Robak Gamarue

[ArekKca]

Cześć, dzisiaj zainfekowało mi pendrive'a trojanem i robakiem gamarue. Przeskanowałem pena za pomocą Microsoft Security Essentials. Udało się wykryć i usunąć zagrożenia. Jednak nadal pliki, które były na pendrive, są niewidoczne mimo tego, że się tam znajdują. Ma ktoś jakiś pomysł aby to naprawić? Proszę o pomoc.

Załączasm skany z programów USBfix, OTL i FRST, które zrobiłem przy podłączonym penie po usunięciu wirusów.

Addition.txt

FRST.txt

UsbFix_Report.txt

[picasso]

Zasady działu wyliczają jakie logi są tu obowiązkowe. Przestarzały OTL nie jest tu w ogóle brany pod uwagę i usuwam. Brakuje za to trzeciego pliku FRST Shortcut oraz raportu z GMER.

 

Prócz modyfikacji zrobionych przez infekcję na urządzeniu przenośnym, problemy są też w samym systemie, tzn. odpadki adware oraz zainstalowany Yet Another Cleaner (YAC) - to wysoce niepożądany program: KLIK. Akcje do wdrożenia:

 

1. Deinstalacje:

- Przez Panel sterowania pozbądź się YAC(Yet Another Cleaner!).

- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis globalupdate Helper > Dalej.

 

2. Zakładam, że pendrive nadal widziany pod literą H, w przeciwnym wypadku komenda go adresująca się nie wykona. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S2 gopibeko; Brak ImagePath
S2 jimocoso; C:\Program Files (x86)\3B843E2A-1440968241-864B-CB20-8851FBCA0330\jnsiE7BF.tmp [X]
S1 ppfd_vt_1_10_0_22; system32\drivers\ppfd_vt_1_10_0_22.sys [X]
S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QMUdisk64.sys [X]
S2 sbapifs; system32\DRIVERS\sbapifs.sys [X]
S2 totyseku; C:\Program Files (x86)\3B843E2A-1440968241-864B-CB20-8851FBCA0330\hnsi18CF.tmp [X]
S3 TS888x64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TS888x64.sys [X]
S2 vorypute; C:\Program Files (x86)\3B843E2A-1440968241-864B-CB20-8851FBCA0330\knsiD977.tmpfs [X]
S1 wsafd_1_10_0_19; system32\drivers\wsafd_1_10_0_19.sys [X]
Task: {10430F24-385D-481A-8D6F-15E2B4F19F84} - System32\Tasks\{AED9C0C2-4A41-435E-8264-D6DF3E5E3B79} => pcalua.exe -a "F:\Nowy folder\stery win7\stery win7\sp56460.exe" -d "F:\Nowy folder\stery win7\stery win7"
Task: {20AC678E-5FA2-4970-81DE-BCBC3E27C129} - System32\Tasks\{E3DFBE57-663B-44D8-90E9-4899776DEDE2} => pcalua.exe -a C:\Users\Arek\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor 
Task: {269A11A4-E02B-44B3-8596-8A0F66FF1972} - \YTDownloader -> Brak pliku 
Task: {27037F12-5040-4A9A-8B85-26ABFB917DAA} - System32\Tasks\WordSurfer Auto Updater 1.10.0.19 Pending Update => C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe 
Task: {39E5AECD-7516-4641-8E84-CC6347A98E5E} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 
Task: {3A7DD326-9B7F-4B50-B208-88DDA651D21D} - System32\Tasks\WordSurfer Auto Updater 1.10.0.19 Core => C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe 
Task: {47DE48BF-20D0-45C0-A952-87C81CB71000} - \SMupdate1 -> Brak pliku 
Task: {4DEB4D32-325F-40C1-A89C-832EAB8E4207} - \YTDownloaderUpd -> Brak pliku 
Task: {7B40D1D6-3AB0-40EB-B989-CDF493FF2EA1} - System32\Tasks\PhraseProfessor Auto Updater 1.10.0.22 Core => C:\Program Files (x86)\PhraseProfessor_1.10.0.22\Update\PhraseProfessorAutoUpdateClient.exe 
Task: {82AC5274-DAF1-421C-BED2-A61B4123CF98} - System32\Tasks\ME5zmXRM97s2LktHl9KXy => C:\Users\Arek\AppData\Roaming\ME5zmXRM97s2LktHl9KXy.exe 
Task: {A6F70DC5-BBFB-4563-B8E8-7D04BC386692} - \ShopperProJSUpd -> Brak pliku 
Task: {C0F2A6BF-7933-4BA1-BBC2-8033308D7A0A} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 
Task: {F242AEDD-EB5F-47D5-B1EF-CDC9334ED0F1} - System32\Tasks\PhraseProfessor Auto Updater 1.10.0.22 Pending Update => C:\Program Files (x86)\PhraseProfessor_1.10.0.22\Update\PhraseProfessorAutoUpdateClient.exe 
Task: C:\Windows\Tasks\ME5zmXRM97s2LktHl9KXy.job => C:\Users\Arek\AppData\Roaming\ME5zmXRM97s2LktHl9KXy.exe 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service"
HKU\S-1-5-21-2794061736-2319354765-444063797-1000\Software\Classes\.exe: exefile => 
HKU\S-1-5-21-2794061736-2319354765-444063797-1000\Software\Classes\exefile: 
HKLM-x32\...\RunOnce: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-2794061736-2319354765-444063797-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=130861187946300557&GUID=A67E28BA-4B7C-476B-B0ED-A5EE728BDB9C
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKU\S-1-5-21-2794061736-2319354765-444063797-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=130861187946310557&GUID=A67E28BA-4B7C-476B-B0ED-A5EE728BDB9C
SearchScopes: HKU\S-1-5-21-2794061736-2319354765-444063797-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE
SearchScopes: HKU\S-1-5-21-2794061736-2319354765-444063797-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Arek\AppData\Roaming\Mozilla\Firefox\Profiles\m0o2lkgf.default\extensions\defsearchp@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Arek\AppData\Roaming\Mozilla\Firefox\Profiles\m0o2lkgf.default\extensions\deskCutv2@gmail.com => nie znaleziono
C:\Users\Arek\AppData\Roaming\ME5zmXRM97s2LktHl9KXy
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
H:\desktop.ini
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
CMD: attrib /d /s -s -h H:\*
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wejdź na pendrive, powinien zostać uwidoczniony folder "bez nazwy", to w nim infekcja umieściła dane. Przenieś wszystkie poziom wyżej, a folder "bez nazwy" skasuj przez SHIFT+DEL (omija Kosz).

 

4. Wyczyść przeglądarki:

 

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia rezeba będzie przeinstalować.
• Menu Historia > Wyczyść całą historię przeglądania.

Opera:

• Odłącz synchronizację (o ile włączona): KLIK
• Ustawienia > karta Rozszerzenia > odinstaluj adware iWebar V2.1

5. Zrób nowe logi: FRST z opcji Skanuj (Scan) z Addition i Shortcut, oraz USBFix z opcji Listing (a nie Research jak podałeś). Dołącz też plik fixlog.txt.

[ArekKca]

Łał, dzięki za pomoc! Pliki z pendrive są dostępne. Zrobiłem (mam nadzieję ), jak nakazałaś. Dołączam pliki, o których mówiłaś.

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

UsbFix_Report.txt

[picasso]

Skrypt do FRST jest jednorazowego użytku i nie przetworzy ponownie tego samego. Fix FRST uruchomiłeś aż trzy razy, dostarczony Fixlog pokazuje masowe rekordy "nie znaleziono". Co się działo, że tak szalałeś? Wszystko zrobione. Teraz jeszcze drobne akcje pod kątem szczątków adware:

 

1. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

2. Otwórz Notatnik i wklej w nim:

 

ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1440975912&z=19fa332ff635ee20b2c3a9bgezez6e8t5m3w5mcb9q&from=cmi&uid=WDCXWD3200BPVT-60JJ5T0_WD-WX31A13L2524L2524
RemoveDirectory: C:\FRST
RemoveDirectory: C:\MATS
RemoveDirectory: C:\Users\Arek\Desktop\Stare dane programu Firefox

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[ArekKca]

Zacząłem działać według Twoich instrukcji, a zapomniałem podłączyć pendrive, więc wyłączyłem i uruchomiłem jeszcze raz. Stąd wielokrotne uruchomienie.

Okej, dołączam te pliki.

Fixlog.txt

AdwCleanerS1.txt

[picasso]

AdwCleaner doszukał się wielu odpadków adware. Uruchom go ponownie, tym razem zastosuj kombinację opcji Skanuj + Usuń i dostarcz wynikowy log z tego usuwania.

[ArekKca]

Oto wynikowy log z AdwCleanera.

AdwCleanerC1.txt

[picasso]

Akcja pomyślnie wykonana. Na koniec odinstaluj USBFix, zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[ArekKca]

Dziękuję, dziękuję, bardzo za pomoc!