Infekcje wykryte przez AVG, których nie da się usunąć


(_Ka_) #1

Drodzy wirusolodzy,

 

po podpięciu dziś zewnętrznego dysku do laptopa AVG wykrył zagrożenie na jednej z partycji tego dysku: najpierw (od razu po podpięciu dysku) alarmował, jakoby znalazł wirusa Worm/AutoRun o ścieżkach h:\autorun.inf i g:\autorun.inf, a następnie (po otworzeniu folderów na dysku) znalazł wirusa Worm/VB.9.BT o ścieżce h:\kapef.scr (h i g do partycje tego zewnętrznego dysku). Zagrożeń nie mogłam zlikwidować za pomocą AVG - ani usunąć, ani przenieść do przechowalni. Co mam z nimi zrobić. Poniżej zamieszczam logi z OTL.

 

Dodam jeszcze, że jakiś czas temu walczyłam z wirusami, które tworzyły na pamięciach przenośnych (pendrive, karty pamięci, a nawet  Kindle) skróty folderów... Czy to znów to samo?

 

Pozdrawiam

Kasia

 

OTL: http://www.wklej.org/id/1377015/

Extras:http://www.wklej.org/id/1377016/


(Atis) #2

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Pokaż raport UsbFix z opcji Listing.

Pobierz Farbar Recovery Scan Tool 64-Bit Version

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.


(_Ka_) #3

Log z AdwCleaner http://www.wklej.org/id/1377545/

 

UbFix http://www.wklej.org/id/1377551/

 

Farbar Recovery Scan Tool

FRST http://www.wklej.org/id/1377558/

Addition http://www.wklej.org/id/1377559/


(Atis) #4

Wyłącz AVG, bo będzie blokował ususwanie.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Runonce: [] - [X]
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKU\S-1-5-21-2789539982-234758258-1502751527-1000\...\Run: [AdobeBridge] => [X]
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKCU - {E93AB00C-7185-4095-9FBF-1F92BE33B7B2} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=B948FB36-C813-466F-8199-938CE1C742F2&apn_sauid=C5D5D36D-F914-4615-87B8-1F4C32C31A1E
Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - No File
C:\temp
C:\AdwCleaner
C:\Users\a\AppData\Local\Temp*.html
C:\Users\a\AppData\Local\Temp\*.dll
C:\Users\a\AppData\Local\Temp\*.exe
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater" /f
G:\kapef.scr
G:\autorun.inf
G:\kapef.exe
G:\*.lnk
G:\RECYCLER
H:\kapef.scr
H:\*.lnk
H:\kapef.exe
H:\RECYCLER
H:\Thumbs.db
H:\autorun.inf

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

Pokaż nowy raport UsbFix z opcji Listing.


(_Ka_) #5

Fixlog http://www.wklej.org/id/1377617/

 

FRST http://www.wklej.org/id/1377618/

 

UsbFix http://www.wklej.org/id/1377620/


(Atis) #6

Przecież napisałem, że masz wyłączyć program antywirusowy.


(_Ka_) #7

Przepraszam. Wyłączyłam, tylko pewnie sam się włączył podczas restartu po uruchomieniu Fix w FRST.

 

Zatem jeszcze raz:

 

Fixlog: http://www.wklej.org/id/1377692/

 

FRST: http://www.wklej.org/id/1377698/

 

UsbFix: http://www.wklej.org/id/1377699/


(Atis) #8

W takim razie nie wiadomo dlaczego nie można usunąć szkodliwych plików z tych dysków.

Spróbuj w trybie awaryjnym.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

http://support.kaspersky.com/pl/general/various/493#q1

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

G:\kapef.scr
G:\autorun.inf
G:\kapef.exe
G:\*.lnk
H:\kapef.scr
H:\*.lnk
H:\kapef.exe
H:\autorun.inf

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

Pokaż nowy raport UsbFix z opcji Listing.


(_Ka_) #9

Raporty z działań w trybie awaryjnym

 

Fixlog http://www.wklej.org/id/1380969/

FRST http://www.wklej.org/id/1380974/

UsbFix http://www.wklej.org/id/1380976/

 

Czy można określić, czy ta infekcja zaatakowała cały komputer czy tylko te zewnętrzne dyski?


(Atis) #10

Jak widzisz pliki nadal są na dysku:

G:\kapef.scr

G:\autorun.inf

G:\kapef.exe

H:\kapef.scr

H:\kapef.exe

H:\autorun.inf

Spróbuj ręcznie skasować szkodliwe pliki.

Pobierz MultiCommander Portable version 64Bit:

http://multicommander.com/downloads

W opcjach programu ustaw w ten sposób:

Widok -> Panel eksploratora -> Pokaż ukryte pliki i foldery


(_Ka_) #11

Usunęłam. Co dalej?

 

Ponawiam poprzednie pytanie: Czy można określić, czy ta infekcja zaatakowała cały komputer czy tylko te zewnętrzne dyski?


(Atis) #12

Nie widać żadnej infekcji oprócz tych plików na dyskach zewnętrznych.

Skasuj folder C:\FRST i C:\UsbFix

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

Język PL > Settings > General Settings > Language > Polish

Odinstaluj:

Adobe Reader 9.4.4

Adobe Shockwave Player

Java 6 Update 17

Java 6 Update 22

Java 6 Update 31

Zainstaluj Java 7 Update 60 i Adobe Reader


(_Ka_) #13

Oto raport ze skanowania: http://www.wklej.org/id/1381697/


(Atis) #14

Dodaj wszystko do kwarantanny.

Poczytaj o programach typu SoftonicDownloader: KLIK