Wirus tworzący skróty na pendrive'ach

[arturr0]

Witam,

Mam problem, jak zauważyłem, znany tutaj powszechnie. Wirus, tworzący skróty na pendrive zamiast folderów. Generalnie w skrótach znajdują się pliki, które były w folderze, ale dodatkowo tworzą się foldery jak "000FOUND", "Recovery", a na dysku twardym powstał mi folder "Autorun", którego nie mogę usunąć.

 

Logi: (strona wklejto.pl nie działa, więc wrzuciłem na konkurencyjną)

 

OTL: http://wklej.org/id/1244112/

Extras: http://wklej.org/id/1244114/

 

FRST: http://wklej.org/id/1244115/

Addition: http://wklej.org/id/1244116/

 

GMER: http://wklej.org/id/1244172/

 

USBFix: http://wklej.org/id/1244118/

 

AWDCleaner R0: http://wklej.org/id/1244119/

AWDCleaner S0: http://wklej.org/id/1244121/

 

 

 

PS:

Mam jeszcze pewną wątpliwość. Do komputera podłączałem mój nowy telefon, a na 99% był już on zarażony wirusem, o czym nie wiedziałem. Czy mógł zarazić także telefon? Jeśli to potrzebne to model telefonu LG Nexus 4, telefon bez karty microSD. Jeżeli mógł zostać zarażony to jak go usunąć?

 

Pozdrawiam i bardzo proszę o pomoc, gdyż ten wirus uniemożliwia mi pracę.

[picasso]

GMER został zrobiony w złych warunkach, przy czynnym Alcohol 52 i sterowniku SPTD: KLIK. Ale już to zostaw.

 

 

Wirus, tworzący skróty na pendrive zamiast folderów. Generalnie w skrótach znajdują się pliki, które były w folderze, ale dodatkowo tworzą się foldery jak "000FOUND", "Recovery", a na dysku twardym powstał mi folder "Autorun", którego nie mogę usunąć.

Tu w systemie ani na podpiętych urządzeniach nie ma żadnych widocznych oznak infekcji, nie mam więc czym się tu zajmować pod tym kątem. Co masz na myśli mówiąc "w skrótach znajdują się pliki"? W skrótach nie ma plików.

 

Natomiast:

- Folder C:\Recovery = ważna część systemu, trzyma środowisko WinRE (F8 przy starcie komputera > opcja "Napraw komputer"). Folder jest ukryty i ograniczony przez uprawnienia. Broń Boże nie próbować usuwać.

- Foldery FOUND.00X (mogą powstawać na różnych dyskach, w zależności od tego który jest zdefektowany) = ukryte foldery tworzone przez checkdisk, wadliwe odpadki ścięte z uszkodzonej struktury plików. Można je usunąć dla kosmetyki, ale znaczenia to nie ma. Te już najwyraźniej sprzątnąłeś, bo nie widzę ich w spisie dysków.

- Foldery Autorun.inf = sam to wprowadziłeś stosując opcję immunizacji USBFix. Foldery są niekasowalne tradycyjną drogą, gdyż w folderach są pliki z zastrzeżonymi nazwami. Ta immunizacja była niepotrzebna na dyskach twardych, w opisie USBFix zaznaczam, że ma skutki uboczne (zanik etykiet dysków w Komputer): KLIK. Te foldery z dysków D+E usuwam poniższym skryptem do FRST.

 

################## | Vaccin |
 

D:\Autorun.inf -> Vaccine created by UsbFix (El Desaparecido)

E:\Autorun.inf -> Vaccine created by UsbFix (El Desaparecido)

H:\Autorun.inf -> Vaccine created by UsbFix (El Desaparecido)

I:\Autorun.inf -> Vaccine created by UsbFix (El Desaparecido)

 

I skoro Ty mnie zawiadamiasz, że "tworzą się foldery", podczas gdy conajmniej C:\Recovery był od momentu instalacji Windows, to jak sądzę nie jesteś świadomy jakie opcje widoku są w systemie i że one się przestawiły, co spowodowało, że nagle zobaczyłeś pewne rzeczy. Są dwie opcje: Pokaż ukryte pliki i foldery oraz Ukryj chronione pliki systemu operacyjnego. Ta pogrubiona opcja jest domyślnie zaznaczona na wszystkich systemach, dlatego użytkownik zwykle nie zdaje sobie sprawy z jej obecności, ani z tego ilu rzeczy nie widzi. Ten fakt wykorzystują też infekcje, m.in. tu omawiana. Prosta sztuczka socjotechniczna: na urządzeniach USB foldery są ukrywane przez atrybuty HS, tak by przy czynnej opcji Ukryj chronione pliki systemu operacyjnego użytkownik zinterpretował to jako zanik danych i próbował uruchamiać jedyną widoczną mu rzecz = skrót uruchamiający infekcję.

 

 

Mam jeszcze pewną wątpliwość. Do komputera podłączałem mój nowy telefon, a na 99% był już on zarażony wirusem, o czym nie wiedziałem. Czy mógł zarazić także telefon? Jeśli to potrzebne to model telefonu LG Nexus 4, telefon bez karty microSD. Jeżeli mógł zostać zarażony to jak go usunąć?

Jak mówię: nie widzę tu żadnych oznak infekcji. Być może źródłem infekcji jest całkiem inny komputer niż tu widziany, do którego wpinasz urządzenia. I nie mogę wiedzieć czy dane urządzenie jest zainfekowane, skoro nie ma skanu jego zawartości.

 

 

---

Do wykonania tylko doczyszczanie po adware, bo niedokładnie to zostało przeprowadzone:

 

1. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej.

 

2. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: D:\Autorun.inf
RemoveDirectory: E:\Autorun.inf
C:\Users\Artur\AppData\Local\Google
Task: {3C5AC254-CDD6-4C18-9627-9F2EDF60E6FB} - \BonanzaDealsLiveUpdateTaskMachineUA No Task File
Task: {D4384B7B-8664-46E0-8C04-6140FB1F7693} - \BonanzaDealsLiveUpdateTaskMachineCore No Task File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go.

 

3. Dodatkowo, w Dzienniku zdarzeń jest poniższy drobny błąd WMI. Usunie go narzędzie Fix-it: KB2545227.

 

Application errors:

==================

Error: (01/20/2014 10:20:21 PM) (Source: WinMgmt) (User: )

Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

 

 

 

.