Skocz do zawartości
Zamknięcie Forum PC LAB

Szanowny Użytkowniku,

Informujemy, że za 30 dni tj. 30 listopada 2024 r. serwis internetowy Forum PC LAB zostanie zamknięty.

Administrator Serwisu Forum PC LAB - Ringier Axel Springer Polska sp. z o.o. z siedzibą w Warszawie: wypowiada całość usług Serwisu Forum PC LAB z zachowaniem miesięcznego okresu wypowiedzenia.

Administrator Serwisu Forum PC LAB informuje, że:

  1. Z dniem 29 listopada 2024 r. zakończy się świadczenie wszystkich usług Serwisu Forum PC LAB. Ważną przyczyną uzasadniającą wypowiedzenie jest zamknięcie Serwisu Forum PC LAB
  2. Dotychczas zamowione przez Użytkownika usługi Serwisu Forum PC LAB będą świadczone w okresie wypowiedzenia tj. do dnia 29 listopada 2024 r.
  3. Po ogłoszeniu zamknięcia Serwisu Forum od dnia 30 października 2024 r. zakładanie nowych kont w serwisie Forum PC LAB nie będzie możliwe
  4. Wraz z zamknięciem Serwisu Forum PC LAB, tj. dnia 29 listopada 2024 r. nie będzie już dostępny katalog treści Forum PC LAB. Do tego czasu Użytkownicy Forum PC LAB mają dostęp do swoich treści w zakładce "Profil", gdzie mają możliwość ich skopiowania lub archiwizowania w formie screenshotów.
  5. Administrator danych osobowych Użytkowników - Ringier Axel Springer Polska sp. z o.o. z siedzibą w Warszawie zapewnia realizację praw podmiotów danych osobowych przez cały okres świadczenia usług Serwisu Forum PC LAB. Szczegółowe informacje znajdziesz w Polityce Prywatności

Administrator informuje, iż wraz z zamknięciem Serwisu Forum PC LAB, dane osobowe Użytkowników Serwisu Forum PC LAB zostaną trwale usunięte ze względu na brak podstawy ich dalszego przetwarzania. Proces trwałego usuwania danych z kopii zapasowych może przekroczyć termin zamknięcia Forum PC LAB o kilka miesięcy. Wyjątek może stanowić przetwarzanie danych użytkownika do czasu zakończenia toczących się postepowań.

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

ugf

Wirus - pendrive (tworzenie skrótów)

dodany przez ugf, w Internet, sieci i bezpieczeństwo

Rekomendowane odpowiedzi

ugf    0

ugf
Napisano

Witam!

 

Wczoraj podłączając pendriva do komputera uczelnianego załapałam jakiegoś wirusa. Najpierw (jeszcze na uczelni, po podłączeniu) zobaczyłam, że zamiast otworzyć sie normalnie - utworzył się skrót "Removable drive". Otworzyłam go i była tam normalna zawartość pendriva, więc zrzuciłam na komputer co miałam i tyle. Później już w domu - na swoim domowym laptopie - podłączyłam ponownie tego pendriva, równocześnie był podłączony dysk zewnętrzny (miałam zamiar przerzucać pliki). Przy zamykaniu tego pendriva (nie dało się już go otworzyć, żeby wyświetlić pliki) - wyskoczyły komunikaty o błędzie + alert z avasta o wirusie ... Nie pamiętam dokładnie jaki, jedyne co wyłapałam to między tym wyraz "Malware".

 

Obecnie stan sytuacji jest taki, że wirus najprawdopodobniej jest na kompie (zainfekował mi jeszcze jednego pendriva, gdzie nie wyświetlało się "Removable drive", a cośtam coś disc 8 - pliki się wyświetlały normalnie, teraz nie wiem jak jest). Dysku zewnętrznego nie ruszałam od tamtego czasu, bo się boję (mam tam kopię zapasową komputera, który mi padł i przechodzi reset dysku, więc nie chcę tych danych stracić).

 

Moje pytanie brzmi - jak się tego pozbyć - i z komputera i z pendriva i przede wszystkim - z dysku zewnętrznego (jeśli tam jest/Jak sprawdzić, bez uszkodzania czegokolwiek, czy to tam już siedzi, czy nie?). Jak to zrobić, żeby nie stracić plików? Czy da się w ogóle tak zrobić (przynajmniej z tego dyskuu zewnętrznego).

 

Patrzyłam na komputerze na ukryte pliki i potworzyły się w różnych miejscach różne skróty. Nie wiem jak na pendrivie, bo go też od wczoraj wolę nie podłączać na razie.

