vir prenaseny flash autorun + slozka typu kos jmenem PRIKAZE

[noviluk]

zrejme ze skoly sem pritah na flash nejakej blbej autorun, nejakej autorun tam byl vzdycky, ale jediny co pusobil, ze flashka se neobjevila v tento pocitac nebo nesla otevrit klasickym doubleclickem, to se dalo vyresit smazanim a v poho, ted ovsem je to neco jinyho, do autorunu se mi nepodarilo dostat, nepusti me, hlasi ze je soubor vyuzivan programem kterej si ho otevrel vyhradne pro sebe, a navic je tam i slozka jmenem PRIKAZE ktera je typu kos, a obsahuje dva soubory "desktop.ini" a "netrazis.exe" ta slozka PRIKAZE de smazat, ale do autorunu se proste nedostanu, (este sem teda nezkousel shodit windows a dostat se na flash pres dos nebo nejak podobne) nejde ani zkopirovat, nic, a kdyz sem natvrdo zformatoval flashku, odpojil a pripojil vsechno bylo zpatky, takze je ten srac i nekde v systemu a hadam ze na vsech discich, doufam ze se neposlal i siti... jestli mate nekdo nejakej napada, tak prosim sem s nim, ja du hledat jak rozchodit flashku v dosu protoze jinak se do autorunu nedostanu, bohuzel mam stach ze si nepomuzu, protoze autorun bude odkazovat jen na ten program, kterej pak bude mit v sobe cesty kam se uklada dal a pod jakym jmenem, coz v nem asi nenajdu :/ jediny co sem tam nasel, v hexa pruhledu, ze na konci sou vyjmenovany nejaky systemovy soubory, a jestli je to v nich tak mam o zabavu postarano

EDIT::
jediny pusobeni problemu toho programu sem zjistil ze zmizela ikonka flash disku, a nahradila se ikonkou kterou maj treba *.bat soubory, nebo *.exe (ty uz ale mivaj casto nejakou svoji ikonku), po tvrdym formatu si k tomu system nacet ikonku disku

[motji]

Dobrý večer

Připojte flešku a poprosím o log ze Rsitu, viz můj podpis

[noviluk]

deleted

[motji]

Ta fleška je disk G?

tohle znáte?
G:\__DTMEDIA\DTMedia.exe

Přiopjte flešky a spustte
Stáhněte na plochu UsbFix
-spusťte, zvolte jazyk E - potvrdťe enter
-klikněte na volbu 2- enter
- po skenu sem vložte log , pokud na Vás nevyskočí, najdete ho C:\UsbFix.txt

[noviluk]

deleted

[noviluk]

G je jina flashka od kingstonu s nejakym softwarem, v tom to neni ta nebyla v dobe logu ani pripojena

[motji]

Ještě Vás poprosím, složku C:\UsbFix_Upload_Me_NOVILUK.zip uploadněte na http://chiquitine.changelog.fr/Sample/Upload.php
děkuji .

Jak to vypadá ted? Usbfix vytvořil na všech discích ochrannou složku autorun. inf

[noviluk]

[noviluk]

uploadnul sem to, ale vymazal sem ten dir list souboru, stejne jako sem to vymazal a vlozil sem


vytvorilo to slozky autorun.inf na vsech discich i na flash disku, ten sem pak zformatoval, a po odpojeni a pripojeni se to uz znovu neukazalo, takze ted pripojim zbytek flash disku, ktery sou infikovany a pustim ten usbFix este jednou .. jen by me zajimalo jestli je to schopny ochranit i pro priste, protoze ve skole to musim cas od casu pripojit..

Dekuju za pomoc

[motji]

Ano, můžete.
Ale pro jistotu, pustíme combofix

Zapojte do pc všechny usb klíče, flashky...co používáte

Stáhněte na plochu, ukončete všechna aktivní okna a spusťte ComboFix - http://download.bleepingcomputer.com/sUBs/ComboFix.exe

-souhlaste s instalací konzole pro zotavení

- ComboFix je třeba spustit pod účtem s právy administrátora

- Před použitím vypněte všechny rezidentní bezpečnostní programy - antiviry, firewally, antispywary

- Po spuštění se zobrazí podmínky užití, potvrďte je stiskem tlačítka Ano

- Dále postupujte dle pokynů, během aplikování ComboFixu neklikejte do zobrazujícího se okna

- Po dokončení skenování, trvajícího maximálně 10 minut, by měl program vytvořit log - C:\ComboFix.txt, zkopírujte celý jeho obsah sem

[noviluk]

deleted

[motji]

Combofix je detekční a mazací program. Automaticky maže, co má naprogramováno, na základě logu z něj se pak píše ještě mazací skript. Jako skener je důkladnější než třeba Rsit.
Mně se ted v logu z combofixu pár věcí nelíbí a ráda bych si je ověřila .


Otestujte na http://www.virustotal.com

c:\windows\system32\drivers\tcpip.sys
c:\windows\system32\sfcfiles.dll


-Do okénka zkopírujte cestu k souboru , pokud napíše, že soubor byl už testován, dejte otestovat znovu.
-Sem vložte link s výsledky.


stáhněte MBR
http://www2.gmer.net/mbr/mbr.exe
-uložte ho na plochu a spusťte
-vytvoří se log s názvem mbr.log, vložte ho zde


Stáhněte Gmer http://www.viry.cz/forum/viewtopic.php?f=29&t=62878
- rozbalte a spusťte
-proběhne sken, po skončení se otevře okno s výsledky, klikněte na Save a tím si uložíte log,který sem vložíte

-Podle návodu v odkazu provedete druhý sken a log sem také vložíte.

[noviluk]

tak nakonec ten druhej test Gmeru napodruhy dojel, poprvy se na 70% vytizil procesor pres LSASS.exe a zbytek pobral nod32, tohle skoro neskenovalo a zbytek systemu reagoval hodne pomalu, takze tvrdej reset a napodruhy to uz dojelo...

behem noci mi nod nasel ten program z flashky v obnovovacich bodech na systemovym disku, v system volume information.
a este sem nainstaloval hru C&C Renegade, tak snad vas to nekde nemate.

nechal sem system zkontrolovat programem TuneUp 2009 kterej taky neco opravil v registrech atd.

virus total:

deleted

MBR

deleted

gmer poprve

deleted

log z druhyho testu je moc dlouhej nez aby sem sel vlozit, a nedovoli mi to priponu txt ani log
upnul sem ho na "FTP"

Kód: Vybrat vše

deleted	

mam dojem, ze takhle dlouhej ten log bejt asi nemel co?

[motji]

Na délce logu nezáleží . Ve Vašem případě zkreslují výsledky Gmeru Daemon a ochrana Starforce.
Nicméně se mi nezdá jeden zápis na Mbr sektoru, byl by jste ochotný zazálohovat data a provést jednu opravu?

Předtím ještě spustte:(zapojte flešky)
Stahněte z mého podpisu AVPTOOl http://www.viry.cz/forum/viewtopic.php?f=29&t=58179

-Podle návodu nainstalujte a proveďte sken
-co najde nechejte léčit, mazat
-sken může trvat několik hodin
-vložte zde log z výsledky

[noviluk]

muzu vedet jaky zapis se vam nezda? a o cem by byla ta oprava?

vysledek z AVP:

deleted