РЕШЕН Флаш шорткът вирус

[vorfax]

Здравейте.

Флашка, която не е моя собственост има следния проблем: Имала е вирус, който показва съдържанието и по този начин:

 

http://img585.imageshack.us/img585/9548/usbdrive.jpg

 

При последване на шорткъта се открива реалното съдържание на флашката. Вирусът е catalyst.exe и го хваща Avira. Проблемът е, че някой, който не разбира е изтрил самият шорткът и сега показва, че флашката е пълна (в GB), но когато се отвори не се показва нищо.

В нета срещам следната процедура за чистене на вируса, но тя не промени нищо:

Run --> cmd
OK
Въвеждане на:
attrib -h -r -s /s /d g:\*.*
където g е буквата съответстваща на флаш устройството.

 

Как да получа достъп до информацията записана на флашката?

 

[B-boy/StyLe/]

Опитай да я сканираш с MSChield 2 и публикувай лог файла.

[vorfax]

Утре ще имам възможност и ще пиша (:

[vorfax]

Това е лога:

MCShield ::Anti-Malware Tool:: http://www.mcshield.net/

>>> v 2.7.4.23 / DB: 2013.9.22.1 / Windows 7 <<<


26.9.2013 г. 15:28:41 > Drive C: - scan started (no label ~976 GB, NTFS HDD )...



=> The drive is clean.


26.9.2013 г. 15:28:41 > Drive D: - scan started (no label ~886 GB, NTFS HDD )...



=> The drive is clean.


26.9.2013 г. 15:28:41 > Drive F: - scan started (ИМЕ ~7446 MB, FAT32 flash drive )...


>>> F:\desktop.ini - Malware > Deleted. (13.09.26. 15.29 desktop.ini.291577; MD5: 1c0f72d470bc225a5cb12577374d3d08)


=> Malicious files   : 1/1 deleted.

____________________________________________

::::: Scan duration: 22sec :::::::::::::::::
____________________________________________
 

 

По време на сканиране с Malwarebytes Anti-Malware виждам пътя и имената на файловете, но отново при влизане във флашката тя е празна. Няма ли начин да се клонира или нещо подобно, за да се извлекат файловете от нея?

[B-boy/StyLe/]

Не е празна и би трябвало MSChield 2 да я дезинфекцира, но явно и системата ви е заразена с червея и първо трябва да се занимаем с нея:

 

• Изтеглете RogueKiller.exe и го запазете на десктопа.
• Стартирайте приложението и натиснете бутона SCAN.
• Ще се създаде лог файл на десктопа с името RKreport.txt на десктопа.
• Публикувайте лог файла в следващия си пост.

 

Ако не стане изтегли прикачения файл и го разархивирай върху флашата и го стартирай оттам =>ShortcutVirusRemover.zip

След това пиши дали папката вече е видима.

[vorfax]

Вече съм на проблемния компютър и мога да сканирам. Това е лога (от вчера, като нищо не съм трил с програмата):

 

RogueKiller V8.7.0 [sep 30 2013] by Tigzy
mail : tigzyRK<at>gmail<dot>com
Feedback : http://www.adlice.com/forum/
Website : http://www.adlice.co...es/roguekiller/
Blog : http://tigzyrk.blogspot.com/

Operating System : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Started in : Normal mode
User : Admin [Admin rights]
Mode : Scan -- Date : 09/30/2013 13:50:47
| ARK || FAK || MBR |

¤¤¤ Bad processes : 0 ¤¤¤

¤¤¤ Registry Entries : 5 ¤¤¤
[HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
[HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ DESK][PUM] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Scheduled tasks : 0 ¤¤¤

¤¤¤ Startup Entries : 0 ¤¤¤

¤¤¤ Web browsers : 2 ¤¤¤
[FF][PROXY] nvd7a678.default : user_pref("network.proxy.hxxp", "127.0.0.1"); -> FOUND
[FF][PROXY] nvd7a678.default : user_pref("network.proxy.hxxp_port", 3128); -> FOUND

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver : [NOT LOADED 0x0] ¤¤¤

¤¤¤ External Hives: ¤¤¤

¤¤¤ Infection :  ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 hxxp://internetdownloadmanager.com


¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Standard disk drives) - ST2000DM001-1CH164 ATA Device +++++
--- User ---
[MBR] 1560a1c1e39257cced3c54ffa904604e
[bSP] ea95cbbea70a6b12839d5fb6a9be732e : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 999899 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048000000 | Size: 907728 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Finished : << RKreport[0]_S_09302013_135047.txt >>

 

ПП: Обновената днес Malwarebytes Anti-Malware не засича нищо.

[vorfax]

ShortcutVirusRemover свърши работата. Появи се папка без име в която се намираше съдържанието на флашката.

Благодаря ти B-boy/StyLe/, помагаш ми за пореден път

[B-boy/StyLe/]

Радвам се, че проблема е решен. Все пак ако искаш да проверим за остатъци (защото в момента масово има нов вариант на паразита) можем да направим следното:

 

 

 

СТЪПКА 1

 

 

• Моля изтеглете Farbar Recovery Scan Tool (според версията на Windows изберете 32 битовата или 64 битовата версия) и го запазете на десктопа.
• Стартирайте файла FRST.exe (или FRST64.exe)
• Програмата ще се стартира. Натиснете YES за да се съгласите с лицензионното споразумение.
• Сложете всички отметки.
• Натиснете бутона SCAN.
• Ще се създадат два лог файл с името - FRST.txt и Addition.txt на десктопа.
• Прикачете лог файловете в следващия си коментар.