 

Zamieszczam logi FRST z mojego komputera.

 

http://www.wklej.org/id/1735856/

 

http://www.wklej.org/id/1735859/

 

Pozdrawiam serdecznie i z góry dzięki za odpowiedź!

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Miszel03    0

Miszel03
Napisano

Proszę dostarczyć raport wykrycia z dziennika Avast!

 

Ogólnie: w systemie dział infekcją ładowana metodą wstrzyknięcia kody do explorer, po za tym adware w tym m.in liczne przekierowywania oursurfing.

Przyszykuj wszystkie urządzenia zewnętrzne podpinane do urządzeń, które miały styczność z zarażonymi komputerami. Konieczna będzie diagnostyka + ewentualna dezynfekcja, ale to pod koniec.

 

Do poczytania: Portale z oprogramowaniem / Instalatory - na co uważać

 

Akcja:

 

1. Do notatnika wklej i zapisz jako fixlist.txt i kliknij Fix w Interfejsie FRST

Plik fixlist.txt umieść obok programu FRST

 

CloseProcesses:
HKLM-x32\...\Run: [mbot_pl_197] => [X]
HKU\S-1-5-21-1557861771-1394517435-1850143230-1001\...\CurrentVersion\Windows: [Load] C:\ProgramData\msovbiuu.exe <===== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.oursurfing.com/?type=hp&ts=1432660242&z=9628282d295d8df89096120g6z3cfo0qbq0efo8z8z&from=amt&uid=ST250LT007-9ZV14C_W02098N7XXXXW02098N7
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.oursurfing.com/?type=hp&ts=1432660242&z=9628282d295d8df89096120g6z3cfo0qbq0efo8z8z&from=amt&uid=ST250LT007-9ZV14C_W02098N7XXXXW02098N7
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oursurfing.com/web/?type=ds&ts=1432660242&z=9628282d295d8df89096120g6z3cfo0qbq0efo8z8z&from=amt&uid=ST250LT007-9ZV14C_W02098N7XXXXW02098N7&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.oursurfing.com/web/?type=ds&ts=1432660242&z=9628282d295d8df89096120g6z3cfo0qbq0efo8z8z&from=amt&uid=ST250LT007-9ZV14C_W02098N7XXXXW02098N7&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hp&ts=1432660242&z=9628282d295d8df89096120g6z3cfo0qbq0efo8z8z&from=amt&uid=ST250LT007-9ZV14C_W02098N7XXXXW02098N7
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hp&ts=1432660242&z=9628282d295d8df89096120g6z3cfo0qbq0efo8z8z&from=amt&uid=ST250LT007-9ZV14C_W02098N7XXXXW02098N7
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oursurfing.com/web/?type=ds&ts=1432660242&z=9628282d295d8df89096120g6z3cfo0qbq0efo8z8z&from=amt&uid=ST250LT007-9ZV14C_W02098N7XXXXW02098N7&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oursurfing.com/web/?type=ds&ts=1432660242&z=9628282d295d8df89096120g6z3cfo0qbq0efo8z8z&from=amt&uid=ST250LT007-9ZV14C_W02098N7XXXXW02098N7&q={searchTerms}
HKU\S-1-5-21-1557861771-1394517435-1850143230-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.oursurfing.com/?type=hp&ts=1432660242&z=9628282d295d8df89096120g6z3cfo0qbq0efo8z8z&from=amt&uid=ST250LT007-9ZV14C_W02098N7XXXXW02098N7
HKU\S-1-5-21-1557861771-1394517435-1850143230-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hp&ts=1432660242&z=9628282d295d8df89096120g6z3cfo0qbq0efo8z8z&from=amt&uid=ST250LT007-9ZV14C_W02098N7XXXXW02098N7
URLSearchHook: HKU\S-1-5-21-1557861771-1394517435-1850143230-1001 - (No Name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - No File
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432660242&z=9628282d295d8df89096120g6z3cfo0qbq0efo8z8z&from=amt&uid=ST250LT007-9ZV14C_W02098N7XXXXW02098N7&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432660242&z=9628282d295d8df89096120g6z3cfo0qbq0efo8z8z&from=amt&uid=ST250LT007-9ZV14C_W02098N7XXXXW02098N7&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432660242&z=9628282d295d8df89096120g6z3cfo0qbq0efo8z8z&from=amt&uid=ST250LT007-9ZV14C_W02098N7XXXXW02098N7&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432660242&z=9628282d295d8df89096120g6z3cfo0qbq0efo8z8z&from=amt&uid=ST250LT007-9ZV14C_W02098N7XXXXW02098N7&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1557861771-1394517435-1850143230-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432660242&z=9628282d295d8df89096120g6z3cfo0qbq0efo8z8z&from=amt&uid=ST250LT007-9ZV14C_W02098N7XXXXW02098N7&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1557861771-1394517435-1850143230-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432660242&z=9628282d295d8df89096120g6z3cfo0qbq0efo8z8z&from=amt&uid=ST250LT007-9ZV14C_W02098N7XXXXW02098N7&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1557861771-1394517435-1850143230-1001 -> {5DB4F0DA-64A2-4F9E-A498-9EA1D612A3DB} URL = http://www.search.ask.com/web?tpid=ORJ&o=100000027&pf=V7&p2=^U3^YYYYYY^YY^PL&gct=&itbv=12.10.3.24&apn_uid=ECC1AFD1-4935-401A-89BE-6BAE6B046EC2&apn_ptnrs=^U3&apn_dtid=^YYYYYY^YY^PL&apn_dbr=ff_7.0.1&doi=2014-02-09&trgb=IE,CR&q={searchTerms}&psv=&pt=tb
SearchScopes: HKU\S-1-5-21-1557861771-1394517435-1850143230-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={6825C474-7C68-4892-AE5D-D060D736C8E7}&mid=2f351adc08da47d0bb726d3e713dfce3-99dc0c2009f42cb4c59571ac7db66ff40225e38c&lang=pl&ds=xn011&pr=sa&d=2012-10-15 14:58:19&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms}
BHO: No Name -> {D4027C7F-154A-4066-A1AD-4243D8127440} ->  No File
Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
FF Extension: DigitalPersona Extension - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt [2011-07-01]
S1 innfd_1_10_0_14; system32\drivers\innfd_1_10_0_14.sys [X]
C:\ProgramData\msovbiuu.exe
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{3DE0CD33-C77F-44EB-9504-7BD72C33DF8B}.exe <==== ATTENTION
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{66C6A466-BD8F-4FD4-AC77-E4F644B8B4B8}.exe <==== ATTENTION
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-21\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: netsh advfirewall reset
CMD: netsh firewall reset
EmptyTemp:

