(s) taken:

The file was moved to '4ddb85ef.qua'!

 

2011-02-24 17:21 [scanner] Malware found

The file 'K:\Start.exe'

contained a virus or unwanted program 'W32/Sality.Y' [virus]

Action(s) taken:

The file was moved to '4dc78601.qua'!

 

2011-02-24 17:21 [scanner] Malware found

The file 'K:\qxgv.pif'

contained a virus or unwanted program 'W32/Sality.Y' [virus]

Action(s) taken:

The file was moved to '4dcd8605.qua'!

 

Start > Uruchom > regedit i skasuj klucz:

 

Zrobione.

 

Które z tych KLIK działań wykonywałeś?

 

Szczerze mówiąc to wcześniej żadnego. @SYS:DoesNotExist już zaimportowany.

 

Javę oczywiście zaktualizuję.

 

Wielkie dzięki za sprawdzenie logów.

Pzdr.

[picasso]

Żadnego oczywistego problemu tu nie widzę. Avira okazała się skuteczną barierą, wprowadziłeś zabezpieczenie i nie mam czym tu się zajmować.

[dragolice]

W takim razie zostaje mi tylko jeszcze raz podziękować

 

Mam jeszcze maleńką prośbę, mianowicie w panelu sterowania pojawiło się takie coś:

 

 

Co z tym zrobić?

[picasso]

Google twierdzi, że "InfoPage Class" to odpadek po wadliwej instalacji oprogramowania karty graficznej nVidia (nView) .... Nie jestem w stanie tego potwierdzić, ale wydaje mi się to logicznym wyjaśnieniem i moim zdaniem można to usuwać z Panelu sterowania.

 

Start > Uruchom > regedit i w kluczu:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace

 

Szukaj na kasację podklucza {klasy} która pasuje do InfoPage Class.

 

 

 

.

[dragolice]

Nie za bardzo wiem który podklucz by pasował do tego. Może Ty coś znajdziesz?

 

Namespace.txt

[picasso]

Wg mnie to właśnie ten wpis nVidia:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace\{002B9E07-2E10-438F-AF1E-40E6A96F1EE4}]
@="NVIDIA nView Desktop Manager"

Wyeksportuj ten klucz {002B9E07-2E10-438F-AF1E-40E6A96F1EE4} do kopii zapasowej, następnie usuń, przeładuj system i sprawdź skutki wizualne w Panelu sterowania.

[dragolice]

Jak zawsze strzał w dziesiątkę Usunęło się bez restartu.

Dzięki.

 

Można zamknąć.