Witam,
mam infekcję pendrive'ie. Mam plik autorun oraz ws.exe ktorego nie mogę usunąć. Pewnie komp też jest już zainfekowany.
Bardzo proszę o sprawdzenie loga i pomoc.
Log z OTL
http://www.wklej.eu/index.php?id=e6e6825468
Log z HijackThis
http://www.wklej.eu/index.php?id=b53871b1d7
Mam infekcję pendrive'ie. Plik autorun oraz ws.exe...
Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
1. Każdy temat powinien odzwierciedlać treść wątku.
2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
6 posty(ów)
• Strona 1 z 1
Mam infekcję pendrive'ie. Plik autorun oraz ws.exe...
przez moonka_km » 06 Kwi 2010, 11:20
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 (.NET CLR 3.5.30729)
- moonka_km
- Forumowicz
- Posty: 5
- Dołączenie: 29 Paź 2008, 09:44
Re: Proszę o sprawdzenie loga z HijackThis oraz OTL
przez mateo8898 » 06 Kwi 2010, 13:27
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: Proszę o sprawdzenie loga z HijackThis oraz OTL
przez moonka_km » 06 Kwi 2010, 14:05
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 (.NET CLR 3.5.30729)
Sęk w tym, że nie mogę sformatować pendriva. A flash disinfector pokazuję że Done i niby coś wyleczył a tak naprawdę pliki nadal jak były tak są na pendrivie.
Log txt
http://www.wklej.eu/index.php?id=faba0e64a7
Log txt
http://www.wklej.eu/index.php?id=faba0e64a7
- moonka_km
- Forumowicz
- Posty: 5
- Dołączenie: 29 Paź 2008, 09:44
Re: Proszę o sprawdzenie loga z HijackThis oraz OTL
przez mateo8898 » 06 Kwi 2010, 14:11
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3
W takim razie podłącz pendrive i wejdź w Start 
uruchom CMD wpisz polecenie:
X:
Za X podstawiasz literkę pod jaką jest widoczny pendrive.
Później wpisz polecenie w celu utworzenia raportu:
DIR /A:H >C:\LOG.TXT & start notepad C:\LOG.TXT
i podajesz tutaj zawartość C:\LOG.TXT
I tak w ogóle to kto Ci kazał wklejać jakieś skrypty w OTL?????
uruchom CMD wpisz polecenie:X:
Za X podstawiasz literkę pod jaką jest widoczny pendrive.
Później wpisz polecenie w celu utworzenia raportu:
DIR /A:H >C:\LOG.TXT & start notepad C:\LOG.TXT
i podajesz tutaj zawartość C:\LOG.TXT
I tak w ogóle to kto Ci kazał wklejać jakieś skrypty w OTL?????
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
Re: Proszę o sprawdzenie loga z HijackThis oraz OTL
przez moonka_km » 06 Kwi 2010, 14:58
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3 (.NET CLR 3.5.30729)
Wolumin w stacji K nie ma etykiety.
Numer seryjny woluminu: 61E0-4811
Katalog: K:\
2010-02-05 21:05 112˙640 ws.exe
1 plik(˘w) 112˙640 bajt˘w
0 katalog(˘w) 7˙489˙429˙504 bajt˘w wolnych
Tylko że w tym katalogu są jeszcze inne pliki w w logu jest że tylko jeden.
Jest autorun.inf, i jakieś inne pliki. Jest też katalog w którym są pliki i foldery o dziwnych nazwach, jakieś krzaczki się pojawiają. I nie można tego wszystkiego usunać
- moonka_km
- Forumowicz
- Posty: 5
- Dołączenie: 29 Paź 2008, 09:44
Re: Mam infekcję pendrive'ie. Plik autorun oraz ws.exe...
przez mateo8898 » 06 Kwi 2010, 17:38
UA: Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3
Podłącz pamięć przenośną, a następnie uruchom OTL w oknie Custom Scans/Fixes wklej:
Klikasz Run Fix. Dajesz log z usuwania + nowe logi z OTL
Mógłbyś wypisać nazwy tych folderów??? Albo zrobić screenshota i wrzucić tu. Bo w raporcie jest tylko ten jeden plik.
w oknie Custom Scans/Fixes wklej::OTL
O32 - AutoRun File - [2010-01-31 18:43:00 | 000,000,094 | -HS- | M] () - J:\autorun.inf -- [ FAT32 ]
O32 - Unable to obtain root file information for disk K:\
O33 - MountPoints2\{50e69b8c-4156-11df-bf46-001f1f6bdc93}\Shell\AutoRun\command - "" = K:\ws.exe -- [2010-02-05 21:05:24 | 000,112,640 | -H-- | M] ()
O33 - MountPoints2\{50e69b8c-4156-11df-bf46-001f1f6bdc93}\Shell\open\Command - "" = K:\ws.exe -- [2010-02-05 21:05:24 | 000,112,640 | -H-- | M] ()
:Files
K:\ws.exe
J:\ws.exe
C:\ws.exe
E:\ws.exe
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
:Commands
[emptytemp]
Klikasz Run Fix. Dajesz log z usuwania + nowe logi z OTL
Tylko że w tym katalogu są jeszcze inne pliki w w logu jest że tylko jeden.
Jest autorun.inf, i jakieś inne pliki. Jest też katalog w którym są pliki i foldery o dziwnych nazwach, jakieś krzaczki się pojawiają. I nie można tego wszystkiego usunać
Mógłbyś wypisać nazwy tych folderów??? Albo zrobić screenshota i wrzucić tu. Bo w raporcie jest tylko ten jeden plik.
-
mateo8898 - Moderator
- Posty: 15377
- Dołączenie: 15 Maj 2009, 14:55
- Pochwały: 966
6 posty(ów)
• Strona 1 z 1
Kto jest na forum
Zarejestrowani użytkownicy: Bing [Bot]