Pendrive "removable disk"

[Filip290392]

Dzień dobry,

 

chciałbym prosić o pomoc w rozwiązaniu problemu z zainfekowanym pendrive'm, który często był użytkowany w różnych punktach ksero, a które uważam za prawdopodobne źródło infekcji. Na dysku powstał skrót "removable disk", poprzez który do niedawna można było dostać się do zawartości pendrive'a. Obecnie dostęp do plików jest niemożliwy. Dodatkowo praca i szybkość komputera pozostawia wiele do życzenia dlatego bardzo prosiłbym o pomoc w poprawie działania komputera i oczyszczenia go oraz pendrive'a z wirusów. Z góry dziękuję.

OTL.Txt

Extras.Txt

[jessica]

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (kłopoty osobiste)

 

Czekając na @Picasso możesz zrobić to:

1) Zrób log USBFix z opcji Listing.

2) Odinstaluj CheckRun22find_uninstaller

3) Jeśli nie używasz, to odinstaluj Qtrax Player

4) Odinstaluj DefaultTab Chrome

5) Jeśli jest na liście programów "{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693}" = BitGuard - to go odinstaluj

Jeśli nie ma w Dodaj\Usuń programy, to użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

Pokaż raport z niego C:\AdwCleaner[s0].txt

6) Zrób wymagane tu logi z FRST.

 

jessi

[Filip290392]

Dzień dobry, przepraszam za zwłokę, dołączam wymagane pliki

Addition.txt

FRST.txt

UsbFix Listing FILIP-KOMPUTER.txt

[jessica]

Log z USBFix robiony bez podpiętego pendrive'a, więc jest bezużyteczny.

Zrób nowy.

 

Użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

Pokaż raport z niego C:\AdwCleaner[s1].txt

 

Otwórz Notatnik i wklej w nim:

 

 

 

Task: {2AC38E4A-A370-40AD-83B7-37BCEF08C68C} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{0AC0BF0E-0DED-4760-9C65-E7CE82CB48CE}.exe

C:\Windows\TEMP\{0AC0BF0E-0DED-4760-9C65-E7CE82CB48CE}.exe

Task: {81542EFF-2C5B-4AFB-B303-3C104E72357A} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1855460468-3222377162-2898529075-1000Core => C:\Users\Filip\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-01-26] (Facebook Inc.)

C:\Users\Filip\AppData\Local\Facebook\Update

Task: {BCA9BC77-E9D7-4F66-BF84-8CADE8C6A61C} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe

C:\Program Files (x86)\Desk 365

Task: {C7244538-00E5-4A9B-A3D1-2DA980D9A3FA} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1855460468-3222377162-2898529075-1000UA => C:\Users\Filip\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-01-26] (Facebook Inc.)

Task: {E189481D-A7D6-4782-B75A-5A60EBAABC71} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{88FA8008-2CEE-4F6C-8B62-A847FA896818}.exe

ask: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{0AC0BF0E-0DED-4760-9C65-E7CE82CB48CE}.exe

Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{88FA8008-2CEE-4F6C-8B62-A847FA896818}.exe

Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1855460468-3222377162-2898529075-1000Core.job => C:\Users\Filip\AppData\Local\Facebook\Update\FacebookUpdate.exe

Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1855460468-3222377162-2898529075-1000UA.job => C:\Users\Filip\AppData\Local\Facebook\Update\FacebookUpdate.exe

C:\Users\Filip\AppData\Local\Facebook\Update

C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\loader.dll

C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.dll

C:\Users\Filip\AppData\Local\Lollipop

HKLM-x32\...\Runonce: [] -  [x]

HKCU\...\Run: [Facebook Update] - C:\Users\Filip\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2013-01-26] (Facebook Inc.)

AppInit_DLLs: c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll c:\windows\system32\nvinitx.dll,c:\windows\system32\nvinitx.dll,c:\windows\system32\nvinitx.dll [ ] ()

c:\progra~3\bitguard

Startup: C:\Users\Filip\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lollipop.lnk

ShortcutTarget: lollipop.lnk -> C:\Users\Filip\AppData\Local\Lollipop\Lollipop.exe ()

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=B68C742F6851E48C&affID=119357&tsp=4978

HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.22find.com/newtab?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD7500BPVT-80HXZT1_WD-WX41A61N1942N1942&ts=1359824764

SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=B68C742F6851E48C&affID=119357&tsp=4978

SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.22find.com/web/?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD7500BPVT-80HXZT1_WD-WX41A61N1942N1942&ts=1359824765

Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File

Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File

CHR RestoreOnStartup: "hxxp://isearch.babylon.com/?babsrc=HP_ss_Btisdt4&mntrId=B68C742F6851E48C&affID=119357&tsp=4978"

CHR DefaultSearchURL: (Delta Search) - http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=B68C742F6851E48C&affID=119357&tsp=4978

CHR DefaultSuggestURL: (Delta Search) - {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}{google:zeroPrefixUrl}sugkey={google:suggestAPIKeyParameter}

CHR Extension: (DefaultTab) - C:\Users\Filip\AppData\Local\Google\Chrome\User Data\Default\Extensions\kdidombaedgpfiiedeimiebkmbilgmlc\1.1.29_0

C:\Users\Filip\AppData\Roaming\OpenCandy

C:\Users\Filip\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lollipop.lnk

C:\Users\Filip\AppData\Local\Lollipop

C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job

C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job

C:\ProgramData\BitGuard

C:\ProgramData\PKP_DLes.DAT

C:\ProgramData\PKP_DLet.DAT

C:\ProgramData\PKP_DLev.DAT

C:\Users\Filip\AppData\Local\Temp\uninst1.exe

C:\Users\Filip\AppData\Local\Temp\xfire_installer_10650.exe

 

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

Daj go.

 

Zrób nowe logi z FRST.

 

jessi

[Filip290392]

Proszę bardzo:

AdwCleanerS0.txt

Addition.txt

Fixlog.txt

FRST.txt

UsbFix Listing 4 FILIP-KOMPUTER.txt

[jessica]

1) Otwórz Notatnik i wklej w nim:

 

CHR DefaultSearchURL: (Delta Search) - http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=B68C742F6851E48C&affID=119357&tsp=4978

CHR DefaultSuggestURL: (Delta Search) - {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}{google:zeroPrefixUrl}sugkey={google:suggestAPIKeyParameter}

I:\~~HKOPIRVMDFMSBBWRD.ini

I:\desktop.ini

I:\Thumbs.db

G:\desktop.ini

G:\Thumbs.db

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

Daj go.

 

2) Zrób log z OTL na ustawieniach:

Procesy - brak

Moduły - brak

Usługi - brak

Sterowniki - brak

Rejestr-skan dodatkowy - brak

zaznacz w okienku przy "Pomiń pliki Microsoftu"

zaznacz w okienku przy "Pomiń znane dobre pliki"

brak zaznaczenia przy "Infekcja LOP"

brak zaznaczenia przy "Infekcja Purity".

W pole Własne opcje skanowania/Scrypt wklej:

 

type G:\autorun.inf /C  

type I:\autorun.inf /C

i dopiero wtedy kliknij Skanuj.

 

3) Zrób nowy log z USBFix LISTING.

 

G:\Removable Disk (2GB).lnk

 I:\Removable Disk (8GB).lnk

To o tych skrótach pisałeś?

Wuygląda na to, że w nich jakieś obiekty, bo mają duży rozmiar.

Teoretycznie trzeba je całkowicie usunąć, ale jakoś nie mam odwagi tego zalecić, nie chcę zaszkodzić.

 

jessi

[Filip290392]

Dołączam wymagane pliki. Tak, pisałem właśnie o tych skrótach. Zgodnie z Twoim zasugerowaniem usunąłem wszystkie pliki z dysków przenośnych, jak trzeba to trzeba, w sumie nic ważnego :-)

Fixlog.txt

UsbFix Listing 5 FILIP-KOMPUTER.txt

OTL.Txt

[picasso]

jessika

 

W spoilerze komentarze do Ciebie:

 

 

 

C:\AdwCleaner[s0].txt = od wersji 3 AdwCleaner nie tworzy logów w root dysku C tylko w folderze C:\AdwCleaner. Nie wiem też jaki był cel usuwania zadań Facebook Update.

 

 

CHR RestoreOnStartup: "hxxp://isearch.babylon.com/?babsrc=HP_ss_Btisdt4&mntrId=B68C742F6851E48C&affID=119357&tsp=4978"

CHR DefaultSearchURL: (Delta Search) - http://www1.delta-se...119357&tsp=4978

CHR DefaultSuggestURL: (Delta Search) - {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}{google:zeroPrefixUrl}sugkey={google:suggestAPIKeyParameter}

 

Tego nie usuniesz skryptem FRST (i jest zwrot "The Chrome "Settings" can be used to fix the entry."). Żadne z narzędzi ogólnych (OTL, FRST) nie jest zdolne edytować Preferences Google Chrome (domyślna wyszukiwarka, strona startowa, URL otwierane przy starcie). Te wpisy usuwa się w opcjach przeglądarki.

 

 

CHR Extension: (DefaultTab) - C:\Users\Filip\AppData\Local\Google\Chrome\User Data\Default\Extensions\kdidombaedgpfiiedeimiebkmbilgmlc\1.1.29_0

 

I zawsze ale to zawsze zaczyna się czyszczenie Google Chrome od jego opcji, to jedyna poprawna metoda usuwania rozszerzeń adware i ich konfiguracji. Wszystkie automaty (w tym AdwCleaner) usuwają na chama i nieprecyzyjnie.

 

 

type G:\autorun.inf /C

type I:\autorun.inf /C

 

Nie było potrzeby tego sprawdzać. Pliki są zerobajtowe (puste):

 

 

[18/09/2013 - 11:54:38 | N | 0] G:\Autorun.inf

[21/10/2013 - 12:52:16 | ASH | 0] I:\autorun.inf

 

I masz tu infekcję robakiem Gamarue, która jest na forum już od dawna. Te pliki autorun.inf są mało ważne i prawdopodobnie tylko by zapobiec konkurencyjnym infekcjom, trzonem tej infekcji jest całkiem co innego: widzialne skróty o nazwie urządzenia (te których bałaś się usunąć) namawiające użytkownika do kliknięcia (to infekuje system), a cała poprawna zawartość urządzeń przesunięta do ukrytych folderów "bez nazwy" (nazwą spacja):

 

[18/09/2013 - 11:54:32 | SHD ] G:\ 

[30/06/2013 - 12:00:34 | SHD ] I:\ 

 

Ogólne postępowanie z tą infekcją (usunięcie wpisów startowych, o ile są), następnie usunięcie skrótów i innych plików dodanych przez infekcję na urządzeniu, na koniec odkrycie folderów "bez nazwy" i ręczne przeniesienie danych z tych folderów.

 

 

 

 

 

Filip290392

 

Tak, pisałem właśnie o tych skrótach. Zgodnie z Twoim zasugerowaniem usunąłem wszystkie pliki z dysków przenośnych, jak trzeba to trzeba, w sumie nic ważnego :-)

Tu nie koniec. Na C jest folder Gamarue (C:\MSI) oraz urządzenia mapowane jako F jest zainfekowane:

 

[25/09/2013 - 20:23:47 | D ] C:\MSI
 

[23/10/2013 - 16:29:26 | RASH | 2615] F:\desktop.ini

[23/10/2013 - 16:29:26 | RASH | 253952] F:\Thumbs.db

[21/10/2013 - 12:52:16 | ASH | 0] F:\autorun.inf

[23/10/2013 - 16:29:26 | SH | 28727904] F:\~~HKOPIRVMDFMSBBWRD.ini

[25/10/2013 - 18:14:14 | A | 1744] F:\Removable Disk (8GB).lnk

[30/06/2013 - 12:00:34 | SHD ] F:\ 

 

Trzeba odtworzyć też usunięty wpis nVidia:

 

AppInit_DLLs: c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll c:\windows\system32\nvinitx.dll,c:\windows\system32\nvinitx.dll,c:\windows\system32\nvinitx.dll [ ] ()