 

2. Przez Panel Sterowania Odinstaluj:

 

  • Zbędniki: Akamai NetSession Interface, AVG Security Toolbar.

 

3. Pobierz AdwCleaner uruchom go i kliknij szukaj a gdy ukatywni się przycisk usuń kliknij go.

 

AdwCleaner: http://www.bleepingcomputer.com/download/adwcleaner/

 

4. Użyj >> Malwarebytes

 

  • Po uruchomieniu:
  • Postępuj zgodnie z kreatorem instalacyjnym, przy instlacji odznacz okres testowy.
  • Po instlacji uruchom ponownie komputer.
  • Interfejs MalwareBytes > Skanowanie > Pełne Skanowanie systemu > Podczas skanowania nic nie rób, po prostu czekaj.
  • Po zakończeniu skanu, jeżeli program coś wykryje będzie wymgane ponowne uruchomienie komputera, zaraz po tym wyskoczy raport ze skanowania, który zaprezentujesz na forum.

 

5. Wstaw raport ze skryptu (Fixlog) i raport z Adwclaner (Raport z Adwclaner znajduję się w tym folderze: C:\AdwCleaner) oraz raport z Malwarebytes + zrób nowe logi z FRST (Zaznacz też: Addition i ShortCup)

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

ugf    0

ugf
Napisano

Nie umiałam znaleźć raportu z wykrycia zagrożenia przez Avast! (nie wiem jak to zrobić, nigdzie nie widziałam takiej opcji).

 

Ad. 2 Miałam problem z usunięciem AVG Security Toolbar. Teraz wydaje mi się, że jest usunięty przez AdwCleaner'a.

 

Nowe logi z FRST:

Fixlog: http://www.wklej.org/id/1736082/

 

FRST http://www.wklej.org/id/1736076/

Addition http://www.wklej.org/id/1736077/

Shortcut http://www.wklej.org/id/1736079/

AdwCleaner:

[R0]: http://www.wklej.org/id/1736084/

[s0]: http://www.wklej.org/id/1736086/

 

Jeśli chodzi o raport z Malwarebytes - zaraz po skanowaniu wyskoczył mi taki raport: http://www.wklej.org/id/1736089/

Po usunięciu i ponownym uruchomieniu komputera nie wyskoczył mi nowy raport. Nie wiem co mam zrobić - przeskanowac komputer ponownie i zamieścić ten raport?

