Pliki na dysku wymiennym - skróty

[kieczup]

Witam,

 

Mam podobny problem jak w temacie:

https://www.fixitpc.pl/topic/5676-foldery-na-dysku-zewnetrznym-jako-skroty-nie-do-otwarcia/

Nie mogę sobie jednak poradzić gdyż wydaje mi się iż do każdego loga potrzebne są inne działania dlatego prosił bym o pomoc.

W skrócie: Foldery na dysku wymiennym widziane są jako skróty i klikając na nie pojawia się "H:\RECYCLER\0xA25D5DBD.exe". Upewnij się, że wpisana nazwa jest poprawna i spróbuj ponownie." Po zmienieniu ustawień:

Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego.....Mogę je otworzyć, jednak są "blade" tak jak foldery niewidoczne. Wydaje mi się że to nie załatwia sprawy dlatego proszę o pomoc i z góry dziękuję, w załącznikach logi z USBFIX oraz OTL

OTL.Txt

UsbFix.txt

[picasso]

Zastrzeżenia do logów: Log z OTL niekompletny, brak Extras (nie przestawiłeś opcji "Rejestr - skan dodatkowy" na "Użyj filtrowania"). Zabrakło obowiązkowego loga z GMER i system nie został przygotowany do jego uruchomienia, tzn. działa ofensywny sterownik SPTD od emulatora napędów wirtualnych (KLIK):

 

DRV - [2010-03-20 13:37:01 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd)

 

 

W skrócie: Foldery na dysku wymiennym widziane są jako skróty i klikając na nie pojawia się "H:\RECYCLER\0xA25D5DBD.exe". Upewnij się, że wpisana nazwa jest poprawna i spróbuj ponownie." Po zmienieniu ustawień:

Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego.....Mogę je otworzyć, jednak są "blade" tak jak foldery niewidoczne.

 

Foldery zostały po prostu ukryte przez infekcję i muszą zostać przekonfigurowane ich atrybuty, a te pozorujące foldery skróty LNK należy skasować. Ale to nie wszystko, infekcja w Twoim przypadku jest nie tylko na urządzeniu, ale i działa czynnie w systemie i są tu obiekty kojarzone z keyloggerem. USBFix myli się w jednej kwestii, wykrywa na dysku D plik autorun.inf. Partycja D to HP_RECOVERY, a na takiej należy się spodziewać pliku autorun.inf, plik ten także ma starą datę i rozmiar pasujący do tego co wiem o autorun HP:

 

D:\ -> Fixed drive # 7 Gb (470 Mb free - 6%) [HP_RECOVERY] # NTFS
 
O32 - AutoRun File - [2004-04-30 17:01:00 | 000,000,053 | -HS- | M] () - D:\Autorun.inf -- [ NTFS ]

 

 

---

Przechodząc do usuwania infekcji:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\System32\winn
C:\Users\Piotr\AppData\Roaming\winvdia.exe
C:\Users\Piotr\AppData\Roaming\EAeh777HitAl
C:\Users\Piotr\AppData\Roaming\IfLIGJAhHedh
C:\Users\Piotr\AppData\Roaming\K1Jrdldtg71E
C:\Users\Piotr\AppData\Roaming\Edg1yFHEEhjE
C:\Users\Piotr\AppData\Roaming\tJytjgdllIFl
C:\Users\Piotr\AppData\Roaming\Ft8F6Gi00fk0
C:\Users\Piotr\AppData\Roaming\k0jhEMErf801
C:\Users\Piotr\AppData\Roaming\E767d0kH81KJ
C:\Users\Piotr\AppData\Roaming\fDhfE7JFFt71
C:\Users\Piotr\AppData\Roaming\liflJr6LLH07
C:\Users\Piotr\AppData\Roaming\dlEdM6Fggk7f
C:\Users\Piotr\AppData\Roaming\Eg767KrII1yi
C:\Users\Piotr\AppData\Roaming\dh1dg0766Ai6
C:\Users\Piotr\AppData\Roaming\chrtmp
C:\Users\Piotr\AppData\Roaming\*.tmp
H:\RECYCLER
H:\*.lnk
attrib /d /s -s -h H:\* /C
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:OTL
SRV - File not found [On_Demand | Stopped] --  -- (stllssvr)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [HomeKeyLogger] C:\Program Files\HomeKeylogger\KeyLogger.exe File not found
O4 - HKLM..\Run: [winn] C:\WINDOWS\System32\winn\winn.exe ()
O9 - Extra Button: PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programs\PartyGaming\PartyCasino\RunApp.exe File not found
O9 - Extra 'Tools' menuitem : PartyCasino - {B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - C:\Programs\PartyGaming\PartyCasino\RunApp.exe File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Automatycznie się otworzy log z wynikami usuwania.

 

2. Kolejny krok to usuwanie śmieci paskowych z przeglądarek:

• Otwórz menedżer rozszerzeń Firefox i odinstaluj: Ask Toolbar, Babylon Toolbar, Conduit Engine, IncrediMail MediaBar, Zynga Toolbar.
  
• Przejdź do Panelu sterowania do apletu deinstalacji i usuń dodatek sponsoringowy Ask Toolbar i co tam jeszcze znajdziesz z w/w (nie podałeś Extras, to i nie wiem co jest w zainstalowanych).
  

3. Wygeneruj nowe logi do oceny, w sumie 4:

• Log z OTL: zaznacz opcję Pomiń pliki Microsoftu, bo tak gruby log nie jest mi potrzebny, ale za to przestaw opcję odpowiedzialną za generowanie Extras.
  
• Log z USBFix z opcji Listing (a nie Research, które dałeś w pierwszym poście).
  
• Log z AD-Remover z opcji Scan
  
• Zaległy log z GMER i przypominam, że sterownik SPTD przed jego uruchomieniem musi zostać usunięty.
  

Dołącz także log z usuwania powstały w punkcie 1.

 

 

.

[kieczup]

Dziękuję za wskazówki, zrobiłem wszystko jak było napisane. Jedna rzecz się tyko się do końca nie udała.... usuwanie zrobiłem bez podpiętego dysku, później z dyskiem zawieszał się OTL i nie mogłem powtórzyć operacji, dlatego wysyłam loga z usuwania bez podpiętego dysku wymiennego. Co do zmian jakie zauważyłem to pojawiły się "niewidoczne kopie" niektórych plików z nazwą poprzedzoną ~$. Proszę o dalsze wskazówki i z góry dziękuje.

Ad-Report-SCAN1.txt

Extras.Txt

GMER.txt

OTL.Txt

UsbFix.txt

10182011_112348.txt

[picasso]

W skrypcie wykonała się tylko ta część zadania, która dedykowała obszar Windows.

 

 

Jedna rzecz się tyko się do końca nie udała.... usuwanie zrobiłem bez podpiętego dysku, później z dyskiem zawieszał się OTL i nie mogłem powtórzyć operacji, dlatego wysyłam loga z usuwania bez podpiętego dysku wymiennego.

 

Skrypt jest jednorazowego użytku, nie wolno go powtarzać więcej niż raz, nie ma to żadnego sensu. Skrypt miał komendy adresujące dysk zewnętrzny i uruchomienie go przy braku obecności dysku jest również bezsensowne. Skutki:

 

File\Folder H:\RECYCLER not found.
File\Folder H:\*.lnk not found.
Nie można odnaleźć ścieżki - H:\.

 

Oczywiście na dysku zewnętrznym wg podanego tu raportu z USBFix nadal bez zmian (skróty LNK + ukryte katalogi). Powtórka zadania (przy podpiętym dysku), czyli skrypt dopasowany do zmian tu już wykonanych, adresujący też widziane przez AD-Remover odpadki po adware:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
H:\RECYCLER
H:\*.lnk
attrib /d /s -s -h H:\* /C
C:\Users\Piotr\AppData\LocalLow\AskToolbar
C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\xuhefz41.default\searchplugins\MyStart Search.xml
 
:OTL
FF - prefs.js..browser.search.defaultenginename: "MyStart Search"
FF - prefs.js..browser.search.selectedEngine: "MyStart Search"
FF - prefs.js..browser.startup.homepage: "http://mystart.incredimail.com/mb59?u=92259949699575635"
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{2C635B05-1B48-4FB9-AAB4-A3B303BF5526}"=-
"{531D999A-0F69-4AD3-A585-592719728A3E}"=-
"TCP Query User{AB91C653-9EEF-4036-99A0-E47D5F0AEF1C}C:\windows\system32\winn\winn.exe"=-
[-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine]
[-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2878731]
[-HKEY_LOCAL_MACHINE\Software\Conduit]
[-HKEY_CURRENT_USER\Software\AppDataLow\Software\AskToolbar]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Przedstaw do oceny: wyniki przetwarzania skryptu oraz nowy log z USBFix z opcji Listing. Nie potrzebuję już nowych logów z OTL i GMER.

 

 

Co do zmian jakie zauważyłem to pojawiły się "niewidoczne kopie" niektórych plików z nazwą poprzedzoną ~$.

 

[19/10/2011 - 00:32:40 | A | 26624] 	H:\lista studentow 2000.doc
[19/10/2011 - 00:32:40 | AH | 162] 	H:\~$sta studentow 2000.doc

 

Te ukryte pliki z dolarem ~$ to są tymczasowe kopie dokumentów Office. Opis w KB211632, dokładniej ustęp:

 

Owner File (Same Directory as Source File)

When a previously saved file is opened for editing, for printing, or for review, Word creates a temporary file that has a .doc file name extension. This file name extension begins with a tilde (~) that is followed by a dollar sign ($) that is followed by the remainder of the original file name. This temporary file holds the logon name of person who opens the file. This temporary file is called the "owner file."

 

 

 

.

[kieczup]

Dzięki, dzięki... przesyłam wyniki

10202011_112106.txt

UsbFix.txt

[picasso]

Zadanie się w końcu poprawnie wykonało. Na urządzeniu katalogi figurują jako odkryte, a LNK zostały skasowane. Finiszujemy:

 

1. Uporządkuj po używanych narzędziach: odinstaluj aplikacje AD-Remover i USBFix, a w OTL uruchom funkcję Sprzątanie (skasuje kwarantannę oraz OTl z dysku).

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Zmień hasła logowania, ze względu na syndromy obecności keyloggera.

 

4. System wymaga natychmiastowej aktualizacji:

 

Windows Vista Home Basic Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)

 

Krytyczny poziom zabezpieczeń, brak tu SP2 i IE9, system jest odcięty od automatycznych aktualizacji. Obowiązkowo należy uzupełnić: INSTRUKCJE.

 

5. Podobnie z oprogramowaniem dodanym, widzianym tu w wersjach:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0E6AB9FC-76C2-431B-9C06-6C1CFFFEA8EB}" = Ad-Aware 2007
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20
"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java™ SE Runtime Environment 6
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Gadu-Gadu" = Gadu-Gadu 7.7
"KLiteCodecPack_is1" = K-Lite Codec Pack 6.2.0 (Basic)
"McAfee Security Scan" = McAfee Security Scan Plus
"Mozilla Firefox (3.6)" = Mozilla Firefox (3.6)
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mozilla Firefox (3.6.23)" = Mozilla Firefox (3.6.23)

 

- Zainstalowane oprogramowanie zabezpieczające: przy obecności Avast stare Ad-aware wyrzuć, bo jest zbędne i niepotrzebnie zamęcza tu system, pozbądź się też tego skanera McAfee (przypuszczalnie zainstalowany nieumyślnie w innej paczce np. Adobe).

- Zaktualizuj przeglądarkę, a wszystkie stare Java i produkty Adobe odinstaluj i zastąp najnowszymi wersjami. Szczegóły są podane w tym samym linku, który dałam wyżej

- Osobny wątek to przestarzałe niepełnosprawne GG7. W artykule Darmowe komunikatory są opisane alternatywy: AQQ, Kadu, WTW i Miranda.

 

 

Potwierdź wykonanie wszystkich zadań i wypowiedz się wyraźnie czy coś jeszcze wymaga naprawy.

 

 

.

[kieczup]

Zadania wykonane, wszystko działa jak należy. Wielkie dzięki jeszcze raz