Wirus tworzący skróty na pamięciach przenośnych

[Fidel]

Witam mam jakiegoś wirusa który tworzy na każdej pamięci przenośnej skróty do nieistniejących folderów takie jak Documents, New Folder, Music itp łacznie jest ich 7. Poniżej wstawiam raporty z OTL. Już sporo tych pamięci zaraziłem, m.in. 3 karty pamięci do aparatu.. Nie wiem czy musze teraz robic raporty również z nich.. Prosze o pomoc! Jestem filmowcem i mogę się odwdzięczyć rabatem na moje usługi albo nieodpłatnym zmontowaniem jakiegoś filmu z Twoich materiałów dla Ciebie (wakacje, komunia itp)

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

Log z OTL zrobiony na złym ustawieniu, opja Rejestr ustawiona na Wszystko, a ma być Użyj filtrowania.

 

W systemie działa aktywnie infekcja i to nie jedna. Winę m.in. ponosi kompletnie nieaktualizowany Windows XP:

 

Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

 

Przeprowadź następujące operacje:

 

1. Przez Panel sterowania odinstaluj adware V9 HomeTool, Yontoo 1.10.03, Protected Search 1.1, McAfee Security Scan Plus.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-1844237615-152049171-682003330-1004..\Run: [gaigaen] C:\Documents and Settings\dtc\gaigaen.exe ()
O4 - HKU\S-1-5-21-1844237615-152049171-682003330-1004..\Run: [riuom] C:\Documents and Settings\dtc\riuom.exe ()
O4 - HKLM..\RunOnce: [] File not found
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk = File not found
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Synchronizer.lnk = File not found
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\McAfee Security Scan Plus.lnk = File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 47765 = C:\DOCUME~1\ALLUSE~1.WIN\LOCALS~1\Temp\mskuucwy.pif
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\rsmgtn.sys -- (NdisFileServices32)
 
:Files
riuom.exe /alldrives
C:\Documents and Settings\dtc\*.lnk
C:\Documents and Settings\dtc\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\SweetIM
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Babylon
C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Tarma Installer
C:\Documents and Settings\dtc\Dane aplikacji\Babylon
C:\Documents and Settings\dtc\Dane aplikacji\SwvUpdater
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\yahoo.xml.old
C:\Program Files\mozilla firefox\searchplugins\yahoo.xml
C:\Program Files\mozilla firefox\searchplugins\v9.xml
C:\Program Files\mozilla firefox\searchplugins\Web Search.xml
C:\WINDOWS\tasks\AmiUpdXp.job
netsh firewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Default_Page_URL"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Secondary Start Pages"=-
"Start Default_Page_URL"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing. Dołącz log z usuwania OTL z punktu 2 oraz log utworzony przez AdwCleaner.

 

 

 

.