Pliki na dysku zewnętrznym zapisywane jako skróty

[czornymich]

Witam!

Mam problem z dyskiem zewnętrznym (Samsung S2 Portable 250GB) podobny do tych z tematów https://www.fixitpc.pl/topic/6548-foldery-na-dysku-zewnetrznym-widoczne-jako-skroty-nie-do-otwarcia/ oraz https://www.fixitpc.pl/topic/5676-foldery-na-dysku-zewnetrznym-jako-skroty-nie-do-otwarcia/, czyli pliki zapisywały się jako skróty, których oczywiście nie mogłem otworzyć na innym komputerze. Dodatkowo, na dysku utworzyły się jakieś czarodziejskie pliki i foldery typu $RECYCLER. Kilka dni temu, właśnie po takiej sytuacji sformatowałem dysk, licząc na rozwiązanie problemu (jeśli chodzi o kwestie rozwiązywania takich problemów, to jestem kompletnie zielony). Jak się domyślacie, to nie pomogło. Wrzuciłem na dysk nowe pliki, ponieważ planuję format całego dysku i problem pojawił się na nowo (jednak na chwilę obecną nie widzę żadnych innych folderów, oprócz tych, które wrzuciłem, a istnieją w formie skrótów). Dlatego postanowiłem zwrócić się o pomoc do kogoś ogarniętego nie muszę chyba mówić, że zależy mi na plikach, które są na dysku + planuję poprzenosić jeszcze sporo GB na Samsunga przed rozpoczęciem formatowania. Dodam, że ostatnio trochę zaniedbałem swój komputer, nie okazując mu zbyt dużego zainteresowania, jeśli chodzi o ochronę przed "chorobami". A, i pracuję na Windows'ie XP Professional SP 3.

 

Przypomniało mi się, że foldery są w formie skrótów (jak już wspominałem), ale kilka plików z Worda było całkiem normalnych.

Załączam zawartość pliku checkup.txt z SecurityCheck:

 

 

Results of screen317's Security Check version 0.99.30

Windows XP Service Pack 3 x86

Internet Explorer 6 Out of date!

``````````````````````````````

Antivirus/Firewall Check:

avast! Free Antivirus

Antivirus up to date!

```````````````````````````````

Anti-malware/Other Utilities Check:

Java 6 Update 25

Java version out of date!

Adobe Flash Player 11.1.102.55

Adobe Reader X (10.1.2)

Mozilla Firefox (3.6.25) Firefox out of Date!

````````````````````````````````

Process Check:

objlist.exe by Laurent

Alwil Software Avast5 AvastSvc.exe

Alwil Software Avast5 avastUI.exe

``````````End of Log````````````

 

Oczywiście, bardzo proszę o pomoc w rozwiązaniu tego problemu.

Pozdrawiam.

OTL.Txt

Extras.Txt

UsbFix.txt

[picasso]

Temat założyłeś w dziale sprzętowym Hardware. Przenoszę do działu diagnostyki infekcji. Zabrakło obowiązkowego loga z GMER, a system nie został przygotowany do jego uruchomienia:

 

DRV - [2010-10-24 20:49:33 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

Działa sterownik SPTD od emulatora napędów wirtualnych, który musi zostać usunięty przed uruchomieniem GMER: KLIK.

 

 

Wrzuciłem na dysk nowe pliki, ponieważ planuję format całego dysku i problem pojawił się na nowo (jednak na chwilę obecną nie widzę żadnych innych folderów, oprócz tych, które wrzuciłem, a istnieją w formie skrótów).

 

Jest zainfekowany zarówno system (procesy podrabiające "Firefox" / "nVidia" / "Microsoft Security Essentials" / "Intel" ...) jak i urządzenie, dlatego też usuwanie tylko z urządzenia jest nieskuteczne i proces przerabiania na skróty w toku. Skróty na urządzeniu to nie są foldery i nie należy ich klikać, bo infekcja się automatycznie wykonuje. Właściwe foldery na urządzeniu są, tylko zostały ukryte i by je widzieć należy mieć odznaczoną opcję "Ukryj chronione pliki systemu operacyjnego".

 

Są tu również znaki aktywności keyloggera, prawdopodobnie pochodna któregoś bota.

 

 

 

---

Przechodzimy do usuwania, urządzenie należy mieć podpięte w trakcie operacji:

 

1. Etap wstępny, czyli usunięcie wpisów startowych infekcji i rekonfiguracja atrybutów folderów na urządzeniu. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKLM..\Run: [Mozilla Firefox Check 8.0.1] C:\Documents and Settings\All Users\tvdnawnsvchost.exe ()
O4 - HKLM..\Run: [updates] C:\Documents and Settings\Michu\Dane aplikacji\System\Updates.exe (UOgQmWgmiuMaijs)
O4 - HKU\S-1-5-21-507921405-1614895754-1801674531-1003..\Run: [FirefoxUpdate] C:\Documents and Settings\Michu\Dane aplikacji\FirefoxUp\Firefox (Mozilla Corporation)
O4 - HKU\S-1-5-21-507921405-1614895754-1801674531-1003..\Run: [Microsoft Essentials] C:\Documents and Settings\Michu\Ustawienia lokalne\Temp\MsMpEng.exe ()
O4 - HKU\S-1-5-21-507921405-1614895754-1801674531-1003..\Run: [Microsoft® Windows® Operating System] C:\Documents and Settings\Michu\Ustawienia lokalne\Temp\System\nvxdsinc.exe (NVIDIA Corporation)
O4 - HKU\S-1-5-21-507921405-1614895754-1801674531-1003..\Run: [updates] C:\Documents and Settings\Michu\Dane aplikacji\System\Updates.exe (UOgQmWgmiuMaijs)
O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\Michu\Dane aplikacji\Svcdate\Svcd.exe) -C:\Documents and Settings\Michu\Dane aplikacji\Svcdate\Svcd.exe (Edtkj)
O3 - HKU\S-1-5-21-507921405-1614895754-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
 
:Files
RECYCLER /alldrives
C:\Documents and Settings\All Users\*.exe
C:\Documents and Settings\Michu\Dane aplikacji\Microsoft\*.exe
C:\Documents and Settings\Michu\Dane aplikacji\*.exe
C:\Documents and Settings\Michu\Dane aplikacji\*.dat
C:\Documents and Settings\Michu\Dane aplikacji\cag3's Bot
C:\Documents and Settings\Michu\Dane aplikacji\chrtmp
C:\Documents and Settings\Michu\Dane aplikacji\hugy
C:\Documents and Settings\Michu\Dane aplikacji\pixels
C:\Documents and Settings\Michu\Dane aplikacji\FirefoxUp
C:\Documents and Settings\Michu\Dane aplikacji\Intel Cap
C:\Documents and Settings\Michu\Dane aplikacji\Sun Microsystems
C:\Documents and Settings\Michu\Dane aplikacji\Svcdate
C:\Documents and Settings\Michu\Dane aplikacji\System
C:\Documents and Settings\Michu\Dane aplikacji\tip
C:\Documents and Settings\Michu\Dane aplikacji\trixlog
C:\Documents and Settings\Michu\Dane aplikacji\Mozilla\Firefox\Profiles\oddmpje4.default\searchplugins\startsear.xml
C:\Documents and Settings\Michu\Dane aplikacji\Mozilla\Firefox\Profiles\oddmpje4.default\searchplugins\web-search.xml
H:\*.lnk
attrib /d /s -s -h H:\* /C
netsh firewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Odinstaluj śmieci sponsoringowe / wątpliwe wtyczki: Babylon Toolbar + vShare (zgwałciło ustawienia przeglądarek za pomocą startsear.ch) + FoxTab Converter (skaner MBAM klasyfikuje jako adware).

• W Firefox otwórz menedżer rozszerzeń i usuń rozszerzenia Babylon + vShare. Przekonfiguruj stronę startową na własną oraz w zarządzaniu wyszukiwarkami przestaw domyślną na Google, zaś usuń Babylon.
  
• W Google Chrome w zarządzaniu wyszukiwarkami zmień domyślną wyszukiwarkę z "Web Search" na np. Google, następnie wyszukiwarkę usuń. W menedżerze wtyczek wyłącz vShare.
  
• Na koniec przejdź do Panelu sterowania i odinstaluj te trzy programy.
  

3. Zestaw logów do oceny: zaległy GMER + nowy log z OTL z opcji Skanuj (Extras po raz drugi już nie potrzebuję) + USBFix z opcji Listing + AD-Remover z opcji Scan. Dołącz też log z wynikami usuwania pozyskany w punkcie 1.

 

 

 

 

.

[czornymich]

GMER'a zapomniałem w pośpiechu dołączyć. Ale ok, zrobiłem wszystko tak, jak zostało powiedziane. Mam tylko nadzieję, że dobrze. Jednak miałem problem z tym Ad-remover'em, ponieważ po kliknięciu w stronę domową pokazał się komunikat:

 

"Not Found

The requested URL /too/AD-R.exe was not found on this server.", a przy mirrorze wywala komunikat: "Nie można odnaleźć serwera".

 

Nie chcę pobierać tego z jakiegoś nieznanego źródła, dlatego mówię o tym problemie. W załącznikach wszystko, co udało mi się zrobić.

 

A tutaj log z OTL z tego pierwszego punktu, który miałem wykonać:

 

 

All processes killed

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Mozilla Firefox Check 8.0.1 not found.

File C:\Documents and Settings\All Users\tvdnawnsvchost.exe not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Updates not found.

File C:\Documents and Settings\Michu\Dane aplikacji\System\Updates.exe not found.

Registry value HKEY_USERS\S-1-5-21-507921405-1614895754-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Run\\FirefoxUpdate not found.

File C:\Documents and Settings\Michu\Dane aplikacji\FirefoxUp\Firefox not found.

Registry value HKEY_USERS\S-1-5-21-507921405-1614895754-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Run\\Microsoft Essentials not found.

File C:\Documents and Settings\Michu\Ustawienia lokalne\Temp\MsMpEng.exe not found.

Registry value HKEY_USERS\S-1-5-21-507921405-1614895754-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Run\\Microsoft® Windows® Operating System not found.

File C:\Documents and Settings\Michu\Ustawienia lokalne\Temp\System\nvxdsinc.exe not found.

Registry value HKEY_USERS\S-1-5-21-507921405-1614895754-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Run\\Updates not found.

File C:\Documents and Settings\Michu\Dane aplikacji\System\Updates.exe not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Documents and Settings\Michu\Dane aplikacji\Svcdate\Svcd.exe deleted successfully.

File \Documents and Settings\Michu\Dane aplikacji\Svcdate\Svcd.exe) -C:\Documents and Settings\Michu\Dane aplikacji\Svcdate\Svcd.exe not found.

Registry value HKEY_USERS\S-1-5-21-507921405-1614895754-1801674531-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{32099AAC-C132-4136-9E9A-4E364A424E17} not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}\ not found.

Starting removal of ActiveX control {31435657-9980-0010-8000-00AA00389B71}

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{31435657-9980-0010-8000-00AA00389B71}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31435657-9980-0010-8000-00AA00389B71}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{31435657-9980-0010-8000-00AA00389B71}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31435657-9980-0010-8000-00AA00389B71}\ not found.

========== FILES ==========

RECYCLER not found in C:\

RECYCLER not found in D:\

H:\RECYCLER folder moved successfully.

File\Folder C:\Documents and Settings\All Users\*.exe not found.

File\Folder C:\Documents and Settings\Michu\Dane aplikacji\Microsoft\*.exe not found.

C:\Documents and Settings\Michu\Dane aplikacji\iBotforcage.exe moved successfully.

C:\Documents and Settings\Michu\Dane aplikacji\data.dat moved successfully.

C:\Documents and Settings\Michu\Dane aplikacji\logs.dat moved successfully.

File\Folder C:\Documents and Settings\Michu\Dane aplikacji\cag3's Bot not found.