 

1. Otwórz Notatnik i wklej w nim (zakładam, że pendrive jest nadal pod literą F):

 

HKCU\...\Policies\Explorer: []
Task: {06FB12D3-AE44-4ACE-9F67-7919099E8FFA} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2013.4.0.10\SymErr.exe
Task: {CDC18E8B-E58B-4D91-882B-C434045E18D2} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2013.4.0.10\SymErr.exe
FW: avast! Internet Security (Disabled) {131692B0-0864-D491-4E21-3A3A1D8BBB47}
C:\MSI
F:\desktop.ini
F:\Thumbs.db
F:\autorun.inf
F:\~~HKOPIRVMDFMSBBWRD.ini
F:\Removable Disk (8GB).lnk
CMD: attrib /d /s -s -h F:\*
Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d c:\windows\system32\nvinitx.dll /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Po w/w akcji wejdź na dysk F, powinien być widoczny folder "bez nazwy". Przenieś z niego wszystkie pliki poziom wyżej, następnie przez SHIFT+DEL skasuj ów folder "bez nazwy".

 

3. W Google Chrome:

• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy Delta Search.
• Ustawienia > karta Rozszerzenia > sprawdź co tam widać, bo rozszerzenia były usuwane na chama.
• Ustawienia > karta Historia > wyczyść

4. W Menedżerze urządzeń jest wadliwe urządzenie pozostałe po komercyjnej wersji Avast, odinstaluj to z poziomu Menedżera urządzeń:

 

==================== Faulty Device Manager Devices =============
 

Name: avast! Firewall NDIS Filter Miniport

Description: avast! Firewall NDIS Filter Miniport

Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318}

Manufacturer: ALWIL Software

Service: aswNdis

Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19)

Resolution: A registry problem was detected.

This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options:

On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard.

Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver.

 

5. Zrób nowy skan FRST (bez Addition) oraz USBFix z opcji Listing. Dołącz plik fixlog.txt.

 

 

 

.

[Filip290392]

Wykonałem zalecenia, dołączam pliki

Fixlog.txt

FRST.txt

UsbFix Listing 6 FILIP-KOMPUTER.txt

[picasso]

Zadanie pomyślnie wykonane. Tylko jeden obiekt (nie związany z infekcją) nie został usunięty, tzn. rejestracja WMI (Centrum zabezpieczeń) komercyjnej już odinstalowanej wersji avast! Internet Security. Usunięciu elementu zapobiega darmowa czynna wersja Avast. To już szczegół i może tak zostać.

 

Zanim zadam czynności końcowe dodatkowe pytanie: czy na pewno wszystkie urządzenia przenośne były tu podpięte i sprawdzane?

 

 

 

.

[Filip290392]

Tak, to już wszystkie :-) Mam tylko jeszcze jedno pytanie. Czy jest jakiś skuteczny sposób ochrony przed tego typu infekcjami? Wolałbym żeby tego typu problem był pierwszym i jednocześnie ostatnim.

[picasso]

Niestety nie znam sposobu na zapobiegnięcie tej infekcji na urządzeniach przenośnych, nie pozbawiając urządzeń możliwości zapisu na nich. Urządzenia są podpinane do różnych komputerów, które mogą być źródłem infekcji. Infekcja nie została wykryta po stronie Twojego systemu jako czynna (brak wpisów startowych Gamarue), jej prawdopodobnym źródłem był ów wspominany punkt ksero.

 

I zakończ temat:

 

1. Porządki po narzędziach: odinstaluj USBFix, przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Do aktualizacji wymienione poniżej programy: KLIK.

 

==================== Installed Programs ======================
 

Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.117)

Adobe Reader 9.5.0 - Polish (x32 Version: 9.5.0)

Java 7 Update 11 (x32 Version: 7.0.110)

OpenOffice.org 2.4 (x32 Version: 2.4.9364)

 

Poza tym, ostatni log wskazuje podwójny majdan antywirusowy, do Avast został doinstalowany Trend Micro Titanium Internet Security. Jeden z nich musi być odinstalowany, gdyż to za dużo.

 

 

 

 

.