Infekcja "skrótowa" na 2 pendrive-ach

[Kruchyy]

Witam, zostałem tu odesłany przez użytkownika/czkę filutka78 z innego forum. Mam 2 pendrive-y i każdy zarażony jest infekcją skrótową. wkleję rozmowę z drugiego forum, aby przedstawić jakie operacje były wykonane:

 

 

 

  Kruchyy

 

 

Witam,

ten sam problem, proszę o pomoc, bo sam już żyły sobie wyprówam, i nadal nic...

zaznaczę że 2 pendrive są problemem.

LOGI:

OLT przed użyciem USBfix:

http://wklej.org/id/1075057/

 

USBfix opcja research:

http://wklej.org/id/1075060/

 

USBfix opcja Deletion:

http://wklej.org/id/1075063/

 

USBfix opcja Research po wykonaniu Deletion:

http://wklej.org/id/1075067/

 

OLT po użyciu Usbfix:

http://wklej.org/id/1075071/

 

 

 

  filutka78 

 

 

 

 

 

 

--------->>@Kruchyy

 

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

Cytuj

 

:OTL

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 28581 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccicwu.exe (House)

[2013-06-04 15:26:25 | 000,000,350 | ---- | C] () -- C:\WINDOWS\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job

O4 - HKLM..\Run: [ROC_roc_dec12] "C:\Program Files\AVG Secure Search\ROC_roc_dec12.exe" /PROMPT /CMPID=roc_dec12 File not found

O4 - HKLM..\Run: [ROC_ROC_JULY_P1] "C:\Program Files\AVG Secure Search\ROC_ROC_JULY_P1.exe" / /PROMPT /CMPID=ROC_JULY_P1 File not found

O3 - HKLM\..\Toolbar: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)

O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL Inc.)

O3 - HKCU\..\Toolbar\WebBrowser: (Softonic-Polska Toolbar) - {C86EB8A9-CCC2-4B6C-B75D-73576ED591BF} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)

O3 - HKCU\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL Inc.)

O2 - BHO: (Softonic-Polska Toolbar) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)

O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL Inc.)

[2013-02-10 16:31:19 | 000,000,000 | ---D | M] (ST-Polska Community Toolbar) -- C:\Documents and Settings\Patka\Dane aplikacji\Mozilla\Firefox\Profiles\28w80smr.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf}

[2011-06-15 18:15:42 | 000,002,354 | ---- | M] () -- C:\Documents and Settings\Patka\Dane aplikacji\Mozilla\Firefox\Profiles\28w80smr.default\searchplugins\aol-web-search.xml

FF - prefs.js..browser.search.defaultthis.engineName: "ST-Polska Customized Web Search"

FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=3&q={searchTerms}"

FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=2&CUI=SB_CUI&q="

IE - HKCU\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL Inc.)

IE - HKCU\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - C:\Program Files\Softonic-Polska\tbSoft.dll (Conduit Ltd.)

IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL Inc.)

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]

"Start Page"="http://www.google.com/"

SRV - [2012-11-11 11:57:59 | 000,711,112 | ---- | M] () [Auto | Stopped] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe -- (vToolbarUpdater13.2.0)

 

:Files

attrib /d /s -s -h K:\* /C

attrib /d /s -s -h L:\* /C

K:\*.lnk

L:\*.lnk

 

:Reg

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Start Page"="http://www.google.com/"

 

:Commands

[emptytemp]

 

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

2)Zrób nowy log z USBFix, z opcji LISTING.

 

3) Masz Ad-Remover - użyj go.

Pokaż z tego raport.

 

F.

 

  Kruchyy

 

 

 

 

 

 

OTL log po skrypcie:

http://wklej.org/id/1075120/

USBFix log po skrypcie:

http://wklej.org/id/1075123/

Ad-Remover scan:

http://wklej.org/id/1075126/

 

 

 

  filutka78

 

 

-------->>@Kruchyy

 

Hm, wygląda na to, że "K" i "L" są już nie do uratowania.

