Infekcja, która powoduje "znikanie" folderów na podpiętych dyskach zewnętrznych

[Rubia23]

Witam,

 

jakiś czas temu przy Państwa pomocy usuwałam infekcję z dysku zewnętrznego, która polegała na zniknięciu folderów. Infekcji nie było na moim komputerze, lecz pojawiła się po użyciu dysku z innymi komputerami.

 

Niedawno odkryłam, że komputerem "rozsiewającym" infekcję jest komputer moich rodziców. Jako że zaraża nam wszystkie pendrivy itp. chciałabym się w końcu tego pozbyć.

 

Na komputerze nie da się zainstalować antywirusa (strony z antywirusami ani instalki nie chcą się otwierać mimo dostępu do sieci).

 

Dołączam obowiązkowe logi + te z FRST.

 

Proszę o pomoc.

Extras.Txt

OTL.Txt

GMER log.txt

Addition.txt

FRST.txt

[picasso]

GMER został zrobiony w złym środowisku, przy czynnym emulatorze DAEMON Tools (KLIK), ale zostaw to już. Definitywnie działa tu infekcja, a jedna z przyczyn to krytyczny poziom aktualizacji:

 

Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) OS Language: Polish

Internet Explorer Version 6

 

Ponadto, są odpadki adware Mobogenie. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\WINDOWS\system32\kooquocoukoom.exe
() C:\WINDOWS\system32\toocece.exe
HKLM\...\Run: [hasab] - C:\WINDOWS\system32\toocece.exe [224768 2014-01-08] ()
HKLM\...\Run: [wakoul] - C:\WINDOWS\system32\toocece.exe [224768 2014-01-08] ()
HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe
HKU\S-1-5-21-1644491937-688789844-1957994488-1003\...\Run: [ChomikBox] - C:\Program Files\ChomikBox\ChomikBox.exe
HKU\S-1-5-21-1644491937-688789844-1957994488-1003\...\Run: [NextLive] - C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Pawel\Dane aplikacji\newnext.me\nengine.dll",EntryPoint -m l
HKU\S-1-5-21-1644491937-688789844-1957994488-1003\...\MountPoints2: {43167320-2076-11e2-8a0b-001f1f147d80} - H:\zarila//samzar.exe
HKU\S-1-5-21-1644491937-688789844-1957994488-1003\...\Winlogon: [shell] C:\Documents and Settings\Pawel\ydwzro.exe,explorer.exe,C:\Documents and Settings\Pawel\xcqzq.exe [120832 2014-01-08] (Under Oert) 
C:\Documents and Settings\All Users\Dane aplikacji\Temp
C:\Documents and Settings\Pawel\xcqzq.exe
C:\Documents and Settings\Pawel\ydwzro.exe
C:\Documents and Settings\Pawel\.android
C:\Documents and Settings\Pawel\daemonprocess.txt
C:\Documents and Settings\Pawel\Dane aplikacji\ArcaVirMicroScan
C:\Documents and Settings\Pawel\Dane aplikacji\newnext.me
C:\Documents and Settings\Pawel\Dane aplikacji\temp
C:\Documents and Settings\Pawel\Moje dokumenty\Mobogenie
C:\Documents and Settings\Pawel\Ustawienia lokalne\Dane aplikacji\cache
C:\Documents and Settings\Pawel\Ustawienia lokalne\Dane aplikacji\genienext
C:\Documents and Settings\Pawel\Ustawienia lokalne\Dane aplikacji\Mobogenie
C:\Program Files\GUT*.tmp
C:\Program Files\Mobogenie
C:\WINDOWS\system32\kooquocoukoom.exe
C:\WINDOWS\system32\toocece.exe
C:\WINDOWS\system32\Drivers\kbjltkbi.sys
C:\WINDOWS\system32\Drivers\xxdbjslf.sys
C:\WINDOWS\system32\Drivers\tmadtwjl.sys
C:\WINDOWS\system32\Drivers\olnfnuhv.sys
C:\WINDOWS\system32\Drivers\oypbdcba.sys
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

 

.