Po usunięciu trojana pozostały tylko skróty

ceziu · 23 Stycznia 2012

Witam.

Trafiłem na forum z problemem podobnym do zamkniętego już tematu http://www.fixitpc.p...roty-katalogow/. Po usunięciu trojana pozostały tylko skróty do plików, choć fizycznie pliki zajmują pendrive. W tamtym temacie problem udało się rozwiązać dzięki "picasso", więc cichutko liczę, że i mnie pomoże. Z góry dziękuję i czekam.

Pozdrawiam.

picasso · 23 Stycznia 2012

Skróty to tylko widzialna część, prawdziwe obiekty są na dysku nadal. Otrzymały atrybut "Systemowy ukryty" (HS), są widzialne tylko gdy w opcjach Widoku zostanie odznaczona opcja Ukryj chronione pliki systemu operacyjnego.

Dostosuj się do zasad działu (KLIK), podając obowiązkowe logi. Dodatkowo, dołącz log z USBFix z opcji Listing.

.

ceziu · 23 Stycznia 2012

Przepraszam za mój pierwszy post. Zamieszczam brakujące logi.

picasso · 24 Stycznia 2012

Z poziomu systemu nie widzę infekcji w stanie czynnym, aczkolwiek siedzą podejrzane ukryte pliki o wadze 16 bajtów i losowych nazwach (choć ich czas powstania zezębnia się z plikami kojarzonymi jako zabezpieczenie Sentinel):

[2010/10/29 10:52:24 | 000,001,025 | ---- | C] () -- C:\windows\System32\hyqx1vu.dll

[2010/10/29 10:52:24 | 000,001,025 | ---- | C] () -- C:\windows\System32\clauth2.dll

[2010/10/29 10:52:24 | 000,001,025 | ---- | C] () -- C:\windows\System32\clauth1.dll

[2010/10/29 10:52:24 | 000,001,024 | ---- | C] () -- C:\windows\System32\grcauth2.dll

[2010/10/29 10:52:24 | 000,001,024 | ---- | C] () -- C:\windows\System32\grcauth1.dll

[2010/10/29 10:52:24 | 000,000,205 | ---- | C] () -- C:\windows\System32\jjuxt5g.dll

[2010/10/29 10:52:24 | 000,000,101 | ---- | C] () -- C:\windows\System32\prsgrc.dll

[2010/10/29 10:52:24 | 000,000,073 | ---- | C] () -- C:\windows\System32\ssprs.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\zfatp2b.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\yhdfh9b.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\yg51rnp.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\ycu9glx.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\xzcqzxr.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\xkdp0he.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\x6a6jd1.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\whrvi8j.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\we91eyj.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\wcgl2ka.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\w3jddga.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\vzyqvfh.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\vkg44zc.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\vj5ccqi.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\unk0vr0.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\ugsg9ee.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\u9nid94.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\u16iw4k.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\teict2z.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\t3oikx3.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\svgd18j.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\sm0vy36.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\sgroq5m.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\sdlshgb.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\sbwr5w6.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\rvxeh2g.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\rm61sy8.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\r3wnok3.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\r3504cn.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\r1z1qrc.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\qxifzao.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\qve7xvr.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\qppohzo.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\qpb68k8.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\qi4kmbt.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\qf47url.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\q8dghnn.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\puebqjh.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\psu07oo.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\p1gti3g.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\og2yv47.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\o68o3jr.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\ny7pthn.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\mtf8ftp.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\moicoqy.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\mbsr8x5.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\m67s30d.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\lgnkaeh.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\l6u303w.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\kv52taf.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\klu37si.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\khspd1x.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\kevl7am.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\jg3uvk8.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\j82dy4z.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\ilexiq0.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\i2u1rpp.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\hja4s58.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\gsg9rhw.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\gjzlq9s.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\gdb26uj.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\fmz6ipk.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\fhtjs5w.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\eqzz7q3.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\emh727q.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\edau9f2.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\dntbhlb.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\dicb9cc.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\dek2q0s.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\daxyr8e.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\d523tik.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\d1ucoul.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\cg8a9oj.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\btzwjoc.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\b3luwtz.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\b0oarjz.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\am3ota9.dll

[2010/10/29 10:52:24 | 000,000,016 | -H-- | C] () -- C:\windows\System32\a8c741v.dll

Wszystkie te pliki będę usuwać, w ramach prewencji. Nie jest wiadome czemu ten bełkot miał służyć.