Ale jeszcze raz spróbujemy:

Otwórz Notatnik i wklej w nim:

Cytuj

 

K:

del /s K:\*.lnk

attrib /d /s -s -h K:\*

L:

del /s L:\*.lnk

attrib /d /s -s -h L:\*

 

PAUSE

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako: FIX.BAT > Uruchom ten plik dwuklikiem.

 

Zrób nowy log z USBFix, z opcji LISTING.

 

 

Ad-Remower użyj z innej opcji (nie "Search").

 

F.

 

 

  Kruchyy

 

 

 

 

 

 

 

USBFix Listing:

http://wklej.org/id/1075144/

 

Ad-Remower clean

http://wklej.org/id/1075145/

 

 

 

  filutka78

 

 

 

 

 

 

 

 

Kruchyy, o 27 Czerwiec 2013 - 15:49, napisał(a):

 

[27/06/2013 - 14:05:02 | D ] K:\

[27/06/2013 - 14:05:18 | D ] L:\

 

 

Tak, to nic nie pomogło.

 

To jakaś nowa wersja infekcji "skrótowej".

Przerasta to moje umiejętności.

 

Napisz temat na >https://www.fixitpc.pl/ - może tam @Picasso coś na to wymyśli.

Uprzedzam tylko, że na tamtym forum na odpowiedź czeka się od kilkudziesięciu godzin do kilkunastu dni. Nic na to nie poradzę.

 

F.

 

 

 

tak więc liczę na waszą pomoc. robię to teraz na komputerze i pendrive-ach dziewczyny, potem nie będę miał dostępu do niego przez ok tygodnia, ale będę się starał wszystko robić co napiszecie. ew. zabiorę je do siebie, bo komputer chyba nie jest zainfekowany(?).

 

Pozdrawiam

[picasso]

Temat został źle poprowadzony.

 

1. ""K" i "L" są już nie do uratowania" to stwierdzenie delikatnie mówiąc oderwane od rzeczywistości. W pierwszej serii logów trzeci w kolejności log USBFix pokazuje, że USBFix już wykonał (!) wstępną robotę (usunięcie skrótów + zdjęcie atrybutów), więc podane później w skrypcie OTL komendy usuwania plików LNK oraz komendy attrib były bezcelowe, bo nie ma takich elementów. Dlatego też w wynikach usuwania było to:

 

File\Folder K:\*.lnk not found.

File\Folder L:\*.lnk not found.

 

Infekcja utworzyła foldery symulujące jakoby nie miały nazwy i to jedyne co aktualnie pokazuje na tych dyskach log USBFix (to były dane już od początku dostępne):

 

[27/06/2013 - 14:05:02 | D ] K:\

[27/06/2013 - 14:05:18 | D ] L:\ 

 

W tych folderach są poprzednie prawidłowe pliki. Koleżanka chyba nie zauważyła, że foldery w pierwszym logu USBFix nie mają ukrytych atrybutów HS (!). Te foldery nie są już ukryte, nie ma więc po co robić komendy attrib. Tu należy wykonać krok z ręcznym przenoszeniem danych, bo to się samo oczywiście nie zrobi:

 

Wejdź na dyski K i L. Na każdym zobaczysz foldery "bez nazwy". W nich są wszystkie dane. Wytnij je z tych folderów i przenieś w kompletnie inne miejsce. Puste już foldery bez nazwy przez SHIFT+DEL skasuj. Tylko tyle.

 

2. Dodatkowa uwaga: Nie były zalecone deinstalacje adware, został zalecony archaiczny program Ad-Remover. To program zupełnie nierozwijany, przestarzały i brakuje mu mnóstwo definicji. Proszę o świeże logi OTL zrobione z teraz, i to dwa, bo w tamtym temacie nie podałeś pliku OTL Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania").

 

 

 

.

Edytowane 25 Sierpnia 2013 przez picasso
25.08.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso