+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html)
+--- Wątek: Problem z autorun.inf (/thread-4772.html)
Problem z autorun.inf - damek25 - 20.05.2012
Witam
Przeleciałem komputer Combofixem, niestety nie pousuwał autorun.inf i przyporządkowanych plików .exe. Załączam logi z OTL i Combofixa. Z góry dziękuję za pomoc.
Re: Problem z autorun.inf - Waves - 20.05.2012
Przeskauj na
[Aby zobaczyć linki, zarejestruj się tutaj]
:Kod:
C:\Windows\Memdirt9.exe
C:\Users\DameK\AppData\Local\Temp\mbr.sysDo OTL w własne pole skanowania/skrypt wklej:
Kod:
:Processes
Killallprocesses
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\ZDPNDIS4.SYS -- (ZDPNDIS4)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\cinemsup.sys -- (Cinemsup)
O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found.
:Commands
[EMPTYFLASH]
[EMPTYTEMP]Wykonaj skrypt. Pokaż log z usuwania.
Znasz ten plik ? :
Kod:
C:\tnij.exePobierz USB Fix ->
[Aby zobaczyć linki, zarejestruj się tutaj]
,Podepnij wszystkie pendrive, karty pamięci do komputera i w programie opcja reserach
Wszystkie logi daj na
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: Problem z autorun.inf - Chakra - 21.05.2012
Skąd wzięty skrypt:
Kod:
FILE ::
"C:\autorun.inf"
"C:\cksk.exe"
"C:\jcyhue.pif"
"D:\aercp.exe"
"D:\autorun.inf"
"E:\acxln.exe"
"E:\autorun.inf"
"E:\fgwytt.pif"
"F:\autorun.inf"
"F:\ponmu.exe"
"F:\ymvwuh.exe"
"J:\autorun.inf"
"J:\pguyw.exe"?
Nie rozumiem też, dlaczego Wavespróbuje usuwać te wpisy:
Kod:
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\ZDPNDIS4.SYS -- (ZDPNDIS4)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\cinemsup.sys -- (Cinemsup)Odnoszą się one do plików systemowych i to DRV - File not foundw tym przypadku jest poprawne. Nie wykonuj więc tamtego skryptu, w zamian wykonaj ten:
Kod:
:OTL
O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found.
O4 - HKLM..\Run: [WinLogent9] C:\Windows\Memdirt9.exe ()
:Files
C:\Users\DameK\AppData\Local\Temp\mbr.sys
:Services
mbr
:Commands
[emptytemp]Wykonaj skrypt,pokaż raport.
Uruchom OTL ponownie i wklej:
Kod:
netsvcsSkanuj,pokaż log.
Tą część posta:
Cytat:
Znasz ten plik ? :
Kod:C:\tnij.exe
Pobierz USB Fix ->[Aby zobaczyć linki, zarejestruj się tutaj]
,
Podepnij wszystkie pendrive, karty pamięci do komputera i w programie opcja reserach
Wykonaj.
Pokaż jeszcze log z
[Aby zobaczyć linki, zarejestruj się tutaj]
.Re: Problem z autorun.inf - damek25 - 26.05.2012
@Waves97
tnij.exe jest jednym z plików zainfekowanych. Akurat litery ułożyły się w polski wyraz.
C:\Users\DameK\AppData\Local\Temp\mbr.sys nie mogłem dodać do
[Aby zobaczyć linki, zarejestruj się tutaj]
bo jest to plik ukryty a okno wyboru pliku na tej stronie nie pokazuje takich plików ;/Logi:
[Aby zobaczyć linki, zarejestruj się tutaj]
____________________________________________
@Chakra
Cytat: Skąd wzięty skrypt:
Kod: Zaznacz cały
FILE ::
"C:\autorun.inf"
"C:\cksk.exe"
"C:\jcyhue.pif"
"D:\aercp.exe"
"D:\autorun.inf"
"E:\acxln.exe"
"E:\autorun.inf"
"E:\fgwytt.pif"
"F:\autorun.inf"
"F:\ponmu.exe"
"F:\ymvwuh.exe"
"J:\autorun.inf"
"J:\pguyw.exe"
?
Sam dodałem skrypt do Combofixa wpisując wszystkie pliki zainfekowane, które znalazłem na wszystkich partycjach. Ale niestety nie pomogło.
Logi:
[Aby zobaczyć linki, zarejestruj się tutaj]
Dzięki wszystkim za pomoc.
Re: Problem z autorun.inf - ReviewsAntivirus - 26.05.2012
damek25 napisał(a):C:\Users\DameK\AppData\Local\Temp\mbr.sys nie mogłem dodać do[Aby zobaczyć linki, zarejestruj się tutaj]
bo jest to plik ukryty a okno wyboru pliku na tej stronie nie pokazuje takich plików ;/
Logi:[Aby zobaczyć linki, zarejestruj się tutaj]
Pokazuje, ale musisz w Opcjach folderu włączyć pokazywanie plików ukrytych.
