Stránka 1 z 2
vir prenaseny flash autorun + slozka typu kos jmenem PRIKAZE
Napsal: 31 bře 2010 18:21
od noviluk
zrejme ze skoly sem pritah na flash nejakej blbej autorun, nejakej autorun tam byl vzdycky, ale jediny co pusobil, ze flashka se neobjevila v tento pocitac nebo nesla otevrit klasickym doubleclickem, to se dalo vyresit smazanim a v poho, ted ovsem je to neco jinyho, do autorunu se mi nepodarilo dostat, nepusti me, hlasi ze je soubor vyuzivan programem kterej si ho otevrel vyhradne pro sebe, a navic je tam i slozka jmenem PRIKAZE ktera je typu kos, a obsahuje dva soubory "desktop.ini" a "netrazis.exe" ta slozka PRIKAZE de smazat, ale do autorunu se proste nedostanu, (este sem teda nezkousel shodit windows a dostat se na flash pres dos nebo nejak podobne) nejde ani zkopirovat, nic, a kdyz sem natvrdo zformatoval flashku, odpojil a pripojil vsechno bylo zpatky, takze je ten srac i nekde v systemu a hadam ze na vsech discich, doufam ze se neposlal i siti... jestli mate nekdo nejakej napada, tak prosim sem s nim, ja du hledat jak rozchodit flashku v dosu protoze jinak se do autorunu nedostanu, bohuzel mam stach ze si nepomuzu, protoze autorun bude odkazovat jen na ten program, kterej pak bude mit v sobe cesty kam se uklada dal a pod jakym jmenem, coz v nem asi nenajdu :/ jediny co sem tam nasel, v hexa pruhledu, ze na konci sou vyjmenovany nejaky systemovy soubory, a jestli je to v nich tak mam o zabavu postarano
EDIT::
jediny pusobeni problemu toho programu sem zjistil ze zmizela ikonka flash disku, a nahradila se ikonkou kterou maj treba *.bat soubory, nebo *.exe (ty uz ale mivaj casto nejakou svoji ikonku), po tvrdym formatu si k tomu system nacet ikonku disku
Re: vir prenaseny flash autorun + slozka typu kos jmenem PRIKAZE
Napsal: 31 bře 2010 18:42
od motji
Dobrý večer
Připojte flešku a poprosím o log ze Rsitu, viz můj podpis

Re: vir prenaseny flash autorun + slozka typu kos jmenem PRI
Napsal: 31 bře 2010 20:14
od noviluk
deleted
Re: vir prenaseny flash autorun + slozka typu kos jmenem PRIKAZE
Napsal: 31 bře 2010 20:23
od motji
Ta fleška je disk G?

tohle znáte?
G:\__DTMEDIA\DTMedia.exe

Přiopjte flešky a spustte

Stáhněte na plochu
UsbFix
-spusťte, zvolte
jazyk E - potvrdťe enter
-klikněte na volbu
2- enter
- po skenu sem vložte log , pokud na Vás nevyskočí, najdete ho
C:\UsbFix.txt
Re: vir prenaseny flash autorun + slozka typu kos jmenem PRI
Napsal: 31 bře 2010 20:41
od noviluk
deleted
Re: vir prenaseny flash autorun + slozka typu kos jmenem PRIKAZE
Napsal: 31 bře 2010 20:42
od noviluk
G je jina flashka od kingstonu s nejakym softwarem, v tom to neni ta nebyla v dobe logu ani pripojena
Re: vir prenaseny flash autorun + slozka typu kos jmenem PRIKAZE
Napsal: 31 bře 2010 20:53
od motji

Ještě Vás poprosím, složku
C:\UsbFix_Upload_Me_NOVILUK.zip uploadněte na
http://chiquitine.changelog.fr/Sample/Upload.php
děkuji

.

Jak to vypadá ted? Usbfix vytvořil na všech discích ochrannou složku autorun. inf
Re: vir prenaseny flash autorun + slozka typu kos jmenem PRIKAZE
Napsal: 31 bře 2010 21:06
od noviluk
Re: vir prenaseny flash autorun + slozka typu kos jmenem PRIKAZE
Napsal: 31 bře 2010 21:08
od noviluk
uploadnul sem to, ale vymazal sem ten dir list souboru, stejne jako sem to vymazal a vlozil sem
vytvorilo to slozky autorun.inf na vsech discich i na flash disku, ten sem pak zformatoval, a po odpojeni a pripojeni se to uz znovu neukazalo, takze ted pripojim zbytek flash disku, ktery sou infikovany a pustim ten usbFix este jednou .. jen by me zajimalo jestli je to schopny ochranit i pro priste, protoze ve skole to musim cas od casu pripojit..
Dekuju za pomoc
Re: vir prenaseny flash autorun + slozka typu kos jmenem PRIKAZE
Napsal: 31 bře 2010 21:35
od motji
Ano, můžete.
Ale pro jistotu, pustíme combofix

