externí disk a složka $RECYCLE.BIN

[Marek-26]

Zapojte do PC všechny USB klíče (flashky, ext. disky apod.)

• Stáhněte a uložte na plochu UsbFix http://riffman.ic.cz/files/UsbFix.exe
• Spusťte a klikněte na Deletion
• Po dokončení sem vložte log, pokud na Vás nevyskočí, najdete jej na systémovém disku pod názvem UsbFix.txt

[f-m]

To je nějaký podezřelý program, jelikož na virustotalu mi 9 z 42 AV hlásí nějaký malware. Ale budu vám věřit...

Po spuštění mi pak program shodil operu a vše co jsem měl spuštěné včetně asi explorer.exe, ale ten se pak spustil a program běžel dál.

Zde je log:


############################## | UsbFix 7.014 | [Deletion]

User: jirka (Administrator) # JIRKA-PC [TOSHIBA Satellite A200]
Updated 24/06/10 by El Desaparecido / C_XX
Started at 14:33:47 | 23/11/2010
Website: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) Dual CPU T2330 @ 1.60GHz
CPU 2: Intel(R) Pentium(R) Dual CPU T2330 @ 1.60GHz
Microsoft® Windows Vista™ Home Premium (6.0.6002 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18975

Windows Firewall: Enabled
Antivirus: avast! antivirus 4.8.1229 [VPS 081123-0] 4.8.1229 [Enabled | Updated]
RAM -> 1022 Mb
C:\ -> Fixed drive # 75 Gb (10 Mb free - 13%) [Vista] # NTFS
D:\ -> Fixed drive # 466 Gb (466 Mb free - 100%) [My Passport] # NTFS
E:\ -> Fixed drive # 73 Gb (15 Mb free - 21%) [Data] # NTFS
F:\ -> CD-ROM

################## | Files # Infected Folders |

Deleted ! C:\Windows\system32\autorun.inf

################## | Registry |


################## | Mountpoints2 |


################## | Listing |

[23/11/2010 - 14:40:59 | SHD ] C:\$Recycle.Bin
[05/09/2008 - 13:58:51 | D ] C:\.idlerc
[18/01/2009 - 14:59:17 | A | 26] C:\23990098.$$$
[18/09/2006 - 22:43:36 | N | 24] C:\autoexec.bat
[09/01/2010 - 18:02:51 | SHD ] C:\Boot
[11/04/2009 - 07:36:36 | RASH | 333257] C:\bootmgr
[27/04/2007 - 07:46:39 | RAS | 8192] C:\BOOTSECT.BAK
[18/09/2006 - 22:43:37 | A | 10] C:\config.sys
[02/11/2006 - 14:02:03 | SHD ] C:\Documents and Settings
[23/11/2010 - 14:18:47 | ASH | 1072095232] C:\hiberfil.sys
[27/04/2007 - 08:28:18 | D ] C:\Intel
[05/11/2008 - 08:11:30 | RA | 0] C:\logwmemory.bin
[23/11/2010 - 14:18:45 | ASH | 1385893888] C:\pagefile.sys
[10/10/2008 - 16:08:19 | D ] C:\PerfLogs
[02/11/2010 - 14:21:01 | RD ] C:\Program Files
[09/06/2010 - 15:13:54 | HD ] C:\ProgramData
[05/09/2008 - 13:58:50 | D ] C:\Python25
[27/04/2007 - 08:40:43 | A | 420] C:\RHDSetup.log
[15/11/2010 - 06:20:27 | D ] C:\rsit
[11/11/2008 - 17:46:42 | D ] C:\Sandbox
[23/07/2007 - 03:48:07 | AH | 176] C:\SWSTAMP.TXT
[19/11/2010 - 14:39:23 | SHD ] C:\System Volume Information
[20/05/2008 - 15:01:46 | D ] C:\Toshiba
[23/11/2010 - 14:41:00 | D ] C:\UsbFix
[23/11/2010 - 14:33:48 | A | 2241] C:\UsbFix.txt
[10/10/2008 - 15:19:10 | RD ] C:\Users
[24/10/2010 - 10:06:13 | D ] C:\Windows
[22/07/2007 - 17:28:00 | AT | 23116] C:\_wdsuef.dmp
[23/11/2010 - 14:40:59 | SHD ] D:\$RECYCLE.BIN
[23/11/2010 - 14:40:59 | SHD ] E:\$RECYCLE.BIN
[14/07/2010 - 17:07:48 | D ] E:\Filmy
[27/07/2007 - 18:06:04 | A | 11] E:\H07455CZ.tag
[22/06/2008 - 18:16:48 | SHD ] E:\System Volume Information

################## | Vaccin |

C:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Folder created by UsbFix (El Desaparecido & C_XX)

################## | Upload |

Please send the file: \UsbFix_Upload_Me_JIRKA-PC.zip
http://chiquitine.changelog.fr/Sample/Upload.php
Thank you for your contribution.

