Powstaniec Opublikowano 13 Grudnia 2018 Zgłoś Udostępnij Opublikowano 13 Grudnia 2018 Witam Po paru latach tutaj znów wracam z infekcją pendrive. Dziś pozwoliłem współlokatorowi sprawdzić coś na pendivie na moim komputerze, podczas gdy jego komputer niedomagał i stało się, infekcja przeniosła się i na mojego pendrive i komputer pewnie też. U mnie Windows 7, u współlokatora Windows 10. Po otworzeniu pendrive pojawia się skrót całego pendrive i dopiero w nim pliki. Avast wykrywa (specjalnie go teraz zainstalowałem), ale nie usuwa i nie naprawia ustrojstwa. Po wyglądzie logów wydaje mi się że sam format pendrive nie rozwiąże problemu, bo siedzi to już w systemie. UsbFix przeniósł to coś do kwarantanny. Dodaje logi USBFix i FRST, przez zrobieniem ich odinstalowałem Daemona jakby co. Nie jestem specjalistą, ale te linijki mi się nie podobają z logów: HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {12cbd8bf-6eb1-11e8-9e98-409f381bf1b4} - G:\AutoRun.exe HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {1654e18e-076c-11e8-b066-409f381bf1b4} - G:\AutoRun.exe HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {41ca3c4a-06ff-11e8-93d9-806e6f6e6963} - D:\AsInsWiz.exe HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {689c6ec4-0ba7-11e8-a09f-409f381bf1b4} - J:\Setup.exe HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {909e4a3f-8fc8-11e8-bf7c-409f381bf1b4} - G:\AutoRun.exe HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {a3df6d83-0710-11e8-9d8b-e32d500c4c1c} - E:\AutoRun.exe HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {a3df6d8a-0710-11e8-9d8b-e32d500c4c1c} - E:\AutoRun.exe HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {c6e56bf8-c0d4-11e8-a11a-806e6f6e6963} - G:\AutoRun.exe HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: {f6b1915c-0c96-11e8-abdd-409f381bf1b4} - G:\AutoRun.exe Pozdrawiam i proszę o pomoc I przepraszam za ten syf plików który może utrudniać czytanie logów :) UsbFix- Report-01.txt FRST.txt Addition.txt UsbFix_Report.txt Odnośnik do komentarza
jessica Opublikowano 13 Grudnia 2018 Zgłoś Udostępnij Opublikowano 13 Grudnia 2018 Niezbyt jasna sytuacja, jak dla mnie. 1) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler VirusTotal: C:\ProgramData\msbnlost.exe HKLM\...\regfile\DefaultIcon: C:\Windows\regedit.exe,1 <==== UWAGA HKLM\...\batfile\DefaultIcon: C:\Windows\SysWow64\imageres.dll,-68 <==== UWAGA Task: {FB1D9001-C5D1-456C-B45C-CD00412D525A} - System32\Tasks\{C6CC7FC2-5DC8-42E6-9D9C-82BC0E63EF40} => C:\Windows\system32\pcalua.exe -a D:\Chessmaster\setup.exe -d D:\Chessmaster Task: {A68BE665-0C8C-445F-84B3-E38EFA25BB8B} - System32\Tasks\{B470EF6D-29D1-4A48-9E28-429B59B0491F} => C:\Windows\system32\pcalua.exe -a F:\Sterowniki\Touchpad_Elantech_Win7_64_Z11509\Setup.exe -d F:\Sterowniki\Touchpad_Elantech_Win7_64_Z11509 Task: {8FCA35DD-721A-441D-AED9-A37CA7C14FDC} - System32\Tasks\{9EF51FF0-BAFC-4714-BB2D-43F780F1DEC8} => C:\Windows\system32\pcalua.exe -a "F:\ISO obrazy płyt gier i systemów\Gothic\Gothic2\gothic2_playerkit26f\gothic2_playerkit-2.6f.exe" -d "F:\ISO obrazy płyt gier i systemów\Gothic\Gothic2\gothic2_playerkit26f" Task: {6DAF3302-A3E5-4FB2-81ED-BF40115C8629} - System32\Tasks\{45D59561-623B-4F30-8044-895DE5F86A1F} => C:\Windows\system32\pcalua.exe -a "E:\Gry\Piranha Bytes\Gothic\Mroczne Tajemnice\Materiały Dodatkowe\gothic1_playerkit-1.08k.exe" -d "E:\Gry\Piranha Bytes\Gothic\Mroczne Tajemnice\Materiały Dodatkowe" Task: {5D2DB993-BB56-4B0E-88EC-912EE9F7C2B2} - System32\Tasks\{05FF0918-3C08-40A3-AA0F-4D021B23AF0C} => C:\Windows\system32\pcalua.exe -a C:\Users\Karol\Desktop\synaptics_touchpad_16.3.9.0\64\Setup.exe -d C:\Users\Karol\Desktop\synaptics_touchpad_16.3.9.0\64 Task: {39EA2171-DCD2-4192-8C63-FFA15650F9A3} - System32\Tasks\{162E50A7-EA0F-476C-AEF1-F9A6D0F2A26E} => C:\Windows\system32\pcalua.exe -a "F:\ISO obrazy płyt gier i systemów\Gothic\Gothic1\gothic1_playerkit108k\gothic1_playerkit-1.08k\gothic1_playerkit-1.08k.exe" -d "F:\ISO obrazy płyt gier i systemów\Gothic\Gothic1\gothic1_playerkit108k\gothic1_playerkit-1.08k" S3 cpuz143; \??\C:\Windows\temp\cpuz143\cpuz143_x64.sys [X] HKLM-x32\...\RunOnce: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Daj z tego raport. 2) Nowe wersje USBFixa są niezbyt przydatne, delikatnie mówiąc, więc ściągnij starą wersję stąd > http://www.mediafire.com/file/kqbuu17k266ey14/UsbFix_9.067.exe/file Użyj go z opcji CLEAN, oczywiście podpiętymi pendrivami. jessi Odnośnik do komentarza
Powstaniec Opublikowano 13 Grudnia 2018 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2018 Zrobione, komputer zrestartowany, foldery na pendrive zostały przesunięte z jak dotychczas "K:\skrót_K\pliki" na "K:\pliki" chociaż dziwny plik bez nazwy pozostał. Fixlog.txt UsbFix_Report.txt Odnośnik do komentarza
jessica Opublikowano 13 Grudnia 2018 Zgłoś Udostępnij Opublikowano 13 Grudnia 2018 Cytat VirusTotal: C:\ProgramData\msbnlost.exe => (3) Błąd Sprawdź, czy jest ten plik - nie wiem, dlaczego FRST nie mógł sprawdzić tego pliku. Cytat dziwny plik bez nazwy pozostał. Plik, czy folder? Sprawdź, czy wszystko na pendrive masz już widoczne? Jeśli masz wszystko, to ten folder bez nazwy usuń przez SHIFT+DEL. Cytat K:\.Trash-1000 Jest bardzo dużo obiektów w Koszu (Trash) - czy sam je tam usunąłeś? Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler CMD: attrib /d /s -r -s -h K:\FOUND.* CMD: for /d %f in (K:\FOUND.*) do rd /s /q "%f" Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). jessi Odnośnik do komentarza
Powstaniec Opublikowano 13 Grudnia 2018 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2018 1. Program Data jest jako ukryty a msbnlost.exe nie ma go. 2. Folder, usunąłem go 3. Też mnie to dziwiło że jeszcze coś takiego jest - są tam dawno usunięte pliki z starych projektów. Te dziwne wpisy w rejestrze z HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: to było coś związanego z infekcją czy coś innego? Fixlog.txt Odnośnik do komentarza
jessica Opublikowano 13 Grudnia 2018 Zgłoś Udostępnij Opublikowano 13 Grudnia 2018 Cytat Te dziwne wpisy w rejestrze z HKU\S-1-5-21-3225201627-2190115873-3201683631-1000\...\MountPoints2: to było coś związanego z infekcją czy coś innego? To klucze mapowania pamięci przenośnych (pendrive). Nie widzę w nich niczego podejrzanego. Cytat 3. Też mnie to dziwiło że jeszcze coś takiego jest - są tam dawno usunięte pliki z starych projektów. Jeśli widzisz ten Trash, to spróbuj go opróżnić z prawokliku. jessi Odnośnik do komentarza
Powstaniec Opublikowano 13 Grudnia 2018 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2018 Tak, widzę ten folder, usunięty. Wszystko naprawione. Dzięki za pomoc. Współlokatorowi poleciłem wyczyszczenie pendrive USBFix, mam nadzieję że nie będzie niczym teraz zarażał. PS: Nie zaglądałem tu długi czas, a widzę że forum fajnie się rozwija, pogratulować i jeszcze raz podziękować :) Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się