Skróty do folderów na pendrivie

[Kimi1908]

Witam !

 

Po podłączeniu pendrive'a zamiast folderów ukazują się jedynie ich skróty.

Poniżej zamieszczam niezbędne logi.

 

 

Z góry dziękuje za pomoc !

UsbFix_Report.txt

Addition.txt

FRST.txt

[Kimi1908]

W tej chwili problem pojawił się również na karcie pamięci oraz w pamięci odtwarzacza mp3...

Nie jestem zbyt pozytywnie nastawiony co do programu który przestawia prędkość dysku, gdyż mój system wiele już przeszedł i nie chciałbym dokładać mu kolejnych ewentualnych problemów Tym bardziej, że system jest dość okrojony, więc być może jest to kolejne ryzyko pojawienia się problemu.

 

Sprawdzałem inne fora które specjalizują się w zakresie diagnostyki malware i z tego co widziałem nie było trzeba używać tego narzędzia które powoduje zmianę prędkości dysku aby rozwiązać problem. Postanowiłem utworzyć temat tutaj na fixitpc, gdyż poprzednim razem uzyskałem kompleksową pomoc od Pani picasso    Wierzę, że i tym razem znajdzie się ktoś kto będzie chciał mi pomóc w rozwiązaniu tego problemu

 

Jeszcze raz proszę o pomoc !

 

PS: Logi zaktualizuje jeszcze dzisiaj

[picasso]

W raportach FRST brak oznak infekcji. W raporcie USBFix widać zaprawione urządzenie, ale to raczej jest tylko część infekcji:

 

 

W tej chwili problem pojawił się również na karcie pamięci oraz w pamięci odtwarzacza mp3...

Toteż proszę o nowy log USBFix z opcji Listing zrobiony przy wszystkich zarażonych urządzeniach oraz zaległy GMER.

 

 

Nie jestem zbyt pozytywnie nastawiony co do programu który przestawia prędkość dysku, gdyż mój system wiele już przeszedł i nie chciałbym dokładać mu kolejnych ewentualnych problemów Tym bardziej, że system jest dość okrojony, więc być może jest to kolejne ryzyko pojawienia się problemu.

GMER jest tu potrzebny, gdyż podane raporty nie mają detekcji infekcji rootkit. A wpis kryty metodą rootkit tu może być, bo zgłaszasz przenoszenie infekcji na inne urządzenia, a jest tu archaiczny system XP (silna podatność), który dodatkowo jest w krytycznym stanie "aktualizacji":

 

icrosoft Windows XP Professional Dodatek Service Pack 2 (X86) OS Language: Polish

Internet Explorer Version 7

 

Poważne braki i niezałatany system. A tu na dodatek za 5 dni odcinają całkowicie XP SP3 od aktualizacji. Przed tą datą należy uzupełnić wszystkie aktualizacje, póki jeszcze możesz to zrobić. I czas już rozważać opuszczenie platformy XP.

 

 

Sprawdzałem inne fora które specjalizują się w zakresie diagnostyki malware i z tego co widziałem nie było trzeba używać tego narzędzia które powoduje zmianę prędkości dysku aby rozwiązać problem. Postanowiłem utworzyć temat tutaj na fixitpc, gdyż poprzednim razem uzyskałem kompleksową pomoc od Pani picasso Wierzę, że i tym razem znajdzie się ktoś kto będzie chciał mi pomóc w rozwiązaniu tego problemu

Proszę nie sugeruj się tym co jest na innych forach.

- GMER jest wymagany, by sprawdzić ingerencje rootkit. Jeśli na innych forach pada prośba ograniczona do "log z OTL / FRST / Silent Runners", to jest to niekompletne sprawdzanie tylko obszarów które są widoczne dla tych programów. Jeśli pada prośba o TDSSKiller, to nie działa on tak samo jak GMER, są rzeczy które można rozpoznać tylko ze skanu GMER.

- Jest wiele wariantów tego rodzaju infekcji. Może być tylko zainfekowane urządzenie metodą "od kolegi", a może być zainfekowany system roznoszący infekcję na każde podpinane urządzenie.

 

 

 

.

[Kimi1908]

Poniżej zamieszczam komplet logów.

 

Poważne braki i niezałatany system. A tu na dodatek za 5 dni odcinają całkowicie XP SP3 od aktualizacji. Przed tą datą należy uzupełnić wszystkie aktualizacje, póki jeszcze możesz to zrobić. I czas już rozważać opuszczenie platformy XP.

 

 

Osobiście jestem zwolennikiem XP i uważam przy tym, że jeżeli coś jest dobre to nie należy tego zmieniać

Poza tym włożyłem troszeczkę pracy przy optymalizacji tego systemu, w tym wypadku pod kątem szybkości (przykładowo zredukowanie procesów do liczby 12 - Niżej jak do tej pory nie udało mi się zejść), płynnego działania aplikacji i innych spraw tego typu. Ponadto specyfikacja mojego laptopa raczej nie pozwala na przesiadkę na wyższy system operacyjny   Nie posiadam programu antywirusowego ani innych podobnych aplikacji związanych z bezpieczeństwem radząc sobie jako tako sam, ewentualnie (jak w tym przypadku) posiłkując się głównie Twoją pomocą, gdyż poza feralnym rozszerzeniem .block i przekierowywaniem google na inne strony nie odnotowałem poważniejszych problemów.

UsbFix Listing 3 JA.txt

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

UsbFix Listing 1 JA.txt

UsbFix Listing 2 JA.txt

[Bonifacy]

To jak to wreszcie będzie z dotychczas wydanymi aktualizacjami dla Windows XP ?

Picasso:

 

A tu na dodatek za 5 dni odcinają całkowicie XP SP3 od aktualizacji. Przed tą datą należy uzupełnić wszystkie aktualizacje, póki jeszcze możesz to zrobić.

vs
mgrzeg - https://www.fixitpc.pl/topic/22328-windows-xp-instalacja-systemu-po-8-kwietnia-2014/

 

O ile mi wiadomo: tak - dotychczasowe poprawki będą dostępne.

[picasso]

Bonifacy

 

To jak to wreszcie będzie z dotychczas wydanymi aktualizacjami dla Windows XP

Uprzednio wydane będą dostępne. Ja tu zmierzam do innego aspektu Windows Update, czyli zdolności jego automatycznego przeszukania. Za tę funkcję odpowiada niejaki Agent, wszystkie XP mają integrację przestarzałej wersji, co już obecnie jest pewnym problemem. By Windows Update działało i cokolwiek wykryło, jest wymagana jego aktualizacja, a najnowsza wersja nie jest dostępna do pobrania poza systemem Windows Update. Co jest niepewnym, to ewentualne zmiany w tym mechaniźmie, w konfrontacji z faktem, że XP będzie pominięty (Agent jest aktualizacją, toteż kolejne wersje powinny być tylko dla nowszych systemów). Uważam, że lepiej się zabezpieczyć na wypadek, gdyby rozszerzenie odmówiło posłuszeństwa.

 

A naciskam go mocniej, bo jego system to czarnej dziurze jest. XP SP2!

 

 

 

Kimi1908

 

Osobiście jestem zwolennikiem XP i uważam przy tym, że jeżeli coś jest dobre to nie należy tego zmieniać

Jeździ, właściciel zadowolony i go pucuje / picuje, więc dla niego jest "dobry". Ale nie ma się co oszukiwać, to jest obecnie tylko "Fiat 126p", do którego części z komisu się pozyskuje.

 

 

Nie posiadam programu antywirusowego ani innych podobnych aplikacji związanych z bezpieczeństwem radząc sobie jako tako sam, ewentualnie (jak w tym przypadku) posiłkując się głównie Twoją pomocą, gdyż poza feralnym rozszerzeniem .block i przekierowywaniem google na inne strony nie odnotowałem poważniejszych problemów.

Weź jednak pod uwagę, że koniec wsparcia dla XP może mieć jednak bardziej odczuwalne konsekwencje: KLIK, KLIK. Niestety ciągle spory procent XP w obiegu, więc atak będzie opłacalny.

