Infekcja z pendrive, użycie procesora

[Wiśnia]

Witam. Problem polega na tym, że po podłączeniu pendrive do laptopa wszystkie foldery zamieniają się w skróty. Można wejść do ich zawartości, po kliknięciu na folder następuje jego otwarcie w nowym oknie. Poza tym użycie procesora cały czas na poziomie 100%. Podejrzewam, że na pendrive jest jakaś infekcja, wcześniej był użyty w punkcie ksero. Próbowałem uruchomić USBfix jednak wyskakuje Autolt error i nie da rady. Pendrive sformatowany, po wrzuceniu jakiegokolwiek folderu nadal to samo.
Logi z OTLa
http://wklej.org/id/627806/
http://wklej.org/id/627808/

Pozdrawiam

[wojtas]

poczytaj i zastosuj się do tego, i daj nowego loga z Gmera w następnym poście.

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
PRC - [2011-11-15 10:24:49 | 000,217,088 | ---- | M] ( ) -- C:\Documents and Settings\Wiśnia\Application Data\6.exe
PRC - [2011-11-08 16:14:32 | 000,278,528 | ---- | M] ( ) -- C:\Documents and Settings\Wiśnia\Start Menu\Programs\Startup\WINLOGONs.exe
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [ApnUpdater] "C:\Program Files\Ask.com\Updater\Updater.exe" File not found
O4 - HKCU..\Run: [Qnsyso] C:\Documents and Settings\Wiśnia\Application Data\Qnsyso.exe File not found
O4 - Startup: C:\Documents and Settings\Wiśnia\Start Menu\Programs\StartUp\stepx2.exe ()
O4 - Startup: C:\Documents and Settings\Wiśnia\Start Menu\Programs\StartUp\WINLOGONs.exe ( )
O16 - DPF: {32564D57-9980-0010-8000-00AA00389B71} http://codecs.microsoft.com/codecs/i386/wmv8dmo.cab (Reg Error: Key error.)
[2011-11-15 02:27:00 | 000,217,088 | ---- | C] ( ) -- C:\Documents and Settings\Wiśnia\Application Data\7.exe
[2011-11-15 02:24:22 | 000,278,528 | ---- | C] ( ) -- C:\Documents and Settings\Wiśnia\Start Menu\Programs\StartUp\WINLOGONs.exe
[2011-11-15 10:24:49 | 000,217,088 | ---- | M] ( ) -- C:\Documents and Settings\Wiśnia\Application Data\6.exe
[2011-11-15 10:24:36 | 000,344,263 | ---- | M] () -- C:\Documents and Settings\Wiśnia\Application Data\4.exe
[2011-11-15 02:27:00 | 000,217,088 | ---- | M] ( ) -- C:\Documents and Settings\Wiśnia\Application Data\7.exe
[2011-11-15 02:24:21 | 000,344,263 | ---- | M] () -- C:\Documents and Settings\Wiśnia\Application Data\1F3.exe
[2011-11-15 02:01:00 | 000,000,236 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2011-11-08 16:14:32 | 000,278,528 | ---- | M] ( ) -- C:\Documents and Settings\Wiśnia\Start Menu\Programs\StartUp\WINLOGONs.exe
[2011-11-08 11:55:02 | 000,000,284 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]
[emptyflash]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie).

[Wiśnia]

Ok tak więc po kolei. Log z Gmera
http://wklej.org/id/629251/
Raport z czyszczenia
http://wklej.org/id/629250/
Nowy log z OTL
http://wklej.org/id/629247/

Extras nie zrobił.

