Samoistnie tworzący się skrót na mp4

[Landre321]

Witam.

 

Jakiś czas temu brat przyniósł pdenriv'a z uczelni i podpiął go u mnie na komputerze. U niego były już utworzone te skróty wspomniane w temacie, z tego co wiem to jednego pendriv'a udało mu się uratować a z drugiego stracił wszystkie dane. Ja kilka dni temu podłączyłem swoje mp4 pod komputer no i stało się, skrót utworzył się również u mnie na mp4. Po kliknięciu w ten skrót widzę całą zawartość mp4 jednakże jak odłączę mp4 od komputera i chcę posłuchać muzyki to nie mogę tego zrobić, ponieważ pokazuje mi w każdym z folderów "EMPTY".

 

Jakie czynności już wykonałem:

Działałem już adw cleaner'em oraz OTL i USBFix. Na innych forach użytkownicy podali mi komendy do OTL, które również zastosowałem.

 

Problem jest teraz taki;

 

A sytuacja wygląda teraz tak, że gdy wejdę na dysk gdzie został podłączony odtwarzacz mp4 wyskakuje coś takiego:

http://tinypic.com/view.php?pic=2n73yp4&s=5

 

Na samym dole jest folder bez nazwy, gdy w niego wejdę to są te same wszystkie pliki, które były jak był ten skrót (kiedy po prostu w niego wchodziłem). Kieyd próbuje cokolwiek skopiować na mp4 to się nie da, nie rozwija mi się w ogóle lista poleceń gdy klikam prawy przyciskiem a po chwili wyskakuje okienko:

Program Eksplorator przestał działać i się zamyka cały folder z mp4.

 

edit: Teraz zauważyłem, że na każdym z dysków tak samo mi się dzieje, nie rozwija się lista poleceń tylko się po prostu zwiesza, nie mogę nic zrobić na dysku, albo zamknę go przez kombinację klawiszy alt+ctrl+delete lub po chwili wyskakuje to wcześniej wspomniane okienko.

[picasso]

Jakie czynności już wykonałem:

Działałem już adw cleaner'em oraz OTL i USBFix. Na innych forach użytkownicy podali mi komendy do OTL, które również zastosowałem.

No tak, a tu zasady działu: KLIK. Nie podałeś mi żadnych danych. Proszę podać: link do innego forum (by było wiadome jak rozwiązywano temat) + nowe raporty OTL i USBFix z opcji Listing (przy podpiętym odtwarzaczu) zrobione z tego momentu.

 

 

 

.

[Landre321]

Bardzo przepraszam, tutaj linki do forum:

 

http://forum.pclab.pl/topic/887636-Samoistnie-tworz%C4%85cy-si%C4%99-skr%C3%B3t-na-mp4/

 

http://www.forumpc.pl/topic/293236-problem-z-mp4samoistnie-tworz%C4%85cy-si%C4%99-skr%C3%B3t/

 

Raporty:

 

USBFix:

http://wklej.org/id/1075474/

 

OTL:

http://wklej.org/id/1075480/

 

 

 

Dodam również, że zrobiłem mniej więcej polecenia o jakich pisałaś tutaj:

"Wg obrazka jest tu infekcja, która robi następującą manipulację na dysku: tworzy folder "bez nazwy" i do niego przesuwa wszystkie prawidłowe dane z USB, następnie folder ten ukrywa przez atrybuty HS ("ukryty systemowy") i robi widoczny skrót o nazwie urządzenia, który podpuszcza użytkownika, by go uruchomić (a to uruchamia infekcję). Nie widzisz tego folderu "bez nazwy", gdyż nie masz skonfigurowanych wszystkich opcji widoku w Windows. W eksploratorze Windows > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukryj chronione pliki systemu operacyjnego, a się przekonasz o czym mowa.

To co należy zrobić to: skasować skrót + odkryć folder "bez nazwy" (zdjęcie atrybutów HS) + z niego przesunąć wszystkie dane poziom wyżej."

 

No i odtwarzacz działa, nie wyświetla się iż jets pusty, normalnie muzyka gra lecz dla pewności gdybyś mogła spojrzeć na logi czy wszystko jest już okej, byłbym wdzięczny

 

​A i dodam również, że lista poleceń już mi się normalnie rozwija, eksplorator windows również nie daje już o sobie znać.

[picasso]

Log z OTL niekompletny, brakuje pliku Extras (opcja rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Proszę dostarcz go (chodzi mi o świeży log zrobiony z dzisiaj a nie stary podany na pclab). I to teraz zanim zadam akcje czyszczące, bo tu niestety nie koniec:

 

 

Dodam również, że zrobiłem mniej więcej polecenia o jakich pisałaś tutaj: (...) No i odtwarzacz działa, nie wyświetla się iż jets pusty, normalnie muzyka gra lecz dla pewności gdybyś mogła spojrzeć na logi czy wszystko jest już okej, byłbym wdzięczny

Raport z USBFix to potwierdza. Ale niestety nie potwierdza wyczyszczenia systemu log z OTL. Log zrobiłeś wczoraj już po wszystkich akcjach na innych forach:

 

OTL logfile created on: 2013-06-27 21:57:44 - Run 3

 

A w logu bez zmian, śmietnik adware oraz uruchamia się infekcja, która znów przerobi MP4 (lub inne urządzenia) na skróty:

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 20393 = C:\ProgramData\LOCALS~1\Temp\ccvridoba.exe (House)

 

Czekam na log Extras i przejdę do dzieła.

