[@Blade@]

Cytat:

wy se gadu, gadu... a ja zapytam się albo poproszę o... zawartość pliku "Autorun.inf" z każdego pena jak jest jakiś robal... to ten plik modyfikował i na bank widać go tam jak na dłoni )))

Gdybyś zobaczył w raporty to byś wiedział, że na tych pamięciach nie ma tego pliku.


Syf z kompa Combofix usunął, ale trzeba jeszcze zrobić porządek z tymi pamięciami.
Podłącz obie, następnie pobierz The Avenger w pole Input script here wklej poniższy tekst:

Kod:

Folders to delete: X:\MIRKANE X:\KLIZAVI X:\LIMUN X:\tvoj X:\SERATOR X:\SRCEMOJE X:\VOLIMTE X:\sysusb Y:\MIRKANE Y:\KLIZAVI Y:\LIMUN Y:\tvoj Y:\SERATOR Y:\SRCEMOJE Y:\VOLIMTE Y:\sysusb

Za X podstawiasz literkę, pod którą jest widoczna jedna pamięć, za Y podstawiasz literkę, pod którą jest widoczna druga pamięć.
klikasz Execute Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt
Dodatkowo użyj także Flash Disinfector

[lordbarth]

Minus jest taki że działa mi tylko jedno wejście USB - mogę to zrobić po kolei? (męczące jak ma sie antenkę wifi też na usb i mogę mieć albo sieć albo pamięć)

[@Blade@]

Możesz, w takim razie skrypt dla każdej pamięci z osobna będzie wyglądał tak:

Kod:

Folders to delete: X:\MIRKANE X:\KLIZAVI X:\LIMUN X:\tvoj X:\SERATOR X:\SRCEMOJE X:\VOLIMTE X:\sysusb

[lordbarth]

Zrobione:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open folder "D:\MIRKANE"
Deletion of folder "D:\MIRKANE" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
bad path / the parent directory does not exist


Error: could not open folder "D:\KLIZAVI"
Deletion of folder "D:\KLIZAVI" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
bad path / the parent directory does not exist


Error: could not open folder "D:\LIMUN"
Deletion of folder "D:\LIMUN" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
bad path / the parent directory does not exist


Error: could not open folder "D:\tvoj"
Deletion of folder "D:\tvoj" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
bad path / the parent directory does not exist


Error: could not open folder "D:\SERATOR"
Deletion of folder "D:\SERATOR" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
bad path / the parent directory does not exist


Error: could not open folder "D:\SRCEMOJE"
Deletion of folder "D:\SRCEMOJE" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
bad path / the parent directory does not exist


Error: could not open folder "D:\VOLIMTE"
Deletion of folder "D:\VOLIMTE" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
bad path / the parent directory does not exist


Error: could not open folder "D:\sysusb"
Deletion of folder "D:\sysusb" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open folder "D:\MIRKANE"
Deletion of folder "D:\MIRKANE" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
bad path / the parent directory does not exist


Error: could not open folder "D:\KLIZAVI"
Deletion of folder "D:\KLIZAVI" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
bad path / the parent directory does not exist


Error: could not open folder "D:\LIMUN"
Deletion of folder "D:\LIMUN" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
bad path / the parent directory does not exist


Error: could not open folder "D:\tvoj"
Deletion of folder "D:\tvoj" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
bad path / the parent directory does not exist


Error: could not open folder "D:\SERATOR"
Deletion of folder "D:\SERATOR" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
bad path / the parent directory does not exist


Error: could not open folder "D:\SRCEMOJE"
Deletion of folder "D:\SRCEMOJE" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
bad path / the parent directory does not exist


Error: could not open folder "D:\VOLIMTE"
Deletion of folder "D:\VOLIMTE" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
bad path / the parent directory does not exist


Error: could not open folder "D:\sysusb"
Deletion of folder "D:\sysusb" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.

[@Blade@]

No dziwne, bo według Avengera folderów nie ma. Stwórz nowe logi z obu pamięci. (tak jak wcześniej przez CMD)

[lordbarth]

No chyba dalej są

Wolumin w stacji D to NOWY
Numer seryjny woluminu: 781C-8AB3

Katalog: D:\

2010-02-23 17:15 <DIR> MIRKANE
2010-01-10 13:30 <DIR> KLIZAVI
2010-01-25 17:42 <DIR> LIMUN
2010-01-27 16:54 <DIR> tvoj
2010-02-04 12:02 <DIR> SERATOR
2010-02-18 06:12 <DIR> SRCEMOJE
0 plik(ów) 0 bajtów
6 katalog(ów) 3 928 186 880 bajtów wolnych


Wolumin w stacji D to KINGSTON
Numer seryjny woluminu: A49C-0569

Katalog: D:\

2010-02-09 08:43 <DIR> VOLIMTE
2010-02-09 16:03 <DIR> SERATOR
2010-02-16 23:09 <DIR> sysusb
2010-02-23 18:29 <DIR> MIRKANE
2010-02-22 06:11 <DIR> SRCEMOJE
0 plik(ów) 0 bajtów
5 katalog(ów) 4 033 798 144 bajtów wolnych

[@Blade@]

Foldery są pewnie ukryte, więc wejdź w Mój komputer narzędzia opcje folderów widok zaznacz "pokaż ukryte pliki i foldery" oraz odznacz "ukryj chronione pliki systemu operacyjnego (zalecane)" zastosuj.