################## | E.O.F |


Pak mi ještě vyskočilo toto okno http://desmond.yfrog.com/Himg199/scaled ... &ysize=640 a spustil se IE, ale to už se asi toho netýká...

P.S.: nechápu co je toto za program, jelikož mi vytvořil na tom disku skrytý adresář autorun... A jsem si jistný na 95% že to udělal on... EDIT: ok teď se dívám v návodu na popis logu a asi to jsou nějaké ochranné soubory, ale stejně nechápu k čemu...

P.S.2.: nepřipojoval jsem všechny externí disky a paměti které vlastním, ale jen ten disk o kterém je řeč. By mi pak ani usb nestačily. Když bude třeba tak to provedu ještě jednou...

EDIT: snad nemám nějaký autorun malware? To bych si všiml na tom disku nějakého skrytého autorun souboru ne? Ještě před pár dny jsem prováděl kontrolu RSIT a ještě včera jsem prováděl Avastem kontrolu.

[f-m]

Jinak teď po tom použití toho programu jsem disk odpojil a znovu připojil a zase se ta tabulka nezobrazí, ale jen se zase otevře ten průzkumník... Fakt už nevím proč...

Fakt je to nějaký malware? Může mi nějak napadnout normální soubory co mám v pc.
Chci udělat zálohu a chystám se nad upgradem na win 7 nebo přechodem na ubuntu, nechci si ale přenést do nového os žádný malware...

Jinak vám zatím mnohokrát děkuji za vaší trpělivost

[vyosek]

Zdravim a pekny den preji

Omlouvam se kolegovi za vstup, jen Vam sem vlezu abych objasnil veci kolem USBFixu, jelikoz jsem na nej delal navod a testoval jej

Bohuzel USBFix vyuziva nezakryptovane procesy a tak je oznacovan jako havet - tohle jsem konzultoval s nekolika AV spolecnostmi a bohuzel je chyba na strane vyvojare utility - snazil jsem se jej kontaktoval ale bohuzel neodpovida

Na vsech discich byly vytvoreny ochranne (skryte) slozky autorun, to je z duvodu aby se na ne jiz nemohl zapsat skodlivy vir autorun - coz je jeden z nejcastejsich druhu haveti siricich se pres vymenna media

USBFix taktez ukonci vsechny nepotrebne procesy, to z duvodu aby nezasahovaly do jeho cinnosti

Odkaz na obrazek co jste dal se tyka produktu HP, takze predpokladam ze nejaka tiskarna\kopirka\skener

Jedna havet typu autorun byla smazana

Tot tedy me vyjadreni k utilite USBFix, pokracovani necham na kolegovi, jelikoz je to jeho thread

Preji uspesne se zbaveni problemu, s pozdravem vyosek

[Marek-26]

Tak na všechny dotazy prakticky odpověděl kolega Pokud by byl ještě nějaký dotaz "sem s ním "

Odpojte externí HDD a vložte zelený text do poznámkového bloku a uložte jako autorun.reg. Tento soubor poté spusťte a povolte zapsání do registrů.

Kód: Vybrat vše

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CDRom]
"AutoRun"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=-
"NoDriveAutoRun"=-

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=-
"NoDriveAutoRun"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=-
"NoDriveAutoRun"=-

Poté zkuste disk připojit a dejte vědět co se stalo

[f-m]

Bohužel se mi to nechce zapsat do registru.

Asi to bude tím že jsem pod uživatelským účtem a bude třeba to spustit jako admin, jenže v menu není ta standardní nabídka "spustit jako správce". Teď to zrovna študuji: http://forum.zive.cz/viewtopic.php?f=916&t=1095117
Ale nerad bych to podělal ještě více než už to je...

[f-m]

Spustil jsem cmd jako správce, pomocí cd a dir jsem se dostal na plochu kde to mám uloženo a zadáním autorun.reg jej spustil.

Jenže pak jsem připojil ten disk a zase se ta tabulka nezobrazuje a otevře se průzkumník. Tož je toto možné?

Jestli nic nepomůže, tak budu muset udělat ten formát, což je zase tak na celý den
Nemůže to nějak způsobovat ten autorun nebo co to vlastně bylo.

Nechápu jak jsem tam mohl mít ten jeden autorun co se smazal. Člověk se zajímá o bezpečnost, čte články, novinky, snaží se dávat pozor a stejně je to nic platné
Vždy když mi vyskočila ta tabulka co chci dělat, tak jsem ji zavřel a požíval TC, kde jsem se ještě podíval pro jistotu na skryté soubory, jestli tam není nějaký autorun a nikdy na žádném flash disku jsem si toho nevšiml (snažil jsem se to provádět u většiny flash disků které jsem od někud přinesl a těch moc nebylo...).

Už si fakt nevím rady co dál. Mám strach jestli to nezpůsobuje nějaký malware nebo co, potřebuji mít na 99% čisté pc před zálohou, abych to pak nepřenesl na nový os...

[Marek-26]

PC je čistý (žádný aktivní malware tam není vidět). Tohle bude spíš chyba té funkce automatické přehrání.

Ještě Vás poprosím o následující:
Stahnete SytemLook a ulozte jej na plochu

• Do okna vlozte skript nize

• Kód: Vybrat vše

  :reg
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\UserChosenExecuteHandlers /sub

• Kliknete na Look
• Tlacitko Look se zmeni na Scanning a zsedne
• Pockejte pokud se tlacitko Scanning opet nezmeni na Look - tak poznate ze SystemLook dokoncil svou praci
• Vyskoci na Vas log s nazvem SystemLook (pripadne bude ulozen na plose), jeho obsah mi sem vlozte

[f-m]

SystemLook 04.09.10 by jpshortstuff
Log created at 18:18 on 23/11/2010 by jirka
Administrator - Elevation successful

========== reg ==========

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\UserChosenExecuteHandlers]
@=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\UserChosenExecuteHandlers\AutorunINFLegacyArrival]
@="MSPromptEachTime"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\UserChosenExecuteHandlers\MixedContentOnArrival]
@="MSPromptEachTime"


-= EOF =-


Tady to je, nějaké rychlé, ani jsem si nevšiml že by se to tlačítko změnilo, tel log vyskočil prakticky ihned...

PC je čistý (žádný aktivní malware tam není vidět). Tohle bude spíš chyba té funkce automatické přehrání.

A co ten jeden autorun, který se smazal? Nemůže být i na jiných flash discích, které jsem k pc nepřipojil. Nebo to nic nebylo?

[caRrrnifex.]

zdravim, s dovolenim jsem tu jen na skok

SystemLook je ok provedl jste znovu vyse uvedene pridani informaci do registru po uctem s pravy administratora? zdarilo se pridani vsech informaci bez chybove hlasky? pokud ano a mate chut pokracovat, muzete zkusit:

1. prihlasit se po uctem s pravy administratora (nejlepe dat uctu, pod kterym se nedari spousteci nabidku vyvolat, prava administratora)

2. znovu vytvorit soubor registru napr. autorun1.reg --> spustit, pridat informace do registru --> restart pc

Kód: Vybrat vše

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000091

3. po restartu pripojit externi USB disk k pc --> Start --> Pocitac --> prave tl. na ikone disku --> zjistit, zda je v nabidce moznost "Spustit automaticke prehravani..." --> pokud ano, vybrat ji a zjistit, zda se zobrazi okno s vyberem moznosti spusteni --> pokud se podari nabidku zobrazit, okno zavrete a pokracujte krokem 4.

4. Start --> Ovladaci panely --> Hardware a zvuk --> Prehravat disky CD nebo jina media automaticky (nebo Start --> Ovladaci panely --> Prehrat automaticky):
- dole kliknout na tl. Obnovit vychozi
- zkontrolovat, ze je v horni casti okna zatrzena moznost "Pouzit funkci Automaticke prehravani pro vsechna media a zarizeni"
- zkontrolovat, ze je ve vsech radcich nastaveno "Zvolit vychozi"
- tl. Ulozit --> vyzkouset odpojit a znovu pripojit disk

vysledek prosim???

[f-m]

SystemLook je ok

Co se s ním vlastně zjišťuje?

...provedl jste znovu vyse uvedene pridani informaci do registru po uctem s pravy administratora? zdarilo se pridani vsech informaci bez chybove hlasky? pokud ano a mate chut pokracovat, muzete zkusit:

Znovu? No udělal jsem jak bylo psané. Přidal jsem to do registru pomocí cmd, který jsem spustil pomocí nabídky "jako správce". Tam jsem se pomocí cd a dir dostal na svojí plochu a ten .reg spustil. Pak na mě jen vyskočilo že to bylo úspěšně přidáno (nebo tak něco). Žádná chyba nebo něco, že by to nešlo...

Jak znovu? To mám ještě po tom systemlooku znovu přidat?

1. prihlasit se po uctem s pravy administratora (nejlepe dat uctu, pod kterym se nedari spousteci nabidku vyvolat, prava administratora)

To nebude třeba ne? Bude stačit to spustit pomocí cmd jak jsem psal výše, ne?