File\Folder C:\Documents and Settings\Michu\Dane aplikacji\chrtmp not found.

File\Folder C:\Documents and Settings\Michu\Dane aplikacji\hugy not found.

File\Folder C:\Documents and Settings\Michu\Dane aplikacji\pixels not found.

File\Folder C:\Documents and Settings\Michu\Dane aplikacji\FirefoxUp not found.

File\Folder C:\Documents and Settings\Michu\Dane aplikacji\Intel Cap not found.

File\Folder C:\Documents and Settings\Michu\Dane aplikacji\Sun Microsystems not found.

File\Folder C:\Documents and Settings\Michu\Dane aplikacji\Svcdate not found.

File\Folder C:\Documents and Settings\Michu\Dane aplikacji\System not found.

File\Folder C:\Documents and Settings\Michu\Dane aplikacji\tip not found.

File\Folder C:\Documents and Settings\Michu\Dane aplikacji\trixlog not found.

File\Folder C:\Documents and Settings\Michu\Dane aplikacji\Mozilla\Firefox\Profiles\oddmpje4.default\searchplugins\startsear.xml not found.

File\Folder C:\Documents and Settings\Michu\Dane aplikacji\Mozilla\Firefox\Profiles\oddmpje4.default\searchplugins\web-search.xml not found.

H:\Filmy.lnk moved successfully.

H:\LFDD.lnk moved successfully.

H:\Michał.lnk moved successfully.

H:\System Volume Information.lnk moved successfully.

H:\Top Gear 17.lnk moved successfully.

H:\WWE - videos.lnk moved successfully.

< attrib /d /s -s -h H:\* /C >

Odmowa dost©pu - H:\System Volume Information

C:\Documents and Settings\Michu\Pulpit\cmd.bat deleted successfully.

C:\Documents and Settings\Michu\Pulpit\cmd.txt deleted successfully.

< netsh firewall reset /C >

Ok.

C:\Documents and Settings\Michu\Pulpit\cmd.bat deleted successfully.

C:\Documents and Settings\Michu\Pulpit\cmd.txt deleted successfully.

========== REGISTRY ==========

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully!

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully!

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Michu

->Temp folder emptied: 257 bytes

->Temporary Internet Files folder emptied: 12239555 bytes

->Java cache emptied: 2642562 bytes

->FireFox cache emptied: 100918934 bytes

->Google Chrome cache emptied: 192990821 bytes

->Opera cache emptied: 14015148 bytes

->Flash cache emptied: 3238859 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 2067754 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 2507670 bytes

%systemroot%\System32 .tmp files removed: 2418796 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 32650424 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 349,00 mb

 

 

OTL by OldTimer - Version 3.2.31.0 log created on 01172012_220305

 

Files\Folders moved on Reboot...

File\Folder C:\WINDOWS\temp\_avast5_\Webshlock.txt not found!

File\Folder C:\WINDOWS\temp\Perflib_Perfdata_bcc.dat not found!

 

Registry entries deleted on Reboot...

Proszę o dalsze polecenia

OTL.Txt

regm.txt

UsbFix.txt

[picasso]

Jednak miałem problem z tym Ad-remover'em (...) przy mirrorze wywala komunikat: "Nie można odnaleźć serwera".

 

U mnie z Mirrora się pobiera. Prawdopodobnie to infekcja blokuje serwer. Na razie odpuszczam AD-Remover. Potem doń wrócimy.

 

 

A tutaj log z OTL z tego pierwszego punktu, który miałem wykonać

 

Czy Ty przypadkiem nie uruchamiałeś skryptu więcej niż raz? Większość obiektów (które ewidentnie były w systemie) jest "not found".

 

Infekcja się odtwarza, są już nowe wpisy podróbkowe "Mozilla" w starcie, ponadto konsekwentnie wraca plik logs.dat związany z aktywnością loggera danych (tu musi być uruchamiany jakiś zaprawiony bot, który jest trojanem). GMER był bardzo istotny. W systemie jest ukryta infekcja rootkit, świadczą o tym czynności hookujące oraz obecność tego oto ukrytego wpisu startowego:

 

---- Registry - GMER 1.0.15 ----
 
Reg             HKCU\Software\Microsoft\Windows\CurrentVersion\Run@Gdryre             C:\Documents and Settings\Michu\Dane aplikacji\Gdryre.exe
 
---- Files - GMER 1.0.15 ----
 
File            C:\Documents and Settings\Michu\Dane aplikacji\Gdryre.exe             262144 bytes executable

 

Należy wyciągnąć mocniejszą artylerię. Pobierz i uruchom zgodnie ze wskazówkami ComboFix. Przedstaw raport z jego działania.

 

 

 

.

Edytowane 18 Lutego 2012 przez picasso
18.02.2012 - Tematu nie zamykam, zgodnie z tym co powiedziane na PW czekam na wykonanie zadania. //picasso

[czornymich]

Ok, zrobię to dzisiaj wieczorem. Po pracy i po zajęciach i wtedy umieszczę wyniki.

 

Zrobione, proszę. I nie krzycz, jeśli zrobiłem coś źle.

 

ComboFix.txt

Edytowane 21 Lutego 2012 przez picasso
Posty połączone. //picasso

[picasso]

Miesiąc temu GMER pokazywał ukryty obiekt Gdryre.exe. Aktualnie ComboFix owszem skasował spory zestaw, ale nie ma wśród niego tego delikwenta, oznaczył wpis startowy jako pusty. Są niestety nowe formy infekcyjne. Kolejne instrukcje do wykonania:

 

1. Otwórz Notatnik i wklej w nim:

 

File::
c:\documents and settings\Michu\Dane aplikacji\NPZAOETDVN.exe
 
Folder::
c:\documents and settings\Michu\Dane aplikacji\WinSystem
 
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CEFDD5B2-F808-B0F0-A86D-137DC3FF1EB2}]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\windows\system32\exHelper.exe"=-
"c:\\Documents and Settings\\Michu\\Dane aplikacji\\NPZAOETDVN.exe"=-
 
Firefox::
FF - ProfilePath - c:\documents and settings\Michu\Dane aplikacji\Mozilla\Firefox\Profiles\oddmpje4.default\
FF - prefs.js: keyword.URL - hxxp://search.babylon.com/?AF=100482&babsrc=adbartrp&mntrId=182bb79c000000000000001de0cbc697&q=
FF - user.js: extensions.BabylonToolbar_i.id - 182bb79c000000000000001de0cbc697
FF - user.js: extensions.BabylonToolbar_i.hardId - 182bb79c000000000000001de0cbc697
FF - user.js: extensions.BabylonToolbar_i.instlDay - 15352
FF - user.js: extensions.BabylonToolbar_i.vrsn - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsni - 1.5.3.17
FF - user.js: extensions.BabylonToolbar_i.vrsnTs - 1.5.3.1715:25
FF - user.js: extensions.BabylonToolbar_i.prtnrId - babylon
FF - user.js: extensions.BabylonToolbar_i.prdct - BabylonToolbar
FF - user.js: extensions.BabylonToolbar_i.aflt - babsst
FF - user.js: extensions.BabylonToolbar_i.smplGrp - none
FF - user.js: extensions.BabylonToolbar_i.tlbrId - tb9
FF - user.js: extensions.BabylonToolbar_i.newTab - false
FF - user.js: extensions.BabylonToolbar_i.babTrack - affID=100482
FF - user.js: extensions.BabylonToolbar_i.babExt - 
FF - user.js: extensions.BabylonToolbar_i.srcExt - ss
FF - user.js: extensions.BabylonToolbar_i.instlRef - sst

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

 

2. Przedstaw raport z pracy ComboFix oraz nowe logi z OTL (nie zapomnij przestawić opcji "Rejestr - skan dodatkowy" na "Użyj filtrowania", by pozyskać log Extras) + GMER + AdwCleaner z opcji Search.

 

 

 

 

.

[czornymich]

Zrobione, załączam logi.

 

PS. Tak mi się przypomniało, że zrobiłem te wszystkie kroki bez podpiętego dysku zewnętrznego. Mam to zrobić raz jeszcze czy nim zajmiemy się później?

OTL.Txt

Extras.Txt

remg.txt

AdwCleanerR1.txt

ComboFix.txt

[picasso]

Sytuacja przedstawia się następująco: ciągle ujawniają się jakieś nowe elementy ...

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: svchost = C:\Documents and Settings\Michu\Dane aplikacji\svchost.exe
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: Windows Live = C:\Documents and Settings\Michu\Dane aplikacji\CQCN15BHG6.exe
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: Windows Defender = C:\Documents and Settings\Michu\Dane aplikacji\NPZAOETDVN.exe
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: 47004 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmn.com
 
:Files
netsh firewall reset /C
C:\Documents and Settings\Michu\Dane aplikacji\*.*
C:\Documents and Settings\Michu\Dane aplikacji\usbrat
C:\Documents and Settings\Michu\Dane aplikacji\Rytoke
C:\Documents and Settings\Michu\Dane aplikacji\log
C:\Documents and Settings\Michu\Dane aplikacji\Gadiyoo
C:\Documents and Settings\Michu\Dane aplikacji\trixlog
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany. Zachowaj log z wynikami usuwania.

 

2. Uruchom AdwCleaner z opcją Delete.

 

3. Otwórz Google Chrome, wejdź do Opcji i w menedżerze wyszukiwarek zmień domyślną wyszukiwarkę z "Search the web (Babylon)" na np. Google, zaś babylon usuń.

 

4. Zrób nowy log z OTL opcją Skanuj oraz AdwCleaner z opcji Search. Dorzuć log z wynikami usuwania z punktu 1.

 

 

 

PS. Tak mi się przypomniało, że zrobiłem te wszystkie kroki bez podpiętego dysku zewnętrznego. Mam to zrobić raz jeszcze czy nim zajmiemy się później?

 

Nic o tym nie mówiłam. Dysk zewnętrzny, jeśli wymaga ponownego sprawdzenia, to będzie sprawdzany po raz drugi potem.

 

 

 

 

.

[czornymich]

Log z OTL z punktu pierwszego:

 

 

All processes killed

========== OTL ==========

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\\svchost deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\\Windows Live deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\\Windows Defender deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\\47004 deleted successfully.

========== FILES ==========

< netsh firewall reset /C >

Ok.

C:\Documents and Settings\Michu\Pulpit\Programy\cmd.bat deleted successfully.

C:\Documents and Settings\Michu\Pulpit\Programy\cmd.txt deleted successfully.

C:\Documents and Settings\Michu\Dane aplikacji\desktop.ini moved successfully.

C:\Documents and Settings\Michu\Dane aplikacji\Gadiyoo moved successfully.

C:\Documents and Settings\Michu\Dane aplikacji\log moved successfully.

C:\Documents and Settings\Michu\Dane aplikacji\Rytoke moved successfully.

C:\Documents and Settings\Michu\Dane aplikacji\trixlog moved successfully.

C:\Documents and Settings\Michu\Dane aplikacji\usb.exe moved successfully.

C:\Documents and Settings\Michu\Dane aplikacji\usbrat moved successfully.

C:\Documents and Settings\Michu\Dane aplikacji\Victim moved successfully.

File\Folder C:\Documents and Settings\Michu\Dane aplikacji\usbrat not found.

File\Folder C:\Documents and Settings\Michu\Dane aplikacji\Rytoke not found.

File\Folder C:\Documents and Settings\Michu\Dane aplikacji\log not found.

File\Folder C:\Documents and Settings\Michu\Dane aplikacji\Gadiyoo not found.

File\Folder C:\Documents and Settings\Michu\Dane aplikacji\trixlog not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 32902 bytes

 

User: Michu

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 244939 bytes

->Java cache emptied: 1421922 bytes

->FireFox cache emptied: 104959944 bytes

->Google Chrome cache emptied: 84036234 bytes

->Opera cache emptied: 32494387 bytes

->Flash cache emptied: 12991 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 49219 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 16823 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 213,00 mb

 

 

OTL by OldTimer - Version 3.2.31.0 log created on 02212012_231246

 

Files\Folders moved on Reboot...

C:\WINDOWS\temp\Perflib_Perfdata_e48.dat moved successfully.

 

Registry entries deleted on Reboot...

reszta w załącznikach.

AdwCleanerR2.txt

AdwCleanerS1.txt

OTL.Txt

[picasso]

Omyłkowo dałam zbyt obszerny warunek (zamiast *.exe to *.*) i przypadkowo został skasowany plik C:\Documents and Settings\Michu\Dane aplikacji\desktop.ini. Wejdź do katalogu C:\_OTL i wygrzeb ten plik, wstaw go na miejsce. Natomiast wygląda na to, że system został wyczyszczony na tyle, że w raportach nic się nie ujawnia. Przechodzimy dalej:

 

1. Odinstaluj w prawidłowy sposób ComboFix, w Start > Uruchom > wklej komendę:

 

"C:\Documents and Settings\Michu\Pulpit\ComboFix.exe" /uninstall

 

Po tym możesz użyć także Sprzątanie w OTL oraz odinstalować AdwCleaner.

 

2. Przeskanuj system za pomocą Kaspersky Virus Removal Tool + Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw logi z narzędzi. Jeżeli nic nie zostanie znalezione, logi zbędne.

 

 

 

.

[czornymich]

Zrobione, ale niestety skanowanie wykazało jakieś problemy. Załączam logi.

 

Tego z Kaspersky'ego nie mogłem załączyć do posta, bo okazał się zbyt duży. Wklejam link: http://wyslijto.pl/f...load/lqdxy92u79

 

nie wiem czy tak można, ale jeśli będzie trzeba zrobić to inaczej, to proszę o info.

 

Skleroza nie boli: mam problem z AdwCleaner'em - otóż nie mogę go odinstalować, klikam w 'Uninstall', program pyta czy na pewno i po kliknięciu na 'Yes', wyłącza się okienko, a program cały czas jest na komputerze.

mbam-log-2012-02-22 (18-16-50).txt

[picasso]

Zrobione, ale niestety skanowanie wykazało jakieś problemy. Załączam logi.

 

Istotnie. W MBAM/Kasperskym usuń co wykryły i ponów skan, by się upewnić że trojany nie wracają.

 

 

Tego z Kaspersky'ego nie mogłem załączyć do posta, bo okazał się zbyt duży.

 

Prosiłam tylko o wyniki infekcyjne a nie cały log ze wszystkimi rekordami. Z tego co widzę to tam były ledwie dwa, przy czym pierwszy krzyżuje się z tym co namierzył MBAM.

 

Detected: Trojan.Win32.VBKrypt.jbqd	C:\Documents and Settings\All Users\Local Settings\Temp\msdubmnax.exe/UPX
Detected: Trojan.Win32.VBKrypt.ixha	C:\Program Files\aviras\avira.exe

 

 

mam problem z AdwCleaner'em - otóż nie mogę go odinstalować, klikam w 'Uninstall', program pyta czy na pewno i po kliknięciu na 'Yes', wyłącza się okienko, a program cały czas jest na komputerze.

 

Po prostu go skasuj z dysku ręcznie, narzędzie jako takie oraz jego logi utworzone na dysku C.

 

 

 

.

[czornymich]

Wygląda na to, że jest czysto.

Ale nadal pozostaje kwestia tego dysku zewnętrznego i plików w formie skrótów.

[picasso]

Ale nadal pozostaje kwestia tego dysku zewnętrznego i plików w formie skrótów.

 

1. Upewnij się, że masz zainstalowaną łatkę KB2286198.

 

2. Podepnij dysk przenośny, nie wchodź na niego, zrób log z USBFix z opcji Listing.

 

 

 

.

 

 

[czornymich]

Zrobione, proszę.

