yeti90
(Naimad 90)
31 Październik 2013 16:21
#1
Witam.
Mam problem z pendrive podobny do niektórych użytkowników. Mianowicie po włożeniu pendrive do komputera w ksero został chyba zainfekowany jakimś wirusem… I teraz pojawia się jako “Removable Disk” i nie mogę go otworzyć. Podobnie jest z kartą pamięci którą miałem do niego włożoną. Z góry dziękuję za pomoc.
Przesyłam raporty z OTL:
http://wklej.org/id/1163273/
log z USbfix:
http://wklej.org/id/1163274/
falcon89
(falcon89)
31 Październik 2013 16:23
#2
Wstaw raport z UsbFix z opcji Listing (podłącz zainfekowane urządzenia).
– Dodane 31.10.2013 (Cz) 17:26 –
Wstaw raport Extras, aby powstał ten raport opcja Rejestr - skan dodatkowy musi być ustawiona na Użyj filtrowania w OTL
yeti90
(Naimad 90)
31 Październik 2013 16:48
#3
Extras:
http://wklej.org/id/1163290/
zaś przy raporcie z usbfix wyskakuje mi błąd typu:
Line7206( File "C:\USbFix\Go.exe)
Error: Subscript used with non-Array variable.
Acorus
(Acorus)
31 Październik 2013 17:09
#4
Wykonaj w trybie awaryjnym.
yeti90
(Naimad 90)
31 Październik 2013 22:29
#5
Próbowałem w trybie awaryjnym i to samo wyszło. Nie da się jakoś bez tego loga coś pokombinować? Albo przynajmniej coś zrobić żeby dane odzyskać na razie.
Atis
(Atis)
1 Listopad 2013 06:32
#6
Przecież zainstalowałeś Total Commander.
Total Commander > Konfiguracja > Ustawienia > Wyświetlanie > zaznacz: Pokaż pliki ukryte/systemowe > OK
Zaznacz plik/folder > Pliki > Zmień atrybuty > Z podkatalogami > odznacz: Ukryty i Systemowy > OK
Odinstaluj Wsys Control 10.2.1.2652.
Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL SRV - [2013-10-31 13:53:02 | 001,706,064 | ---- | M] (Wsys Co., Ltd.) [Auto | Running] – C:\ProgramData\eSafe\eGdpSvc.exe – (WsysSvc) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.qone8.com/?type=hp&ts=1383 … 4_28132338 IE - HKLM…\SearchScopes{33BB0A4E-99AF-4226-BDF6-49120163DE86}: “URL” = http://start.qone8.com/web/?type=ds&ts= … 8132338&q={searchTerms} IE - HKU\S-1-5-21-2275347167-741461756-1027591050-1000…\SearchScopes{33BB0A4E-99AF-4226-BDF6-49120163DE86}: “URL” = http://start.qone8.com/web/?type=ds&ts= … 8132338&q={searchTerms} IE - HKU\S-1-5-21-2275347167-741461756-1027591050-1000…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=2813001D7D54F564&affID=119357&tt=240913_246&tsp=5019 [2013-09-20 08:11:19 | 000,006,500 | ---- | M] () – C:\Users\123\AppData\Roaming\mozilla\firefox\profiles\re69lakf.default\searchplugins\babylon.xml [2013-06-28 11:53:50 | 000,001,304 | ---- | M] () – C:\Users\123\AppData\Roaming\mozilla\firefox\profiles\re69lakf.default\searchplugins\holasearch.xml [2013-10-31 13:52:58 | 000,000,650 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\qone8.xml O32 - AutoRun File - [2013-10-30 16:26:16 | 000,000,000 | -HS- | M] () - K:\autorun.inf – [FAT32] O32 - AutoRun File - [2013-10-30 16:26:10 | 000,000,000 | -HS- | M] () - N:\autorun.inf – [FAT32] [2013-10-31 13:53:02 | 000,000,000 | —D | C] – C:\ProgramData\eSafe [2013-10-31 13:53:00 | 000,694,864 | ---- | C] (WilSys Co., Ltd.) – C:\Users\123\AppData\Roaming\qone8.exe :Files K:*.lnk N:*.lnk K:*.ini N:*.ini attrib /d /s -s -h K:* /c attrib /d /s -s -h N:* /c :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania.
Wklej i kliknij Skanuj:
Pokaż ten log.
yeti90
(Naimad 90)
1 Listopad 2013 08:13
#7
Dzięki faktycznie Total Commander znalazł te pliki.
Przeskanowałem AdwCleaner’em. tu jest raport http://wklej.org/id/1163796/
Po wykonaniu skryptu OTL: http://wklej.org/id/1163797/
Nowe raporty OTL:
OTL
Extras
Atis
(Atis)
1 Listopad 2013 08:17
#8
Teraz zmieniły się litery którymi oznaczone są dyski G i H.
Poza tym wyraźnie napisałem:
Wklej i kliknij Skanuj:
Pokaż ten log.
yeti90
(Naimad 90)
1 Listopad 2013 08:22
#9
Sorki nie przyuważyłem tego. Już daje raport.
OTL
Extras
Atis
(Atis)
1 Listopad 2013 08:28
#10
[2013-10-30 16:26:10 | 000,000,000 | -HSD | M] – G:\ [2013-10-30 16:26:18 | 000,000,000 | -HSD | M] – H:\
Na G i H masz folder bez nazwy do którego trojan przeniósł pliki.
Przecież napisałem żeby usunąć atrybut ukryty H i systemowy S za pomocą Total Commander.
Zaznacz folder > Pliki > Zmień atrybuty > Z podkatalogami > odznacz: Ukryty i Systemowy > OK
Wklej i kliknij Wykonaj skrypt:
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
Aby usunąć wszystkie punkty przywracania
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.
http://wstaw.org/m/2012/12/29/2012-12-29_005346.png
yeti90
(Naimad 90)
1 Listopad 2013 16:03
#11
Dziękuję bardzo za pomoc! Wszystko wydaje się być w porządku.
A przy okazji zapytam jest jakiś dobry sposób żeby zabezpieczyć pendrive przed podobnymi zagrożeniami?
ahonen97
(ahonen97)
2 Listopad 2013 07:34
#12