SafeGroupBezpieczeństwoPomoc po zainfekowaniu v
Proszę o pomoc z wirusem na pamięciach przenośnych

Tryby wyświetlania wątku
Proszę o pomoc z wirusem na pamięciach przenośnych
endzin Offline
Nowicjusz
Liczba postów: 1
Liczba wątków: 1
Dołączył: 18.01.2014
Reputacja: 0
#1
18.01.2014, 08:29
Objawy zainfekowania:
Cześć. Problem pojawia się przy podłączaniu do komputera jakiejkolwiek pamięci usb i kart sd. Przypuszczam, że jeden pendrive mógł zostać zainfekowany na uczelnianym komputerze, bo sytuacja powtarza się od czasu gdy tam z niego korzystałam. Wirus zamienia wszystkie pliki na skróty, dodaje nowe pliki o dziwnych nazwach i uniemożliwia otworzenie czegokolwiek z pamięci.

Wykonywane działania:
Avast nie wykrywa niczego bezpośrednio na laptopie, a przy podłączeniu np. karty z aparatu znajduje trojana, przenosi go do kwarantanny, a karta nie chce działać. Skorzystałam z OTL i FRST w czasie gdy karta była w komputerze, ale problem pojawia się też przy podłączaniu dwóch pendrive''ów.

Logi:
OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]


FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Szukaj
Odpowiedz
Fix00ser Offline
Dyskutant
Liczba postów: 302
Liczba wątków: 19
Dołączył: 22.02.2011
Reputacja: 60
#2
18.01.2014, 14:20 (Ten post był ostatnio modyfikowany: 04.05.2017, 08:41 przez Fix00ser.)
Najszybsza metoda to użycie dystro Live CD z Linuksem na pokładzie np UltimateBootCD ,

[Aby zobaczyć linki, zarejestruj się tutaj]

Na pokładzie tego krążka znajduje się ostatnia wersja free Parted Magic czyli autonomicznego systemu linuksowego z przeznaczeniem do operacji na nośnikach danych,
używając domyślnego menagera plików lub <mc> Midnight Commander wchodzimy do ukrytego katalogu w którym
znajdują się dane i kopiujemy na inny nośnik po wykonaniu procedury zabezpieczenia danych pen wystarczy sformatować i przekopiować dane ponownie

[Aby zobaczyć linki, zarejestruj się tutaj]

Po tych procedurach wykonałbym lustro tego pena np w TestDisklub USB Image Tool i polecam trzymać do następnych infekcji
przywleczonej z uczelni

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Zaproponowane metody stosuję często dla moich córek i znajomych ponieważ z uczelni także notorycznie przywlekają
nieproszonych gości na mobilnych nośnikach
Oczywiście w moim przypadku nie muszę dodatkowo usuwać robaków z systemu ponieważ Tux-y są odporne na tego typu infekcje
Szukaj
Odpowiedz
tachion Offline
Ekipa forum
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja: 507
#3
18.01.2014, 21:31
Podłącz pendrive do komputera,ściągnij UsbFix

[Aby zobaczyć linki, zarejestruj się tutaj]

uruchom i kliknij opcję listing,następnie przedstaw wyświetlony log na forum.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
HKCU\...\Run: [iTunesHelper] - C:\Users\Ania\AppData\Local\Temp\iTunesHelper.vbe [69554284 2013-12-19] () <===== ATTENTION
AppInit_DLLs: c:\progra~2\bitguard\271832~1.68\{c16c1~1\bitguard.dll [ ] ()
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wyborcza.pl/0,0.html?p=110
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL =
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
BHO: No Name - {27B4851A-3207-45A2-B947-BE8AFE6163AB} -No File
BHO: No Name - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -No File
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0032-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_32-windows-i586.cab
S2 DgiVecp; \??\C:\windows\system32\Drivers\DgiVecp.sys [x]
S3 LgBttPort; system32\DRIVERS\lgbtport.sys [x]
S3 lgbusenum; system32\DRIVERS\lgbtbus.sys [x]
S3 LGVMODEM; system32\DRIVERS\lgvmodem.sys [x]
S3 massfilter_lte; \??\C:\windows\system32\drivers\massfilter_lte.sys [x]
S3 zgdcat; system32\DRIVERS\zgdcat.sys [x]
S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [x]
S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [x]
S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [x]
S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [x]
C:\windows\system32\GPhotos.scr
C:\Users\Ania\AppData\Local\Temp\iTunesHelper.vbe
C:\ProgramData\PKP_DLeo.DAT
C:\ProgramData\PKP_DLes.DAT
C:\Users\Ania\AppData\Local\Temp\gg10.upgr.exe
C:\Users\Ania\AppData\Local\Temp\jre-7u51-windows-i586-iftw.exe
AlternateDataStreams: C:\ProgramData\TEMP:A11EF047
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""=""
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f


Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

W Google Chrome pasku adresu wpisz chrome//settings/,następnie na dole klik pokaż ustawienia zaawansowane,zjedź ponownie na sam dół i klik zresetuj ustawienia przeglądarki.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaji następnie Usuń
pokaż raport
Szukaj
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości