miller123 Napisano Lipiec 23, 2013 Zgłoś Share Napisano Lipiec 23, 2013 Witajcie kolega mi pożyczył pen-drive i jak skanowałem to na 17% wykazało że jest już 6 plików zarażonych odrazu go wyłączyłem. I tutaj pytanie czy jest jakaś możliwość że jakiś poszedł na mój sprzęt. Prosze o szybką odp! Link do komentarza Udostępnij na innych stronach More sharing options...
feleron Napisano Lipiec 23, 2013 Zgłoś Share Napisano Lipiec 23, 2013 W sumie zależy od rodzaju infekcji jaka jest na pendrive no i systemu jaki posiadasz, jeżeli uruchomił się plik z autoodtwarzania to możliwe, że coś przeszło na dysk. Jaki masz system? Zrób skan programem Malwarebytes anti-malware Link do komentarza Udostępnij na innych stronach More sharing options...
miller123 Napisano Lipiec 23, 2013 Autor Zgłoś Share Napisano Lipiec 23, 2013 Posiadam system Windows 7 Professional 64 bity. I jak zawsze płytę wkładam to pisze AutoOdtwarzanie Link do komentarza Udostępnij na innych stronach More sharing options...
feleron Napisano Lipiec 23, 2013 Zgłoś Share Napisano Lipiec 23, 2013 Ale tu mowa o Pendrive. W windows 7 jest wyłączona opcja uruchamiania pliku autorun.ini po podłączeniu pendrive'a właśnie w celu zapobiegania infekcji, więc możliwe że wirus się nie uruchomił. Dla pewności zrób skan programem, który podałem wyżej. Link do komentarza Udostępnij na innych stronach More sharing options...
miller123 Napisano Lipiec 23, 2013 Autor Zgłoś Share Napisano Lipiec 23, 2013 Malwarebytes Anti-Malware 1.75.0.1300www.malwarebytes.orgWersja bazy: v2013.07.23.07Windows 7 x64 NTFSInternet Explorer 8.0.7600.16385Owner :: OWNER20042013 [administrator]2013-07-23 21:41:29mbam-log-2013-07-23 (21-41-29).txtTyp skanowania: Pełne skanowanie (C:\|D:\|E:\|F:\|)Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUMOdznaczone opcje skanowania: P2PPrzeskanowano obiektów: 362683Upłynęło: 28 minut(y), 38 sekund(y)Wykrytych procesów w pamięci: 0(Nie znaleziono zagrożeń)Wykrytych modułów w pamięci: 0(Nie znaleziono zagrożeń)Wykrytych kluczy rejestru: 0(Nie znaleziono zagrożeń)Wykrytych wartości rejestru: 0(Nie znaleziono zagrożeń)Wykryte wpisy rejestru systemowego: 0(Nie znaleziono zagrożeń)wykrytych folderów: 0(Nie znaleziono zagrożeń)Wykrytych plików: 0(Nie znaleziono zagrożeń)(zakończone)Nie mam o co sie martwic? Link do komentarza Udostępnij na innych stronach More sharing options...
feleron Napisano Lipiec 23, 2013 Zgłoś Share Napisano Lipiec 23, 2013 Raczej nie, możesz jeszcze sprawdzić w dzienniku antywirusa jakiego rodzaju były to infekcje Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Lipiec 23, 2013 Zgłoś Share Napisano Lipiec 23, 2013 Ale tu mowa o Pendrive. W windows 7 jest wyłączona opcja uruchamiania pliku autorun.ini po podłączeniu pendrive'a właśnie w celu zapobiegania infekcji, więc możliwe że wirus się nie uruchomił.autorun.ini to tylko jedna z metod automatycznego wystartowania czegoś z nośnika. Co bardziej wredne szkodniki potrafią to obejść przez luki w systemie (aktualny system powinien być jednak względnie bezpieczny).A jeśli chodzi o problem, to ściągnij i uruchom UsbFix i zobacz, co on znajdzie (uruchom go, następnie kliknij przycisk Research i postępuj zgodnie z instrukcją). Na koniec powinien powstać log, wrzuć go na forum. Link do komentarza Udostępnij na innych stronach More sharing options...
miller123 Napisano Lipiec 24, 2013 Autor Zgłoś Share Napisano Lipiec 24, 2013 Ok tutaj macie jakie wirusy miał na pen drivehttp://i.imgur.com/e3wQwqZ.png?1 (przybliżcie sobie). A zara dam log z UsbFix. Tutaj macie logi z USB FIX . Usunołem tylko wstęp logu. Tam było napisane moja płyta procek ram to się raczej nie przyda C:\ (%systemdrive%) -> Fixed drive # 261 Gb (166 Mb free - 64%) [] # NTFSD:\ -> Fixed drive # 205 Gb (150 Mb free - 73%) [] # NTFSE:\ -> CD-ROM################## | Active Processes |C:\Windows\system32\csrss.exe (456)C:\Windows\system32\wininit.exe (528)C:\Windows\system32\csrss.exe (552)C:\Windows\system32\services.exe (588)C:\Windows\system32\lsass.exe (604)C:\Windows\system32\lsm.exe (612)C:\Windows\system32\winlogon.exe (676)C:\Windows\system32\svchost.exe (760)C:\Windows\system32\svchost.exe (852)C:\Windows\system32\atiesrxx.exe (900)C:\Windows\System32\svchost.exe (976)C:\Windows\System32\svchost.exe (1020)C:\Windows\system32\svchost.exe (320)C:\Windows\system32\svchost.exe (1068)C:\Windows\system32\atieclxx.exe (1156)C:\Windows\system32\svchost.exe (1196)C:\Program Files\AVAST Software\Avast\AvastSvc.exe (1272)C:\Windows\system32\Dwm.exe (1516)C:\Windows\Explorer.EXE (1592)C:\Windows\system32 askhost.exe (1612)C:\Windows\System32\spoolsv.exe (1704)C:\Windows\system32\svchost.exe (1908)C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe (1644)C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (2068)C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe (2128)C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe (2140)C:\Program Files\AVAST Software\Avast\AvastUI.exe (2256)C:\Windows\SysWOW64\PnkBstrA.exe (2440)C:\Windows\system32\svchost.exe (2488)C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (2852)C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM64.exe (2860)C:\Windows\system32\SearchIndexer.exe (2992)C:\Windows\system32\svchost.exe (3056)C:\Windows\system32\WUDFHost.exe (2784)C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (3148)C:\Program Files (x86)\Mozilla Firefox\firefox.exe (3888)C:\Windows\System32\svchost.exe (3656)C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe (2736)C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_8_800_94.exe (788)C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_8_800_94.exe (1340)C:\Windows\system32 askeng.exe (1440)C:\UsbFix\Go.exe (1552)C:\Windows\system32\wbem\wmiprvse.exe (3620)################## | El Desaparecido Section |HKLM\SOFTWARE | Run : [startCCC] - "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRunHKLM\SOFTWARE | Run : [avast] - "C:\Program Files\AVAST Software\Avast\avastUI.exe" /noguiHKLM\SOFTWARE\wow6432Node | Run : [startCCC] - "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRunHKLM\SOFTWARE\wow6432Node | Run : [avast] - "C:\Program Files\AVAST Software\Avast\avastUI.exe" /noguiHKLM\SOFTWARE | RunOnce : [] -HKLM\SOFTWARE\wow6432Node | RunOnce : [] -HKU\S-1-5-19\SOFTWARE | Run : [sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRunHKU\S-1-5-20\SOFTWARE | Run : [sidebar] - %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRunHKU\S-1-5-21-2034686275-2239392390-3969229293-1000\SOFTWARE | Run : [HydraVisionDesktopManager] - "C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe"HKU\S-1-5-19\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exeHKU\S-1-5-20\SOFTWARE | RunOnce : [mctadmin] - C:\Windows\System32\mctadmin.exe################## | Files # Infected Folders |Found ! C:\Users\Owner\AppData\Local\Temp\ubi2D1A.tmp.exeFound ! C:\Users\Owner\AppData\Local\Temp\13-4_win7_win8_64_dd_ccc_whql.exeFound ! C:\Users\Owner\AppData\Local\Temp\WindowsInstaller-KB893803-v2-x86.exe################## | Registry |################## | Mountpoints2 |################## | Vaccin |(!) This computer is not vaccinated!################## | E.O.F | http://sosvirus.net | Link do komentarza Udostępnij na innych stronach More sharing options...
Sevard Napisano Lipiec 24, 2013 Zgłoś Share Napisano Lipiec 24, 2013 Krok z podłączeniem urządzeń przenośnych nie był opcjonalny. Log jest niewiele wart i tak na moje oko pokazuje głupoty w sekcji Files # Infected Folders. Dodatkowo na screenie z programu antywirusowego nie widać pełnych nazw szkodników.Tak, czy siak, nie sądzę, by doszło do infekcji systemu (te szkodniki jednak zostawiłyby coś, co byłoby widoczne w logu z UsbFix). Link do komentarza Udostępnij na innych stronach More sharing options...
miller123 Napisano Lipiec 24, 2013 Autor Zgłoś Share Napisano Lipiec 24, 2013 Dziękuje za tak szybkie odpowiedzi teraz już jestem spokojny temacik /lock Link do komentarza Udostępnij na innych stronach More sharing options...
MikaelDorren Napisano Lipiec 24, 2013 Zgłoś Share Napisano Lipiec 24, 2013 Problem rozwiązany, więc temat zamykam.W razie potrzeby otwarcia tematu, proszę o kontakt przez PW. Link do komentarza Udostępnij na innych stronach More sharing options...