 

 

 

---

W systemie jest infekcja ukryta metodą rootkit, stąd roznoszenie infekcji na wszystkie podpinane urządzenia. W GMER widać zamaskowany wpis startowy:

 

Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Run@Fhhehj D:\Documents and Settings\JA\Dane aplikacji\Fhhehj.exe

 

Pierwszym krokiem będzie usunięcie ukrytego pliku, po tym pustego wpisu startowego i czyszczenie urządzeń. Przeprowadź następujące działania:

 

1. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFile:
"D:\Documents and Settings\JA\Dane aplikacji\Fhhehj.exe"

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows zgłosi się ekran z działaniami BlitzBlank. BlitzBlank wygeneruje na dysku C log.

 

2. Zrób nowy log z FRST (bez Addition i Shortcut). Wklej też wprost do posta zawartość raportu BlitzBlank.

 

 

 

 

.

[Kimi1908]

Zrobione !

BlitzBlank 1.0.0.32

File/Registry Modification Engine native application
MoveFileOnReboot: sourceFile = "\??\d:\documents and settings\ja\dane aplikacji\fhhehj.exe", destinationFile = "(null)", replaceWithDummy = 0

FRST.txt

[picasso]

Zakładam, że urządzenia widoczne w ostatnich skanach USBFix są nadal pod tymi samymi literami. Przechodzimy dalej:

 

1. Dla KINGSTON zmapowanego pod literą H. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-1547161642-527237240-839522115-1001\...\Run: [Fhhehj] - D:\Documents and Settings\JA\Dane aplikacji\Fhhehj.exe
D:\Windows\assembly\GAC\Desktop.ini
H:\*.lnk
CMD: attrib /d /s -s -h H:\*
CMD: rd /s /q H:\RECYCLER

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Dla PHONE zmapowanych pod literami F i G. Otwórz Notatnik i wklej w nim:

 

F:\*.lnk


G:\*.lnk

CMD: attrib /d /s -s -h F:\*

CMD: attrib /d /s -s -h G:\*

CMD: rd /s /q F:\RECYCLER

CMD: rd /s /q G:\RECYCLER

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt.

 

3. Zrób nowe logi USBFix z opcji Listing korespondująco dla danych urządzeń. Dołącz oba pliki fixlog.txt.

 

 

 

.

[Kimi1908]

Czyli wszystkie trzy punkty mam zrobić przy podpiętych urządzeniach, czy też tylko i wyłącznie punkt numer 3 ?

Obstawiam, że wszystkie punkty, jednak wolę poczekać na odpowiedź Pani ekspert niż coś... sknocić   

[picasso]

Oczywiście, że wszystkie punkty przy podpiętych urządzeniach, w przeciwnym wypadku jak sobie wyobrażasz czyszczenie urządzeń oraz końcową weryfikację ich zawartości. Wyraźnie zaznaczam w punktach 1 i 2 które urządzenia mają być podpięte i jakie litery mają posiadać (brałam je z raportów USBFix).

 

 

 

.

[Kimi1908]

Jasne, już biorę się do roboty

 

Niekiedy nawet najbanalniejsze sprawy mogą solidnie namieszać, nie raz już się o tym przekonałem i czasami jestem aż za nadto ostrożny w swoich działaniach

Poza tym wszystko w myśl przysłowia "Kto pyta nie błądzi"

Fixlog1.txt

UsbFix Listing 6 JA.txt

UsbFix Listing 4 JA.txt

UsbFix Listing 5 JA.txt

Fixlog2.txt

[picasso]

Poprzednie urządzenia KINGSTON i PHONE wyczyszczone, ale teraz przedstawiłeś mi jeszcze jedno urządzenie przenośne SANSA CLIPP, które także jest zainfekowane. Kolejna akcja dla tego urządzenia, oczywiście zakładam, że jest podpięte i zmapowane pod literą F:

 

1. Otwórz Notatnik i wklej w nim:

 

F:\*.lnk
CMD: attrib /d /s -s -h F:\*
CMD: rd /s /q F:\RECYCLER

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zrób nowy log USBFix z opcji Listing przy podpiętym urządzeniu SANSA CLIPP. Dołącz plik fixlog.txt.

 

 

 

.

[Kimi1908]

Oba punkty wykonane

Fixlog.txt

UsbFix Listing 7 JA.txt

[picasso]

Wszystko wykonane. Kończymy:

 

1. Uruchom TFC - Temp Cleaner.

 

2. Odinstaluj USBFix, zastosuj DelFix, a co nie zostanie usunięte dokończ ręcznie.

 

3. Zaktualizuj poniżej wymienione softy: KLIK.

 

==================== Installed Programs ======================
 

Adobe Flash Player 11 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 11.8.800.94 - Adobe Systems Incorporated) ----> wtyczka dla Firefox

Java™ 6 Update 21 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216021FF}) (Version: 6.0.210 - Oracle)

Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 5.1.20913.0 - Microsoft Corporation)

Mozilla Firefox 18.0 (x86 pl) (HKLM\...\Mozilla Firefox 18.0 (x86 pl)) (Version: 18.0 - Mozilla)

 

I proszę Cię, postaraj się uzupełnić wszystkie aktualizacje XP.

 

 

 

.

[Kimi1908]

Pierwsze dwie czynności zakończone. Co do punktu trzeciego to mam pewien problem z najnowszymi wersjami Firefox'a. Instalowałem wersję portable aby przetestować jak ognisty lisek będzie się sprawował na moim sprzęcie (512 MB RAM) i zauważyłem, że zwiększyło się zużycie pamięci do takiego stopnia, że program po prostu się zawieszał lub chodził dość wolno przy paru otwartych kartach. Jak wiadomo Firefox nie należy do aplikacji które pobierają małą ilość pamięci, jednakże za nic nie zamieniłbym go na inną przeglądarkę, między innymi ze względu na dodatki i szeroką personalizacje

 

Jeżeli chodzi o pozostałe wtyczki i Jave to rzeczywiście już od dłuższego czasu nie robiłem jakichkolwiek aktualizacji... Przede wszystkim ze względu na to, że nie miałem do tej pory choćby najmniejszego problemu użytkując... nieco podstarzałe wersje

 

Natomiast o aktualizacjach XP będę pamiętał i postaram się je uzupełnić w najbliższym czasie

[Kimi1908]

Zauważyłem, że system po wszystkich zastosowanych operacjach zaczął chodzić dosyć dziwnie. Na samym początku gdy wykonałem reinstalacje Podstawowego kanału IDE zauważyłem, że system tak jakby nieco przyśpieszył. Jak dobrze pamiętam przed reinstalacją bieżący tryb transferu był następujący: Ultra DMA Tryb 2. W tej chwili jest to Ultra DMA Tryb 5. Natomiast po pewnym czasie gdy zdecydowałem się troszeczkę pograć zauważyłem specyficzne zacięcia animacji. Wprawdzie trwają one jeden moment, jednak zdecydowanie są zauważalne.

 

PS: Zaległe aktualizacje zobowiązuje się wykonać w najbliższej przyszłości

 

PS2: W menedżerze zadań zauważyłem proces o nazwie wmiprvse.exe, który swego czasu stwarzał mi pewne problemy. Jeżeli pamięć mnie nie myli to sposobem na niego było wyłączenie jednej z usług. Owy proces pojawia się przykładowo podczas grania, po wyłączeniu gry dumnie gnieździ się na samym szczycie listy procesów przez parę chwil po czym... znika

Wydaje mi się, że problemem nie jest tryb transferu a powyższy proces. Pozostaje kwestia w jaki sposób na stałe go wyłączyć. Czytałem, że jest on powiązany z usługą o nazwie: Instrumentacja zarządzania Windows. Z tego co pamiętam to odradzałaś jakichkolwiek działań przy tej usłudze w obszernym artykule "Services - Usługi w XP". Dlatego, nie będę podejmował żadnych pochopnych działań i poczekam na Twoją odpowiedź

Addition.txt

FRST.txt