Wirus zamieniający foldery na skróty, pendrive, ituneshelper.vbe

[bolc]

Witam,

Mam problem z pendrive, który został zainfekowany wirusem ituneshelper.vba, który zmienia foldery na skróty. Proszę o pomoc.

 

Log z OTL
http://wklej.org/id/1180969/

Extras
http://wklej.org/id/1180970/

USBfix opcja Listing
http://wklej.org/id/1180971/

Pozdrawiam

[jessica]

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

 

Na "G" nie masz żadnych folderów, wg logu USBFix.

 

1) Odinstaluj "BuzzSearch" = BuzzSearch 2013.11.07.232809

 

2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:OTL
[2012/11/30 23:18:40 | 095,023,320 | ---- | C] () -- C:\ProgramData\0tbpw.pad
[2013/11/18 01:42:30 | 069,554,284 | -HS- | C] () -- C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
[2013/11/18 02:23:41 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\BuzzSearch
O4 - Startup: C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe ()
O4 - HKCU..\Run: [iTunesHelper] wscript.exe //B "C:\Users\Piotr\AppData\Local\Temp\iTunesHelper.vbe" File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O2 - BHO: (BuzzSearch) - {5cf5a690-c8f4-488e-9d20-f21aef602d41} - C:\Program Files (x86)\BuzzSearch\BuzzSearchBHO.dll (BuzzSearch)
[2012/01/08 14:56:20 | 000,000,792 | ---- | M] () -- C:\Users\Piotr\AppData\Roaming\mozilla\firefox\profiles\85e5vfsn.default\searchplugins\startsear.xml
[2013/11/08 00:28:10 | 000,008,373 | ---- | M] () (No name found) -- C:\Users\Piotr\AppData\Roaming\mozilla\firefox\profiles\85e5vfsn.default\extensions\firefox@mybuzzsearch.com.xpi
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=2&src=sp&cf=80ad6ecb-3a00-11e1-9034-e811329756ef&q="
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=80ad6ecb-3a00-11e1-9034-e811329756ef&q={searchTerms}

:Files
G:\iTunesHelper.vbe

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

3) Zrób log z USBFix LISTING

 

4) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt

 

5) Zrób nowy log z OTL na ustawieniach:
Procesy - brak
Moduły - brak
Usługi - brak
Sterowniki - brak
Rejestr-skan dodatkowy - brak
zaznacz w okienku przy "Pomiń pliki Microsoftu"
zaznacz w okienku przy "Pomiń znane dobre pliki"
brak zaznaczenia przy "Infekcja LOP"
brak zaznaczenia przy "Infekcja Purity".

 

jessi

[bolc]

Na "G" nie ma folderów, bo już po formacie był. A katalogi były jako pliki ukryte/systemowe, ale i tak nie miałem tam nic ważnego więc sformatowałem. Cała uczelnia się zaraziła tym wirusem, zapewne przez komputer z którego się drukuje w kserze.

 

Niestety nie mam loga po wykonaniu skryptu OTL, bo nie ogarnąłem i zamknąłem (chyba, że gdzieś jest zapisany, nie wiem). W każdym razie widziałem, że pousuwał te wszystkie "ituneshelper" i z dysku G, i z dysku C. Wszystko wydaje się być ok, pendrive działa jak dawniej. Wielkie dzięki za pomoc

USBfix listing

http://wklej.org/id/1181429/

 

Adw-cleaner

http://wklej.org/id/1181431/

 

OTL wg. pkt 5)

http://wklej.org/id/1181434/

Ponadto skanowałem jeszcze komputer programami ESET online scanner oraz Malwarebytes Anti-Malware, oba nic nie znalazły. Chyba już wszystko jest w porządku. Jeszcze raz wielkie dzięki .

[jessica]

Wg mnie - jest OK.

 

W USBFix kliknij na przycisk UNINSTALL.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

Może @Picasso, jak już wyzdrowieje, to będzie miała jeszcze jakieś zalecenia lub uwagi, ale na to możesz już spokojnie czekać.

Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

 

jessi

[voxel]

Przepraszam za mały offtop, ale w sumie specjalnie po to się zarejestrowałem...

 

bolc, jeśli to czytasz, to czy mógłbyś w jakiś sposób (oczywiście bez konkretnych danych) zlokalizować to ksero, o którym mówisz? Bo miałem podobny problem, i jestem ciekawy, czy czasem nie z tego samego źródła. Czyżbyś miał na myśli ksero w baraku?

 

Wysłałbym ci prywatną wiadomość, ale po dotychczasowej liczbie postów widzę, że nie zaglądasz na to forum regularnie.

 

 

Co do samego problemu - póki co wystarczyło chwilowo zamknąć proces "wscript.exe", usunąć plik "iTunesHelper.vbe" (wszystkie kopie, jedna na pendrivie, dwie znalazłem w folderach tymczasowych na dysku C:), i odblokować ukryte foldery na pednrivie z linii poleceń: "attrib -s -h \s \d". Ale nie daję żadnej gwarancji, jeszcze nawet nie uruchomiłem ponownie komputera.

[bolc]

Miałem na myśli ksero w bud C-7 na kampusie PWR. Cały budynek ma z tym problem, nawet doktorzy... jakaś epidemia .

[izik888]

Miałem na myśli ksero w bud C-7 na kampusie PWR. Cały budynek ma z tym problem, nawet doktorzy... jakaś epidemia .

Witam,

mam  podobny problem czyli tworzone skróty przez ituneshelper. Czy jest mi ktoś w stanie pomóc?

 

OTL Extras:http://wklej.org/hash/8d829cb91d3/

OTL log:http://wklej.org/hash/1d2ef26f44d/

 

Programem AdwCleaner usunąłem już zbędne pliki. Jednak co dalej? 

[jessica]

@izik888

załóż swój własny temat.

Dodatkowo, oprócz wymaganych logów, daj tam log z  >USBFix

Kliknij w nim na: LISTING.

 

jessi