Problem z pendrivem i kartą pamięci czyli znikające foldery

[KlecuJestem]

Witam! Jak wskazuje temat borykam się z problemem poruszanym już na owym (Szanownym) forum 

niejednokrotnie.

Otóż foldery umieszczone na karcie pamięci (używanej w telefonie) najpierw zamieniły się w skróty (były 4) potem następnym razem już ich nie wyświetliło , żeby ponownie się pojawić się np. zmniejszonej ilości. Cały czas natomiast zajmują pamięć i dają się odtworzyć w telefonie.

Każdorazowo , przy podpięciu avast wykrywa wirusy ( w trakcie działania co jakiś czas również).

Podobne - niestety - rzeczy dzieją się i na innych urządzeniach, dwóch pendrive`ach i rejestratorze dźwięku(z kartą pamięci).

Nie udawałem się z prośbą do innych serwisów , znajomych "ekspertów" ani wróżek.

Gorąco proszę o pomoc i wytyczne. 

Z pozdrowieniami - Klecu.
PS: Wykonałem skan z wpiętym (zainfekowanym) telefonem , resztę urządzeń odzyskam wieczorem

Z góry dziękuje!

OTL.Txt

Extras.Txt

[Zappa]

foldery umieszczone na karcie pamięci (używanej w telefonie) najpierw zamieniły się w skróty (były 4) potem następnym razem już ich nie wyświetliło , żeby ponownie się pojawić się np. zmniejszonej ilości. Cały czas natomiast zajmują pamięć i dają się odtworzyć w telefonie.

Proponuje dołaczyć log z USBfix zrobiony przy podpietym urządzeniu.

[picasso]

Proszę także uzupełnić wymagane tu raporty FRST i GMER. GMER jest konieczny na XP przy takich infekcjach, bo zwykle na XP infekcja tego rodzaju ma ukryty motor w samym systemie (i replikuje problem na wszystkie podpinane urządzenia).

 

 

 

.

[KlecuJestem]

Oto reszta raportów 
dzięki za szybką odpowiedź!
 

 

PS: Przy robieniu skanu usbfixem zapomniałem wyłączyć avasta i nie wiem czy to nie zaciemni obrazu

Shortcut.txt

Addition.txt

FRST.txt

Gmer.txt

UsbFix Scan 3 XX-035E39113BC4.txt

UsbFix Listing 2 XX-035E39113BC4.txt

UsbFix Scan 2 XX-035E39113BC4.txt

[picasso]

Jest tu kilka dysków przenośnych podpiętych w różnych konfiguracjach - na początek będzie adresowany układ ze skanu UsbFix Listing 2 XX-035E39113BC4.txt, czyli dyski:

 

################## | Disk Information |
 

C:\ (%SystemDrive%) -> Fixed disk # 98 Gb (76 Gb free - 78%) [] # NTFS

E:\ -> Removable disk # 15 Gb (12 Gb free - 84%) [] # FAT32

G:\ -> Fixed disk # 368 Gb (30 Gb free - 8%) [] # NTFS

H:\ -> Removable disk # 4 Gb (570 Mb free - 15%) [] # FAT32

 

Karta Sony będzie w drugim podejściu.

 

Prócz tej infekcji jest też multum adware w systemie. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

(Cherished Technololgy LIMITED) C:\Documents and Settings\All Users\Dane aplikacji\IePluginService\PluginService.exe
(Taiwan Shui Mu Chih Ching Technology Limited.) C:\Program Files\WinZipper\winzipersvc.exe
(Cherished Technololgy LIMITED) C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe
() C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService\ibsvc.exe
R2 IBUpdaterService; C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService\ibsvc.exe [727360 2013-06-08] ()
R2 IePluginService; C:\Documents and Settings\All Users\Dane aplikacji\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED)
R2 winzipersvc; C:\Program Files\WinZipper\winzipersvc.exe [425104 2014-03-02] (Taiwan Shui Mu Chih Ching Technology Limited.)
R2 Wpm; C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe [501904 2014-02-26] (Cherished Technololgy LIMITED)
HKU\S-1-5-21-790525478-1343024091-725345543-1003\...\Run: [99] => wscript.exe //B "C:\Documents and Settings\98\Dane aplikacji\99.vbs"
ShortcutWithArgument: C:\Documents and Settings\98\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=WDCXWD5003ABYX-18WERA0_WD-WMAYP208377583775&ts=1393765086
ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=WDCXWD5003ABYX-18WERA0_WD-WMAYP208377583775&ts=1393765086
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=WDCXWD5003ABYX-18WERA0_WD-WMAYP208377583775&ts=1393765086
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=WDCXWD5003ABYX-18WERA0_WD-WMAYP208377583775&ts=1393765086
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1390751574&from=smt&uid=WDCXWD5003ABYX-18WERA0_WD-WMAYP208377583775&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=WDCXWD5003ABYX-18WERA0_WD-WMAYP208377583775&ts=1393765086
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1390751574&from=smt&uid=WDCXWD5003ABYX-18WERA0_WD-WMAYP208377583775&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1390751574&from=smt&uid=WDCXWD5003ABYX-18WERA0_WD-WMAYP208377583775&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=WDCXWD5003ABYX-18WERA0_WD-WMAYP208377583775&ts=1393765086
URLSearchHook: HKCU - UsProvider Class - {539F76FD-084E-4858-86D5-62F02F54AE86} - C:\Program Files\Minibar\Minibar.dll (KangoExtensions)
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.awesomehp.com/?type=sc&ts=1390751574&from=smt&uid=WDCXWD5003ABYX-18WERA0_WD-WMAYP208377583775
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=WDCXWD5003ABYX-18WERA0_WD-WMAYP208377583775&ts=1393765086&type=default&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=WDCXWD5003ABYX-18WERA0_WD-WMAYP208377583775&ts=1393765086&type=default&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=WDCXWD5003ABYX-18WERA0_WD-WMAYP208377583775&ts=1393765086&type=default&q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=7C6700304F29A9F7&affID=123627&tsp=5001
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=ds&from=wpm0226&uid=WDCXWD5003ABYX-18WERA0_WD-WMAYP208377583775&ts=1393765086&type=default&q={searchTerms}
SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
SearchScopes: HKCU - {90377711-210E-4483-95D6-00C70DE92904} URL = http://search.ividi.org/?q={searchTerms}&src=tbsp&id=7c676fae00000000000000304f29a9f7&affilt=3&r=796
BHO: hosts -> {11111111-1111-1111-1111-110311531182} -> C:\Program Files\hosts\hosts-bho.dll (Alex)
BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\SupTab\SupTab.dll (Thinknice Co. Limited)
BHO: dokotoolbar Helper Object -> {3B9F6E59-04CA-43FF-92DF-F6E66D3A8D82} -> C:\Program Files\Doko-Toolbar\dokotoolbar\1.8.26.9\bh\dokotoolbar.dll (Doko-Toolbar)
BHO: SelectionLinks -> {7825CFB6-490A-436B-9F26-4A7B5CFC01A9} -> C:\Program Files\OApps\SelectionLinks.dll (SelectionLinks)
BHO: ValueApps -> {93DBF2BB-A2B3-4683-A92E-57E60751F346} -> C:\Program Files\Conduit\ValueApps\IE\ValueAppsLoader.dll (Conduit Ltd.)
BHO: MinibarBHO -> {AA74D58F-ACD0-450D-A85E-6C04B171C044} -> C:\Program Files\Minibar\Minibar.dll (KangoExtensions)
BHO: Yontoo -> {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} -> C:\Program Files\Yontoo\YontooIEClient.dll (Yontoo LLC)
Toolbar: HKLM - dokotoolbar Toolbar - {339E1B37-76D3-4A64-A988-E81425DF831C} - C:\Program Files\Doko-Toolbar\dokotoolbar\1.8.26.9\dokotoolbarTlbr.dll (Doko-Toolbar)
CustomCLSID: HKU\S-1-5-21-790525478-1343024091-725345543-1003_Classes\CLSID\{939A0D04-0E07-48FE-A463-6623B70C3A96}\localserver32 -> C:\Documents and Settings\98\Ustawienia lokalne\Dane aplikacji\Conduit\ValueApps\IE\ValueApps.exe (Conduit Ltd.)
Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\98\DANEAP~1\BABSOL~1\Shared\BabMaint.
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\delta-homes.xml
FF HKLM\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Documents and Settings\98\Dane aplikacji\Mozilla\Firefox\Profiles\qec735si.default\extensions\quick_start@gmail.com
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
CHR HomePage: Default -> hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=WDCXWD5003ABYX-18WERA0_WD-WMAYP208377583775&ts=1393765086
CHR NewTab: Default -> "chrome-extension://ifohbjbgfchkkfhphahclmkpgejiplfo/index.html"
CHR HKLM\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Documents and Settings\98\Dane aplikacji\BabSolution\CR\BabylonChrome1.crx [2013-03-09]
CHR HKLM\...\Chrome\Extension: [dkipemekkkamhdafmodmiecddjhkmanm] - C:\Program Files\OApps\chrome-sl.crx [2013-08-07]
CHR HKLM\...\Chrome\Extension: [edcikfknpchdehdlmjpbofgkoaonaijg] - C:\Documents and Settings\98\Dane aplikacji\BabSolution\CR\Doko.crx [2013-10-16]
CHR HKLM\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Documents and Settings\98\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\newtab.crx [2014-03-02]
CHR HKLM\...\Chrome\Extension: [niapdbllcanepiiimjjndipklodoedlc] - C:\Program Files\Yontoo\YontooLayers.crx [2013-03-07]
CHR HKLM\...\Chrome\Extension: [ogfjmhfnldnajmfaofeiaepghjenbgjo] - C:\Documents and Settings\98\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ep.crx [2014-03-02]
CHR StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe http://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=sc&from=wpm0226&uid=WDCXWD5003ABYX-18WERA0_WD-WMAYP208377583775&ts=1393765086
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
CHR HKCU\SOFTWARE\Policies\Google: Policy restriction 
C:\Documents and Settings\98\Dane aplikacji\awesomehp
C:\Documents and Settings\98\Dane aplikacji\BabSolution
C:\Documents and Settings\98\Dane aplikacji\Babylon
C:\Documents and Settings\98\Dane aplikacji\File Scout
C:\Documents and Settings\98\Dane aplikacji\Minibar
C:\Documents and Settings\98\Dane aplikacji\OpenCandy
C:\Documents and Settings\98\Dane aplikacji\PerformerSoft
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\Logs
C:\Documents and Settings\All Users\Dane aplikacji\Panda Security
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Program Files\Minibar
C:\WINDOWS\jumpshot.com
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\END
E:\AUTORUN.INF
G:\Thumbs.db
H:\99.vbs
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f
CMD: attrib /d /s -s -h E:\*
CMD: attrib /d /s -s -h H:\*
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware: uTorrentBar ToolbarAppsHat Mobile Apps, Doko Chrome Toolbar, Doko toolbar, FilesFrog Update Checker, IePluginService12.27.0.3326, Qtrax Music Downloader Packages, SelectionLinks, SupTab, Update for Qtrax Music Downloader, Updater Service, ValueApps, WinZipper, Yontoo 1.10.03

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

4. Wyczyść Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj Doko Toolbar, hosts, Extended Protection, Lightning Newtab, Managera, Value apps
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• [bZresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz USBFix z opcji Listing z dokładnie tego samego układu urządzeń co wcześniej podawał plik UsbFix Listing 2 XX-035E39113BC4.txt. Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[KlecuJestem]

Przepraszam za brak odpowiedzi ale z przyczyn niezależnych ode mnie nie mogłem..
Zrobiłem 5 z 6 kroków, 6 zrobie dzisiaj za kilka godzin i wyślę.


PS: Dodałem ale jedno urządzenie nie należy do mnie (i nie mam go teraz) więc rzy usbfixie podpiąłem pendrive`a i telefon z kartą sony

FRST.txt

UsbFix Listing 3 XX-035E39113BC4.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

Fixlog.txt

Edytowane 30 Sierpnia 2014 przez KlecuJestem

[picasso]

Zadanie na dyskach przenośnych w ogóle się nie wykonało, najwyraźniej je odpiąłeś. To trzeba będzie powtórzyć (pobrać nowy log USBFix, gdy owe urządzenia są podpięte). Ale to potem. Teraz adresuję ten układ:

 

################## | Disk Information |
 

C:\ (%SystemDrive%) -> Fixed disk # 98 Gb (77 Gb free - 79%) [] # NTFS

E:\ -> Removable disk # 7 Gb (5 Gb free - 71%) [sony_8GR] # FAT32

G:\ -> Fixed disk # 368 Gb (30 Gb free - 8%) [] # NTFS

H:\ -> Removable disk # 15 Gb (12 Gb free - 83%) [] # FAT32

 

Urządzenia muszą być podpięte i widoczne pod literami E i H, w przeciwnym wypadku skrypt nie zadziała. Kolejne podejście:

 

1. Otwórz Notatnik i wklej w nim:

 

Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
DeleteQuarantine:
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Documents and Settings\98\Pulpit\Stare dane programu Firefox
RemoveDirectory: C:\WINDOWS\jumpshot.com
CMD: attrib /d /s -s -h E:\*
CMD: attrib /d /s -s -h H:\*
CMD: del /q H:\AUTORUN.INF
CMD: del /q C:\WINDOWS\system32\sqlite3.dll

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Zrób nowy log USBFix z opcji Listing oraz dostarcz wynikowy fixlog.txt.

 

 

 

.

[KlecuJestem]

Oto log z usbfixa i fixlog. I przepraszam za wcześniejsze niepodpięcie .

PS: Wszedłem orientacyjnie w pendrive`a i wydaje się być zdrowy! Czy moja radość jest jeszcze zbyt wczesna?

Fixlog.txt

UsbFix Listing 4 XX-035E39113BC4.txt

Edytowane 2 Września 2014 przez KlecuJestem

[picasso]

Zdejmowanie atrybutów z folderów na obu urządzeniach pomyślnie wykonane. Jednakże opór stawił jeden plik. Z poziomu Trybu awaryjnego Windows spróbuj ręcznie skasować te dwa pliki:

 

E:\AUTORUN.INF

H:\AUTORUN.INF

 

Zostaje kwestia poprzednich urządzeń, które nie zostały przetworzone:

 

################## | Disk Information |
 

E:\ -> Removable disk # 15 Gb (12 Gb free - 84%) [] # FAT32

H:\ -> Removable disk # 4 Gb (570 Mb free - 15%) [] # FAT32

 

Czy nadal je posiadasz?

 

 

 

.