 

 

 

.

[Landre321]

Kurcze masz rację, znów podłączyłem mp4 i mi go zainfekowało(skrót się znów utworzył) dodatkowo podłączyłem wczoraj inny dysk przenośny.... I tak jakby ten wirus poukrywał niektóre pliki na nim a utworzył nowe, porobiłem teraz skany również z podłączonym tym dodatkowym dyskiem (N:)

 

Podaję logi:

 

OTL:

http://wklej.org/id/1075632/

 

extras:

http://wklej.org/id/1075633/

 

usbfix z opcji lisitng:

http://wklej.org/id/1075634/

[picasso]

Kurcze masz rację, znów podłączyłem mp4 i mi go zainfekowało(skrót się znów utworzył) dodatkowo podłączyłem wczoraj inny dysk przenośny.... I tak jakby ten wirus poukrywał niektóre pliki na nim a utworzył nowe

Wnioskuję po raporcie USBFix, że wyczyściłeś z dysków te obiekty? Akcja pod kątem tego co mówiłam:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\RunOnce: [] File not found
F3 - HKCU WinNT: Load - (C:\Users\KamiB\LOCALS~1\Temp\cctobiqco.pif) - C:\Users\KamiB\LOCALS~1\Temp\cctobiqco.pif (House)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 20393 = C:\ProgramData\LOCALS~1\Temp\ccvridoba.exe (House)
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.searchdwebs.info/?l=1&q={searchTerms}&pid=34&r=2013/06/27&hid=2546966519&lg=EN&cc=PL&unqvl=22
IE - HKCU\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.searchdwebs.info/?l=1&q={searchTerms}&pid=34&r=2013/06/27&hid=2546966519&lg=EN&cc=PL&unqvl=22
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll File not found
 
:Files
$RECYCLE.BIN /alldrives
RECYCLER /alldrives
C:\Users\KamiB\AppData\Roaming\SendSpace
C:\ProgramData\InstallMate
C:\ProgramData\Local Settings
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

2. Odinstaluj adware:

- Przez Panel sterowania: DAEMON Tools Toolbar, vSharetv. Tak, vShare to nie pomyłka, ta wtyczka video wprowadza w system adware.

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

- Google Chrome: w Rozszerzeniach odinstaluj safee saave, SearchNewTab, vShare.tv plugin. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym skasuj z listy śmiecia WebSearch.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. W USBFix zastosowałeś immunizację, która utworzyła na wszystkich dyskach falsyfikaty autorun.inf:

 

O32 - AutoRun File - [2013-06-27 15:32:31 | 000,000,000 | RHSD | M] - C:\Autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2013-06-27 15:32:31 | 000,000,000 | RHSD | M] - D:\Autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2013-06-27 15:32:31 | 000,000,000 | RHSD | M] - E:\Autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2013-06-27 15:32:31 | 000,000,000 | RHSD | M] - F:\Autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2013-06-27 15:32:32 | 000,000,000 | RHSD | M] - G:\Autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2013-06-27 15:32:32 | 000,000,000 | RHSD | M] - H:\Autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2013-06-27 15:32:32 | 000,000,000 | RHSD | M] - I:\Autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2013-06-27 15:32:32 | 000,000,000 | RHSD | M] - J:\Autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2013-06-27 15:32:32 | 000,000,000 | RHSD | M] - K:\Autorun.inf -- [ NTFS ]

 

O ile te foldery mają znaczenie na przenośnym dysku, to mają niekorzystne skutki uboczne dla dysków twardych na Windows 7: KLIK. Zdejmij immunizację z dysków twardych.

 

5. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing + GMER. Dołącz log z usuwania OTL z punktu 1 oraz log z AdwCleaner.

 

 

 

.

[Landre321]

1. USBFix'a użyłem dzisiaj pod kątem tlyko odczytu infekcji: LISTING. 

Wczoraj nim czyściłem opcją DELETION, dzisiaj tego nie robiłem.

 

2. Daemoon tools był już odinstalowany wg. informacji podanych w panelu sterowania, vsharetv odinstalowany

-Firefox zrestartowany.

-Miałem trzy rozszerzenia w google chrome, usunąłem je wszystkie, na pewno był tam vsharetv a do tych dwóch pierwszych nie jestem pewny, jestem za to pewny, że usunąłem je wczoraj programem revo uninstaller pro.

