Problem z plikami na dyskach przenośnych - skróty LNK

[vnr]

Witam. Mam duży problem z plikami z dysków przenośnych. Głównie mam na myśli mp3, kartę pamięci w aparacie. Gdy podłączam te urządzenia pod PC to nie mogę wejść w pliki, np. chcę wejść w jakiś album muzyczny i nie mogę, ponieważ folder główny jest zmieniony na skrót INK. Proszę o pilną pomoc ! Z góry dziękuje.

[wieslaw531]

Infekcja. Załóż temat w odpowiednim dziale.

[picasso]

Temat przenoszę do działu diagnostyki infekcji. Podaj obowiązkowe logi z OTL oraz log USBFix z opcji Listing wytworzony przy podpiętym urządzeniu.

 

 

Gdy podłączam te urządzenia pod PC to nie mogę wejść w pliki, np. chcę wejść w jakiś album muzyczny i nie mogę, ponieważ folder główny jest zmieniony na skrót INK.

 

LNK a nie INK. Nie, foldery nie są zmienione w skróty. Na urządzeniu są aktualnie zarówno foldery jak i skróty, tylko nie widzisz wszystkiego. Foldery są ukryte, a skrót o tej samej nazwie ma specjalnie kierować użytkownika, by kliknął myśląc, że to jego folder ... Klik uruchamia infekcję! Foldery są ukryte przez atrybuty HS ("ukryty systemowy"), dlatego by je widzieć na urządzeniu należy mieć odznaczoną opcję Ukryj chronione pliki systemu operacyjnego.

 

 

 

.

[vnr]

Od razu przepraszam za zły dział . W załącznikach wysyłam wszystkie pliki, które kazałeś mi wysłać . Pozdrawiam

Extras.Txt

OTL.Txt

UsbFix.txt

[picasso]

Apropos "kazałeś" = jestem kobietą. Urządzenie jest zaprawione dwoma rodzajami infekcji: LNK + autorun.inf. System też jest zainfekowany, a ponadto jest i adware (konsekwencja instalacja vShare i podobnych).

 

1. Urządzenie musi być podpięte. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [Windows Defender]  File not found
O4 - HKU\S-1-5-21-2836323398-2092967581-1206765411-1000..\Run: [Microsoft Windows Manager] C:\Users\OLAF\M-10-6897-8685-3464\winmgr.exe File not found
O4 - HKU\S-1-5-21-2836323398-2092967581-1206765411-1000..\Run: [Mjjicrt ddd Manager] C:\Users\OLAF\M-10-8754-86589-55555\windog.exe (trew soft)
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=50d606cd-ff6f-11e1-a388-0025227ea6fa&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817"
IE - HKU\S-1-5-21-2836323398-2092967581-1206765411-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=50d606cd-ff6f-11e1-a388-0025227ea6fa&q={searchTerms}"
IE - HKU\S-1-5-21-2836323398-2092967581-1206765411-1000\..\SearchScopes\{367457CC-58EE-4D76-A3C3-F77B65F4950C}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=722af3dd-086a-11e1-a104-0025227ea6fa&q={searchTerms}"
IE - HKU\S-1-5-21-2836323398-2092967581-1206765411-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
IE - HKU\S-1-5-21-2836323398-2092967581-1206765411-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817"
IE - HKU\S-1-5-21-2836323398-2092967581-1206765411-1000\..\URLSearchHook: {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - No CLSID value found
IE - HKU\S-1-5-21-2836323398-2092967581-1206765411-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\Loader.sys -- (Loader)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\OLAF\Desktop\xqz ring0 by dedi\xqz ring0 by dedi\injectDLL.sys -- (injectDLL)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\ATI Technologies\ATI.ACE\Fuel\i386\AODDriver2.sys -- (AODDriver4.0)
DRV - File not found [Kernel | Auto | Stopped] -- C:\Users\OLAF\AppData\Local\Temp\3019.sys -- (3019)
 
:Files
C:\Users\OLAF\M-10-8754-86589-55555
G:\689342
G:\DCIM.lnk
G:\yoayo.exe
G:\yoayo.scr
G:\autorun.inf
G:\windsrcn.exe
attrib /d /s -s -h G:\* /C
C:\Program Files\Mozilla Firefox\extensions\{f5609f75-9a2e-e88e-64c6-1ee5230ae658}
C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
C:\Users\OLAF\AppData\Roaming\mozilla\Firefox\Profiles\by1x70rq.default\extensions\engine@conduit.com
C:\Users\OLAF\AppData\Roaming\mozilla\firefox\profiles\by1x70rq.default\searchplugins\startsear.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Uruchom GrantPerms i w oknie wklej:

 

C:\Windows\System32\drivers\etc\hosts

 

Klik w Unlock. Następnie zresetuj plik HOSTS do postaci domyślnej narzędziem Fix-it z artykułu: KB972034.

 

3. Odinstaluj adware:

- Przez Panel sterowania odinstaluj Browsers Protector, Conduit Engine, Contextual Tool Extrafind, StartSearch Toolbar 1.3.

- Google Chrome: Wejdź do ustawień. W zarządzaniu wyszukiwarkami przestaw domyślną z Web Search na Google, po tym Web Search usuń z listy. W Rozszerzeniach odinstaluj StartSearch Video plug-in.

- Firefox: Zamknij przeglądarkę (nie może być uruchomiona) i przenieś na Pulpit poniższy plik (to zresetuje preferencje).

 

C:\Users\OLAF\AppData\Roaming\mozilla\firefox\profiles\by1x70rq.default\prefs.js

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Edytowane 30 Listopada 2012 przez picasso
30.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso