inutero7 Opublikowano 2 Lipca 2013 Zgłoś Udostępnij Opublikowano 2 Lipca 2013 Witam. Zapoznałem się z listą wymaganych logów. Mam nadzieję że są kompletne. Widziałem temat z tym samym problemem kilka wersów niżej, ale przeczytałem że każdy skrypt jest unikatowy, oraz że nie wolno podpinać się do innych tematów.Podłączyłem pendrive do obcego komputera, po tym zabiegu nie chciał się otworzyć "normalnie" i wyświetlać swojej zawartości tylko po kliknięciu na pendrive wyświetlał się skrót. Zdjecie poniżej.Sformatowałem go (już na swoim kompie, i to był błąd). Nic to nie pomogło, co więcej od tamtego czasu działo się tak ze wszystkimi pendrivami i kartami pamięci (telefon, aparat). W tej chwili zainfekowane mam około 6 urządzeń przenośnych.Przy "odtajnieniu" plików w folderze pendriva wyświetla się coś takiego: Czy jeśli pozbędę się wirusa z dysku twardego to czy każde podłączenie urządzenia przenośnego będzie skutkować ponowną infekcją?W chwili obecnej nie posiadam antywira. Sprzęt jest nowy. Nie zdążyłem. Na czas skanów wyłączyłem zaporę, oraz usunąłem programy emulujące napędy.Załączam logi. Dodam że jestem mocno zielonym informatykJem, więc bardzo proszę o ograniczenie żargonu i terminologii komputerowej Z góry bardzo dziękuję za pomoc. OTL.Txt Extras.Txt GMER.txt UsbFix Scan 5 ASUS.txt AdwCleanerS2.txt listing usb.txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 2 Lipca 2013 Zgłoś Udostępnij Opublikowano 2 Lipca 2013 Podłączyłem pendrive do obcego komputera, po tym zabiegu nie chciał się otworzyć "normalnie" i wyświetlać swojej zawartości tylko po kliknięciu na pendrive wyświetlał się skrót. Zdjecie poniżej. (...) Sformatowałem go(już na swoim kompie, i to był błąd). Nic to nie pomogło, co więcej od tamtego czasu działo się tak ze wszystkimi pendrivami i kartami pamięci (telefon, aparat). W tej chwili zainfekowane mam około 6 urządzeń przenośnych. Przy "odtajnieniu" plików w folderze pendriva wyświetla się coś takiego Niestety zainfekowałeś sobie system próbując otwierać ten "skrót". To był skrót uruchamiający infekcję. Twoje prawdziwe dane były na pendrive przesunięte przez infekcję do katalogu "bez nazwy" (na trzecim obrazku to widać = pierwsza pozycja opisana jako "folder plików"), a folder ten był ukryty = widzialny tylko po odznaczeniu opcji Ukryj chronione pliki systemu operacyjnego. Infekcja ładuje się z tych wpisów, dlatego każde podpinane urządzenie jest przerabiane na skróty: F3:64bit: - HKU\S-1-5-21-555250695-1294936238-951627053-1000 WinNT: Load - (C:\Users\Alex\LOCALS~1\Temp\ccbkyui.com) - C:\Users\Alex\LOCALS~1\Temp\ccbkyui.com (Hause) F3 - HKU\S-1-5-21-555250695-1294936238-951627053-1000 WinNT: Load - (C:\Users\Alex\LOCALS~1\Temp\ccbkyui.com) - C:\Users\Alex\LOCALS~1\Temp\ccbkyui.com (Hause) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 59796 = C:\PROGRA~3\LOCALS~1\Temp\ccvkga.exe (Hause) Zanim przejdziemy do usuwania, poproszę jeszcze o dodatkowe logi: 1. USBFix z opcji Listing zrobiony przy maksymalnej ilości podpiętych urządzeń USB. 2. Log z FRST. . Odnośnik do komentarza
inutero7 Opublikowano 2 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 2 Lipca 2013 Dodałem wspomniane elementy. Odnośnik do komentarza
