To, że z pendrivem dzieje się coś dziwnego, to mało powiedziane. System (Windows 7 64-bit) twierdzi, że zajęte miejsce na nim to 4,30 GB, a wolne to 2,92 GB. Jednak po otwarciu jest na nim tylko skrót o nazwie “JUSTYNA (8GB)” (JUSTYNA to też nazwa pendrive’a). Muszę dodawać, że skrót ten waży mniej niż 2 KB? Tak, włączałem wyświetlanie ukrytych plików i… bez zmian. Skrót w “element docelowy” ma wpisane "%hoMEdrive%\WINDOWS\System32\rundll32.exe ~~RYJERCVIAWLXBOXTEY.ini,             lnk            " (cudzysłowy na początku i na końcu sam dostawiłem). Po próbie jego uruchomienia wyświetla się komunikat:

"Wystąpił problem podczas uruchamiania pliku

~~RYJERCVIAWLXBOXTEY.ini

Nie można odnaleźć określonego modułu."

Poza tym, już przy wkładaniu pendrive’a Avast krzyczał, że zostało wykryte zagrożenie. Ja myślę, że pendrive jest do formatu, ale miło by było móc coś z niego odzyskać…

Logi z OTL-a:

OTL: http://www.wklej.org/id/1282444/

Extras: http://www.wklej.org/id/1282446/

Odinstaluj IB Updater Service i Qtrax.

Usuń SweetIM for Facebook i SweetPacks Chrome Extension:

Odinstalowywanie rozszerzeń

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Pokaż raport UsbFix z opcji Listing.

Rafcioś proszę konkretnie zatytułować  wątek (użyj pełnego edytora)

Zignorowanie prośby będzie skutkować usunięciem topica z forum.

USBFix: http://www.wklej.org/id/1282545/

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-2473718618-1018895531-425723352-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\S-1-5-21-2473718618-1018895531-425723352-1001..\Run: [EA Core] "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
[2014-02-07 19:56:10 | 000,000,000 | ---D | C] -- C:\Windows\SysNative\ljkb
[2014-02-07 19:56:10 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\jmdp
[2014-02-04 10:28:20 | 001,859,376 | ---- | M] () -- C:\Windows\SysNative\dmwu.exe
@Alternate Data Stream - 24 bytes -> C:\Windows:8D4D8F330BE6464F
:Files
E:\autorun.inf
E:\*.ini
E:\Thumbs.db
E:\*.lnk
attrib /d /s -s -h E:\* /c
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pokaż nowy raport UsbFix z opcji Listing.

OTL - usuwanie: http://www.wklej.org/id/1283152/

OTL: http://www.wklej.org/id/1283154/

USBFix: http://www.wklej.org/id/1283156/

Trojan przeniósł pliki do folderu bez nazwy na E.

Przenieś pliki do innego folderu i skasuj ten bez nazwy.

Wklej i kliknij Wykonaj skrypt:

:OTL
O4 - HKLM..\Run: [CloneCDTray] "C:\Program Files (x86)\SlySoft\CloneCD\CloneCDTray.exe" /s File not found
O9 - Extra 'Tools' menuitem : Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found
[2014-02-24 22:39:07 | 000,000,000 | ---D | C] -- C:\AdwCleaner

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.

http://wstaw.org/m/2012/12/29/2012-12-29_005346.png

Siostra zniecierpliwiła się długim procesem usuwania wirusa i… już oddała go jej koleżance, właścicielce. Teraz pytanie: trojan siedzi w kompie, czy w pendrivie (czy po wyciągnięciu pendriva nadal jest sens wykonywać ten skrypt)?

Najpierw chciałem załączyć do tematu nieznany mi plik, który ni stąd, ni zowąd pijawił się na pulpicie i był ukryty, a nazywał się “.~lock.sprawdzian klasy 2.odt#” (Na kompie mam dokument o tej samej nazwie, czyli “sprawdzian klasy 2”) i zapytać, czy trojan nie jest przypadkiem pod jego postacią. Kiedy przeczytałem, że nie mam uprawnień do wysyłania tego typu plików, chciałem zuploadować go na hostuje.net i w poście dać do niego link. Udało się, i dla przetestowania, chciałem spróbować sciągnąć ten plik (oczywiście nie miałem zamiaru dokańczać tego procesu). I już wtedy wyskoczył Avast z jęczeniem, że plik zarażony… Usunąłem go z serwisu, żeby nikt się na niego przypadkiem nie “nadział”, ale nie z komputera, bo wolę najpierw zapytać Cię, co o tym myślisz.

Według ostatniego raportu na pendrive nie było szkodliwych plików.

Jeżeli koleżanka ma zainfekowany system, to po podłączeniu pendrive ponownie zostanie zainfekowany.

Pliki .~lock tworzy LibreOffice i nie są szkodliwe.

http://ask.libreoffice.org/en/question/3946/how-to-disable-lock-file/

Opcja Sprzątanie przywraca domyślne ustawienia widoczności plików i folderów.