Infekcja pendrive'a - pliki i foldery z rozszrzeniem .lnk

[bambo]

Witam.

W ramach studenckiej wymiany informacji, kolega poczęstował mnie jakimś syfem ze swojego komputera. Po podłączeniu pendrive'a do swojego komputera zauważyłem, że wszystkie pliki i foldery na nośniku są skrótami. Zauważyłem też nagły spadek szybkości pracy komputera. Nie czekając na więcej wyjałem pena. Później próbowałem coś kombinować z Usbfix, aczkolwiek jedyne co udało mi się wykonać to proces "Listingu", gdyż próba wykonania "Reaserch" kończyła się wyłączeniem procesu explorera i w zasadzie zawieszeniem komputera. Nie wiem czy to kwestia avasta, tudzień Malwerebyte. Tak czy siak wrzucam logi OTL oraz FRST.

Jeśli to możliwe to proszę o szybką analizę.

Pozdrawiam

FRST - http://wklej.org/id/1191458/
FRST Addition - http://wklej.org/id/1191459/

OTL - http://wklej.org/id/1191462/

OTL Extras - http://wklej.org/id/1191464/

Usbfix "Listing" - http://wklej.org/id/1191466/

[jessica]

Nie przeglądałam dokładnie logów!

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:OTL
O4 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000..\Run: [sURVIVAL] wscript.exe //B "C:\Users\Ziemek\AppData\Local\Temp\SURVIVAL.vbe" File not found
O4 - Startup: C:\Users\Ziemek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SURVIVAL.vbe ()

:Files
G:\*.lnk
SURVIVAL.vbe /alldrives
attrib /d /s -s -h G:\* /C

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

Zrób wszystkie nowe logi.

 

jessi

(już idę spać, więc do jutra)

[bambo]

Pendrive wydaje się być sprawny. Wrzucam raport i nowe logi.

Raport - http://wklej.org/id/1191538/

FRST - http://wklej.org/id/1191546/

FRST Addition - http://wklej.org/id/1191547/

OTL - http://wklej.org/id/1191564/

OTL Extras - http://wklej.org/id/1191566/

Usbfix Listing - http://wklej.org/id/1191569/

[jessica]

Z USB jest już OK.

 

Są ślady sponsorskich śmieci oraz jakieś strumienie ADS..

1) Otwórz Notatnik i wklej w nim:

 

Task: C:\windows\Tasks\ss u helper-S-9665547.job => c:\programdata\wintersoft\ss u helper\ss u helper.exe
S3 massfilter; system32\drivers\massfilter.sys [x]
S3 RkHit; \??\C:\windows\system32\drivers\RKHit.sys [x]
Task: {744E123B-541B-443F-879A-56E41C788BAF} - System32\Tasks\ss u helper-S-9665547 => C:\ProgramData\WinterSoft\ss u helper\ss u helper.exe [2012-11-03] ()
Task: {744E123B-541B-443F-879A-56E41C788BAF} - System32\Tasks\ss u helper-S-9665547 => C:\ProgramData\WinterSoft\ss u helper\ss u helper.exe [2012-11-03] ()
CHR Extension: (DoWnloiad keeppeRR) - C:\Users\Ziemek\AppData\Local\Google\Chrome\User Data\Default\Extensions\dgedfjbfdkdbbmeielfcpflhiaonhkpc\1.6
C:\Users\Ziemek\AppData\Local\Google\Chrome\User Data\Default\Extensions\dgedfjbfdkdbbmeielfcpflhiaonhkpc
FF SearchEngineOrder.user_pref("browser.search.order.1,S", "");: user_pref("browser.search.order.1,S", "");
AppInit_DLLs-x32: c:\progra~2\browse~1\sprote~1.dll [ ] ()
AlternateDataStreams: C:\ProgramData:gs5sys
AlternateDataStreams: C:\Users\All Users:gs5sys
AlternateDataStreams: C:\Users\Ziemek:gs5sys
AlternateDataStreams: C:\ProgramData\Application Data:gs5sys
AlternateDataStreams: C:\Users\Public\Documents\desktop.ini:gs5sys
AlternateDataStreams: C:\Users\Ziemek\Cookies:gs5sys
AlternateDataStreams: C:\Users\Ziemek\Dane aplikacji:gs5sys
AlternateDataStreams: C:\Users\Ziemek\Szablony:gs5sys
AlternateDataStreams: C:\Users\Ziemek\Ustawienia lokalne:gs5sys
AlternateDataStreams: C:\Users\Ziemek\Desktop\desktop.ini:gs5sys
AlternateDataStreams: C:\Users\Ziemek\AppData\Local:gs5sys
AlternateDataStreams: C:\Users\Ziemek\AppData\Roaming:gs5sys
AlternateDataStreams: C:\Users\Ziemek\AppData\Local\Dane aplikacji:gs5sys
AlternateDataStreams: C:\Users\Ziemek\AppData\Local\Historia:gs5sys
AlternateDataStreams: C:\Users\Ziemek\Documents\desktop.ini:gs5sys

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.