picasso Opublikowano 2 Lipca 2013 Zgłoś Udostępnij Opublikowano 2 Lipca 2013 Logi powinieneś dodać w drugim swoim poście. Edycja wsteczna nie trzyma kolejności zadanych akcji. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Runonce: [] [x] HKLM\...\Policies\Explorer\Run: [59796] C:\PROGRA~3\LOCALS~1\Temp\ccvkga.exe [126134 2009-07-14] ( (Hause)) HKCU\...\CurrentVersion\Windows: [Load] C:\Users\Alex\LOCALS~1\Temp\ccbkyui.com HKCU\...\Run: [ALLUpdate] "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" [x] C:\PROGRA~3\LOCALS~1\Temp\ccvkga.exe C:\Users\Alex\LOCALS~1\Temp\ccbkyui.com C:\Windows\DeleteOnReboot.bat C:\Users\Alex\Documents\APNSetup1.exe C:\MSI F:\autorun.inf F:\4#BKMHXAELUTLKRO.ini F:\desktop.ini F:\Thumbs.db F:\USB DISK (4GB).lnk G:\autorun.inf G:\4#YEEGFHYX.ini G:\desktop.ini G:\Thumbs.db G:\TOSHIBA 8GB (8GB).lnk CMD: attrib /d /s -s -h F:\* CMD: attrib /d /s -s -h G:\* Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v "Default Scope" /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v "Default Scope" /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v "Default Scope" /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Task: {1100182F-6956-4598-BB2D-5CC50155C194} - System32\Tasks\{81FB999B-6968-49E8-8C52-0BE2AF335D2B} => C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe No File Task: {561B61D4-F93A-414B-893D-810884567BEF} - System32\Tasks\{CEA9E291-502F-49BD-AFE0-F12EE721AB48} => C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe No File Task: {75F96ED6-B6A3-4DC9-BF56-6E66D745EB9D} - System32\Tasks\{DC1CA97C-2224-4C6D-AE9C-BF6A3DD21516} => C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe No File Task: {87674AC3-B446-428E-B924-BC2E94B726DD} - System32\Tasks\{A54AD1E6-8BCA-4170-B969-20D028B208E6} => C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe No File Task: {935FE923-AE40-4915-8CE6-D918143A957A} - System32\Tasks\{5E607AEF-ACD4-4D00-B9F4-BA6C2BB7B15F} => C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe No File Task: {B4061C4B-6764-4CC7-8C13-8BDB9B2C2A6F} - \Microsoft\Windows\RVLKL\RVLKL No Task File Task: {C704AFA1-2044-4B1E-A9B1-C890B1CF486B} - System32\Tasks\{1F98F5EF-CD6C-481B-A1B6-1D98F43D39FF} => C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe No File Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij Fix. Powstanie plik fixlog.txt. 2. Następnie wejdź na dyski F: i G: do folderów "bez nazwy". Przenieś wszystkie dane z tych folderów poziom wyżej a foldery przez SHIFT+DEL skasuj. 3. Usuń drobne adware wprowadzone w system z instalacją KMPlayer. Przez Panel sterowania odinstaluj KMP Media Toolbar. Otwórz Firefox i w Rozszerzeniach powtórz deinstalację tego samego. 4. Zrób nowe logi: FRST (bez Addition) oraz USBFix z opcji Listing. Dołącz fixlog.txt. Oczywiście nowe logi umieszczasz w nowym poście. . Odnośnik do komentarza
inutero7 Opublikowano 2 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 2 Lipca 2013 Wykonałem wszystko. Z urządzeń przenośnych skasowałem wszystkie pliki oprócz autorun.inf. Nie można go skasować ponieważ jest używany przez Proces hosta dla Windows.... Czy formatowanie i odłączenie pendrivów ma sens? Fixlog.txt FRST.txt Linsting.txt Odnośnik do komentarza
inutero7 Opublikowano 2 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 2 Lipca 2013 Powyższy fixlog chyba był nieprawidłowy.Ten jest okej. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 2 Lipca 2013 Zgłoś Udostępnij Opublikowano 2 Lipca 2013 EDIT: Moment. Zrobiłeś po raz drugi skrypt. Proszę nie robić takich rzeczy, te skrypty są niepowtarzalne. Proszę o nowy log z FRST oraz USBFix z opcji Listing. Komentarze do poprzednich akcji: - Podczas pierwszego przetwarzania skryptu dyski F i G w ogóle chyba nie były podpięte podczas przetwarzania skryptu FRST, co nie miało sensu, bo przecież FRST wykonywał komendy na tych dyskach. Wszystkie odczyty są File/Directory not found. - Ty nie miałeś nic ręcznie robić z zakresu, który miał wykonać skrypt FRST. Ty miałeś dopiero po skrypcie FRST wejść na urządzenia i z folderów "bez nazwy" przenieś swoje dane poziom wyżej: Z urządzeń przenośnych skasowałem wszystkie pliki oprócz autorun.inf. . Odnośnik do komentarza