1. Drobnostka po stronie systemu: odinstaluj śmiecia Facemoods Toolbar. Deinstalację przeprowadź w dwóch miejscach, czyli: Firefox (menedżer rozszerzeń + zarządzanie wyszukiwarkami) oraz Panel sterowania.

2. Właściwe czyszczenie urządzenia oraz śmieci w systemie. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\windows\System32\zfatp2b.dll
C:\windows\System32\yhdfh9b.dll
C:\windows\System32\yg51rnp.dll
C:\windows\System32\ycu9glx.dll
C:\windows\System32\xzcqzxr.dll
C:\windows\System32\xkdp0he.dll
C:\windows\System32\x6a6jd1.dll
C:\windows\System32\whrvi8j.dll
C:\windows\System32\we91eyj.dll
C:\windows\System32\wcgl2ka.dll
C:\windows\System32\w3jddga.dll
C:\windows\System32\vzyqvfh.dll
C:\windows\System32\vkg44zc.dll
C:\windows\System32\vj5ccqi.dll
C:\windows\System32\unk0vr0.dll
C:\windows\System32\ugsg9ee.dll
C:\windows\System32\u9nid94.dll
C:\windows\System32\u16iw4k.dll
C:\windows\System32\teict2z.dll
C:\windows\System32\t3oikx3.dll
C:\windows\System32\svgd18j.dll
C:\windows\System32\sm0vy36.dll
C:\windows\System32\sgroq5m.dll
C:\windows\System32\sdlshgb.dll
C:\windows\System32\sbwr5w6.dll
C:\windows\System32\rvxeh2g.dll
C:\windows\System32\rm61sy8.dll
C:\windows\System32\r3wnok3.dll
C:\windows\System32\r3504cn.dll
C:\windows\System32\r1z1qrc.dll
C:\windows\System32\qxifzao.dll
C:\windows\System32\qve7xvr.dll
C:\windows\System32\qppohzo.dll
C:\windows\System32\qpb68k8.dll
C:\windows\System32\qi4kmbt.dll
C:\windows\System32\qf47url.dll
C:\windows\System32\q8dghnn.dll
C:\windows\System32\puebqjh.dll
C:\windows\System32\psu07oo.dll
C:\windows\System32\p1gti3g.dll
C:\windows\System32\og2yv47.dll
C:\windows\System32\o68o3jr.dll
C:\windows\System32\ny7pthn.dll
C:\windows\System32\mtf8ftp.dll
C:\windows\System32\moicoqy.dll
C:\windows\System32\mbsr8x5.dll
C:\windows\System32\m67s30d.dll
C:\windows\System32\lgnkaeh.dll
C:\windows\System32\l6u303w.dll
C:\windows\System32\kv52taf.dll
C:\windows\System32\klu37si.dll
C:\windows\System32\khspd1x.dll
C:\windows\System32\kevl7am.dll
C:\windows\System32\jg3uvk8.dll
C:\windows\System32\j82dy4z.dll
C:\windows\System32\ilexiq0.dll
C:\windows\System32\i2u1rpp.dll
C:\windows\System32\hja4s58.dll
C:\windows\System32\gsg9rhw.dll
C:\windows\System32\gjzlq9s.dll
C:\windows\System32\gdb26uj.dll
C:\windows\System32\fmz6ipk.dll
C:\windows\System32\fhtjs5w.dll
C:\windows\System32\eqzz7q3.dll
C:\windows\System32\emh727q.dll
C:\windows\System32\edau9f2.dll
C:\windows\System32\dntbhlb.dll
C:\windows\System32\dicb9cc.dll
C:\windows\System32\dek2q0s.dll
C:\windows\System32\daxyr8e.dll
C:\windows\System32\d523tik.dll
C:\windows\System32\d1ucoul.dll
C:\windows\System32\cg8a9oj.dll
C:\windows\System32\btzwjoc.dll
C:\windows\System32\b3luwtz.dll
C:\windows\System32\b0oarjz.dll
C:\windows\System32\am3ota9.dll
C:\windows\System32\a8c741v.dll
C:\windows\System32\hyqx1vu.dll
C:\windows\System32\jjuxt5g.dll
C:\windows\System32\clauth2.dll
C:\windows\System32\clauth1.dll
C:\windows\System32\grcauth2.dll
C:\windows\System32\grcauth1.dll
C:\windows\System32\prsgrc.dll
C:\windows\System32\ssprs.dll
G:\*.lnk
rd /s /q G:\Recycler /C
attrib /d /s -s -h G:\* /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"SearchAssistant"=-

Rozpocznij przyciskiem Wykonaj skrypt. Wynikiem tego działania będzie log.

