Trojan-gen, pliki.exe zamiast folderów

[nord]

Cześć, po podłączeniu kindle'a foldery zamieniły się w pliki.exe których nie można otworzyć. Po instalacji avasta i ponownym podłączeniu kindle'a wszystkie foldery zostałe poddane kwarantannie, wykryty został wirus: "Win32:Trojan-gen", jako źródło podało ścieżkę z końcówką "ipodservice.exe". Próbowałem usunąć "ipodservice.exe" ale bez usuwania iTunes'a wydaje się to być trudne, za to po uwidocznieniu ukrytych plików zauważyłem, że podłączony mam "Dysk wymienny", które nie mogę się pozbyć. Dodatkowo przy każdym włączeniu komputera nie czyta myszki i dopiero po ściągnieciu sterowników rozpoznaje urządzenie. Poniżej dołączam niezbędne logi + Listing z UsbFix'a z penami, które ostatnio używałem. Dzięki!

Addition.txt

FRST.txt

Shortcut.txt

Extras.Txt

OTL.Txt

UsbFix Listing 2 MACIO-KOMPUTER.txt

[picasso]

Logi DDS nie są obowiązkowe, usuwam. Brakuje za to skanu z GMER.

 

 

Cześć, po podłączeniu kindle'a foldery zamieniły się w pliki.exe których nie można otworzyć. Po instalacji avasta i ponownym podłączeniu kindle'a wszystkie foldery zostałe poddane kwarantannie, wykryty został wirus: "Win32:Trojan-gen", jako źródło podało ścieżkę z końcówką "ipodservice.exe". Próbowałem usunąć "ipodservice.exe" ale bez usuwania iTunes'a wydaje się to być trudne, za to po uwidocznieniu ukrytych plików zauważyłem, że podłączony mam "Dysk wymienny", które nie mogę się pozbyć.

Proszę dostarcz dokładny odczyt z Avast co i gdzie zostało wykryte. Obecnie w systemie brak oznak czynnej infekcji. Ta detekcja "ipodservice" to na pewno był trojan udający oprogramowanie Ipod, a nie właściwy iTunes. W msconfig widać, że wyłączyłeś te dwie pozycje, pierwsza to szkodliwa imitacja:

 

MSCONFIG\startupreg: iPod Service Module => C:\Users\Macio\AppData\Roaming\System32\ipodservices.exe

MSCONFIG\startupreg: iTunesHelper => "C:\Program Files\iTunes\iTunesHelper.exe"

 

Natomiast jeśli chodzi o dysk przenośny, to foldery raczej nie zmieniły się w pliki exe, tylko zostały ukryte (widać je w logu), a infekcja dorobiła pliki o nazwach jak foldery, by namówić do ich kliknięcia i uruchomienia infekcji. Nie rozumiem co masz na myśli z podłączonym niechcianym "Dyskiem wymiennym", czy to oznacza, że jeden z tych dysków nie jest pożądany (?):

 

################## | Disk Information |
 

H:\ -> Removable disk # 1 Gb (1 Gb free - 95%) [Kindle] # FAT32

I:\ -> Removable disk # 7 Gb (3 Gb free - 41%) [uSB DISK] # NTFS
 

################## | H:\ - Removable drive (FAT32) |
 

[29/09/2013 - 15:54:36 | SHD] - H:\.active-content-data

[22/07/2014 - 09:25:54 | A | 0 Ko] - H:\DONT_HALT_ON_REPAIR

[29/09/2014 - 18:59:08 | SHD] - H:\documents

[03/10/2014 - 22:47:58 | SHD] - H:\system

[04/10/2014 - 00:51:10 | SHD] - H:\eBooks
 

################## | I:\ - Removable drive (NTFS) |
 

[27/09/2014 - 12:20:17 | A | 847 Ko] - I:\RCXAEF.tmp

[15/09/2014 - 19:13:03 | SHD] - I:\soa.s3

[01/04/2014 - 16:53:06 | A | 111 Ko] - I:\CV Maciej Żyliński.pdf

[01/05/2013 - 22:22:05 | RASH | 0 Ko] - I:\autorun.inf

[15/11/2012 - 19:57:50 | A | 22376 Ko] - [(1/55)] - I:\vlc-2.0.4-win32.exe

[01/10/2014 - 13:49:19 | A | 20 Ko] - I:\Infusion pumps.docx

[27/09/2014 - 10:22:20 | A | 46 Ko] - I:\Autokar.doc

[01/05/2013 - 22:03:04 | SHD] - I:\RECYCLER

[07/07/2014 - 20:34:31 | SHD] - I:\12 Years A Slave 2013 1080p BRRip x264 AC3-JYK

[04/08/2014 - 20:43:54 | SHD] - I:\The Grand Budapest Hotel (2014)

[12/09/2014 - 17:16:11 | SHD] - I:\soa

[23/09/2014 - 09:19:31 | SHD] - I:\System Volume Information

 

Dodatkowo przy każdym włączeniu komputera nie czyta myszki i dopiero po ściągnieciu sterowników rozpoznaje urządzenie.

To już raczej inny problem spoza infekcji. Czy ta mysz działa sprawnie na innym komputerze?

 

 

---

Na teraz więc odkrycie zasadniczych folderów na urządzeniach i drobne dodatkowe czyszczenie:

 

1. Dyski przenośne mają być widziane pod tymi samymi literami H i I co w logu USBFix. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iPod Service Module
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
FF SearchEngineOrder.1: v9
FF Plugin HKCU: @Skype Limited.com/Facebook Video Calling Plugin -> C:\Users\Macio\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll No File
C:\Program Files\mozilla firefox\plugins
C:\Users\Macio\AppData\Roaming\System32
I:\autorun.inf
I:\RCXAEF.tmp
RemoveDirectory: I:\RECYCLER
CMD: attrib /d /s -s -h F:\*
CMD: attrib /d /s -s -h F:\*
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log USBFix z opcji Listing. Dołącz też plik fixlog.txt.

 

 

 

.

[nord]

Poniżej dołączam logi o których pisałaś plus screeny z "dodatkowym" dyskiem G i komunikatem z avasta. Myszka widocznie miała problem ze sterownikami, ale już wszystko jest ok. Po zrobieniu fix'u w FRST, dalej nie widzę folderów na kindle'u.

Fixlog.txt

GMER.txt

UsbFix Listing 2 MACIO-KOMPUTER.txt

[picasso]

Po zrobieniu fix'u w FRST, dalej nie widzę folderów na kindle'u.

Śpieszyłam się i wkleiłam komendę zdejmowania atrybutów, ale nie dopasowałam liter. Poprawki:

 

 

1. Jeśli chodzi o odpadkowy dysk przenośny G, uruchom USB-set: Cleaning traces > Traces of previous connected removable devices > zaznaczyć wszystkie sekcje > Cleaning selected sections.

 

2. Jeśli chodzi o kindle, otwórz Notatnik i wklej w nim:

 

CMD: attrib /d /s -s -h H:\*
CMD: attrib /d /s -s -h I:\*

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw fixlog.txt. I zrób nowy log USBFix z opcji Listing.

 

 

 

.

[nord]

Foldery wróciły, poniżej logi.

Fixlog.txt

UsbFix Listing 3 MACIO-KOMPUTER.txt

[picasso]

Nie rozumiem co Ty zrobiłeś, skombinowałeś i to błędnie (obcięcie specjalnych znaczników odróżniających dyrektywy od innych obiektów) poprzedni nieaktualny już Fixlist z nowym. Miałeś tym razem zrobić całkiem nowy Fixlist zawierający tylko dwie linie, które podałam powyżej! Oczywiście taki karykaturalny plik nie zrobił nic z poprzednich zadań (błędy i to już wykonane dawno), ale te dostawione dwie mimo wszystko się wykonały. Na przyszłość: wykonuj moje zadania 1:1, nie łącz plików z poprzednich postów "w całość".

 

Odkrycie folderów pomyślnie wykonane. Natomiast co z tym uporczywym odpadkowym dyskiem przenośnym G? Czy akcja w USB-set pomogła?

 

 

 

.

[nord]

Faktycznie źle to zrobiłem, skopiowałem cały poprzedni tekst i zmieniłem dyski tak jak pisałaś w ostatnim poście. Dysk G został, jest on widoczny tylko po pokazaniu ukrytych folderów.

[picasso]

Dysk G został, jest on widoczny tylko po pokazaniu ukrytych folderów.

Zrozumiałam, że widzisz to bez przestawiania opcji ukrytych. Ten twój "dysk wymienny" to prawdopodobnie jakiś czytnik USB. Przykładowo u mnie czytnik bez podłączonych urządzeń owocuje aż 4 ukrytymi dyskami:

 

 

Z prawokliku na ten dysk G > Właściwości > karta Sprzęt > podaj zrzut ekranu z tego. Nie sądzę, by tu były problemy i że należy usuwać to urządzenie.

 

 

 

.