sepa Opublikowano 14 Lipca 2013 Zgłoś Udostępnij Opublikowano 14 Lipca 2013 Mój problem zaczął się od tego, że na pendrivie znikneły mi dane oraz pojawił się skrót do tego pendrive'a. Po próbie wejścia w ten skrót wyskakiwał błąd rundll "Wystąpił problem podczas uruchamiania pliku (w tym miejscu jakieś cyferki) Nie można odnaleźć modułu." W czasie infekcji podłączone były jeszcze dwa inne pendrive'y, na jednym z nim wystąpił ten sam problem, na drugim nic się nie zmieniło.Przeskanowałm system wraz z podpiętymi pendrive'ami kaspersky internet security, znalezione i usunięte zostały:Worm.Win32.Debris.a z dysku C oraz z dwóch pendrive'ówTrojan-Dropper.Win32 z dysku CTrojan.Win32.VB.gxo z jednego pendive'aLecz to nie rozwiązało problemu, przeskanowałam system narzędziem TDSKiller, nic nie znalazło. Następnie przeskanowałam system Dr. Web CureIt! znalazł on trojany na każdym z pendrive'ów, usunął je i wreszcie udało się wejść do pendrive'ów lecz dalej zawartość nie była widoczna, zaznaczyłam opcje pokaż ukryte pliki i odznaczyłam ukryj pliki systemowe, po tym dane stały się widoczne tzn.a pendrivie pojawiła się druga ikona pendrive'a (ukryta), czyli dalej coś jest nie tak...Brak mi już pomysłów jak całkowicie pozbyć się problemu, proszę o pomoc. OTL.Txt Extras.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2013 Zgłoś Udostępnij Opublikowano 15 Lipca 2013 Proszę o raport USBFix z opcji Listing zrobiony przy wszystkich podpiętych pendrivach. . Odnośnik do komentarza
sepa Opublikowano 15 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2013 Proszę UsbFix Listing 1 AGA.txt Odnośnik do komentarza
picasso Opublikowano 18 Lipca 2013 Zgłoś Udostępnij Opublikowano 18 Lipca 2013 Czy na pewno urządzenia przenośne od G do I nie są aktualnie puste? USBFix w oóle nie czyta ich zawartości, obecność urządzeń podana tylko w spisie dysków: G:\ -> Removable drive # 995 Mb (469 Mb free - 47%) [] # FAT H:\ -> Removable drive # 4 Gb (34 Mb free - 1%) [KINGSTON] # FAT32 I:\ -> Removable drive # 15 Gb (3 Mb free - 22%) [] # FAT32 W związku z tym mogę zadać na razie tylko doczyszczenie drobnych rzecz po stronie systemu (głównie adware): 1. Wyczyść przeglądarki: - Google Chrome: ma uszkodzone preferencje. Wejdź do ustawień i w zarządzaniu wyszukiwarek ustaw Google jako domyślną, skasuj z listy podejrzane śmieciowe wyszukiwarki (o ile będą). W Rozszerzeniach odinstaluj wszystko czego nie rozpoznajesz. - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\MSI C:\Documents and Settings\All Users\Application Data\Babylon C:\Documents and Settings\All Users\Application Data\boost_interprocess C:\Documents and Settings\All Users\Application Data\INFECTED C:\Documents and Settings\zuo\Application Data\Babylon C:\Documents and Settings\zuo\Application Data\DSite C:\Documents and Settings\zuo\Desktop\Continue Zip Opener Installation.lnk :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL IE - HKU\S-1-5-21-583907252-329068152-1547161642-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=0C2700C0A8EC6409&affID=119357&tsp=4942 IE - HKU\S-1-5-21-583907252-329068152-1547161642-1003\..\SearchScopes\{217A0F56-C890-4E70-B7CB-2A2052137535}: "URL" = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=198484&p={searchTerms} IE - HKU\S-1-5-21-583907252-329068152-1547161642-1003\..\SearchScopes\{41B3104C-CB93-4ECB-9EE9-88762CDDBFCD}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AVR-4&o=APN10267&src=crm&q={searchTerms}&locale=&apn_ptnrs=^AGY&apn_dtid=^YYYYYY^YY^PL&apn_uid=c9f24bcc-796d-4d89-9a04-b7c10924e26e&apn_sauid=50297324-B45A-457B-A664-DC01F0E5902D DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\NETwNx32.sys -- (NETwNx32) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\SystemRequirementsLab\cpudrv.sys -- (cpudrv) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\AGRSM.sys -- (AgereSoftModem) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
sepa Opublikowano 18 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 18 Lipca 2013 Na pewno nie są puste, po odznaczeniu ukryj pliki systemowe i zaznaczeniu pokaż ukryte pliki mam do nich dostęp. Przesyłam aktualne logi AdwCleanerS1.txt OTL.Txt UsbFix Listing 2 AGA.txt Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2013 Zgłoś Udostępnij Opublikowano 19 Lipca 2013 Dopiero ten log USBFix pokazuje zawartość urządzeń. Przestawienie opcji Widoku nie wpływa na zdolność pobrania danych przez USBFix, chodzić musiało o coś całkiem innego. 1. Przy podpiętych urządzeniach uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files $RECYCLE.BIN /alldrives RECYCLER /alldrives G:\*.lnk H:\desktop.ini H:\autorun.inf :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Wejdź na dysku H + I, tam są utworzone przez infekcję ukryte foldery "bez nazwy": [25/06/2013 - 08:26:10 | SHD ] H:\ [29/07/2013 - 13:02:22 | SHD ] I:\ W nich infekcja umieściła wszystkie dane. Po prostu dane z tych folderów przenieś poziom wyżej, a owe foldery "bez nazwy" skasuj przez SHIFT+DEL. 3. Zrób nowy log USBFix z opcji Listing. Dodaj ten log z wynikami usuwania OTL powstały w punkcie 1. . Odnośnik do komentarza
sepa Opublikowano 19 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2013 Zrobione, przesyłam logi. log1.txt Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2013 Zgłoś Udostępnij Opublikowano 19 Lipca 2013 Nie prosiłam o główny skan OTL (usuwam), bo to już do niczego nie jest potrzebne. Prosiłam o USBFix z opcji Listing. Odnośnik do komentarza
sepa Opublikowano 19 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2013 Właściwy log UsbFix Listing 3 AGA.txt Odnośnik do komentarza
picasso Opublikowano 19 Lipca 2013 Zgłoś Udostępnij Opublikowano 19 Lipca 2013 Kończymy: 1. Jeszcze przez SHIFT+DEL dokasuj te obiekty z dysków: [30/05/2008 - 12:08:26 | AH | 2964] G:\svcl32.reg [03/03/2009 - 14:16:14 | D ] H:\Recycled [18/05/2009 - 11:30:52 | D ] H:\RECYCLER [26/06/2013 - 09:47:36 | ASH | 126] H:\desktop.ini [30/05/2008 - 12:08:26 | AH | 2964] H:\svcl32.reg [30/05/2008 - 12:08:26 | AH | 2964] I:\svcl32.reg 2. Porządki po narzędziach: odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. . Odnośnik do komentarza
sepa Opublikowano 19 Lipca 2013 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2013 Zrobione. Bardzo dziękuję za pomoc! Odnośnik do komentarza
Rekomendowane odpowiedzi