Infekcja komputera oraz pendrive i karty SD - skróty i autorun


(t-rc9@wp.pl) #1

Witam

Mam problem, zainfekowało komputer oraz pendrive i karte SD, wyświetla skróty oraz plik autorun.inf. Dodatkowy problem, że nie moge dokończyć skanowania w OTL, wyskakuje taki komunikat ''2099/1/1 12:00 is not valid date and time''. Jak mogę pozbyć się tego virusa? Mam na komputerze i tych nośnikach dość ważne pliki dla mnie. Bardzo proszę o pomoc.


(falcon89) #2

Spróbuj uruchomić OTL w trybie awaryjnym (Jak uruchomić tryb awaryjny).


(t-rc9@wp.pl) #3

Niestety w trybie awaryjnym ta sama sytuacja. Skanowanie zatrzymuje się na H:\ WINDOWS \ System \ VBRUN300.DLL...

 

Raport z UsbFix:

 

http://www.wklej.org/id/1254548/


(Acorus) #4

Podepnij pendriva i kartę.Użyj USBFix z funkcji Deletion (jeśli jakiś folder nazwałeś muza lub muzyka to zmień na inną przed użyciem USBFix.).Pokaż z niego log.

i logi z OTL.


(t-rc9@wp.pl) #5

Pliki muza lub muzyka usunąłem lub zmieniłem nazwe.

 

Oto raport z Deletion USBFix:

 

http://www.wklej.org/id/1255613/

 

Niestety logów z OTL nadal nie moge zrobić gdyż program ciągle wyświetla komunikat jak opisywałem wyżej.

 

Proszę o odpowiedź co robić dalej?


(falcon89) #6

Przenieś ten plik na inny dysk lub spakuj do archiwum (np. za pomocą 7zip) i usuń oryginał (dodatkowo przeanalizuj ten plik na https://www.virustotal.com/ ))

 

Spróbuj wykonać skanowanie w OTL.


(Acorus) #7

Przeskanuj progr.Malwarebytes Anti-Malware http://www.malwarebytes.org/products/malwarebytes_free/

Usuń wszystko i spróbuj wykonać logi z OTL.


(t-rc9@wp.pl) #8

 

Wedle zaleceń spakowałem plik do zip, a oryginał usunąłem

Przeanalizowałem na https://www.virustotal.com/ ale wyszło, że plik nie jest niebezpieczny:

https://www.virustotal.com/pl/file/eb66f71dd14b01eb3df7409b0ad73e41589046ad5bf16152f06617093f63087e/analysis/1391632192/

Po tym zabiegu skanowanie OTL poszło bez problemu

OTL - http://www.wklej.org/id/1263603/

Extras - http://www.wklej.org/id/1263613/

 

 

 

 

Przeskanowałem  Malwarebytes Anti-Malware i sporo tego wyskoczyło. Bałem się usuwać wszystko, więc podam log ze skanowania:

 

http://www.wklej.org/id/1263623/

 

Faktycznie usuwać wszystko? Niektóre pliki odrazu były zaznaczone ptaszkiem inne trzeba było zaznaczyć żeby usunąć. Wyrzucić wszystko?

 

Prosze o odpowiedź co dalej, bardzo zależy mi na tych danych i nie chce formatować systemu, ani pamięci przenośnej


(Acorus) #9

Zaznacz wszystko-Usuń zaznaczone.Pokaż nowe logi z OTL.


(t-rc9@wp.pl) #10

 

Po pełnym skanowaniu dysku i urządzeń przenośnych usunąłem wszystko co wyrzuciło. W tej chwili komputer odpala tylko w trybie awaryjnym tzn. w normalnym pokazuje się tylko obraz pulpitu bez ikon itp. Pendrive oraz karta przestała działać, przy próbie otwarcia wyskakuje komunikat ''wystąpił błąd podczas ładowania ....... Nie można odnaleźć określonego modułu''

 

Nowe logi:

OTL: http://www.wklej.org/id/1264887/

Extras: http://www.wklej.org/id/1264888/


(Acorus) #11

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- H:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5)
IE - HKU\S-1-5-21-796845957-1454471165-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://isearch.claro-search.com/?affID=115131tt=3512_8babsrc=HP_iclromntrId=00000000000000000000001fd06c5a43
O2 - BHO: (Claro LTD Helper Object) - {000F18F2-09EB-4A59-82B2-5AE4184C39C3} - H:\Program Files\Claro LTD\claro\1.6.4.1\bh\claro.dll (Montera Technologeis LTD)
O2 - BHO: (Yahoo! Companion BHO) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - H:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll (Yahoo! Inc.)
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx ()
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - H:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O3 - HKLM\..\Toolbar: (Claro LTD Toolbar) - {9E131A93-EED7-4BEB-B015-A0ADB30B5646} - H:\Program Files\Claro LTD\claro\1.6.4.1\claroTlbr.dll (Montera Technologeis LTD)
O3 - HKLM\..\Toolbar: (Yahoo! Companion) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll (Yahoo! Inc.)
O3 - HKU\S-1-5-21-796845957-1454471165-1417001333-1003\..\Toolbar\WebBrowser: (Yahoo! Companion) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - H:\Program Files\Yahoo!\Companion\Installs\cpn\ycomp5_6_0_1.dll (Yahoo! Inc.
O4 - HKLM..\Run: [WOOTASKBARICON] H:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe File not found
O4 - HKU\S-1-5-21-796845957-1454471165-1417001333-1003..\Run: [EA Core] "H:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found
O4 - HKU\S-1-5-21-796845957-1454471165-1417001333-1003..\Run: [Jspepn] H:\Documents and Settings\Właściciel\Dane aplikacji\Jspepn.exe File not found
O4 - HKU\S-1-5-21-796845957-1454471165-1417001333-1003..\Run: [Wtpepa] H:\Documents and Settings\Właściciel\Dane aplikacji\Wtpepa.exe File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.)
O16 - DPF: {3253344D-0000-0010-8000-00AA00389B71} http://codecs.microsoft.com/codecs/i386/mpg4sax.cab (Reg Error: Key error.)

:Files
J:\desktop.ini
J:\0~EYQQ.xxc
J:\Thumbs.db
K:\desktop.ini
K:\0~MCS.xxc
K:\Thumbs.db

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.  Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).

Nowy log USBfix z funkcji Listing.


(t-rc9@wp.pl) #12

Po wykonaniu skryptu komputer zaczął prawidłowo odpalać, urządzenia przenośne niestety dalej mają skróty i nie działają

 

Log OTL - http://www.wklej.org/id/1273397/

Raport z usuwania - http://www.wklej.org/id/1273400/

Log USBfix - http://www.wklej.org/id/1273403/


(Acorus) #13

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:Files
J:\Removable Disk (8GB).lnk
J:\autorun.inf
K:\Removable Disk (4GB).lnk
K:\autorun.inf
attrib /d /s -s -h J:\* /C
attrib /d /s -s -h K:\* /C

Kliknij Wykonaj skrypt.Wszystkie pliki masz w folderach bez nazwy.Utwórz nowe foldery i tam przenieś pliki a foldery bez nazwy usuń.