Pozdrawiam

[wojtas]

wykonaj skan: Kaspersky TDSSKiller, jeśli coś znajdzie dajesz Skip. raport zapisujesz
wykonaj raport z MBRCheck, ale raport zapisujesz

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
O4 - Startup: C:\Documents and Settings\Wiśnia\Start Menu\Programs\StartUp\stepx2.exe ()
O4 - Startup: C:\Documents and Settings\Wiśnia\Start Menu\Programs\StartUp\WINLOGONs.exe ( )

:Files
C:\Documents and Settings\Wiśnia\Application Data\Xnsysv.exe
C:\Documents and Settings\Wiśnia\Start Menu\Programs\Startup\WINLOGONs.exe
C:\Documents and Settings\Wiśnia\Application Data\1B.exe
C:\Documents and Settings\Wiśnia\Application Data\1C.exe
C:\Documents and Settings\Wiśnia\Application Data\1B.exe
C:\Documents and Settings\Wiśnia\Application Data\1A.exe
C:\Documents and Settings\Wiśnia\Application Data\3.exe
C:\Documents and Settings\Wiśnia\Start Menu\Programs\StartUp\stepx2.exe

:Commands
[emptytemp]
[emptyflash]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie). + raporty o które prosiłem na początku oraz nowy Gmer

[Wiśnia]

Kaspersky nie chce się pobrać, jakieś problemy ze stroną chyba mają.
Log z MBRCheck
http://wklej.org/id/629676/
Raport z czyszczenia OTL
http://wklej.org/id/629677/
Log z OTL
http://wklej.org/id/629678/
Log z GMER
http://wklej.org/id/629679/

[wojtas]

spróbuj naprawić MBR za pomocą MBRCheck ( tam masz opisane, wybierz tylko swój system ) , reset kompa i daj nowego loga z MBRCheck

Pobierz i uruchom narzędzie
The Avenger
Wklej do okienka programu

Files to delete:
C:\Documents and Settings\Wiśnia\Application Data\Xnsysv.exe

Klikasz Execute,

wklejasz na forum raport: C:\avenger.txt + nowe logi ( daj też loga z Kaspra, strona już działa ) jeśli wszystko będzie ok to przejdziemy do kroków końcowych

[Wiśnia]

Ok. Log z MBRCheck
http://wklej.org/id/630037/
Avenger
http://wklej.org/id/630039/
Kaspersky
http://wklej.org/id/630036/
OTL
http://wklej.org/id/630050/
Z Gmera też? Skanowanie u mnie trwa grubo ponad dwie godziny ;p
Takie pytanie jeszcze co z pendrivem? Sformatowałem go przed całym czyszczeniem, antyvirus niby nic nie wykrywał.

Dodano Dzisiaj, 16:58:
Podczas pracy komputera nieraz wykrywa takiego wirusa, cokolwiek nie zrobię po ponownym restarcie jest znowu, wrzucam screena

[wojtas]

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKCU..\Run: [Xnsysv] C:\Documents and Settings\Wiśnia\Application Data\Xnsysv.exe File not found

Kliknij wykonaj skrypt.

zabezpiecz komputer przed infekcją z pendriva. Odpal Usbfix i wciśnij Vaccinate.


*Uruchom OTL z opcji sprzątanie.
* wykonaj optymalizację Windowsa ( instrukcja dla Windowsa XP, lecz w innych systemach jest podobnie )
* zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )
* Skasuj stan przywracania systemu


Zaktualizuj zabezpieczenia:
>>> Internet Explorer 8
>>> Service Pack 3
>>> Java™ 6
>>> Mozilla Firefox

napisz jak sytuacja z komputerem

[Wiśnia]

Wykonałem wszystko oprócz sp3, czytałem że na słabszych komputerach może pogorszyć sprawę. Teraz wszystko chodzi elegancko więc nie chce już mieszać. Jest problem tylko z tym USBfix tak jak wcześniej pisałem nie da się go u mnie odpalić. Jest jakiś inny program tego typu?

Pozdrawiam

[wojtas]

tak:

http://research.pandasecurity.com/Panda-USB-Vaccine-with-NTFS-Support/

Autor postu otrzymał pochwałę

[Wiśnia]

Ok, zrobiłem przy wszystkich pendriveach i mp3 vaccinate w tej pandzie, jeśli to wystarczy no to można temat zamknąć;)