Problem z pendrivem - zamiana folderów w skróty

[Dominikeh]

Witam,

mam następujący problem - na moim pendrive, z nieznanych mi przyczyn, doszło do zamiany folderów w skróty.

Prosiłem o pomoc na forum.cdaction.pl. (http://forum.cdactio...1), ale zostałem przekierowany tutaj.

 

Sytuacja przedstawia się następująco (jest to niestety pogmatwane):

 

- pendrive podłączyłem do komputera A; zauważyłem podmianę folderów na nieznane skróty; kilka miesięcy wcześniej zabezpieczyłem pendrive Flash Disinfectorem; Avast! odnalazł trzy pliki i przeniósł je do kwarantanny:

 

f5399233.exe - Win32:Malware-gen - F:\RECYCLER

faebec4a.exe - Win32:VB-AAFP [Trj] - F:\RECYCLER

jwgkvsq.vmx - Win32:Rootkit-gen [Rtk] - F:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665

 

 

- teraz mam dostęp do komputera B (mam tu też podłączone External HDD), na którym też używam feralnego pendrive; powtórne skanowanie Avastem! nic nie dało; udało mi się wykonać logi z UsbFix i OTL (w załącznikach) po wcześniejszym wyłączeniu napędów emulacyjnych (DAEMON Tools, usunięte Defoggerem), niestety jakakolwiek próby odpalenia GMERa kończą się natychmiastowym restartem systemu... W związku z tym załączam logi z RootRepeal oraz SecurityCheck.

 

 

Zwracam się z prośbą o pomoc w odblokowaniu folderów z pendrive oraz usunięciu infekcji z komputerów.

Jakie logi będą jeszcze potrzebne?

Pozdrawiam, Dominikeh

OTL - 21.12.2011 (komputer B).txt

UsbFix - 21.12.2011 (komputer B).txt

Defogger_disable - 21.12.2011 (komputer B).txt

Extras - 21.12.2011 (komputer B).txt

RootRepeal - 22.12.2011 (komputer B).txt

SecurityCheck - 22.12.2011 (komputer B).txt

[Landuss]

Log z USBFix nie jest tym, o który tutaj chodzi. Prosze wykonać jeszcze raz ten log z opcji Listing oczywiście przy podpiętym pendrive. Dopiero wtedy przejdziemy do dalszych działań.

[Dominikeh]

W załączniku zamieszczam odpowiedni log.

UsbFix - 22.12.2011 (komputer B).txt

[Landuss]

1. Wklej do Notatnika taki tekst:

 

F:
del /s F:\*.lnk
attrib /d /s -s -h F:\*
RD /S /Q F:\RECYCLER
H:
del /s H:\*.lnk
attrib /d /s -s -h H:\*
RD /S /Q H:\RECYCLER
RD /S /Q H:\Recycled
RD /S /Q H:\$RECYCLE.BIN
REG DELETE "HKCU\software\microsoft\windows\currentversion\explorer\mountpoints2\{78db02ca-f409-11df-bbcf-001485361ff2}" /f
pause

 

Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik

 

2. Do obejrzenia dajesz nowy log z USBFix z tej samej opcji co poprzednio przy podpiętych pendrivach.

[Dominikeh]

W załączniku log z UsbFix po wykonaniu pliku FIX.BAT.

UsbFix - 22.12.2011_2 (komputer B).txt

[Landuss]

Zadanie wygląda na wykonane prawidłowo, teraz pytanie czy problem ustąpił? Jeśli tak to przejdziemy do działań końcowych

[Dominikeh]

Teraz wygląda to tak, że nie ma ani skrótów, ani folderów - jedynie posiadany przeze mnie wcześniej plik .doc oraz utworzony przez Flash Disinfectora folder autorun.inf. ....

[Landuss]

A powtórz fix bat o takiej zawartości:

 

F:
attrib /d /s -s -h F:\*
H:
attrib /d /s -s -h H:\*
pause

 

Zobacz efekty.

[Dominikeh]

Wyskakuje coś takiego:

 

C:\>F:

 

F:\>attrib /d /s -s -h F:\*

Nie można zmienić atrybutu - F:\autorun.inf\lpt3.This folder was created by Flash_Disinfector

 

F:\>H:

H:\>attrib /d /s -s -h H:\*

Nie można zmienić atrybutu - H:\autorun.inf\lpt3.This folder was created by Flash_Disinfector

 

H:\>pause

 

 

Foldery wróciły

[Landuss]

To co wyskakuje to normalna sprawa w wypadku folderu utworzonego przez Flasha. Teraz wykonaj poniższe czynności:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Koniecznie zaktualizuj system do SP3 (w tym momencie jesteś odcięty od aktualizacji MS), oraz pozostałe programy:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

 

"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 22

"{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.0

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Mozilla Firefox (3.6.12)" = Mozilla Firefox (3.6.12)

 

Szczegóły aktualizacyjne: KLIK

 

3. Opróżnij folder przywracania systemu: KLIK

[Dominikeh]

Niestety, Windows nie chce zainstalować SP3 - dostaję taki komunikat:

 

Reszta przebiegła bez problemów.

Mam jeszcze takie pytania:

 

- na pendrive oraz External HDD pojawiły się takie foldery:

F: - RECYCLER

H: - $RECYCLE.BIN

- Recycled

- RECYCLER

- System Volume Information

- autorun.in_2.org

co mogę z nimi zrobić? poukrywać?

 

- co z drugim komputerem? też dostarczyć logi? jakie?

[Landuss]

Co do komunikatu z błędem zobacz tutaj: KLIK

 

- na pendrive oraz External HDD pojawiły się takie foldery:

F: - RECYCLER

H: - $RECYCLE.BIN

- Recycled

- RECYCLER

- System Volume Information

- autorun.in_2.org

co mogę z nimi zrobić? poukrywać?

 

Plik autorun od początku widziałem i nie wiem co o nim myśleć. Otwórz go w notatniku i przeklej tu jego zawartość, zaś resztę plików po prostu zostaw w spokoju. One zawsze były tylko przestawiły ci się opcje widoku.

 

co z drugim komputerem? też dostarczyć logi? jakie?

 

Nie trzeba. To nie była infekcja na dysku komputera tylko na dysku wymiennym.

[Dominikeh]

Czy te inne foldery mogę poukrywać, zmieniając ich atrybuty we właściwościach?

 

Oto zawartość pliku autorun.in_2.org:

[autorun]

open=WDSetup.exe

ICON=AUTORUN\WDLOGO.ICO

[Landuss]

Plik autorun jest prawidłowy i nie będziemy go ruszać. A pliki możesz poukrywać jeśli ci przeszkadzają.

[Dominikeh]

SP3 zainstalowany pomyślnie

Czy mogę zmienić w atrybutach status tych folderów na "ukryte"?

 

Oto zawartość pliku autorun.in_2.org:

[autorun]

open=WDSetup.exe

ICON=AUTORUN\WDLOGO.ICO

Edytowane 23 Grudnia 2011 przez Landuss
Możesz, temat zamykam