Problem z katalogami na dysku przenośnym - powstały skróty katalogów

[Anzomi]

Witam.

Zwracam się z prośbą o pomoc w usunięciu bardzo uciążliwego wirusa/trojana. Mianowicie po podłączeniu do laptopa dysku przenośnego, pendriva oraz telefonu wszystkie foldery zamieniane są na skróty. Myślę, że dalszy opis problemu nie jest konieczny gdyż, już wiadomo o jakie szkody chodzi. Przeglądnąłem sporą ilość postów na ten temat ale niestety sam nie potrafię sobie z tym poradzić. Czy jest możliwość usunięcia trojana z laptopa i wyleczenia dysków zewnetrzych bez utraty danych ( bardzo zależy mi na zachowaniu plików znajdujących się na dysku zewnętrznym). Niestety nie bardzo nawet wiem jak się do tego zabrać. Liczę na pomoc i wskazówki krok po kroku.

Z góry bardzo dziękuja za wszelką pomoc,
Pozdrawiam

[picasso]

Zacznij od zasad działu, które wyliczają jakie materiały do analizy się dostarcza: KLIK.

 

Poproszę o podanie obowiązkowych logów z FRST i GMER, a dodatkowo i USBFix z opcji Listing zrobiony przy podpiętych wszystkich urządzeniach.

 

 

wszystkie foldery zamieniane są na skróty

Foldery nie są zmienione na skróty. Skróty to dodane elementy uruchamiające infekcję, ich nazwy są robione na podstawie folderów, by socjotechnicznie rozpracować użytkownika i skłonić do kliknięcia skrótu. Foldery zostały po prostu ukryte i ich nie widzisz, bo nie masz odznaczonej opcji Ukryj chronione pliki systemu operacyjnego.

 

 

.

[Anzomi]

W załączniku zamieszczam obowiązkowe logi. Jestem użytkownikiem windowsa 7 w wersji 64 bitowej o czym zapomniałem wcześniej wspomnieć. Czy jest możliwość usunięcia szkodliwego oprogramowania bez konieczności usuwania danych znajdujących sie na dyskach zewnętrznych ?

Addition.txt

Extras.Txt

FRST_18-09-2013_14-23-54.txt

GMER.txt

OTL.Txt

UsbFix Listing 1 LAPTOP-KOMPUTER.txt

[picasso]

Tak, system zainfekowany, dlatego zaraza rozprzestrzenia się na podpinane urządzenia przenośne. Prócz tego, w systemie jest i reklamodawcze adware, ale to mniejszy problem. Przechodzimy do czyszczenia Windows i urządzeń:

 

1. Wszystkie urządzenia widziane podczas skanu USBFix mają być obecne i to pod takimi samymi literam. Otwórz Notatnik i wklej w nim:

 

HKCU\...\Run: [şgčŮwšĄ’çÂ)FxôěâÂWPN©Ź_ě5îE…4gG+ĂďťLĐTš …"«°˘Ä0Č˝P⍰6Çţď~%ŮÖqźÂ`,=bń±L«şŇÄ­ş±đŤíŃYLŹş®küa†—ăŃKÍyjoľe†c_YCčz˛Ą—R‡žm¶+«p
HKCU\...\Run: [Lwzazl] - C:\Users\laptop\AppData\Roaming\Lwzazl.exe [170806 2013-03-26] (Microsoft Corporation)
HKCU\...\Run: [Optimizer Pro] - C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.holasearch.com/?affID=121962&tt=gc_&babsrc=HP_ss&mntrId=68B5002556EE1FC5
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.holasearch.com/?q={searchTerms}&affID=121962&tt=gc_&babsrc=SP_ss&mntrId=68B5002556EE1FC5
SearchScopes: HKCU - {902619DE-4304-4EDA-80C8-0DC17655D327} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
CHR HKLM-x32\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Users\laptop\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx
CHR HKLM-x32\...\Chrome\Extension: [fagpjgjmoaccgkkpjeoinehnoaimnbla] - C:\Users\laptop\AppData\Roaming\BabSolution\CR\hola.crx
Task: {A58CB99F-8B04-47F5-9FA2-A2362FBDAE0F} - System32\Tasks\DealPly => C:\Users\laptop\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe [2013-02-27] ()
D:\Photoscape(12505).exe
C:\Users\laptop\AppData\Roaming\*.exe
C:\Users\laptop\AppData\Roaming\DealPly
C:\Users\laptop\AppData\Roaming\mozilla
C:\Program Files (x86)\mozilla firefox
C:\eula.*.txt
C:\install.*
E:\*.lnk
F:\*.lnk
G:\*.lnk
CMD: rd /s /q C:\$Recycle.Bin
CMD: rd /s /q D:\$RECYCLE.BIN
CMD: rd /s /q E:\RECYCLER
CMD: rd /s /q F:\RECYCLER
CMD: rd /s /q F:\$RECYCLE.BIN
CMD: rd /s /q G:\RECYCLER
CMD: attrib /d /s -s -h F:\*
CMD: attrib /d /s -s -h G:\*

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware Bundled software uninstaller, hola Chrome Toolbar.

 

3. Wyczyść Google Chrome:

• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
• Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres delta-search.com, przestaw na "Otwórz stronę nowej karty"
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i wymaż holasearch.com
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy Hola Search.
• Ustawienia > karta Rozszerzenia > odinstaluj uTorrentControl_v2
• Ustawienia > karta Historia > wyczyść

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Uruchom TFC - Temp Cleaner.

 

6. Zrób nowy skan FRST (bez Addition) + USNFix z opcji Listing. Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

Czy jest możliwość usunięcia szkodliwego oprogramowania bez konieczności usuwania danych znajdujących sie na dyskach zewnętrznych ?

Spokojnie. Dane są tylko ukryte. Co robię powyżej: usuwam czynną infekcję, następnie koryguję dane na urządzeniach (ściągam atrybuty HS ukrywające dane).

 

 

 

.

[Anzomi]

W załączniku przesyłam logi.

AdwCleanerR0.txt

AdwCleanerS0.txt

Fixlog.txt

FRST2.txt

UsbFix Listing 2 LAPTOP-KOMPUTER.txt

[picasso]

Prawie wszystko wykonane zgodnie z planem. Trzy wpisy się nie usunęły:

 

HKCU\...\Run: [şgčŮwšĄ’çÂ)FxôěâÂWPN©Ź_ě5îE…4gG+ĂďťLĐTš …"«°˘Ä0Č˝P⍰6Çţď~%ŮÖqźÂ`,=bń±L«şŇÄ­ş±đŤíŃYLŹş®küa†—ăŃKÍyjoľe†c_YCčz˛Ą—R‡žm¶+«p

HKCU\...\Run: [Lwzazl] - C:\Users\laptop\AppData\Roaming\Lwzazl.exe

CHR HKLM-x32\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Users\laptop\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx

 

1. Start > w polu szukania wpisz regedit > i przeprowadź następujące operacje:

 

----> Wejdź do klucza:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 

Z prawokliku skasuj tę krzaczastą wartość oraz wartość Lwzazl.

 

----> Z prawokliku skasuj ten klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\ejpbbhjlbipncjklfjjaedaieimbmdda

 

2. Powtórz ponownie reset cache wtyczek Google Chrome (wskoczyły nowe wpisy): w pasku adresów wpisz chrome://plugins, przełącz status dowolnej wtyczki (wyłącz, a po tym włącz).

 

3. Zresetuj system. Zrób nowy skan FRST (bez Addition).

 

 

 

.

[Anzomi]

Wszystko zrobione zgodnie z zaleceniami. Mysle nad usunieciem google chrome gdyz i tak wiecej korzystam z opery.

FRST3.txt

[picasso]

Wszystko zrobione. Nic więcej w raporcie nie widzę podejrzanego. Kolejne czynności:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, odinstaluj USBFix.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Dla pewności zrób jeszcze pełny skan za pomocą Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.