Re: Problem z autorun.inf - damek25 - 02.06.2012
Akurat virustotal.com nie dodaje nawet pomimo ustawienia opcji Pokazuj ukryte pliki i foldery. Czy możemi ktoś konkretnie odpowiedzieć na posta i podać solucję? Komputer zawirusowany jak wagina teściowej. Ile można czekać... do wyklucia obcych?
Re: Problem z autorun.inf - Waves - 02.06.2012
Skoro Chakra wskazła Ci odpowiedni skrypt to powinna dokończyć , dlatego poczekaj na jej odpowiedź
Re: Problem z autorun.inf - zord - 02.06.2012
Pobierz
[Aby zobaczyć linki, zarejestruj się tutaj]
Przeskanuj i usuń z tym że program jest podatny na fałszywe wiec radze uważaćRe: Problem z autorun.inf - Street - 02.06.2012
Ja bym pomęczył HitmanemPro oraz CCE tego aliena
Re: Problem z autorun.inf - tommyklab - 02.06.2012
damek25 napisał(a):C:\Users\DameK\AppData\Local\Temp\mbr.sys nie mogłem dodać do[Aby zobaczyć linki, zarejestruj się tutaj]
bo jest to plik ukryty a okno wyboru pliku na tej stronie nie pokazuje takich plików ;/
Total Commander twoim lekarstwem, trzeba zaznaczyć najpierw że ma pokazywać ukryte.
Re: Problem z autorun.inf - KaMiL - 02.06.2012
damek25 napisał(a):C:\Users\DameK\AppData\Local\Temp\mbr.sys nie mogłem dodać do[Aby zobaczyć linki, zarejestruj się tutaj]
bo jest to plik ukryty a okno wyboru pliku na tej stronie nie pokazuje takich plików ;/
[/quote]
Wejdź w dysk C kliknij u góry Organizuj, potem Opcje folderów i wyszukiwania, zakładka Widok i zaznacz Pokaż ukryte pliki, foldery i dyski.
Re: Problem z autorun.inf - damek25 - 03.06.2012
No kutwa, przecież piszę, że virustotal nie dodaje plików ukrytych w oknie wyboru, pomimo zaznaczenia opcji w ustawieniach folderów Windows. Total Commander mam ustawiony od zawsze na pokazywanie plików ukrytych i systemowych. Nie wiem czemu virustotal tak się zachowuje ale czy uważacie, że to jest krytyczny program do naprawienia problemu z tym wirusem? Znam się na komputerach więc proszę nie pisać podstawowych rzeczy, dla lamerów, tylko konkretne rozwiązania. Wiem, że chcecie pomóc ale po to utworzyłem wątek, żeby uzyskać rozwiązanie a nie dyskusję do pogadania, po to chyba jest to forum, tak?
Re: Problem z autorun.inf - ReviewsAntivirus - 03.06.2012
Wyślij mi ten plik na PW to zeskanuję sam
Re: Problem z autorun.inf - KaMiL - 03.06.2012
ok, sorry, nie zauwazylem, ze poinformowales, ze zaznaczyles opcje ukrytych folderow. Albo czekasz na sprawdzenie logow przez Chakre albo skanujesz skanerami, ktore podali koledzy wyzej. Uzyles w koncu USBFix?
Poza tym jesli jestes taki obeznany, to mogles pomyslec i skopiowac ukryty plik na pulpit i potem zeskanowac na VT
Re: Problem z autorun.inf - grzechu1999 - 03.06.2012
Wejdz we właściwości pliku i odznacz opcję "Ukryty".
Re: Problem z autorun.inf - zord - 03.06.2012
dajcie już spokój z tym skanowaniem na vt sama lokalizacja wskazuje że co by to nie było jest do usunięcia
Re: Problem z autorun.inf - damek25 - 03.06.2012
kamil10506 napisał(a):ok, sorry, nie zauwazylem, ze poinformowales, ze zaznaczyles opcje ukrytych folderow. Albo czekasz na sprawdzenie logow przez Chakre albo skanujesz skanerami, ktore podali koledzy wyzej. Uzyles w koncu USBFix?
Poza tym jesli jestes taki obeznany, to mogles pomyslec i skopiowac ukryty plik na pulpit i potem zeskanowac na VT
Logi podałem w moim drugim poście, wystarczy otworzyć i przeczytać. Masz rację, mogłem skopiować plik i go poddać skanowi ale jak napisał @zord to JEST plik zainfekowany więc trzeba zapodać , skrypt, który to usunie a nie się zastanawiać czy tak trzeba
Czekam na odpowiedź i pozdrawiam wszystkich zaangażowanych.
Re: Problem z autorun.inf - Flash999 - 03.06.2012
Ależ rozwlekliście ten wątek...
Do OTL:
Kod:
:OTL
:Files
C:\Users\DameK\AppData\Local\Temp\mbr.sysKliknij wykonaj skrypt i daj nowy log.
Re: Problem z autorun.inf - tommyklab - 03.06.2012
Lub jak znasz ścieżki do malware to wrzucasz je do SFP:
[Aby zobaczyć linki, zarejestruj się tutaj]
Programik pakuje też ukryte, systemowe i z system volume information
[Aby zobaczyć linki, zarejestruj się tutaj]
Plik .cab z pulpitu przesyłasz do labu, albo na forum sg