3. Do oceny: nowy log z OTL opcją Skanuj (bez Extras), nowy USBFix z opcji Listing oraz log z wynikami usuwania.

.

ceziu · 24 Stycznia 2012

Wszystko wykonane według zaleceń. Foldery i pliki widoczne jako ukryte, choć przy próbie otwarcia niektórych informacja o błędzie: plik i katalog jest uszkodzony i nieczytelny. Logi do oceny.

OTL2.Txt

UsbFix2.txt

01242012_083622.txt

picasso · 24 Stycznia 2012

ceziu co to za log z usuwania? Ten log w ogóle się nie zgadza z tym co zadałam i wygląda na to, że pochodzi z innego systemu. Za pomocą edycji wstaw Twój pasujący log z usuwania. Na temat OTL, jeszcze skasuj po Facemoods te dwa z dysku:

[2012-01-24 08:29:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Szkoła\AppData\Roaming\mozilla\Firefox\Profiles\c4n60sm5.default\extensions\ffxtlbr@Facemoods.com[2011-12-16 22:19:46 | 000,002,048 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml

Na temat USBFix - skróty zniknęły, ale komenda w cmd odkrywania katalogów się nie udała, nie mam loga z usuwania, to nie wiem co się działo.

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendy:

G:

attrib /d /s -s -h G:\*

2. Pod kątem "plik i katalog jest uszkodzony i nieczytelny": wykonaj sprawdzanie dysku dla tego urządzenia.

3. Zrób nowy log z USBFix z opcji Listing.

.

ceziu · 24 Stycznia 2012

Jeszcze raz przeprowadziłem usuwanie, ale nie mogę wysłać loga z powodu braku uprawnień. Niestety po restarcie systemu pendrive przestał być widoczny, a system woła o sformatowanie.

picasso · 24 Stycznia 2012

Jeszcze raz przeprowadziłem usuwanie, ale nie mogę wysłać loga z powodu braku uprawnień.

Mam nadzieję, że nie za pomocą skryptu podanego wcześniej! To jest skrypt jednorazowego użytku. Tu nie miał już zastosowania, przecież zmieniła się sytuacja.

Plik zaś nie chciał się załączyć, gdyż to rozszerzenie *.LOG a nie *.TXT. Do wglądu Pomoc forum oraz zasady działu = jest wyraźnie napisane jakie formaty dopuszczam w Załącznikach. Wystarczyło zmienić nazwę pliku.

Niestety po restarcie systemu pendrive przestał być widoczny, a system woła o sformatowanie.

To już nie z puli infekcji. Najpierw "plik i katalog jest uszkodzony i nieczytelny", a teraz prośba o formatowanie = wskazuje to na uszkodzenie systemu plików. Sprawdzanie urządzenia pod kątem błędów nadal aktualne.

.

ceziu · 24 Stycznia 2012

Przepraszam za pomyłki, ale jestem amatorem w dużej potrzebie. Log załączony, ale niestety sprawdzania błędów nie mogę wykonać, bo system informuje o braku dostępu. Czy można coś na to zaradzić?

picasso · 26 Stycznia 2012

Rozumiem, że na urządzeniu były cenne materiały? Znaki wskazują, że został uszkodzony system plików tego dysku. Spróbuj wyciągnąć dane z tego dysku jakimś narzędziem do odzyskiwania, np.: Partition Find and Mount (możliwe podmontowanie znalezionej partycji USB i kopiowanie z tego wirtualnego woluminu plików na dysk twardy) lub TestDisk (wyszukiwanie zagubionych partycji z możliwością ich przywrócenia). Gdyby odzysk danych się udał, sformatuj urządzenie.

.

Edytowane 29 Lutego 2012 przez picasso
29.02.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Po usunięciu trojana pozostały tylko skróty

Rekomendowane odpowiedzi

ceziu

Odnośnik do komentarza

picasso

Odnośnik do komentarza

ceziu

Odnośnik do komentarza

picasso

Odnośnik do komentarza

ceziu

Odnośnik do komentarza

picasso

Odnośnik do komentarza

ceziu

Odnośnik do komentarza

picasso

Odnośnik do komentarza

ceziu

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność