wirus na pendrive usunął dane, pozostałości po OpenCandy (System Ninja)

[zawada]

Kilka tygodni temu złapałem niezły szajs na 3 pendrive'ach, który wykasował mi wszystkie znajdujące się tam dane (nie były one aż tak ważne, bo miałem je w kilku kopiach na komputerze i w chmurze, więc nie ma potrzeba ich odzyskiwać). Oprócz wykasowania danych zauważyłem również bardzo powolne otwieranie się wszystkich folderów (następujące ok 2-3 minuty po starcie systemu, dotąd nieobecne).
Aby usunąć infekcję skorzystałem z:

-AVG AV FREE 2015 (korzystam stale na spółkę z MBAM oraz AdwCleaner)
-MBAM
-AdwCleaner
-CCleaner + CCenhancer

oraz AVG PC TuneUp (ten program dopiero pomógł wyeliminować problem zawieszających się i wolno otwierających folderów).

 

Skorzystałem również z programu System Ninja, który następnie usunąłem.

Pendrivy sformatowałem, wyłaczyłem autoodtwarzanie, zastosowałem Panda USB Vaccine.

Przed odnalezieniem tego forum - niestety - skorzystałem z ComboFix,a aby na pewno pozbyć się problemu. Folderu Qoobox nie usuwałem.

Dziś dla pewności użyłem:

-AVG AV FREE 2015 (dwa zagrożenia Mal.Sign.OpenCandy.37B, usunięte)

SKAN - AV
-ESET Online Scanner (wykrył jedno zagrożenie adware, usunięte)
-Dr.WEB CureIt! (wykrył około 190 wirusów w System volume information na dysku 'E', coś na taki wzór: E:\System Volume Information\_restore{F5CBA374-998-42E6-9505-F65585K7F7}\RC218) -> usunąłem, uprzednio wyłączając ochronę systemu, ponowny skan, likwidacja zagrożenia, włączenie ochrony

Do usunięcia System Ninja oraz AVG PC TuneUp skorzystałem z RevoUninstaller, następnie CCleaner + antywirus i w.w skanery, aby sprawdzić czy pozostałości zostały usunięte.

Piszę, ponieważ chciałbym upewnić się, czy po wirusach, adware oraz programie System Ninja nie pozostało nic, co negatywnie wpłynie na pracę komputera. Jak na razie skanery/AV nic nie wykrywa.

GMER.txt

Addition.txt

FRST.txt

Shortcut.txt

[jessica]

1) Odinstaluj niepotrzebny Akamai NetSession Interface

 

2) Otwórz Notatnik i wklej w nim:

 

C:\Users\zawada\Desktop\INNE\µTorrent.lnk
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\1.59p.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\1045.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\6748509bf032a5f93deecf4d705bc092.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\Andrzej Trzebiński - życie i twórczość.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\artykuły.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\asda.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\ASPEKTY PRAWNE.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\ch.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\CHEMIA.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\czarnob1.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\czarnob2.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\czarnobyl.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\Dysk wymienny (H).LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\Dysk wymienny (I).LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\Excel - zajęcia nr 1 - arkusz z danymi.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\Excel - zajęcia nr 2 - arkusz z danymi.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\exc_cw3.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\exc_s1.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\huta3.LNK
C:\Users\zawada\AppData\Roaming\Microsoft\Office\Niedawny\INFORMATYKA.LNK
HKU\S-1-5-21-3657831755-4128053780-3085122576-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Zasada ograniczeń <======= UWAGA
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
FF Extension: Pirrit Suggestor - C:\Users\zawada\AppData\Roaming\Mozilla\Firefox\Profiles\hhpy9j69.default\Extensions\suggestor@pirrit.com.xpi [2013-09-26]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 DNINDIS4; \??\C:\Windows\system32\DNINDIS4.SYS [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 SNPSTD3; system32\DRIVERS\snpstd3.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 WPN111; system32\DRIVERS\WPN111vx.sys [X]
C:\ProgramData\hash.dat
C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml
Task: {2499FAED-4AA9-41AB-8422-8C06EAC48F22} - System32\Tasks\{8238A696-0171-4023-A522-1EF01FB7434B} => pcalua.exe -a C:\Users\zawada\Downloads\2010-07-12_7-16_WAVPL_DOR.exe -d C:\Users\zawada\Downloads
Task: {30128884-78B8-42B9-8EC7-E1D26E7BDA9D} - \Game_Booster_AutoUpdate -> Brak pliku <==== UWAGA
Task: {495477FC-608D-4B94-B820-0C19DD144241} - System32\Tasks\{D44FFD75-27B5-4560-A98C-6F0D0CA5A207} => pcalua.exe -a C:\Users\zawada\AppData\Local\Temp\vcredist_x64.exe -d "E:\Program Files\EslWire" -c /q:a
Task: {79AF20C6-9E10-47EE-BCD0-E7E8D593945F} - System32\Tasks\{0B07E5BE-74D3-4869-A429-83014EFCAA71} => pcalua.exe -a F:\Utility\setup.exe -d F:\Utility
AlternateDataStreams: C:\ProgramData\Microsoft:CctahoKmDWYqozh8ujqNPvjI
AlternateDataStreams: C:\ProgramData\Microsoft:QGdT1KTwW6DH5V39
AlternateDataStreams: C:\Users\zawada\AppData\Local\Temp:Hw5LG0CFrwQOSYjJxtgUe2jLXGH
AlternateDataStreams: C:\Users\zawada\AppData\Local\Temporary Internet Files:3254OnFzuOLSdKJ3
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

jessi

[zawada]

Dziękuję za odpowiedź.

 

1) Wykonano

2) Wykonano. Wrzucić fixlog.txt?

[jessica]

Wrzucić fixlog.txt?

 

Nie ma takiej potrzeby.

 

Chyba możemy kończyć:

Otwórz Notatnik i wklej w nim:

 

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).

przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

jessi

[zawada]

Zrobione. Dziękuję za pomoc.