Na ten zbytek kouknu odpoledne a popřípadě zkusím...

P.S.: potom co jsem přidával ty informace (co psal Marek-26) do registru, tak jsem nerestartoval pc. Může to vadit? Netušil jsem že je to třeba...

[caRrrnifex.]

Co se s ním vlastně zjišťuje?

potrebovali jsme zjistit hodnoty z registru, ktere ovlivnuji chovani automatickeho spousteni

Přidal jsem to do registru pomocí cmd, který jsem spustil pomocí nabídky "jako správce". Tam jsem se pomocí cd a dir dostal na svojí plochu a ten .reg spustil.

nechapu a ani nebudu zjistovat, proc jednoduse nezmenite prava sveho uctu na administratora; postup, ktery jste pouzil, nemohl fungovat - pokud jste spustil prikazovy radek "jako spravce", nemohl jste zapsat vsechny informace z .reg souboru; pokud jste .reg soubor spoustel pres "runas" (jak jste se docetl z odkazu, ktery uvadite), byly pouzity nespravne uzivatelske promenne a opet se oprava nemohla zdarit

pokud jste neprovedl vsechny predesle opravne kroky po uctem s admin pravy, nemohlo dojit k oprave a dalsi pokusy bohuzel budou jen ztratou casu

[f-m]

Dobře, dobře, OK.
V ovládacích panel v nastavení uživatelských účtu jsem změnil typ svého učtu na administrátora.
Restartoval jsem pc, po restartu jsem přidal do registru to co psal "Marek-26". Pro jistotu jsem pak restartoval pc, pak připojil disk a zase se ta tabulka nezobrazuje...

nechapu a ani nebudu zjistovat, proc jednoduse nezmenite prava sveho uctu na administratora;

Mám udělaný druhý učet pod kterým pracuji s právy uživatele, kvůli bezpečnosti. Aspoň takto se to radilo u winXP nevím jak už je to u vist...

nemohl jste zapsat vsechny informace z .reg souboru; pokud jste .reg soubor spoustel pres "runas" (jak jste se docetl z odkazu, ktery uvadite)

nn, nespouštěl jsem to nakonec podle toho odkazu. V nabídce start jsem si našel cmd, klikl na něj pravým tlačítkem a v nabídce zvolil "spustit jako správce". Pak jsem se v cmd jen pomocí cd a dir dostal na plochu a zadáním "autorun.reg" jsem jej sputil..

[f-m]

Tak nevím proč, ale jak jsem změnil práva toho učtu na administrátora, tak od té doby mi nechce jet internet. Tedy jak co. Nějaké stránky jedou, jako i toto fórum, ale na google se třeba nedostanu, na stránky avastu taky ne.
Možná to bude jen nějaký krátkodobý výpadek buď na stránkách webu nebo někde u mého poskytovatele, snad. Jinak mám strach aby to nebyl conficker nebo něco jiného. Ale než jsem změnil ty práva účtu, tak problém nebyl.

EDIT: ta teď už jede ok. Dokonce i test na http://cerv.nic.cz/ bez problému. Ale nějakou chvíli fakt nejel google, jiné av weby a i ten test, takže to vypadalo podezřele. Teď už asi OK.

[f-m]

Aby jsme si rozuměli, mě ani tak nejde o nějakou tabulku, která je pro mě stejně celkem nedůležitá. Zformátuji znovu ten disk a pak to snad bude ok.

(Stejně až toto vše pořeším a nainstaluji nový čistý os, tak autorun povypínám nebo něco s ním budu muset udělat (až zjistím co a jak ), když se to v poslední době tak rozmohlo... a stejně to nepoužívám)

Co mě zajímá, jestli to na 100% nezpůsobuje náhodou nějaký malware (a pokud ano, tak jej potřebuji odstranit) nebo je to jen nějaká chyba ve vistách...

Co mě ještě zajímá, jestli je pc čistý a co ten autorun co se smazal z OS? Aby nebyl náhodou na nějaké flash-ce, nebo jestli jsem si ho náhodou nemohl přenést na druhý netbook. Proto mě zajímá, jestli mám popřipojovat nějak postupně všechny flash disky a jiné paměti co mám a použít ten program na odstranění autorunu a všechny pročistit a jestli mám nějak pročistit i ten netbook...
Nevím totiž co to bylo když se to nacházelo v

################## | Files # Infected Folders |

Deleted ! C:\Windows\system32\autorun.inf

Jsem totiž myslel že tento malware, který se šíří přes autorun, se nachází jen v kořenech různých externích paměťových zařízeních...

Díky.