 

4. Jaką opcję mam użyć w tym programie mkv?

 

5. OTL LOG:

http://wklej.org/id/1075645/

 

Log OTL z punktu 1:

http://wklej.org/id/1075652/

 

USBFix opcja listing:

http://wklej.org/id/1075646/

 

ADW cleaner

log:

http://wklej.org/id/1075643/

 

log  GMER:

http://wklej.org/id/1075653/

[picasso]

Log z GMER zrobiłeś w złym środowisku, przy czynnym DAEMON Tools Lite i sterowniku SPTD emulacji napędów (KLIK). Ale zostaw to już.

 

 

Wczoraj nim czyściłem opcją DELETION, dzisiaj tego nie robiłem.

1. USBFix'a użyłem dzisiaj pod kątem tlyko odczytu infekcji: LISTING.

Wiem o tym. Ta immunizacja autorun.inf to już była tu od pierwszego posta. Po prostu dopiero teraz podałam instrukcje usuwające immunizację z miejsc gdzie zbędna.

 

2. Daemoon tools był już odinstalowany wg. informacji podanych w panelu sterowania

-Miałem trzy rozszerzenia w google chrome, usunąłem je wszystkie, na pewno był tam vsharetv a do tych dwóch pierwszych nie jestem pewny, jestem za to pewny, że usunąłem je wczoraj programem revo uninstaller pro.

- Tak, wpis DAEMON Tools Toolbar był szczątkowy.

- Mówimy tu o Rozszerzeniach Google Chrome. Revo się nie nadaje do czyszczenia preferencji Google Chrome.

 

4. Jaką opcję mam użyć w tym programie mkv?

W opisie narzędzia napisałam o jaką opcję chodzi:

 

Ewentualnie, jeśli ktoś będzie miał zamiar potem usunąć te foldery, jest udostępniane kolejne narzędzie MKV mające taką opcję (Supprimer la vaccination).

 

Akcje prawie wyglądają na wykonane. Kolejne działania:

 

1. Nadal w Google Chrome domyślną wyszukiwarką jest adware od vShare:

 

========== Chrome ==========
 

CHR - default_search_provider: WebSearch (Enabled)

CHR - default_search_provider: search_url = http://websearch.searchdwebs.info/?l=1&q={searchTerms}&pid=34&r=2013/06/27&hid=2546966519&lg=EN&cc=PL&unqvl=22

CHR - default_search_provider: suggest_url = http://localhost

 

Jak mówiłam: "W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym skasuj z listy śmiecia WebSearch."

 

2. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
L:\E30 (4GB).lnk
L:\0~H.001
L:\desktop.ini
L:\Thumbs.db
N:\autorun.inf
N:\Recycled
C:\Windows\tasks\Norton Security Scan for KamiB.job
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Search bar"=-
"Secondary Start Pages"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Klik w Wykonaj skrypt. Od razu pokaż log z usuwania. Po tym:

 

3. Porządki po narzędziach: odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. Przez SHIFT+DEL skasuj folder:

 

C:\Users\KamiB\Desktop\Stare dane programu Firefox

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Zrób pełne (nie ekspresowe) skanowanie Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[Landre321]

OTL log po wykonaniu skryptu:

 

http://wklej.org/id/1075668/

 

Punkt 3 i 4 zrobiony.

 

Czy system jest już czysty?

 

edit:1 Mam problem z mp4 pokazuje iż jest zajęte około 2GB pamięci odtwarzacza a gdy wejdę tam to folder jest pusty, nie ma nic, gdy go skanowałem antyvirusem to sprawdzało cała tą muzykę, która zgrałem na mp4 lecz gdy włączę odtwarzacz to znów komunikat " EMPTY".

 

edit 2: Sformatowałem urządzenie, wgrałem na nowo muzykę i działa. Podłączałem również na nowo mp4 i żaden skrót się nie utworzył.

 

Dziękuje ślicznie za pomoc

[picasso]

Nie mówisz nic o punkcie 5, czyli skanie w MBAM. Robiłeś go w ogóle, czy moe narzędzie nic nie wykryło?

[Landre321]

Tak zrobiłem go, tutaj log:

 

http://wklej.org/id/1076092/

 

Na razie nie podjąłem żadnych działań w związku z wykrytymi zagrożeniami, czekam na twoją odpowiedz.

[picasso]

Program wykrył obiekty nie powiązane z analizowaną tu infekcją: instalkę Audacity jako adware oraz jakieś cracki do programów i gier. Część z tego może być nieszkodliwa, ale ja nie dam głowy za żadne cracki.

 

Na zakończenie zaktualizuj wyliczone poniżej programy: KLIK.

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83217021FF}" = Java 7 Update 21

"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish

"Mozilla Firefox 21.0 (x86 pl)" = Mozilla Firefox 21.0 (x86 pl)

 

I widzę jeszcze zainstalowane Nowe Gadu-Gadu. Program już stary. Polecam zainteresowanie się alternatywnymi programami z obsługą Gadu: WTW, Kadu, Miranda NG, AQQ. Opisy: KLIK.

 

 

 

 

.