inutero7 Opublikowano 2 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 2 Lipca 2013 Przepraszam. Mówiłem ze zielony. Tutaj są logi FRST i USB fix podczas gdy były podłączone dyski wymienne. Nie wiem co mam przenieść do folderu wyżej. Pendrivy są puste. Po wykonaniu fixlog usunąłem shift+ delete wszystko z tych dysków, oprócz pliku autorun.inf FRST.txt UsbFix Listing 4 ASUS.txt Odnośnik do komentarza
picasso Opublikowano 2 Lipca 2013 Zgłoś Udostępnij Opublikowano 2 Lipca 2013 Po wykonaniu fixlog usunąłem shift+ delete wszystko z tych dysków, oprócz pliku autorun.inf Teraz owszem USBFix twierdzi, że dyski są puste. Ale czy przed usunięciem wszystkiego z pendrive wszedłeś do folderów "bez nazwy" i wyciągnąłeś swoje dane?! No chyba, że nie miałeś wcale żadnych własnych danych na tych urządzeniach... I nadal sprawy nie dokończone, wpisy się nie usunęły. FRST miał też problem z przetworzeniem jednego z nich: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\Load => Error setting value. =========== Result of Scheduled Files to move =========== C:\Users\Alex\LOCALS~1\Temp\ccbkyui.com => Moved successfully. Plik niby usuwał, ale wpis w nowym logu nie ma markera "no file": HKCU\...\CurrentVersion\Windows: [Load] C:\Users\Alex\LOCALS~1\Temp\ccbkyui.com Jeszcze raz: 1. Przygotuj w Notatniku plik fixlist.txt o zawartości: Unlock: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows HKLM\...\Policies\Explorer\Run: [59796] C:\PROGRA~3\LOCALS~1\Temp\ccvkga.exe No File HKCU\...\CurrentVersion\Windows: [Load] C:\Users\Alex\LOCALS~1\Temp\ccbkyui.com HKLM-x32\...\Runonce: [] [x] C:\Users\Alex\LOCALS~1\Temp\ccbkyui.com C:\ProgramData\APN 2. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij Fix. 3. Przejdź w Tryb normalny Windows. Zrób nowy log z FRST (bez Addition) oraz przedstaw fixlog.txt. . Odnośnik do komentarza
inutero7 Opublikowano 2 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 2 Lipca 2013 zrobiłem wszystko Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 2 Lipca 2013 Zgłoś Udostępnij Opublikowano 2 Lipca 2013 Hmmm, skrypt nie widzi wartości: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\59796 => Value not found. A ten wpis nadal jest w logu: HKLM\...\Policies\Explorer\Run: [59796] C:\PROGRA~3\LOCALS~1\Temp\ccvkga.exe No File 1. Przygotuj kolejny plik fixlist.txt o zawartości: Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /f Uruchom FRST i klik w Fix. 2. Zrób nowy log FRST (bez Addition). Dołącz wynikowy fixlog.txt. . Odnośnik do komentarza
inutero7 Opublikowano 2 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 2 Lipca 2013 Odmowa dostępu! Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2013 Zgłoś Udostępnij Opublikowano 3 Lipca 2013 (edytowane) Tak jest, dlatego wpis nie chciał się usunąć. Poprawka: 1. Skasuj obecny FRST z dysku. Pobierz ponownie najnowszą wersję (ma poprawkę na skan Firefox). 2. Zrób nowy fixlist.txt o zawartości: Unlock: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /f W FRST opcja Fix. 3. Zrób (mam nadzieję, że) ostatni log z FRST (bez Addition). Dołącz fixlog.txt. . Edytowane 25 Sierpnia 2013 przez picasso 25.08.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi