Infekcja z pendrive

Aku1 · 9 Lipca 2011

Witam serdecznie,

Ojciec skarży się na to, że czasem, gdy przenosi pliki ze swojego pendrive na inny komputer to oprogramowanie tego komputera wykrywa mu wirusa na pendrive. W związku z tym usunąłem mu odpowiednie pliki (autorun.inf + pliki w RECYCLER) oraz całkowicie wyłączyłem mu parsowanie plików autorun.inf (metoda 2) wg tego poradnika: https://www.fixitpc.pl/topic/56-zabezpieczenia-infekcje-z-pendrive-mediow-przenosnych/.

W związku z tym chciałem się upewnić czy mu coś jeszcze zostało w komputerze w związku z powyższą infekcją

---EDIT---

Zapomniałem dopisać, że nie zauważyłem żadnych dziwnych objawów na komputerze

---EDIT---

Logi GMER:

GMER 1.0.15.15640 - http://www.gmer.net

Rootkit scan 2011-07-09 14:58:22

Windows 5.1.2600 Dodatek Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-4 HTS541080G9AT00 rev.MB4OA60A

Running: w8il9oe8.exe; Driver: C:\DOCUME~1\Krzysiek\USTAWI~1\Temp\uxtdapow.sys

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF7EC9360, 0x213A6D, 0xE8000020]

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Logi z Security Check:

Results of screen317's Security Check version 0.99.17

Windows XP Service Pack 3

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

AVG 8.5

```````````````````````````````

Anti-malware/Other Utilities Check:

Ad-Aware

NI Spy 2.2.0f0

HijackThis 2.0.2

Flash Player Out of Date!

Adobe Flash Player 10.0.45.2

Mozilla Firefox (x86 pl..)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Ad-Aware AAWService.exe

Ad-Aware AAWTray.exe is disabled!

AVG avgwdsvc.exe

AVG avgtray.exe

AVG avgrsx.exe

AVG avgnsx.exe

AVG avgemc.exe

``````````End of Log````````````

Dziękuję i serdecznie pozdrawiam!

OTL.Txt

Extras.Txt

picasso · 10 Lipca 2011

W systemie nie notuję czynnych składników infekcji, ale są wpisy mapowania podpinanych zainfekowanych nośników USB:

O33 - MountPoints2\{0cff43b2-5e4d-11dd-ab01-0018de74fae0}\Shell - "" = AutorunO33 - MountPoints2\{0cff43b2-5e4d-11dd-ab01-0018de74fae0}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL start.exe
O33 - MountPoints2\{0f483a78-a849-11df-b091-0018de74fae0}\Shell - "" = AutoRun
O33 - MountPoints2\{0f483a78-a849-11df-b091-0018de74fae0}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{117c9a5a-a886-11de-ad11-000ea6f8314a}\Shell - "" = AutoRun
O33 - MountPoints2\{117c9a5a-a886-11de-ad11-000ea6f8314a}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{6e4b47e6-bee7-11de-ad55-000ea6f8314a}\Shell - "" = AutoRun
O33 - MountPoints2\{6e4b47e6-bee7-11de-ad55-000ea6f8314a}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs
O33 - MountPoints2\{6e4b47e7-bee7-11de-ad55-000ea6f8314a}\Shell\AutoRun\command - "" = G:\USBNB.exe
O33 - MountPoints2\{b38f91c0-f14d-11de-ae1d-0018de74fae0}\Shell - "" = AutoRun
O33 - MountPoints2\{b38f91c0-f14d-11de-ae1d-0018de74fae0}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{b38f91c1-f14d-11de-ae1d-0018de74fae0}\Shell - "" = AutoRun
O33 - MountPoints2\{b38f91c1-f14d-11de-ae1d-0018de74fae0}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{b68b975a-a63f-11df-b08f-0018de74fae0}\Shell - "" = AutoRun
O33 - MountPoints2\{b68b975a-a63f-11df-b08f-0018de74fae0}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{c231b35a-e006-11de-addc-0018de74fae0}\Shell - "" = AutoRun
O33 - MountPoints2\{c231b35a-e006-11de-addc-0018de74fae0}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
O33 - MountPoints2\{ca84f8fe-d427-11de-adad-0018de74fae0}\Shell\AutoRun\command - "" = F:\ZABORAVI/nikada.exe
O33 - MountPoints2\{ca84f8fe-d427-11de-adad-0018de74fae0}\Shell\explore\command - "" = F:\ZABORAVI/nikada.exe
O33 - MountPoints2\{ca84f8fe-d427-11de-adad-0018de74fae0}\Shell\open\command - "" = F:\ZABORAVI/nikada.exe
O33 - MountPoints2\{e8d42bb2-60e1-11df-afb7-0018de74fae0}\Shell - "" = AutoRun
O33 - MountPoints2\{e8d42bb2-60e1-11df-afb7-0018de74fae0}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a
O33 - MountPoints2\{e8d42bb3-60e1-11df-afb7-0018de74fae0}\Shell\AutoRun\command - "" = G:\p6xebrnt.exe
O33 - MountPoints2\{e8d42bb3-60e1-11df-afb7-0018de74fae0}\Shell\open\Command - "" = G:\p6xebrnt.exe
O33 - MountPoints2\{fbaed94e-e67f-11de-adf4-0018de74fae0}\Shell - "" = AutoRun
O33 - MountPoints2\{fbaed94e-e67f-11de-adf4-0018de74fae0}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{fbaed94f-e67f-11de-adf4-0018de74fae0}\Shell - "" = AutoRun
O33 - MountPoints2\{fbaed94f-e67f-11de-adf4-0018de74fae0}\Shell\AutoRun\command - "" = G:\AutoRun.exe

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
"{C4069E3A-68F1-403E-B40E-20066696354B}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
 
:Files
C:\WINDOWS\tasks\At*.job
C:\FOUND.*
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt i system będzie restartował. Gdy OTL ukończy zadanie, użyj w nim opcji Sprzątanie.

2. Aktualizacje oprogramowania:

========== HKEY_LOCAL_MACHINE Uninstall List ========== 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0
"{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}" = Ad-Aware 2007
"{E84E470E-F672-45E2-8058-BA1F5A7CAFF0}" = OpenOffice.org 2.0.2
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"AVG8Uninstall" = AVG 8.5

- Oprogramowanie zabezpieczające: Jest tu zainstalowana stara wersja AVG. Odinstaluj ją i wstaw najnowszą edycję AVG Anti-Virus Free Edition 2011. Stary Ad-Aware 2007 do całkowitej deinstalacji. Program zbędny w układzie z AVG.

- Pozostałe zakreślone programy do aktualizacji: INSTRUKCJE.

3. Na koniec wyczyść foldery Przywracania systemu: INSTRUKCJE.

Ojciec skarży się na to, że czasem, gdy przenosi pliki ze swojego pendrive na inny komputer to oprogramowanie tego komputera wykrywa mu wirusa na pendrive. W związku z tym usunąłem mu odpowiednie pliki (autorun.inf + pliki w RECYCLER) oraz całkowicie wyłączyłem mu parsowanie plików autorun.inf (metoda 2)

Warto jeszcze zimmunizować sam pendrive per se za pomocą Panda USB Vaccine z opcji USB Vaccination, co utworzy zablokowany sfałszowany plik autorun.inf na pendrive.

.

Edytowane 23 Października 2011 przez picasso
12.08.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Infekcja z pendrive

Rekomendowane odpowiedzi

Aku1

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność