problem z robakiem dorkbot

[klosek12]

Witam
w dniu dzisiejszym podpiąłem pendrive w szkole u żony bo chciała coś wydrukować, a później ten sam plik chciałem wypalić na płycie i na dzień dobry wyskoczył mi robak, eset ss go zablokował, ale zrobiłem skan esetem i wyszło, że gdzieś siedzi,w dodatku chciałem włączyć IE i wyskoczył komunikat, że jest zainfekowana pamięć i żadne strony z IE nie chcą się uruchomić przesyłam logi z eset i otl
log z eset
Dostępne tylko dla zarejestrowanych użytkowników
log z otl
Dostępne tylko dla zarejestrowanych użytkowników
extras
Dostępne tylko dla zarejestrowanych użytkowników

-- 10 cze 2012, 23:21 --

zrobiłem jeszcze pełen skan malwarebytes, ale nie wykryło robaka
log z
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

w dniu dzisiejszym podpiąłem pendrive w szkole u żony bo chciała coś wydrukować, a później ten sam plik chciałem wypalić na płycie i na dzień dobry wyskoczył mi robak

Z podłączonymi pamięciami przenośnymi użyj USBFix z opcji Deletion -> http://www.hotfix.pl/uzytkowanie-progra ... x-a310.htm. Następnie zaprezentuj uzyskany log.

SRV - [2012-05-03 08:31:10 | 000,158,856 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012-04-04 07:53:50 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2008-01-21 04:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)

To zbędne wpisy w autostarcie. Wejdź w START -> URUCHOM -> Msconfig -> Usługi -> odznacz usługę -> Skype Update, Windows Defender i Adobe ARM.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [On_Demand | Stopped] -- C:\Program Files\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper) getPlus(R)
SRV - File not found [On_Demand | Stopped] -- -- (MSDTC)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet)
IE - HKU\S-1-5-21-3309519920-4140672541-3224496265-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.

:Services
nosGetPlusHelper

:Files
C:\Users\Maciuś\Documents\*.reg

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[eemptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z TDSSKiller`a -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm.

[klosek12]

podaje log z usbfix
Dostępne tylko dla zarejestrowanych użytkowników
a tu z użyciem funkcji deletion
Dostępne tylko dla zarejestrowanych użytkowników
log z usuwania
Dostępne tylko dla zarejestrowanych użytkowników
log z tdsskiller
Dostępne tylko dla zarejestrowanych użytkowników
log z otl
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Deleted ! D:\MUZYKA

To możesz sobie przywrócić z kwarantanny USBFix`a, która znajduje się na dysku systemowym.

USBFix.

Odinstaluj Go.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = [Binary data over 100 bytes]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3309519920-4140672541-3224496265-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3309519920-4140672541-3224496265-1000\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}

:Files
C:\UsbFix
$RECYCLE.BIN /alldrives
C:\AdwCleaner[R1].txt
C:\found.*
C:\UsbFix.txt
RECYCLER /alldrives

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[klosek12]

katalogu d:\muzyka nie ma na dysku, więc nie mam co usunąć
log z usuwania
Dostępne tylko dla zarejestrowanych użytkowników
nowy log
Dostępne tylko dla zarejestrowanych użytkowników
log z autoruns
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

katalogu d:\muzyka nie ma na dysku, więc nie mam co usunąć

Miałeś taki katalog tam .

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało) kolejno wpisy -> Adobe ARM, BitComet, BitComet, Adobe PDF Link Helper, BitComet Helper, BitComet, wszystko z zakładki -> Task Scheduler, fsssvc, gusvc i nvsvc.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKU\S-1-5-21-3309519920-4140672541-3224496265-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-3309519920-4140672541-3224496265-1000\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}

:Files
$RECYCLE.BIN /alldrives

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[klosek12]

katalog był, ale się sam zmył , w sumie nie ma co żałować, bo samemu by się nie usunęło, najważniejsze, że został katalog z muzyczką mojego 7 tygodniowego syna, bo już lubi słuchać muzyczkę
podaje log z usunięcia
Dostępne tylko dla zarejestrowanych użytkowników
nowy log z otl
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

katalog był, ale się sam zmył , w sumie nie ma co żałować, bo samemu by się nie usunęło, najważniejsze, że został katalog z muzyczką mojego 7 tygodniowego syna, bo już lubi słuchać muzyczkę

Gratulację .

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKU\S-1-5-21-3309519920-4140672541-3224496265-1000\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}

:Files
C:\ProgramData\ALLPlayer\temp
C:\Users\Maciuś\AppData\Local\ALLPlayer\temp
$RECYCLE.BIN /alldrives

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.

[klosek12]

Ok, wszystko zrobione miałem chwilowy problem z IE przy 99% pobieraniu Mozilla, połączenie zostało przerywane i trzeba było wznawiać pobieranie, ale za którymś razem się udało, malwarybytes nic nie znalazł
log z usuwania
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Reasumacja.

OK.

[klosek12]

Dziękuje bardzo za pomoc, w razie jakichkolwiek problemów wiem gdzie się zgłosić, pozdrawiam

[XMan]

Zrozumiałem że temat został rozwiązany ?
Zamykam,
XMan.