Vytváří se na usb (System volume information) Vyřešeno

Sekce věnovaná virům a jiným škodlivým kódům, rovněž ale nástrojům, kterým se lze proti nim bránit…

Moderátoři: memphisto, Mods_senior, Security team

martinkopec
Level 1
Level 1
Příspěvky: 57
Registrován: únor 15
Pohlaví: Muž

Vytváří se na usb (System volume information)

Příspěvekod martinkopec » 15 úno 2018 21:27

Dobrý den,
mám takový problém. z ničeho nic se mi na Jakýkoliv flash disk který připojim vytvoří instantně složka "System volume information" a windows deffender hlásí darebáka Worm:JS/Bondat!Ink jako vážné. Nevím jestli to spolu souvisí, ale smazat nejde, dát do karantény taky ne. Vždycky se obnoví znova. Jak ten vir, tak i ta složka. Možná to někde na internetu je, ale prostě jsem nikde řešení nenašel. Mám windows 10. Nevím co vše k potřebujete vědět.

Děkuji moc za každou odpověď.

Toto je druhé téma uplně stejné. Předem se omlouvám, ale v tom minulém, které jsem vytvořil asi hoďku zpátky. Jsem chtěl s citací odpovědět a omylem jsem uzamkl téme a nikde jsem nenašel, jestli to jde obnovit nebo ne.

Byla tam odpověď, že nejdřív bych řešil proč mi ten vir přišel do PC.

Upřímně netušim. nestahuju skoro nic. PC mám převážně na internet a na hry. Flash disk se používal jako přenos dat do tiskáren, kde se přes něj tiskly dokumenty, tak jestli je možné chytit vir takto. Tak tím by to mohlo být. Každopádně doporučí mi někdo nějaký antivir, který je schopný něco takového vyřešit? :)



Reklama
cunik.cz
Level 3
Level 3
Příspěvky: 446
Registrován: leden 18
Pohlaví: Muž

Re: Vytváří se na usb (System volume information)

Příspěvekod cunik.cz » 15 úno 2018 23:07

Možná tam máš nějakej sprasek co se přenáší po flashkách. Projeď PC Eset Online Skenerem a MBAM. A dej log do HJT. Vir máš ve svém PC kde se ti automaticky přenáší na jakékoliv médium co do PC zapojíš :D

Uživatelský avatar
Pic
Moderátor
Guru Level 13
Guru Level 13
Příspěvky: 22758
Registrován: září 06
Bydliště: Východní Čechy
Pohlaví: Muž

Re: Vytváří se na usb (System volume information)

Příspěvekod Pic » 16 úno 2018 00:00

Původní téma není zamknuto, ale přesouvám jej do odpadu. Podruhé se přesvěč co děláš a kam to ukládáš.
Přečti si pravidla tohoto fóra! Přečetl jsi si nejprve manuál? Piš tak, abychom Ti rozuměli! Na SZ neodpovídám na požadavky řešení Vašich problémů s PC!
Nic není dokonalé, ani člověk!

martinkopec
Level 1
Level 1
Příspěvky: 57
Registrován: únor 15
Pohlaví: Muž

Re: Vytváří se na usb (System volume information)

Příspěvekod martinkopec » 16 úno 2018 19:13

Tady je z MBM, našlo to 5x trojan, tak jsem je nechal dát do karantény.

Malwarebytes
www.malwarebytes.com

-Podrobnosti logovacího souboru-
Datum skenování: 16.02.18
Čas skenování: 19:04
Logovací soubor: cb39ec82-1343-11e8-b95e-448a5b5c02b8.json
Správce: Ano

-Informace o softwaru-
Verze: 3.3.1.2183
Verze komponentů: 1.0.262
Aktualizovat verzi balíku komponent: 1.0.3968
Licence: Zkušební

-Systémová informace-
OS: Windows 10 (Build 16299.248)
CPU: x64
Systém souborů: NTFS
Uživatel: PC\User

-Shrnutí skenování-
Typ skenování: Skenování hrozeb (Threat Scan)
Výsledek: Dokončeno
Skenované objekty: 296772
Zjištěné hrozby: 5
Hrozby umístěné do karantény: 0
(Nebyly zjištěny žádné škodlivé položky)
Uplynulý čas: 1 min, 52 sek

-Možnosti skenování-
Paměť: Povoleno
Start: Povoleno
Systém souborů: Povoleno
Archivy: Povoleno
Rootkity: Zakázáno
Heuristika: Povoleno
Potenciálně nežádoucí program: Detekovat
Potenciálně nežádoucí modifikace: Detekovat

-Podrobnosti skenování-
Proces: 0
(Nebyly zjištěny žádné škodlivé položky)

Modul: 0
(Nebyly zjištěny žádné škodlivé položky)

Klíč registru: 3
Trojan.Agent.TSK, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Skype, Žádná uživatelská akce, [6661], [385552],1.0.3968
Trojan.Agent.TSK, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{8C49706A-2CCD-45EE-B768-1D23988AE120}, Žádná uživatelská akce, [6661], [385552],1.0.3968
Trojan.Agent.TSK, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{8C49706A-2CCD-45EE-B768-1D23988AE120}, Žádná uživatelská akce, [6661], [385552],1.0.3968

Hodnota v registru: 1
Trojan.Agent.TSK, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{8C49706A-2CCD-45EE-B768-1D23988AE120}|PATH, Žádná uživatelská akce, [6661], [399963],1.0.3968

Data registrů: 0
(Nebyly zjištěny žádné škodlivé položky)

Datové proudy: 0
(Nebyly zjištěny žádné škodlivé položky)

Adresář: 0
(Nebyly zjištěny žádné škodlivé položky)

Soubor: 1
Trojan.Agent.TSK, C:\WINDOWS\SYSTEM32\TASKS\SKYPE, Žádná uživatelská akce, [6661], [385552],1.0.3968

Fyzický sektor: 0
(Nebyly zjištěny žádné škodlivé položky)


(end)

cunik.cz
Level 3
Level 3
Příspěvky: 446
Registrován: leden 18
Pohlaví: Muž

Re: Vytváří se na usb (System volume information)

Příspěvekod cunik.cz » 16 úno 2018 19:32

Ok, log do HJT sekce jsi vložil? Co ten Eset? Jinak cokoliv jsi do PC zapojil tak je infikované. Všechno formátuj ale tak aby jsi nic nechytil třeba ve Live CD Linuxu

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 38255
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž

Re: Vytváří se na usb (System volume information)

Příspěvekod jaro3 » 16 úno 2018 19:32

Vlož log z HJT:
http://www.pc-help.cz/viewtopic.php?f=70&t=5119

do sekce HiJackThis.

. spusť znovu Malwarebytes' Anti-Malware a dej Skenovat nyní
- po proběhnutí programu se ti objeví hláška tak klikni na „Vše do karantény(smazat vybrané)“ a na „Exportovat záznam“ a vyber „textový soubor“ , soubor nějak pojmenuj a někam ho ulož. Zkopíruj se celý obsah toho logu.

Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni na select all found, poté:
-Když používáš Firefox (Mozzila), klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
-Když používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected. Poté klikni na Main (hlavní stránku ) a klikni na Empty Selected.
Po vyčištění klikni na Exit k zavření programu.
ATF-Cleaner je jednoduchý nástroj na odstranění historie z webového prohlížeče. Program dokáže odstranit cache, cookies, historii a další stopy po surfování na Internetu. Mezi podporované prohlížeče patří Internet Explorer, Firefox a Opera. Aplikace navíc umí odstranit dočasné soubory Windows, vysypat koš atd.
- Pokud používáš jen Google Chrome , tak ATF nemusíš použít.


Stáhni si TFC
http://www.geekstogo.com/forum/files/fi ... -oldtimer/
Otevři soubor a zavři všechny ostatní okna, Klikni na Start k zahájení procesu. Program by neměl trvat dlouho.
Poté by se měl PC restartovat, pokud ne , proveď sám.

