Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Proszę o sprawdzenie logów, podejrzenie wirusa z przenośnego dysku

#1
Proszę o sprawdzenie logów, podejrzenie wirusa z przenośnego dysku
Zaczęło się od podłączenia karty SD, na której było pełno skrótów, a główny folder ze zdjęciami otworzył się jak ręcznie podałem lokalizację w pasku adresu.
Jeśli chciałem otworzyć folder ręcznie, był to skrót z rozszerzeniem .ink a po jego uruchomieniu do procesów kopiowały się dziwne pliki które od razu usuwał i blokował mi antywirus...
Kartę już sformatowałem więc nie dam screena, ale dam logi: Wesoły

Kod:
http://wklej.org/id/430292/

http://wklej.org/id/430294/
ASUS P5K Pro | C2D E8200~3,2Ghz | 4x1GB Kingston HyperX | GIGABYTE GTX460 1GB | 5 x 500GB Seagete | Sound Blaster X-Fi Xtreme Gamer | Corsair 550W | Windows 7 64bit
 System operacyjny: windows_seven Przeglądarka: firefox
#2
RE: Proszę o sprawdzenie logów, podejrzenie wirusa z przenośnego dysku
W OTL, w pole Własne opcje skanowania / skrypt wklej (bez frazy "Kod:"):
Kod:
:Processes
explorer.exe

:OTL
SRV:[b]64bit:[/b] - File not found [On_Demand | Stopped] -- C:\Windows\SysNative\GameMon.des -- (npggsvc)
DRV:[b]64bit:[/b] - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV:[b]64bit:[/b] - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV:[b]64bit:[/b] - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)
DRV:[b]64bit:[/b] - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\npptNT2.sys -- (NPPTNT2)
DRV:[b]64bit:[/b] - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\massfilter.sys -- (massfilter)
DRV:[b]64bit:[/b] - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\DRIVERS\ewusbmdm.sys -- (hwdatacard)
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
[2010-02-27 19:09:52 | 000,002,425 | ---- | M] () -- C:\Users\Krzychu\AppData\Roaming\Mozilla\FireFox\Profiles\lqv4llzj.default\searchplugins\askcom.xml
O4 - HKCU..\Run: [xiaatur] C:\Users\Krzychu\xiaatur.exe ()
O18:[b]64bit:[/b] - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found
@Alternate Data Stream - 136 bytes -> C:\ProgramData\TEMP:587EB586
@Alternate Data Stream - 134 bytes -> C:\ProgramData\TEMP:A7B70C4E
O33 - MountPoints2\{208d4714-e898-11de-b0c9-001e8cc83158}\Shell - "" = AutoRun
O33 - MountPoints2\{208d4714-e898-11de-b0c9-001e8cc83158}\Shell\AutoRun\command - "" = M:\starter.exe -- File not found
O33 - MountPoints2\{4d6ae837-e58f-11df-aeb6-001e8cc83158}\Shell - "" = AutoRun
O33 - MountPoints2\{4d6ae837-e58f-11df-aeb6-001e8cc83158}\Shell\AutoRun\command - "" = L:\autorun.exe -- File not found
O33 - MountPoints2\{6ec907f8-d22a-11df-947f-001e8cc83158}\Shell - "" = AutoRun
O33 - MountPoints2\{6ec907f8-d22a-11df-947f-001e8cc83158}\Shell\AutoRun\command - "" = J:\AutoRun.exe -- File not found
O33 - MountPoints2\{6ec907fe-d22a-11df-947f-001e8cc83158}\Shell - "" = AutoRun
O33 - MountPoints2\{6ec907fe-d22a-11df-947f-001e8cc83158}\Shell\AutoRun\command - "" = J:\AutoRun.exe -- File not found
O33 - MountPoints2\{6ec90807-d22a-11df-947f-001e8cc83158}\Shell - "" = AutoRun
O33 - MountPoints2\{6ec90807-d22a-11df-947f-001e8cc83158}\Shell\AutoRun\command - "" = J:\AutoRun.exe -- File not found
O33 - MountPoints2\{a81a047c-d2e1-11df-8f5c-001e8cc83158}\Shell - "" = AutoRun
O33 - MountPoints2\{a81a047c-d2e1-11df-8f5c-001e8cc83158}\Shell\AutoRun\command - "" = J:\AutoRun.exe -- File not found
O33 - MountPoints2\{b06dc1a8-ef3b-11df-a5d4-001e8cc83158}\Shell - "" = AutoRun
O33 - MountPoints2\{b06dc1a8-ef3b-11df-a5d4-001e8cc83158}\Shell\AutoRun\command - "" = J:\AutoRun.exe -- File not found
O33 - MountPoints2\{b101c165-d376-11df-8e72-001e8cc83158}\Shell - "" = AutoRun
O33 - MountPoints2\{b101c165-d376-11df-8e72-001e8cc83158}\Shell\AutoRun\command - "" = J:\AutoRun.exe -- File not found
O33 - MountPoints2\{b101c17d-d376-11df-8e72-001e8cc83158}\Shell - "" = AutoRun
O33 - MountPoints2\{b101c17d-d376-11df-8e72-001e8cc83158}\Shell\AutoRun\command - "" = J:\AutoRun.exe -- File not found
O33 - MountPoints2\{fbbdca0f-deba-11de-b45d-001e8cc83158}\Shell - "" = AutoRun
O33 - MountPoints2\{fbbdca0f-deba-11de-b45d-001e8cc83158}\Shell\AutoRun\command - "" = I:\AutoRun.exe -- [2008-11-26 03:24:11 | 000,419,088 | R--- | M] (Electronic Arts)

