Worm.Win32.VK.tzt zmiana folderów na wygaszacz ekranu .scr na urządzeniach USB

[nara]

Witam, mój problem dotyczy komputerów, a w zasadzie pendrivów i dysków przenośnych na USB. W wyniku działania niepożądanego oprogramowania wszystkie foldery na pendrivach zmieniają się w wygaszacze ekranu .scr, które ważą 1kB każdy. Foldery stają się jakby ukryte i nie ma do nich dostępu. Rozwiązaniem problemu dostępności do informacji w folderach, których "niema" jest zmiana ustawień folderów. W tym celu należy odznaczyć opcję "ukryj chronione pliki systemu operacyjnego (zalecane)", oraz ustawić opcje "pokaż ukryte pliki i foldery" (zmian należy dokonywać w opcjach folderów). Kaspersky definiuje wirusa jako worm.win32.VK.tzt, niestety nie wiem czy mogę je usuwać i czy przy okazji nie utracę danych. Szukam powodu problemu, także metody ratowania ważnych dla mnie plików które mam na urządzeniach flash.
 
 Results of screen317's Security Check version 0.99.74  
 Windows Vista Service Pack 2 x86 (UAC is enabled)  
 Internet Explorer 9  
 Internet Explorer 8  
``````````````Antivirus/Firewall Check:`````````````` 
Kaspersky Anti-Virus   
 Antivirus up to date!   
`````````Anti-malware/Other Utilities Check:````````` 
 Java 7 Update 9  
 Java version out of Date! 
 Adobe Flash Player 10 Flash Player out of Date! 
 Adobe Reader 10.1.8 Adobe Reader out of Date!  
 Google Chrome 30.0.1599.101  
 Google Chrome 30.0.1599.69  
````````Process Check: objlist.exe by Laurent````````  
 Kaspersky Lab Kaspersky Anti-Virus 14.0.0 avp.exe  
 Kaspersky Lab Kaspersky Anti-Virus 14.0.0 avpui.exe  
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C:  % 
````````````````````End of Log``````````````````````

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

gmer.txt

[jessica]

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)

 

Zrób log z >USBFix z opcji LISTING

 

Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [] - [x]
HKCU\...\Run: [T1024622TT4] - C:\Windows\system32\562732180417l.exe
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
S3 catchme; \??\C:\Users\Tomek\AppData\Local\Temp\catchme.sys [x]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [x]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [x]
S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [x]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [x]
C:\Users\Tomek\AppData\Local\temp\aqbarqcr.exe
C:\Users\Tomek\AppData\Local\temp\AskSLib.dll

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.

 

jessi

[nara]

USBFix wywala mi jakiś błąd, zdięcie podsyłam w załączniku. Przepraszam za nieobecność, liczę na dalsze wskazówki.

Fixlog.txt

[jessica]

Spróbuj z USBFix w Trybie Awaryjnym (F8 przed startem Systemu).

 

jessi

[nara]

Mimo  że błąd wyskakuje nadal, program tworzy plik podany w załączniku.

UsbFix Listing 1 TOMEK-PC.txt

[jessica]

To niedobrze.

Zrób nowy log z OTL, ale na ustawieniach:

W pole Własne opcje skanowania/Scrypt wklej:

 

H:\*
%systemdrive%\*.*

Procesy - brak
Moduły - brak
Usługi - brak
Sterowniki - brak
Rejestr-skan dodatkowy - brak
zaznacz w okienku przy "Pomiń pliki Microsoftu"
zaznacz w okienku przy "Pomiń znane dobre pliki"
brak zaznaczenia przy "Infekcja LOP"
brak zaznaczenia przy "Infekcja Purity".

i dopiero wtedy kliknij Skanuj.
 

jessi

[nara]

Log z OTL'a

OTL.Txt

[jessica]

Dopiero teraz zauważyłam, że jest log z USBFix'a.

 

Nie widzę w nim żadnego *.scr.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:Files
attrib /d /s -s -h G:\* /C

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

Zrób nowy log z USBFix, z opcji LISTING.

 

Ostatni log z OTL (ten na specjalnych ustawieniach) nie przydał się, bo podałam inną literkę pendrive, niż była w rzeczywistości.

 

jessi

[nara]

Co do scrów już ich faktycznie nie ma, przepraszam zapomniałem powiedzieć. Jednak plików nie widać, mimo że są gdy zrobi się to "W tym celu należy odznaczyć opcję "ukryj chronione pliki systemu operacyjnego (zalecane)", oraz ustawić opcje "pokaż ukryte pliki i foldery" (zmian należy dokonywać w opcjach folderów)."

Czy log mam robić na poprzednich ustawieniach, czy użyć ustawień domyślnych?

Domyśliłem się że log się nie przyda

[jessica]

Wykonaj Skrypt, który podałam, a potem zrób log z USBFix LISTING

 

i napisz, czy to poprawiło sytuację

 

 

jessi

[nara]

Przepraszam źle zrozumiałem. OTL po wyłączeniu konsoli wiesza się. Samemu włączyłem sobie explorera i zrobiłem loga z usbfix. Nie mam pojęcia czy wykonanie tego skryptu powinno trwać dłużej czy skończyło się i po prostu coś nieistotngo się zacieło. Poprawiło sie, wszystko wyglądatak jak powinno

UsbFix Listing 4 TOMEK-PC.txt

[jessica]

Poprawiło sie, wszystko wygląda tak jak powinno

Tak, log z USBFix to potwierdza.

 

Teraz już możesz spokojnie, bez nerwów, czekać na @Picasso nawet choćby Jej wyzdrowienie trwało jeszcze długie dni.

 

jessi

[nara]

Dziękuję, a możesz podpowiedzieć co zrobić z resztą pendrivów? wrzucać skrypt do OTLa zmieniając tylko nazwę dysku z G na n. F?

[jessica]

wrzucać skrypt do OTLa zmieniając tylko nazwę dysku z G na n. F?

możesz tak spróbować.

Jeśli to nic nie da, to będzie znaczyło, że na innym penie jest aktywna infekcja. W takim przypadku konieczny będzie log z USBFix LISTING.

 

jessi

[nara]

Dziękuję jeszcze raz, niestety nie moge nic więcej zrobić, gdyż osoba która poprosiła mnie o pomoc w tej kwestii potrzebowała koputera i nie będę miał do niego dostępu. Jeszcze raz świetne dzięki jesteś fantastyczna