Stáhni AdwCleaner (by Xplode
http://www.bleepingcomputer.com/download/adwcleaner/
http://www.adlice.com/downloadprogress/

Ulož si ho na svojí plochu
Ukonči všechny programy , okna a prohlížeče
Spusť program poklepáním a klikni na „Scan“
Po skenu klikni na „Logfile“ ,objeví se okno „Log Manager“ a pak poklepej na odpovídající log , který se otevře. ( jinak je uložen systémovem disku jako C:\AdwCleaner [C?].txt ), jeho obsah sem celý vlož.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

martinkopec
Level 1
Level 1
Příspěvky: 57
Registrován: únor 15
Pohlaví: Muž

Re: Vytváří se na usb (System volume information)

Příspěvekod martinkopec » 16 úno 2018 22:03

cunik.cz píše:Ok, log do HJT sekce jsi vložil? Co ten Eset? Jinak cokoliv jsi do PC zapojil tak je infikované. Všechno formátuj ale tak aby jsi nic nechytil třeba ve Live CD Linuxu

ESET mi dal jen toto, ale zase našel 3x soubor s hrozbou přesně co mi píše windows deffender
Do HJT jsem log nevložil, tak daleko jsem se nedostal :D zkusim to :D upřímně, v tomhle se prd vyznám :D

C:\Users\User\AppData\Roaming\tmp6494.tmp.js JS/Vjworm.F červ
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tmp6494.tmp.js JS/Vjworm.F červ
Boot sektor JS/Vjworm.F červ

martinkopec
Level 1
Level 1
Příspěvky: 57
Registrován: únor 15
Pohlaví: Muž

Re: Vytváří se na usb (System volume information)

Příspěvekod martinkopec » 16 úno 2018 22:26

jaro3 píše:Vlož log z HJT:
http://www.pc-help.cz/viewtopic.php?f=70&t=5119

do sekce HiJackThis.



Abychom se pochopili. Jenom log z HJT do sekce HiJackThis
Ostatní věci jsem udělal a tady je log z AdwCleaner

# AdwCleaner 7.0.8.0 - Logfile created on Fri Feb 16 21:23:44 2018
# Updated on 2018/08/02 by Malwarebytes
# Database: 02-16-2018.1
# Running on Windows 10 Home (X64)
# Mode: scan
# Support: https://www.malwarebytes.com/support

***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries.

*************************

C:/AdwCleaner/AdwCleaner[C0].txt - [1781 B] - [2018/2/16 16:55:38]
C:/AdwCleaner/AdwCleaner[S0].txt - [1759 B] - [2018/2/16 16:55:14]


########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt ##########
Naposledy upravil(a) martinkopec dne 16 úno 2018 22:30, celkem upraveno 1 x.

martinkopec
Level 1
Level 1
Příspěvky: 57
Registrován: únor 15
Pohlaví: Muž

Re: Vytváří se na usb (System volume information)

Příspěvekod martinkopec » 16 úno 2018 22:28

Jestli to pomůže, ještě před tímhle scanem v Adwcleaner, jsem dělal scan asi 5 hodin předtím a to mi log hodil toto

# AdwCleaner 7.0.8.0 - Logfile created on Fri Feb 16 16:55:14 2018
# Updated on 2018/08/02 by Malwarebytes
# Database: 02-16-2018.1
# Running on Windows 10 Home (X64)
# Mode: scan
# Support: https://www.malwarebytes.com/support

***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

PUP.Optional.Legacy, C:\END


***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.Legacy, [Key] - HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\icq.com
PUP.Optional.Legacy, [Key] - HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\wlogin.icq.com
PUP.Optional.Legacy, [Key] - HKLM\SOFTWARE\MozillaPlugins\@pandonetworks.com\PandoWebPlugin
PUP.Optional.Conduit, [Key] - HKLM\SOFTWARE\Conduit
PUP.Optional.Conduit, [Key] - HKU\S-1-5-21-3195211630-173149088-1011612179-1001\Software\Conduit
PUP.Optional.Conduit, [Key] - HKCU\Software\Conduit
PUP.Optional.InstallCore, [Key] - HKU\S-1-5-21-3195211630-173149088-1011612179-1001\Software\csastats
PUP.Optional.InstallCore, [Key] - HKCU\Software\csastats
PUP.Optional.ProductSetup.A, [Key] - HKU\S-1-5-21-3195211630-173149088-1011612179-1001\Software\PRODUCTSETUP
PUP.Optional.ProductSetup.A, [Key] - HKCU\Software\PRODUCTSETUP


***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries.

*************************



########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt ##########

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 38255
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž

Re: Vytváří se na usb (System volume information)  Vyřešeno

Příspěvekod jaro3 » 16 úno 2018 23:01

Tady to ukonči a pokračuj v té sekci hijackthis.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra


Zpět na “Viry, antiviry, firewally…”

Kdo je online

Uživatelé prohlížející si toto fórum: CommonCrawl [Bot] a 0 hostů