Skróty na dyskach zewnętrznych

[Alusia]

Witam,

 

Mam pewien kłopot z komputerem, otóż na wszystkich dyskach zewnętrznych mam zamiast plików same skróty. Od razu dodam iż komputer jest trochę zaniedbany ponieważ nie ma żadnego anywirusa oraz część programów jest niezaktualizowana. Poniżej przesylam pliki z raportami ( w programie GMER wyskoczył kominikat o rootkicie ). Raporty robiłam z podpietymi dyskami. Dziękuję za pomoc i jeżeli coś będę musiała poprawić to proszę o informację.

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

Tak, w GMER jest komunikat o rootkicie, ponieważ są ukryte wpisy infekcji w starcie, które przerabia wszystkie dyski na skróty. Zanim przejdę do usuwania:

 

Poproszę jeszcze o log USBFix z opcji Listing zrobiony przy podpiętych wszystkich dyskach zewnętrznych.

 

 

 

.

[Alusia]

Już zrobiłam, w załączeniu plik.

UsbFix Listing 1 WINDOWSMX7F.txt

[picasso]

Przechodzimy do usuwania:

 

1. Otwórz Notatnik i wklej w nim:

 

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /ve /t REG_SZ /d "@SYS:DoesNotExist" /f
reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Taskman /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Advanced HTTPL Enable" /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Microsoft Driver Setup" /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v 2gbs29dd /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ca40229dd /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Fgf /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Fnfx /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Fvbk /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v games /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Hgcecl /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Igcecm /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v jkqq /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ju7bd /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v jaqq /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Mgcecq /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Ogcecs /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v p4440229 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v psysjo3 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v psysjo32 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v psys3 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v proxzy025 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v proxzy024 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v proxzy023 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v proxzy022 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v proxzy0229 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v psysnew3 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v sdjwe /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Screen Saver Pro 3.1" /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v t4q /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Tjpp1 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Tjmm71 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Tjii321 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Tjpp2 /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Tnaww /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Teswf /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Wgceca /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Xgcecb /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /f
netsh firewall reset
sc delete pipialsh
sc delete btkrnl
attrib /d /s -s -h F:\*
attrib /d /s -s -h H:\*
del /q D:\*.lnk
del /q F:\*.lnk
del /q H:\*.lnk

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFile:


C:\WINDOWS\ghdrive32.exe

C:\WINDOWS\system32\tatki.dll

"C:\Documents and Settings\User\Dane aplikacji\Microsoft\Igcecm.exe"

"C:\Documents and Settings\User\Dane aplikacji\Microsoft\Wgceca.exe"

"C:\Documents and Settings\User\Dane aplikacji\lvfolc.exe.gonewiththewings"

"C:\Documents and Settings\User\Dane aplikacji\4.exe"

"C:\Documents and Settings\User\Dane aplikacji\5.exe"

"C:\Documents and Settings\User\Dane aplikacji\5.exe.gonewiththewings"

"C:\Documents and Settings\User\Dane aplikacji\4.exe.gonewiththewings"

"C:\Documents and Settings\User\Dane aplikacji\ScreenSaverPro.scr"

"C:\Documents and Settings\User\Dane aplikacji\temp.bin"

C:\date.bin

C:\autorun.inf

C:\`.vbs

F:\`.vbs

F:\autorun.inf

F:\yjlWSDXjkIUwkeN.exe

H:\autorun.inf

H:\`.vbs

H:\QNeeAWpXHgEYzgc.exe
 

DeleteFolder:

C:\RECYCLER

D:\RECYCLER

F:\RECYCLER

H:\RECYCLER
 

Execute:

C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows pojawi się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. Wklej jego zawartość do posta.

 

3. Zrób nowe logi: OTL z opcji Skanuj (bez Extras) + GMER + USBFix z opcji Listing.

 

 

 

.

[Alusia]

Niestety ale nie mogę pobrać programu BlitzBlank, w obu przypadkach tj. z bezpośredniego linku z tej strony jak i ze strony producenta wyskakuje komunikat "Nie odnaleziono serwera".

[picasso]

Infekcja blokuje pobieranie. Tu masz link zastępczy: KLIK.

[Alusia]

Dziękuję program już pobrałam, natomiast po wklejeniu odpowiedniej formuły w Script wyskakuje komunikat "Syntax error in line 8, invalid file path" i nic nie można zrobić.