 

2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt

 

3) Zrób nowe logi z FRST i OTL.

 

jessi
 

[bambo]

Fixlog - http://wklej.org/id/1192093/

AdwCleaner - http://wklej.org/id/1192094/

FRST - http://wklej.org/id/1192095/

FRST Additional - http://wklej.org/id/1192096/

OTL - http://wklej.org/id/1192116/

OTL Extrax - http://wklej.org/id/1192117/

[jessica]

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:OTL
[2013/11/03 17:31:09 | 000,000,000 | ---D | C] -- C:\ProgramData\WinterSoft
[2013/11/03 17:31:06 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Ss.Helper
[2013/11/03 17:30:58 | 000,000,000 | ---D | C] -- C:\Users\Ziemek\AppData\Local\Packages
[2013/11/03 17:30:58 | 000,000,000 | ---D | C] -- C:\ProgramData\6acf557d107b5b2f
[2013/11/03 17:30:26 | 000,000,000 | ---D | C] -- C:\ProgramData\InstallMate
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O2:64bit: - BHO: (YoutubeAdblocker) - {9832D1EB-92BB-368E-4890-E48DF6D06D2A} - C:\Program Files (x86)\YoutubeAdblocker\SrNpd.x64.dll File not found
FF - prefs.js..browser.search.order.1,S: S", ""
FF - prefs.js..browser.search.selectedEngine,S: S", ""
FF - prefs.js..browser.search.defaultenginename,S: S", ""
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://start.qone8.com/web/?type=ds&ts=1383496280&from=wpc&uid=TOSHIBAXMK5055GSX_30I3P2I9TXX30I3P2I9T&q={searchTerms}
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.qone8.com/web/?type=ds&ts=1383496280&from=wpc&uid=TOSHIBAXMK5055GSX_30I3P2I9TXX30I3P2I9T&q={searchTerms}

:Reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-2195184045-3265951034-2981680463-1012\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-2195184045-3265951034-2981680463-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

 

EDIT:

AlternateDataStreams: C:\Users\Ziemek\Szablony:gs5sys

AlternateDataStreams: C:\Users\Ziemek\AppData\Local\Historia:gs5sys

AlternateDataStreams: C:\Users\Ziemek\Cookies:gs5sys

 

W logu OTL tego nie ma, ale w logu FRST jest.

Otwórz Notatnik i wklej w nim:

 

AlternateDataStreams: C:\Users\Ziemek\Cookies:gs5sys
AlternateDataStreams: C:\Users\Ziemek\Szablony:gs5sys
AlternateDataStreams: C:\Users\Ziemek\AppData\Local\Historia:gs5sys

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.

Zrób nowe logi z FRST.

 

 

jessi

[bambo]

Raport OTL - http://wklej.org/id/1192574/

OTL - http://wklej.org/id/1192575/

OTL Extras - http://wklej.org/id/1192576/

FRST Fixlog - http://wklej.org/id/1192580/
FRST - http://wklej.org/id/1192577/

FRST Addition - http://wklej.org/id/1192578/

[jessica]

FRST pokazuje w logu strumienie ADS, ale gdy trzeba je usunąć, to udaje, że ich nie ma. :(

Otwórz Notatnik i wklej w nim:

 

AlternateDataStreams: C:\Users\Ziemek\Cookies:gs5sys
AlternateDataStreams: C:\Users\Ziemek\Szablony:gs5sys
AlternateDataStreams: C:\Users\Ziemek\AppData\Local\Historia:gs5sys
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
FF SearchEngineOrder.user_pref("browser.search.order.1,S", "");: user_pref("browser.search.order.1,S", "");
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [x]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [x]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [x]

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

Zrób nowe logi z FRST.

 

jessi

[bambo]

Fixlog - http://wklej.org/id/1192794/

FRST - http://wklej.org/id/1192803/

FRST Addition - http://wklej.org/id/1192804/

[jessica]

"C:\Users\Ziemek\Cookies" => ":gs5sys" ADS not found."C:\Users\Ziemek\Szablony" => ":gs5sys" ADS not found."C:\Users\Ziemek\AppData\Local\Historia" => ":gs5sys" ADS not found.

ale w nowym logu jest:

AlternateDataStreams: C:\Users\Ziemek\Cookies:gs5sys AlternateDataStreams: C:\Users\Ziemek\Szablony:gs5sys AlternateDataStreams: C:\Users\Ziemek\AppData\Local\Historia:gs5sys

 

 Od poniedziałku @Picasso zacznie już pomagać, prędzej czy później zajrzy też do tego tematu, więc pewnie coś wymyśli, by to usunąć.

Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

 

jessi

[bambo]

Ok. Dzięki za dotychczasową pomoc