Autorun virus

[points]

Pokupio sam na USB nekakav virus koji mi avira ne može pronaći, niti na USB-u niti na kompjuteru, a zaraženi su. Kad stavim USB, avira samo zabrani pokretanje autoruna. Kada u MyComputeru otvorim removable disk, ne ulazi mi direktno na USB, nego se pojavi prečica "nazivUSBuređaja", koju sam na žalost otvorio i inficirao i komp
Sken mi ništa ne rješava.
Na poslu sam takođe koristio USB i tamo mi je F-Secure pronašao i o kojem je virusu riječ (nisam zapisao ), ali i tamo svejedno svaki put ga prijavljuje ponovo i kao briše, ali je on stalno tu.
Šta bi moglo biti i s čime da ga se riješim? Preskenirao sam upravo komp i sa Exterminate It, ali mi nije aktiviran, pa ne mogu brisati, a ne čini mi se ni da ga je našao

[cane.prebranac]

Skeniraj komp sa Hitmen pro programom, ili sa Malwarebytes. A ovo instaliraj za autoatsko skeniranje fleseva http://amf.mycity.rs/mcshield/

[points]

Citat:

cane.prebranac kaže:

Skeniraj komp sa Hitmen pro programom, ili sa Malwarebytes. A ovo instaliraj za autoatsko skeniranje fleseva http://amf.mycity.rs/mcshield/

Evo apdejtovao sam malwarebytes i radim full scan. Nadam se da će moći uklanjati i ako mi nije aktiviran

[cane.prebranac]

Ako ga nadje, a trebalo bi hoce uklinice ga, ako ne onda hitmen.

[points]

Citat:

cane.prebranac kaže:

Ako ga nadje, a trebalo bi hoce uklinice ga, ako ne onda hitmen.

Ok, hvala. Za Hitmena još nisam čuo.
Koliko će mi trajati MB scan? Za sad već pola sata

[cane.prebranac]

Zavisi koliko podataka imas, oko sat iskljuci aviru brze ce.

[ZoNi]

Ma, samo MCshield za zaštitu USBa...

[points]

MB još ništa nije pronašao...

[NIx Car]

Kada malwarebytes zavrsi:
Skini DDS sa ove adrese, pokreni ga, okači na http://pastebin.com nejgov izveštaj pa nam daj link.

Ukoliko ja ne budem odgovorio da li u postavljenom dijagnostickom izvestaju ima tragova malware-a,neko od mojih kolega (Sass Drake, ivance95, Basa Mrkalj ili magna86) ce ti sigruno odgovoriti

[points]

Citat:

NIx Car kaže:

Kada malwarebytes zavrsi:
Skini DDS sa ove adrese, pokreni ga, okači na http://pastebin.com nejgov izveštaj pa nam daj link.

Ukoliko ja ne budem odgovorio da li u postavljenom dijagnostickom izvestaju ima tragova malware-a,neko od mojih kolega (Sass Drake, ivance95, Basa Mrkalj ili magna86) ce ti sigruno odgovoriti

Važi, uradiću tako. Slavio sam, pa sam sken stavio na pauzu, evo sad ga ponovo nastavljam, javiću se sutra s rezultatom.

[points]

Evo ga najprije šta mi je MB pronašao, uradio sam removal.


Onda mi je tražio da restartujem komp, što sam i uradio. Cijelo vrijeme mi je i zaraženi USB u računaru, kako bih i njega 'izliječio'

Nakon restarta, avira prijavljuje ovo:

I ja kliknem remove.

Zatim sam (bez otvaranja, naravno) označio samo H: (USB drajv) da skeniram malwarebytesom i on vrlo brzo izbacuje da je sve u redu, nije pronašao ništa, ali je u međuvremenu avira opet izbacila:



WTF?

Evo sad i šta je DDS izbacio:

http://pastebin.com/rsh7Lude

[simke85]

Izvadi usb iz računara, preskeniraj Avirom pa Malwarebytes-om i očisti šta ti nađu. Pa instaliraj MSheald pa onda stavi usb. Nikad ne restartuj računar sa prikačenim zaraženim usb-om!

[orange47]

treba da iskljucis autorun.

[soneje]

Kopiraj negde to sto ti je na USB-u na komjuteru,zatim proveri dali je sve lepo iskopirano,onda formatirar USB i kad zavrsi opet proveri dali je lepo formatirano,izvadi USB i NIKAD ne ostavljaj USB u kompjuteru kad ga restartujes,nakon svega toga preskeniraj komp antivirusima kad zatrazi restart uradi ali NIKAKO USB PRIKLJUCEN.Prikljucen USB prilikom restarta moze pokazivati da hard disk nije nadjen.

[NIx Car]

Posalji ovaj fajl:

Kod:

c:\users\ognjen\locals~1\temp\msaaaw.exe

na www.virustotal.com

i postavi rezultate skeniranja ovde.

[Basa Mrkalj]

Preuzmi program OTM na Desktop.

• Dvoklikom pokreni OTM.exe
• U (levi) prozor programa (ispod Paste Instructions for Items to be Moved) iskopiraj sve što se nalazi unutar Kod polja:
  
  Kod:

    
   :reg
  [HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows]
   "Load"=-
  
  :files
  c:\users\ognjen\locals~1\temp\msaaaw.exe
  
  :commands
  [emptytemp]

• Klikni MoveIt!

Po završetku procesa, u desnom prozoru programa (ispod Results), će se nalaziti tekst koji je potrebno iskopirati u poruku na forumu.


Ukoliko se pojavi upit:

Citat:

Confirm kaže:

The system requires a reboot to finish removing files.
Do you want to reboot now?

kliknuti Yes kako bi se kompjuter restartovao i proces bio dovršen.

Nakon ponovnog pokretanja sistema, logfile će se automatski otvoriti u Notepadu.
Potrebno je iskopirati sadržaj tog loga u poruku na forumu.






Preuzmi MCShield sa linka i instaliraj. Zatim prikljuci flesku i sacekaj da je program ocisti.

http://amf.mycity.rs/mcshield/downloads.html

[points]

Preskenirao avirom, nije našla ništa.
Preskenirao MB, našao 3 fajla, uradio removal ovog puta bez USB-a uključenog.

Uradio sam removal sa OTM-om. Tražio je restart i nije se otvorio nikakav notepad fajl nakon toga. Je li nužan?

Imam problem sa MCShieldom, traži mi administratorska ovlaštenja, a ja sam jedini User na ovom laptopu i imam takva ovlaštenja, ali svejedno neće.
Ne mogu ga instalirati.

USB je i dalje zaražen, neću ga stavljati dok ne instaliram shield.

@nix:
Ipak sam odmah išao na uklanjanje, nisam ni išao na virustotal.com

[soneje]

A jesi li probao da iskopiras sve sa njega na hard pa ga formatiras(mislim na USB)?

[Basa Mrkalj]

Citat:

Imam problem sa MCShieldom, traži mi administratorska ovlaštenja, a ja sam jedini User na ovom laptopu i imam takva ovlaštenja, ali svejedno neće.
Ne mogu ga instalirati.

Probao si desni klik Run as Administrator?

[points]

Citat:

soneje kaže:

A jesi li probao da iskopiras sve sa njega na hard pa ga formatiras(mislim na USB)?

Nisam.

Citat:

Basa Mrkalj kaže:

Probao si desni klik Run as Administrator?

Nisam

Ok, sad jesam.
Ubacio sam USB i evo kakav sam log dobio:

Citat:

>>> MCShield ::Anti-Malware Tool:: v 2.4.3.18 / DB: 2013.1.20.2 <<<


21.1.2013 22:00:37 > Drive H: - scan started (XXX ~970 MB, FAT flash drive )...

>>> H:\autorun.inf > Suspicious > Renamed.

>>> H:\desktop.ini - Malware > Deleted. (13.01.21. 22.00 desktop.ini.57079; MD5: 34e0497b8f3c152cf10f8338feee7cae)

>>> H:\XXX (1GB).lnk - Suspicious > Renamed. (MD5: 96f5aa15ddea4df1908b2a499c6341df)

> Resetting attributes: H:\* < Successful.


=> Malicious files : 1/1 deleted.
=> Suspicious files : 2/2 renamed.
=> Hidden folders : 1/1 unhidden.

____________________________________________

::::: Scan duration: 2s ::::::::::::::::::::
____________________________________________

Je li to sad to, moj problem je riješen? Usuđujem li se otvoriti USB?