 

 

 

СТЪПКА 2

 

 

 

Изтеглете UsbFix и я запазете на десктопа.

Стартирайте програмата и изберете Research...на диалоговия прозорец изберете No и след това потвърдете с ОК.

След края на проверката ще се отвори лог файл с името - UsbFix.txt => прикачете съдържанието му в следващия си коментар.

След това отново от програмата изберете Listing => ще се отвори нов текстов файл с името - UsbFix.txt => прикачете съдържанието му в следващия си коментар.

 

 

 

СТЪПКА 3

 

 

 

Изтеглете програмата Show Hidden и я запомнете на вашия десктоп.

• Отворете Start => в полето за търсене въведете CMD.exe => кликнете върху CMD.exe с десен бутон на мишката и изберете => Run as administrator
• В конзолата с copy/paste копирайте командата: "%userprofile%\desktop\show-hidden.exe" -f
• Натиснете OK и изчакайте проверката да завърши.
• След като тя приключи, ще се създаде лог файл Show-Hidden .txt .Моля прикачете съдържанието му в следващия си пост.

[vorfax]

Нямам възможност да го извърша за конкретния компютър.

Благодаря отново!

[B-boy/StyLe/]

Разбирам, тогава маркирам проблема като решен.

[maria11]

Радвам се че има тема по този нашумял проблем шорткът -вирус.Моята флашка също се омаза ,дадох я на колежка да я оправя.Незнам какво е свършила,но искам да попитам как да се предпазим от тоя вирус и изобщо как да си пазим флашката,срещам мнения за премахване на Autorun.uni - какво е вашето мнение.Как  се форматира правилно флашка и какво ще значи това,има ли инструменти за проверка на флашки,за тяхното чистене?Зададох много въпроси ,но вярвам ,че ще са от полза на много хора. Информацията във флашката ,ако се налага да се изтрие ,може ли да се възстанови чиста?

Ако някои от въпросите ми са писани друго място моля за линк .

[B-boy/StyLe/]

Здравейте maria11,

 

Има няколко основни стратегии за предпазване от USB зарази:

 

 

СТЪПКА 1 - Спрете Autorun функцията за да имунизирате компютъра си като включвате заразени флашки в компютъра си (не можете да накарате всички хора да си го изключат преди да пъхнете флашката, но поне вашия можете да си го спрете).

Изтеглете и стартирайте следния файл http://support.microsoft.com/library/images/support/EN-US/Button_FixIt_Silver.jpg
Стартирайте го и се съгласете с лицензионното споразумение.
Натиснете Next и изчакайте да си свърпи работата.
Рестартирайте системата ако се наложи.

 

 

 

СТЪПКА 2 - Допълнително имунизиране на системата:

 

 

Следващото нещо е да имунизирате системата и флашката. Изтеглете Panda Usb Vaccine и я стартирайте.

Изберете Vaccinate Computer и затворете приложението.

 

 

След това изтеглете UsbFix и я запазете на десктопа. Включете флашката и стартирайте инструмента и натиснете Vaccinate.

Програмата ще създаде скрити папки с името Autorun.inf на всеки един от дяловете на компютъра, които ще служат за имунизация на компютъра и затова не ги трийте (макар да се изтриват трудно има начини). Ще създаде и файл с името Autorun.inf, който ще бъде защитен от манипулации за да предотврати заразяването с някои от заразите. Ако се съмнявате, че и самата флашка е заразена, тогава можете да натиснете бутона Deletion и да прикачете лог файла в следващия си коментар. След това натиснете бутона Uninstall за да деинсталирате инструмента.

 

 

 

СТЪПКА 3 - Проверка на флашката за остатъци:

 

 

Вече можете да сканирате флашката  с десен бутон върху дяла на флашката от My Computer изберете SCAN с инсталираната от вас антивирусна програма. Не забравяйте преди сканирането да я обновите с последните дефиниции.

 

Може да инсталирате и тозиспециализиран инструмент за флашки: MCShield 2 който ще защитава флашката в реално време и ще я сканира всеки път, когато я поставите в USB порта на компютъра и при проблеми ще ги отстранява автоматично. Програмата е лека и не си пречи с вече инсталираната антивирусна програма и сканира за всички известни механизми използвани от USB разпространяваните зарази и ги спира навреме (дори Sality).

 

http://i.imgur.com/yipkjZd.png

 

 

Тази стъпка е излишна ако смятате да я форматирате.

Бтв, ако ще я форматирате - имунизациите ги направете след това, защото ще заминат и те. http://www.kaldata.com/forums/public/style_emoticons/default/smile.gif

 

Поздрави!

[maria11]

  Благодаря за изчерпателния отговор ,ще действам.Имам въпрос за инструмента на Панда ,няма да ли е проблем понеже съм с Аваст антивирусна ?

[B-boy/StyLe/]

Мне, няма да има проблеми - той само се стартира (не се инсталира).

[maria11]

Благодаря    сега май ще действам със смело сърце.