Problem z autorun.inf

przez jakoobm 07 Lut 2012, 18:38

Witam.
Avira wykryła i zablokowała na dysku usb katalog "RECYCLER" i "autorun.inf", usunąłem je z usb, ale teraz wykrywa "autorun.inf" na wszystkich partycjach HDD i blokuje go, ale bez możliwości usunięcia. Na partycji E dodatkowo utworzył się katalog "Autorun.inf", również nie można go usunąć.

Załączniki

OTL.Txt: (93.12 KiB) Ściągnięto 4 razy

Extras.Txt: (41.61 KiB) Ściągnięto 9 razy

jakoobm

~user

Posty: 5

Dołączenie: 07 Lut 2012, 17:31

E-mail

Góra

Problem z autorun.inf

przez wojtas 07 Lut 2012, 20:25

[2012-02-01 15:50:22 | 000,000,000 | RHSD | M] - F:\Autorun.inf -- [ NTFS ]

Autorun.inf ma atrybut D czyli jest to folder.. nie uruchamiałeś żadnych programów do zabezpieczenia przed infekcją z pendriva. Wtedy tworzony jest taki folder aby nie mógł powstać taki sam przy infekcji i wtedy jest blokowana...

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - Reg Error: Value error. File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]
[emptyflash]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

ten plik/i :

C:\Windows\SysWow64\drivers\fsbts.sys

przeskanuj tu
http://virusscan.jotti.org/
i tu :
http://www.virustotal.com/

i daj raporty ze skanu w następnym poście

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie).

wojtas

*mod

Posty: 18165

Dołączenie: 13 Sty 2006, 16:00

Miejscowość: Krzeszyce

Pochwały: 1656

Góra

Problem z autorun.inf

przez jakoobm 07 Lut 2012, 22:01

Nie używałem programu chroniącego przed infekcja z usb, możesz polecić jakiś program?

Wystąpiła kolejna objawa zainfekowania, mianowicie foldery na karcie pamięci po podłączeniu do komputera mają ikony skrótów do katalogu, nie można ich otworzyć, telefon otwiera je bez problemu. Co z możesz na to poradzić?

Skanery nic nie wykryły we wskazanym pliku.

Jak dalej postępować?

Załączniki

: virusscan jotti

: virustotal

OTL.Txt: Nowy log; (89.95 KiB) Ściągnięto 4 razy

02072012_200553.txt: Log po restarcie; (6.39 KiB) Ściągnięto 1 raz

jakoobm

~user

Posty: 5

Dołączenie: 07 Lut 2012, 17:31

E-mail

Góra

Problem z autorun.inf

przez wojtas 07 Lut 2012, 22:08

Przy podpiętym urządzeniu przenośnym (pendrive, telefon - to co jest podłączane do komputera) , uruchom USBFIX z opcji Listing i pokaż raport na forum.

wojtas

*mod

Posty: 18165

Dołączenie: 13 Sty 2006, 16:00

Miejscowość: Krzeszyce

Pochwały: 1656

Góra

Problem z autorun.inf

przez jakoobm 07 Lut 2012, 22:13

Raport z usbfix, podpięty pendrive oraz telefon wraz z kartą pamięci.

Załączniki

UsbFix.txt: (8.72 KiB) Ściągnięto 5 razy

jakoobm

~user

Posty: 5

Dołączenie: 07 Lut 2012, 17:31

E-mail

Góra

Problem z autorun.inf

przez wojtas 07 Lut 2012, 22:28

przy podpiętych urządzeniach :
Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
O32 - AutoRun File - [2009-06-19 17:59:44 | 00,000,000 | RHSD | M] - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009-06-20 12:47:35 | 00,000,225 | RH-- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009-06-20 12:47:36 | 00,000,225 | RH-- | M] () - E:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009-06-20 13:07:44 | 00,000,225 | ---- | M] () - F:\autorun.inf -- [ NTFS ]

:Files
J:\RECYCLER
$Recycle.Bin /alldrives
Autorun.inf /alldrives
J:\*.lnk

:Commands
[emptytemp]
[emptyflash]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie). + USBFix nowy

wojtas

*mod

Posty: 18165

Dołączenie: 13 Sty 2006, 16:00

Miejscowość: Krzeszyce

Pochwały: 1656

Góra

Problem z autorun.inf

przez jakoobm 07 Lut 2012, 23:12

Podczas restartu po czyszczeniu telefon odłączył swoją pamięć i kartę od komputera, nie podłączyłem ich przed zakończeniem pracy OTL, kliknąłem 'próbuj ponownie'. Foldery na tej karcie zniknęły, ale windows pokazuje, że jest tyle samo wolnego miejsca na niej co przed skanowaniem. Sorry, za dodatkowe skomplikowanie sprawy. Wykonać ponownie ten skrypt?
Logi po niekompletnym czyszczeniu

Załączniki