[picasso]

Usuń te dwie linie ze skryptu:

 

"C:\Documents and Settings\User\Dane aplikacji\4.exe"

"C:\Documents and Settings\User\Dane aplikacji\5.exe"

[Alusia]

Niestety ale ten sam komunikat tylko "in line 7"

[picasso]

Ścieżki brałam z logów, może niektóre pliki już poznikały? Wytnij jeszcze te, najwyżej potem usuniemy w drugim podejściu inną metodą:

 

"C:\Documents and Settings\User\Dane aplikacji\5.exe.gonewiththewings"

"C:\Documents and Settings\User\Dane aplikacji\4.exe.gonewiththewings"

 

 

.

[Alusia]

Dziękuję teraz poszło. Wklejam log z BlitzBlank plus raporty.

 

BlitzBlank 1.0.0.32

File/Registry Modification Engine native application
MoveFileOnReboot: sourceFile = "\??\c:\windows\ghdrive32.exe", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\windows\system32\tatki.dll", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\user\dane aplikacji\microsoft\igcecm.exe", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\user\dane aplikacji\microsoft\wgceca.exe", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\user\dane aplikacji\lvfolc.exe.gonewiththewings", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\user\dane aplikacji\screensaverpro.scr", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\user\dane aplikacji\temp.bin", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\date.bin", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\autorun.inf", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\`.vbs", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\f:\`.vbs", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\f:\autorun.inf", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\f:\yjlwsdxjkiuwken.exe", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\h:\autorun.inf", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\h:\`.vbs", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\h:\qneeawpxhgeyzgc.exe", destinationFile = "(null)", replaceWithDummy = 0
MoveDirectoryOnReboot: sourceDirectory = "\??\c:\recycler", destinationDirectory = "(null)", replaceWithDummy = 0
MoveDirectoryOnReboot: sourceDirectory = "\??\c:\recycler\R-1-5-21-1482476501-1644491937-682003330-1013", destinationDirectory = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\recycler\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\recycler\R-1-5-21-1482476501-1644491937-682003330-1013\vcleaner.exe", destinationFile = "(null)", replaceWithDummy = 0
MoveDirectoryOnReboot: ZwSetInformationFile failed: status = c0000121
MoveDirectoryOnReboot: sourceDirectory = "\??\c:\recycler\S-1-5-21-0243556031-888888379-781863308-13259", destinationDirectory = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\recycler\S-1-5-21-0243556031-888888379-781863308-13259\Desktop.ini", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\recycler\S-1-5-21-0243556031-888888379-781863308-13259\proxzy129.exe", destinationFile = "(null)", replaceWithDummy = 0
RemoveFile: ZwDeleteFile failed: status = c0000121
MoveDirectoryOnReboot: ProcessElement failed: status = c0000121
MoveDirectoryOnReboot: ProcessElement failed: status = c0000121
MoveDirectoryOnReboot: sourceDirectory = "\??\d:\recycler", destinationDirectory = "(null)", replaceWithDummy = 0
MoveDirectoryOnReboot: sourceDirectory = "\??\d:\recycler\S-1-5-21-746137067-2025429265-1801674531-1001", destinationDirectory = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\d:\recycler\S-1-5-21-746137067-2025429265-1801674531-1001\desktop.ini", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\d:\recycler\S-1-5-21-746137067-2025429265-1801674531-1001\INFO2", destinationFile = "(null)", replaceWithDummy = 0
MoveDirectoryOnReboot: sourceDirectory = "\??\f:\recycler", destinationDirectory = "(null)", replaceWithDummy = 0
MoveDirectoryOnReboot: sourceDirectory = "\??\f:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665", destinationDirectory = "(null)", replaceWithDummy = 0
MoveDirectoryOnReboot: ZwCreateFile(sourceDirectory) failed: status = c0000022
MoveDirectoryOnReboot: ProcessElement failed: status = c0000022
MoveDirectoryOnReboot: sourceDirectory = "\??\h:\recycler", destinationDirectory = "(null)", replaceWithDummy = 0
MoveDirectoryOnReboot: sourceDirectory = "\??\h:\recycler\S-5-3-42-2819952290-8240758988-879315005-3665", destinationDirectory = "(null)", replaceWithDummy = 0
MoveDirectoryOnReboot: ZwCreateFile(sourceDirectory) failed: status = c0000022
MoveDirectoryOnReboot: ProcessElement failed: status = c0000022
LaunchOnReboot: launchName = "\fix.bat", commandLine = "c:\fix.bat"
 

OTL.Txt

GMER.txt

UsbFix Listing 2 WINDOWSMX7F.txt

[picasso]

Jest lepiej, ale niestety infekcja nadal się uruchamia. Kolejne podejście:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
RECYCLER /alldrives
C:\Documents and Settings\User\Dane aplikacji\*.*
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Fgfk"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

2. Zrób nowe logi: OTL z opcji Skanuj (bez Extras) + GMER + USBFix z opcji Listing. Dołącz log z wynikami usuwania OTL powstały w punkcie 1.