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"F:\RAPID\Download\smdl_ob_20101016_0.8.0.exe" = F:\RAPID\Download\smdl_ob_20101016_0.8.0.exe:*:Enabled:@xpsp2res.dll,-22008 -- File not found
"F:\RAPID\Download\smdl_ob_20101016_0.8.0.exe" = F:\RAPID\Download\smdl_ob_20101016_0.8.0.exe:*:Enabled:@xpsp2res.dll,-22008 -- File not found

:Files
AUTORUN.INF /alldrives
$RECYCLE.BIN /alldrives
RECYCLER /alldrives
C:\WINDOWS\System32\*.tmp
C:\WINDOWS\*.tmp

:Commands
[emptytemp]
[start explorer]
[reboot]
Kliknij Wykonaj skrypt. Potwierdź restart kompa. Zapisz log po restarcie.

Podepnij wszystkie pendrive'y do kompa - uruchom USBFix > Research > zapisz log.

Daj logi + nowe logi OTL - ustawienia, GMER i RSIT
Nie pomagam na PW (ew. odpłatnie). 
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
Jak podawać logi
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.




 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#3
RE: Proszę o sprawdzenie logów, podejrzenie wirusa z przenośnego dysku
OTL po restarcie
Kod:
http://wklej.org/id/430876/
OTL
Kod:
http://wklej.org/id/430882/
RSIT
Kod:
http://wklej.org/id/430884/
GMER
Kod:
http://wklej.org/id/430885/

pendrive i karty juz sformatowałem , użyłem też flash desinfector więc myślę że USBFix jest zbędny.
ASUS P5K Pro | C2D E8200~3,2Ghz | 4x1GB Kingston HyperX | GIGABYTE GTX460 1GB | 5 x 500GB Seagete | Sound Blaster X-Fi Xtreme Gamer | Corsair 550W | Windows 7 64bit
 System operacyjny: windows_seven Przeglądarka: firefox
#4
RE: Proszę o sprawdzenie logów, podejrzenie wirusa z przenośnego dysku
W OTL wklej:
Kod:
:Processes
explorer.exe

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\cpu.sys -- (cpu)
DRV - [2008-11-06 14:10:34 | 000,018,432 | ---- | M] (H+H Software GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\HH10Help.sys -- (HH10Help.sys)

:Files
C:\cpu.sys
D:\Gry\AVA\Binaries\GameGuard\dump_wmimmc.sys
C:\Windows\system32\drivers\HH10Help.sys
D:\Programy\Thunder\Program\tcphoc.sys
F:\TEMP\00166D.tmp
F:\TEMP\002FFF4.tmp
F:\Temp\*.tmp
C:\Windows\tasks\AdobeAAMUpdater-1.0-Krzychu-PC-Krzychu.job
C:\Windows\tasks\GoogleUpdateTaskMachineCore1cb72212de211df.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
AUTORUN.INF /alldrives
$RECYCLE.BIN /alldrives
RECYCLER /alldrives

:Reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"F:\RAPID\Download\smdl_ob_20101016_0.8.0.exe"=-

:Commands
[emptytemp]
[start explorer]
[reboot]
Kliknij Wykonaj skrypt. Potwierdź restart kompa. Zapisz log po restarcie.

USBFix ma wyszukać wszystkie potencjalne infekcje z pendrive'a, więc go uruchom. Poza tym nie widać, żeby Flash Disinfector zabezpieczył dysk.

Daj Wszystkie logi + nowe logi OTL, Rsit.
Nie pomagam na PW (ew. odpłatnie). 
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
Jak podawać logi
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.




 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#5
RE: Proszę o sprawdzenie logów, podejrzenie wirusa z przenośnego dysku
OTL po restarcie:
Kod:
http://wklej.org/id/431090/
USB Fix (zapamiętałem pod jakie porty podpięte karty / pendrive)
Kod:
http://wklej.org/id/431093/
nowe OTL:
Kod:
http://wklej.org/id/431095/
Rsit
Kod:
http://wklej.org/id/431094/

Już sam widzę, że są zainfekowane. Pozostałości po starym wirusie explorer. Mam nadzieje, że się go pozbędziemy Wesoły
ASUS P5K Pro | C2D E8200~3,2Ghz | 4x1GB Kingston HyperX | GIGABYTE GTX460 1GB | 5 x 500GB Seagete | Sound Blaster X-Fi Xtreme Gamer | Corsair 550W | Windows 7 64bit
 System operacyjny: windows_seven Przeglądarka: firefox
#6
RE: Proszę o sprawdzenie logów, podejrzenie wirusa z przenośnego dysku
Przeskanuj kompa DrWEB i MBAM (aktualizacja, pełne skanowanie). Zapisz logi z wykonanej akcji.
Po użyciu obu programów ma być 'czysto'.
Uruchom OTL - ustawienia - Skanuj - zapisz logi (szt. 2), uruchom GMER i RSIT
* Uruchamiaj tylko 1 program na raz! *
Wklej wszystkie logi (pojedynczo) na: http://wklej.org. Daj linki.
Nie pomagam na PW (ew. odpłatnie). 
I osobom z roszczeniowym podejściem. I osobom niedbającym o poprawność językową.
Jak podawać logi
Jeśli nie odpowiadam w danym wątku przez >3 dni - proszę o przypomnienie na PW z linkiem do wątku w treści.




 System operacyjny: windows_xp_2003 Przeglądarka: firefox
#7
RE: Proszę o sprawdzenie logów, podejrzenie wirusa z przenośnego dysku
DrWEB nic nie znalazł, zmodyfikował mi tylko na oryginalny plik HOSTS.
Malwarebytes znalazł dwa pliki (usunąłem je) http://wklej.org/id/431903/
OTL: 1:http://wklej.org/id/431907/ 2: http://wklej.org/id/431908/
GMER: http://wklej.org/id/431919/
RSIT: http://wklej.org/id/431917/ http://wklej.org/id/431918/
Wyczyściłem po tych operacjach rejestr programem jv16, znalazł ponad 11tys błędnych wpisów. Wykasowałem je, zdefragmentowałem rejestr i uruchomiłem ponownie kompa. Jak na razie jest bardzo dobrze.
ASUS P5K Pro | C2D E8200~3,2Ghz | 4x1GB Kingston HyperX | GIGABYTE GTX460 1GB | 5 x 500GB Seagete | Sound Blaster X-Fi Xtreme Gamer | Corsair 550W | Windows 7 64bit
 System operacyjny: windows_seven Przeglądarka: firefox
#8
RE: Proszę o sprawdzenie logów, podejrzenie wirusa z przenośnego dysku
No tak, ale to co usbfix wykrył zostało.

Uruchom USBFix ponownie, podłącz pamięci te co podłączałeś wcześniej (oprócz telefonów, aparatów, kamer wideo), kliknij Deletion. Poczekaj na raport, pokaż go na forum. W USBFix kliknij Uninstall. (Na czas używania UsbFix wyłącz antywirusa.)
Atbroda:
S3 X6va001;X6va001; \??\F:\TEMP\00166D.tmp []
S3 X6va002;X6va002; \??\F:\TEMP\002FFF4.tmp []

To usuwa się
Kod:
:Services
X6va001
X6va002

http://traxter-online.tk/usuwanie-szkodl...t-322.html
 System operacyjny: windows_xp_2003 Przeglądarka: firefox
Programy: Polecane / Nowe / Inne




Podobne wątki (Proszę o sprawdzenie logów, podejrzenie wirusa z przenośnego dysku)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Sprawdzenie Logów Rejo 3 537 01.03.2020, 14:47
Ostatni post: Illidan
  Prośba o sprawdzenie logów rzezniczak 1 1216 13.01.2020, 13:40
Ostatni post: morderca
Ściana Prośba o sprawdzenie logów Maciek8998 2 1470 28.12.2019, 17:51
Ostatni post: Maciek8998

Skocz do:


Wybrane wątki (Proszę o sprawdzenie logów, podejrzenie wirusa z przenośnego dysku)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  Prośba o sprawdzenie logów rzezniczak 1 1216 13.01.2020 13:40
Ostatni post: morderca
  Wirus, który zmienia tapetę i motyw EmiliaPiela 19 2810 31.12.2019 14:40
Ostatni post: Illidan
Ściana Prośba o sprawdzenie logów Maciek8998 2 1470 28.12.2019 17:51
Ostatni post: Maciek8998
Question Prośba o sprawdzenie logów MrMelan 1 1389 28.12.2019 16:29
Ostatni post: morderca
  watchstream.best virus finestyle 1 1368 28.12.2019 12:25
Ostatni post: morderca
  Sprawdzenie logów, dzięki z góry Neal 1 1355 26.12.2019 16:21
Ostatni post: morderca
  prośba o sprawdzenie logów proxlee 2 1526 18.12.2019 10:31
Ostatni post: proxlee
  Laptop zawiesza się po 5 minutach od uruchomienia - prośba o ocenę logów. robert14-83 3 1285 11.12.2019 14:08
Ostatni post: robert14-83
  Spowolnienie komputera, blue screen – prośba o spr. logów Gummi_bear 2 1230 07.12.2019 22:12
Ostatni post: wlisik
  Prośba o sprawdzenie logów - podejrzane działanie systemu Azrael 1 2048 07.11.2019 10:33
Ostatni post: morderca
  LOGI - Prośba o sprawdzenie kamil1249 2 1972 05.11.2019 18:20
Ostatni post: kamil1249
  Wielka prośba o sprawdzenie logów (kradzież) bboygutass 3 2319 10.10.2019 13:38
Ostatni post: morderca
  Prośba o sprawdzenie logów dawcios99 1 2325 05.10.2019 19:29
Ostatni post: morderca
  Prośba o sprawdzenie logów proxlee 3 2756 17.09.2019 22:29
Ostatni post: morderca
  Proszę o sprawdzenie loga specyk1990 3 3013 23.08.2019 15:36
Ostatni post: morderca