Następnie na tych pamięciach foldery powinny być już widoczne, więc spróbuj je ręcznie usunąć, a w razie problemów spróbuj Unlockerem http://www.instalki.pl/pr...we/Unlocker.php

[lordbarth]

Ręcznie poszło bez problemu

[@Blade@]

Ok, w takim razie jeszcze czynności końcowe.

W OTL kliknij CleanUp

Przeczyść dysk oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

Zainstaluj SP3 http://www.instalki.pl/pr...vice_Pack_3.php

Zaktualizuj IE do najnowszej wersji http://www.instalki.pl/pr...plorer_8_XP.php

[ExeQtoR]

[WebCM]

Każdy dysk może mieć plik autorun.inf. To zależy od systemu, czy go uruchomi. Najbezpieczniej go wyłączyć. Niestety, trzeba pogrzebać w rejestrze (polecam inny edytor niż systemowy regedit):

http://technet.microsoft....28en-us%29.aspx
http://technet.microsoft....28en-us%29.aspx

http://forum.ks-ekspert.p...rt-pamieci-usb/

[lordbarth]

Zrobiłem po kolei i poniżej wrzucam log z malwarebytes który znalazł jedną rzecz którą usunąłem

Malwarebytes' Anti-Malware 1.44
Wersja bazy definicji: 3792
Windows 5.1.2600 Dodatek Service Pack 2
Internet Explorer 6.0.2900.2180

2010-02-26 00:20:51
mbam-log-2010-02-26 (00-20-41).txt

Typ skanowania: Pełne skanowanie (C:\|)
Przeskanowane obiekty: 231116
Upłynęło: 3 hour(s), 19 minute(s), 37 second(s)

Zainfekowane procesy w pamięci: 0
Zainfekowane moduły pamięci: 0
Zainfekowane klucze rejestru: 0
Zainfekowane wartości rejestru: 0
Zainfekowane pliki rejestru: 0
Zainfekowane foldery: 0
Zainfekowane pliki: 1

Zainfekowane procesy w pamięci:
(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:
(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:
(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:
(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:
(Nie wykryto groźnych plików)

Zainfekowane foldery:
(Nie wykryto groźnych plików)

Zainfekowane pliki:
C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\Menu Start\Programy\Security Tool.LNK (Rogue.SecurityTool) No action taken.


Malwarebytes' Anti-Malware 1.44
Wersja bazy definicji: 3792
Windows 5.1.2600 Dodatek Service Pack 2
Internet Explorer 6.0.2900.2180

2010-02-26 00:21:11
mbam-log-2010-02-26 (00-21-11).txt

Typ skanowania: Pełne skanowanie (C:\|)
Przeskanowane obiekty: 231116
Upłynęło: 3 hour(s), 19 minute(s), 37 second(s)

Zainfekowane procesy w pamięci: 0
Zainfekowane moduły pamięci: 0
Zainfekowane klucze rejestru: 0
Zainfekowane wartości rejestru: 0
Zainfekowane pliki rejestru: 0
Zainfekowane foldery: 0
Zainfekowane pliki: 1

Zainfekowane procesy w pamięci:
(Nie wykryto groźnych plików)

Zainfekowane moduły pamięci:
(Nie wykryto groźnych plików)

Zainfekowane klucze rejestru:
(Nie wykryto groźnych plików)

Zainfekowane wartości rejestru:
(Nie wykryto groźnych plików)

Zainfekowane pliki rejestru:
(Nie wykryto groźnych plików)

Zainfekowane foldery:
(Nie wykryto groźnych plików)

Zainfekowane pliki:
C:\Documents and Settings\NetworkService.ZARZĄDZANIE NT\Menu Start\Programy\Security Tool.LNK (Rogue.SecurityTool) Quarantined and deleted successfully.


Jutro zrobię log z otla i ściągnę sp 3 i ie8

[@Blade@]

To tylko pozostałość po tym SecurityTool, więc jest czysto. Nie musisz już dawać nowego loga.

[lordbarth]

Jakieś pliki autorun są normalnie widoczne na obu pamięciach.

[@Blade@]

Pliki czy foldery??? Bo jeśli foldery to zabezpieczenie nakładane przez Flash Disinfector.