 

 

 

.

[Alusia]

W załączeniu przesyłam potrzebne pliki, natomiast mam problem z programem GMER, podczas skanowania wyskakuje mi niebieski ekran ale niestety nie jestem w stanie odczytać co tam jest napisane ponieważ jest wszystko zamazane. Jedyne wyjscie z tej sytuacji to restart komputera. W pliku OTL1 są zapisane logi po wykananiu skryptu, przy próbie przesłania orginalnego pliku wykakuje błąd że nie mam uprawnień

OTL.Txt

UsbFix Listing 3 WINDOWSMX7F.txt

OTL1.txt

[picasso]

Usuwanie przeprowadzone pomyślnie. Kolejna porcja zadań:

 

1. Porządki po narzędziach: odinstaluj USBFix, w OTL uruchom Sprzątanie, a BlitzBlank usuń ręcznie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zrób pełny skan systemu za pomocą Malwarebytes Anti-Malware oraz Kaspersky Virus Removal Tool. Jeżeli skanery coś wykryją, przedstaw ich raporty z tymi wynikami.

 

 

 

 

.

[Alusia]

Punkty 1 i 2 zrobione, do punktu 3 dodaje raporty bo coś wykryło.

MBAM-log-2013-07-18 (22-42-30).txt

[picasso]

Wyniki skanerów:

- Kaspersky: log usuwam, to jest raport ogólny z wszystkimi wynikami jak leci, a nie tylko detekcja infekcji. Poza tym, on jest podejrzanie krótki, co wskazuje, że skan Kasperskym był robiony w trybie domyślnym ekspresowym. Ponów na wszelki wypadek skan, ale w konfiguracji skanera zaznacz skan wszystkich dysków. Jeżeli skaner coś wykryje, przeklej tylko te wyniki, inne typy mnie nie interesują.

- MBAM: do usunięcia PUM.Hijack.System.Hidden oraz Malware.Packer.PEX. Natomiast PUM.Hijack.StartMenu + PUM.Hijack.Help nie liczy się, to tylko zawiadomienie o tym, że pozycja Pomoc jest ukryta w Menu Start.

- Dodatkowo, przez SHIFT+DEL skasuj folder F:\.Trashes. To Kosz (innogatunkowy niż Windows).

 

 

 

 

.

[Alusia]

1. Skan zrobiony na nowo, nic nie wykryło

2. Pliki wykasowałam

3. Folder skasowany

[picasso]

Usuń Kasperskiego i przejdź do tych czynności końcowych:

 

1. Wszystkie pendrivy zabiezpiecz za pomocą opcji USB Vaccination w Panda USB Vaccine.

 

2. Odinstaluj wszystkie stare wersje Adobe / Java / Silverlight i kodeki, zaktualizuj pozostałe wyliczone poniżej: KLIK / KLIK. Na Twojej liście zainstalowanych widać wersje:

 

Internet Explorer (Version = 7.0.5730.11)
 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{7148F0A8-6813-11D6-A77B-00B0D0142030}" = Java 2 Runtime Environment, SE v1.4.2_03

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003

"{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)

"Gadu-Gadu" = Gadu-Gadu 7.7

"Gadu-Gadu 10" = Gadu-Gadu 10

"KLiteCodecPack_is1" = K-Lite Codec Pack 3.7.5 Full
 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_268.dll ()

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.0.51204.0\npctrl.dll ( Microsoft Corporation)

 

3. Z miejscem na dysku coś należy zrobić, bo ostatni odczyt kiepski:

 

Drive C: | 50,89 Gb Total Space | 0,37 Gb Free Space | 0,72% Space Free | Partition Type: NTFS

 

4. Po uporaniu się z miejscem dobierz jakiegoś antywirusa.

 

 

.