UsbFix.txt

[picasso]

1. Otwórz Notatnik i wklej w nim:

 

rd /s /q C:\RECYCLER
rd /s /q D:\RECYCLER
rd /s /q H:\RECYCLER
del /q H:\*.lnk
attrib /d /s -s -h H:\*
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik

 

2. Wygeneruj nowy log z USBFix z opcji Listing.

 

 

.

[czornymich]

Zrobione.

UsbFix.txt

[picasso]

Dysk został wyczyszczony. Dla pewności przeskanuj go jeszcze antywirusem, gdyż log z USBFix przedstawia tylko root dysku a nie zawartość katalogów, a i nawet na podstawie pełnej listy nie można zdefiniować czy jakiś plik nie jest aby przypadkiem zarażony. Na koniec odinstaluj USBFix, wyczyść foldery Przywracania systemu (KLIK) oraz upewnij się, że masz wszystkie aktualizacje Windows oraz programy w najnowszych wersjach (KLIK).

 

Podsumuj sprawę. Daj sygnał do zamknięcia tematu w przypadku braku problemów.

 

.

[czornymich]

Przeskanowałem dysk i znalazło trochę 'zanieczyszczeń' niestety...

dysk2.txt

[picasso]

Wszystko to wyniki z System Volume Information, czyli katalogu Przywracania systemu. Nie ma to zasadniczego znaczenia, a i tak podałam instrukcje ogólnego czyszczenia folderów Przywracania systemu. Widzę tu tylko "Detected" ale brak adnotacji o usunięciu. Czy skaner nie jest zdolny tego przeprowadzić?

 

 

 

.

[czornymich]

Ok, zrobiłem tak, jak mówiłaś i jeszcze raz przeskanowałem dysk i nic już nie wykryło. Czyli moje problemy można uznać za rozwiązane?

 

Mam jeszcze pytanie - czy mogłabyś polecić mi jak najlepiej zabezpieczyć komputer przed podobnymi historiami? Przyznaję, że go zaniedbałem i dlatego prosiłbym jeszcze o pomoc specjalisty

[picasso]

Czyli moje problemy można uznać za rozwiązane?

 

Tak jak mówiłam: w raportach nie widzę już problemów, skanowanie potwierdzające było wykonane. To ja zadaję pytanie: czy są widoczne jakieś problemy?

 

 

Mam jeszcze pytanie - czy mogłabyś polecić mi jak najlepiej zabezpieczyć komputer przed podobnymi historiami? Przyznaję, że go zaniedbałem

 

1. Od strony systemu oczywistości: wszystkie aktualizacje Windows Update od A do Z oraz baczenie i na aktualizacje wszelkich wtyczkowań przeglądarki i innych aplikacji. Notuję tu starszego Avasta. Odinstaluj go i zainstaluj najnowszą wersję Avast 7. Dorzuć i pełnowartościową zaporę, z darmowych propozycji np. COMODO Firewall | Online Armor. Przy czym, Avast replikuje w osłonach pewne funkcje zapory i HIPS, należałoby zdeaktywować niektóre składniki, by za dużo nie było.

 

2. Od strony urządzenia USB: Podczepienie się infekcji z cudzego komputera bardzo prawdopodobne. Nie ma sposobu, by zabezpieczyć urządzenie przed zapisem na nim infekcji LNK, przy założeniu, że urządzenie nie ma zablokowanego zapisu i "chodzi" po cudzych komputerach. Natomiast urządzenie można przynajmniej zabezpieczyć przed przeobrażeniem w siedlisko infekcji autorun.inf, stosując opcję USB Vaccination w Panda USB Vaccine (generuje zablokowany falsyfikat autorun.inf na dysku zapobiegający tworzeniu pliku infekcji o takiej nazwie). Przy okazji możesz i zimmunizować system jako taki drugą opcją Computer Vaccination.

 

 

 

.

[czornymich]

Skanowałem wszystko kolejny raz tak dla pewności i jest czysto, żadnego zagrożenia nie wykryto

Bardzo dziękuję Ci za pomoc. Nie wiem jak mogę się odwdzięczyć? Bardzo, bardzo, bardzo dziękuję!