Zapojte do pc všechny
usb klíče, flashky...co používáte

Stáhněte na plochu, ukončete všechna aktivní okna a spusťte
ComboFix -
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
-
souhlaste s instalací konzole pro zotavení
- ComboFix je třeba
spustit pod účtem s právy administrátora
- Před použitím
vypněte všechny rezidentní bezpečnostní programy - antiviry, firewally, antispywary
- Po spuštění se zobrazí podmínky užití, potvrďte je stiskem tlačítka
Ano
- Dále postupujte dle pokynů,
během aplikování ComboFixu neklikejte do zobrazujícího se okna
- Po dokončení skenování, trvajícího maximálně 10 minut, by měl program vytvořit log -
C:\ComboFix.txt,
zkopírujte celý jeho obsah sem
Re: vir prenaseny flash autorun + slozka typu kos jmenem PRI
Napsal: 31 bře 2010 22:54
od noviluk
deleted
Re: vir prenaseny flash autorun + slozka typu kos jmenem PRIKAZE
Napsal: 01 dub 2010 02:13
od motji
Combofix je detekční a mazací program. Automaticky maže, co má naprogramováno, na základě logu z něj se pak píše ještě mazací skript. Jako skener je důkladnější než třeba Rsit.
Mně se ted v logu z combofixu pár věcí nelíbí a ráda bych si je ověřila

.

Otestujte na
http://www.virustotal.com
c:\windows\system32\drivers\tcpip.sys
c:\windows\system32\sfcfiles.dll
-Do okénka zkopírujte cestu k souboru , pokud napíše, že soubor byl už testován, dejte otestovat znovu.
-Sem vložte link s výsledky.

stáhněte
MBR
http://www2.gmer.net/mbr/mbr.exe
-uložte ho na plochu a spusťte
-vytvoří se log s názvem
mbr.log, vložte ho zde

Stáhněte
Gmer http://www.viry.cz/forum/viewtopic.php?f=29&t=62878
- rozbalte a spusťte
-proběhne sken, po skončení se otevře okno s výsledky, klikněte na
Save a tím si uložíte log,
který sem vložíte
-Podle návodu v odkazu
provedete druhý sken a log sem také vložíte.
Re: vir prenaseny flash autorun + slozka typu kos jmenem PRI
Napsal: 01 dub 2010 17:48
od noviluk
tak nakonec ten druhej test Gmeru napodruhy dojel, poprvy se na 70% vytizil procesor pres LSASS.exe a zbytek pobral nod32, tohle skoro neskenovalo a zbytek systemu reagoval hodne pomalu, takze tvrdej reset a napodruhy to uz dojelo...
behem noci mi nod nasel ten program z flashky v obnovovacich bodech na systemovym disku, v system volume information.
a este sem nainstaloval hru C&C Renegade, tak snad vas to nekde nemate.
nechal sem system zkontrolovat programem TuneUp 2009 kterej taky neco opravil v registrech atd.
virus total:
deleted
MBR
deleted
gmer poprve
deleted
log z druhyho testu je moc dlouhej nez aby sem sel vlozit, a nedovoli mi to priponu txt ani log
upnul sem ho na "FTP"
mam dojem, ze takhle dlouhej ten log bejt asi nemel co?

Re: vir prenaseny flash autorun + slozka typu kos jmenem PRIKAZE
Napsal: 01 dub 2010 21:43
od motji
Na délce logu nezáleží

. Ve Vašem případě zkreslují výsledky Gmeru Daemon a ochrana Starforce.
Nicméně se mi nezdá jeden zápis na Mbr sektoru, byl by jste ochotný zazálohovat data a provést jednu opravu?

Předtím ještě spustte:
(zapojte flešky)

Stahněte z mého podpisu
AVPTOOl http://www.viry.cz/forum/viewtopic.php?f=29&t=58179
-Podle návodu nainstalujte a proveďte sken
-co najde nechejte léčit, mazat
-sken může trvat několik hodin
-vložte zde log z výsledky
Re: vir prenaseny flash autorun + slozka typu kos jmenem PRI
Napsal: 02 dub 2010 15:48
od noviluk
muzu vedet jaky zapis se vam nezda? a o cem by byla ta oprava?
vysledek z AVP:
deleted