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Miszel03    0

Miszel03
Napisano

Dziękuje za przypomnienie!

 

Myślę, że możemy przechodzić do diagnostyki urządzeń zewnętrznych:

 

Podepnij do komputera wszystkie nośniki pamieć, które miały mieć styczność z zarażonym urządzeniem, następnie:

 

Użyj >> UsbFix

 

Po uruchomieniu:

 

  • Kliknij w Research, podczas skanowania nic nie rób po prostu czekaj.
  • Program po zakończeniu skanowania poinformuje o raportem - raport ten należny zaprezentować na forum.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

ugf    0

ugf
Napisano

Czy podłączenie tych urządzeń nie spowoduje ponownego zaifekowania komputera?

 

Oraz czy dane z nośników zostaną utracone?

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Miszel03    0

Miszel03
Napisano
Czy podłączenie tych urządzeń nie spowoduje ponownego zaifekowania komputera?

 

Nie.

 

Oraz czy dane z nośników zostaną utracone?

 

Na razie zleciłem tylko diagnostykę.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Miszel03    0

Miszel03
Napisano

Dobra wiadomość: Dysk zewnętrzny nie został zarażony.

 

Zła wiadomość: Oba Pendrive zostały zarażone, - wymagana dezynfekcja.

 

Akcja:

 

Odepnij od komputera dysk zewnętrzny (ten, który był sprawdzany).

Dwa sprawdzane pendrive podepnij do komputera, następnie w UsbFix kliknij Clean.

Po pomyślnej dezynfekcji program wyświetli raport - ten raport należy zaprezntować na forum.

 

  • UWAGA: aplikacja usuwa bez ostrzeżenia katalogi o nazwie muza i muzyka. Należy zmienić nazwę katalogu na inną.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

ugf    0

ugf
Napisano

[*] UWAGA: aplikacja usuwa bez ostrzeżenia katalogi o nazwie muza i muzyka. Należy zmienić nazwę katalogu na inną.

 

Katalogi z komputera, czy pendriva, bo się pogubiłam? ;)

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

ugf    0

ugf
Napisano

To ja się powinnam spytać ;) Mnie się wydaje, że jest w porządku ;) Czyli możemy uznać, że sytuacja jest już pod kontrolą? :D

 

PS Chciałam przeskanować jeszcze jednego pendriva USBfixem, ale wyskakuje mi, że jest dostępna nowa wersja. Gdy jednak pobieram ze strony raz jeszcze USBfixa, to po uruchomieniu raz jeszcze wyskakuje ten sam komunikat...

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Miszel03    0

Miszel03
Napisano
Czyli możemy uznać, że sytuacja jest już pod kontrolą?

 

Dopiero wtedy jak sprawdzimy pendrive o, którym mowa: czy jest możliwość zignorowania ostrzeżenia?

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

ugf    0

ugf
Napisano

Dopiero wtedy jak sprawdzimy pendrive o, którym mowa: czy jest możliwość zignorowania ostrzeżenia?

 

Nie ma. Odinstalowałam program, pobrałam na nowo i dalej to samo ...

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

ugf    0

ugf
Napisano

Udało mi się pobrać jeszcze nowszą wersję i teraz już działa :) Jest on na pewno zawirusowany, ale nie mam teraz do niego dostępu, więc później go przeskanuje, przeczyszczę i wrzucę raport. Tylko nie wiem kiedy to będzie.

 

Przeskanowałam raz jeszcze laptopa. Nic nie znalazło. Na pendrivach też nic, oprócz jednego - gdzie wyskoczyło, że jest 1 zainfekowany plik. W momencie znalezienie tego pliku - wyskoczyła taka informacja, że plik jest uszkodzony i należy uruchomić CHKDSK. Uruchomiłam, skanowało, ale efektu żadnego - dalej przy skanowaniu usbfixem wyskakuje to samo, nie da się go wyczyścić, bo też to wyskakuje. Co mam zrobić?

Screena dodaję do załącznków.

 

PS Po czym w raporcie poznaje się, że pendrive jest zainfekowany? Żebym wiedziała na przyszłość ;)

post-323313-143472402235_thumb.jpg

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Miszel03    0

Miszel03
Napisano
PS Po czym w raporcie poznaje się, że pendrive jest zainfekowany? Żebym wiedziała na przyszłość

 

Po doświadczeniu - trzeba znać infekcję, po za tym UsbFix wylicza podejrzane wpisy.

 

gdzie wyskoczyło, że jest 1 zainfekowany plik

 

Pokaż raport z tego wykrycia.

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach
Przejdź do listy tematów

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...