Infekcje wykryte przez AVG, których nie da się usunąć

_Ka · 29 Maj 2014 20:43

Drodzy wirusolodzy,

po podpięciu dziś zewnętrznego dysku do laptopa AVG wykrył zagrożenie na jednej z partycji tego dysku: najpierw (od razu po podpięciu dysku) alarmował, jakoby znalazł wirusa Worm/AutoRun o ścieżkach h:\autorun.inf i g:\autorun.inf, a następnie (po otworzeniu folderów na dysku) znalazł wirusa Worm/VB.9.BT o ścieżce h:\kapef.scr (h i g do partycje tego zewnętrznego dysku). Zagrożeń nie mogłam zlikwidować za pomocą AVG - ani usunąć, ani przenieść do przechowalni. Co mam z nimi zrobić. Poniżej zamieszczam logi z OTL.

Dodam jeszcze, że jakiś czas temu walczyłam z wirusami, które tworzyły na pamięciach przenośnych (pendrive, karty pamięci, a nawet Kindle) skróty folderów… Czy to znów to samo?

Pozdrawiam

Kasia

OTL: http://www.wklej.org/id/1377015/

Extras:http://www.wklej.org/id/1377016/

Atis · 29 Maj 2014 21:24

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Pokaż raport UsbFix z opcji Listing.

Pobierz Farbar Recovery Scan Tool 64-Bit Version

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

_Ka · 30 Maj 2014 14:29

Log z AdwCleaner http://www.wklej.org/id/1377545/

UbFix http://www.wklej.org/id/1377551/

Farbar Recovery Scan Tool

FRST http://www.wklej.org/id/1377558/

Addition http://www.wklej.org/id/1377559/

Atis · 30 Maj 2014 15:11

Wyłącz AVG, bo będzie blokował ususwanie.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Runonce: [] - [X]
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKU\S-1-5-21-2789539982-234758258-1502751527-1000\...\Run: [AdobeBridge] => [X]
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKCU - {E93AB00C-7185-4095-9FBF-1F92BE33B7B2} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=B948FB36-C813-466F-8199-938CE1C742F2&apn_sauid=C5D5D36D-F914-4615-87B8-1F4C32C31A1E
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - No File
C:\temp
C:\AdwCleaner
C:\Users\a\AppData\Local\Temp*.html
C:\Users\a\AppData\Local\Temp\*.dll
C:\Users\a\AppData\Local\Temp\*.exe
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater" /f
G:\kapef.scr
G:\autorun.inf
G:\kapef.exe
G:\*.lnk
G:\RECYCLER
H:\kapef.scr
H:\*.lnk
H:\kapef.exe
H:\RECYCLER
H:\Thumbs.db
H:\autorun.inf

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

Pokaż nowy raport UsbFix z opcji Listing.

_Ka · 30 Maj 2014 15:28

Fixlog http://www.wklej.org/id/1377617/

FRST http://www.wklej.org/id/1377618/

UsbFix http://www.wklej.org/id/1377620/

Atis · 30 Maj 2014 15:35

Przecież napisałem, że masz wyłączyć program antywirusowy.

_Ka · 30 Maj 2014 16:24

Przepraszam. Wyłączyłam, tylko pewnie sam się włączył podczas restartu po uruchomieniu Fix w FRST.

Zatem jeszcze raz:

Fixlog: http://www.wklej.org/id/1377692/

FRST: http://www.wklej.org/id/1377698/

UsbFix: http://www.wklej.org/id/1377699/

Atis · 30 Maj 2014 16:56

W takim razie nie wiadomo dlaczego nie można usunąć szkodliwych plików z tych dysków.

Spróbuj w trybie awaryjnym.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

http://support.kaspersky.com/pl/general/various/493#q1

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

G:\kapef.scr
G:\autorun.inf
G:\kapef.exe
G:\*.lnk
H:\kapef.scr
H:\*.lnk
H:\kapef.exe
H:\autorun.inf

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

Pokaż nowy raport UsbFix z opcji Listing.

_Ka · 2 Czerwiec 2014 20:32

Raporty z działań w trybie awaryjnym

Fixlog http://www.wklej.org/id/1380969/

FRST http://www.wklej.org/id/1380974/

UsbFix http://www.wklej.org/id/1380976/

Czy można określić, czy ta infekcja zaatakowała cały komputer czy tylko te zewnętrzne dyski?

Atis · 2 Czerwiec 2014 21:23

Jak widzisz pliki nadal są na dysku:

G:\kapef.scr

G:\autorun.inf

G:\kapef.exe

H:\kapef.scr

H:\kapef.exe

H:\autorun.inf

Spróbuj ręcznie skasować szkodliwe pliki.

Pobierz MultiCommander Portable version 64Bit:

http://multicommander.com/downloads

W opcjach programu ustaw w ten sposób:

Widok -> Panel eksploratora -> Pokaż ukryte pliki i foldery

_Ka · 3 Czerwiec 2014 15:24

Usunęłam. Co dalej?

Ponawiam poprzednie pytanie: Czy można określić, czy ta infekcja zaatakowała cały komputer czy tylko te zewnętrzne dyski?

Atis · 3 Czerwiec 2014 16:01

Nie widać żadnej infekcji oprócz tych plików na dyskach zewnętrznych.

Skasuj folder C:\FRST i C:\UsbFix

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

Odinstaluj:

Adobe Reader 9.4.4

Adobe Shockwave Player

Java 6 Update 17

Java 6 Update 22

Java 6 Update 31

Zainstaluj Java 7 Update 60 i Adobe Reader

_Ka · 3 Czerwiec 2014 17:10

Oto raport ze skanowania: http://www.wklej.org/id/1381697/

Atis · 3 Czerwiec 2014 20:54

Dodaj wszystko do kwarantanny.

Poczytaj o programach typu SoftonicDownloader: KLIK