Witam, z moimi urzadzeniami przenośnymi (pendrive, dysk zewnętrzny, smarftfon) zaczeły się dziać dziwne rzeczy - a mianowicie wszystkie pliki zamieniły się w skórty, a prawdziwe pliki zamieniły się w pliki systemowe, które sa domyślnie ukryte. dodatkowo na każdym z urządzeń pojawił się plik “SergeLeLama” ważacy 70MB. Nie da się tego pliku usunąć w żaden sposób. Prosze o pomoc!
Pobierz Farbar Recovery Scan Tool 32-Bit Version
Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.
Raporty umieść na http://wklej.org/ i podaj link.
Proszę, oto one
Odinstaluj McAfee Security Scan Plus.
Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
(Microsoft Corporation) C:\WINDOWS\system32\wscript.exe
HKLM\...\Run: [SergeLeLama] => wscript.exe //B "C:\DOCUME~1\Dom\USTAWI~1\Temp\SergeLeLama.vbs" <===== ATTENTION
HKU\S-1-5-21-1960408961-1078081533-839522115-1004\...\Run: [SergeLeLama] => wscript.exe //B "C:\DOCUME~1\Dom\USTAWI~1\Temp\SergeLeLama.vbs" <===== ATTENTION
AppInit_DLLs: c:\docume~1\alluse~1\daneap~1\conten~1\conten~1.dll => c:\docume~1\alluse~1\daneap~1\conten~1\conten~1.dll File Not Found
Lsa: [Notification Packages] :\WINDOWS\syste
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\McAfee Security Scan Plus.lnk
Startup: C:\Documents and Settings\Dom\Menu Start\Programy\Autostart\SergeLeLama.vbs ()
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL =
Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
FF Extension: Fun2SavE - C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\0zc4vq80.default-1365178671187\Extensions\n_lkp@wmpmzdya.org [2014-01-02]
FF Extension: RemoVeAdsTuuBe - C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\0zc4vq80.default-1365178671187\Extensions\oiuesgzh7a@yfdbxooyoeu.org [2014-02-01]
FF Extension: DDigiSaverr - C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\0zc4vq80.default-1365178671187\Extensions\sv5.cbr@wthsahuwwlqlit.com [2014-01-02]
FF HKLM\...\Firefox\Extensions: [{6E19037A-12E3-4295-8915-ED48BC341614}] - C:\Program Files\RelevantKnowledge
FF HKCU\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
FF Extension: McAfee Security Scan Plus - C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi [2014-04-04]
S4 IntelIde; No ImagePath
S3 npkcrypt; \??\D:\Gry\L2\system\npkcrypt.sys [X]
S3 PCANDIS5; \??\C:\WINDOWS\system32\PCANDIS5.SYS [X]
C:\Documents and Settings\All Users\Dane aplikacji\RemoVeAdsTuuBe
C:\Documents and Settings\All Users\Dane aplikacji\Fun2SavE
C:\Documents and Settings\All Users\Dane aplikacji\DDigiSaverr
C:\Program Files\SweetIM
C:\Documents and Settings\Dom\Doctor Web
Task: C:\WINDOWS\Tasks\ROC_JAN2013_TB_rmv.job => C:\Program Files\AVG Secure Search\PostInstall\ROC.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{1a3e09be-1e45-494b-9174-d7385b45bbf5} => ""=""
J:\*.vbs
J:\*.lnk
K:\*.vbs
K:\*.lnk
L:\*.vbs
CMD: attrib /d /s -s -h J:\*
CMD: attrib /d /s -s -h K:\*
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
Pokaż nowy raport UsbFix z opcji Listing.
Proszę, oto co mi wyszło
Usuwanie wykonaj w trybie awaryjnym.
Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.
http://support.kaspersky.com/pl/general/various/493#q1
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM\...\Run: [SergeLeLama] => wscript.exe //B "C:\DOCUME~1\Dom\USTAWI~1\Temp\SergeLeLama.vbs" <===== ATTENTION
HKU\S-1-5-21-1960408961-1078081533-839522115-1004\...\Run: [SergeLeLama] => wscript.exe //B "C:\DOCUME~1\Dom\USTAWI~1\Temp\SergeLeLama.vbs" <===== ATTENTION
Startup: C:\Documents and Settings\Dom\Menu Start\Programy\Autostart\SergeLeLama.vbs ()
S3 McComponentHostService; "C:\Program Files\McAfee Security Scan\3.8.150\McCHSvc.exe" [X]
C:\DOCUME~1\Dom\USTAWI~1\Temp\*.vbs
C:\AdwCleaner
J:\*.vbs
J:\*.lnk
K:\*.vbs
K:\*.lnk
L:\*.vbs
L:\*.lnk
CMD: attrib /d /s -s -h J:\*
CMD: attrib /d /s -s -h K:\*
CMD: attrib /d /s -s -h L:\*
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
Pokaż nowy raport UsbFix z opcji Listing.
Log z FIXu
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKU\S-1-5-21-1960408961-1078081533-839522115-500\...\Run: [ROC_JAN2013_TB] => "C:\Program Files\AVG Secure Search\ROC_JAN2013_TB.exe" /PROMPT /CMPID=JAN2013_TB
URLSearchHook: ATTENTION ==> Default URLSearchHook is missing.
Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST
Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Odinstaluj:
Adobe Flash Player 12 ActiveX
Adobe Flash Player 12 Plugin
Java 7 Update 55
Microsoft Silverlight
Zainstaluj:
Flash Player 14.0.0.125 Internet Explorer i Plugin-based browsers
Bardzo dziękuję za pomoc 
Sam nie dałbym rady.
Witam ponownie, po podłączeniu urządzenia do mojego laptopa zauważyłem ten sam problem z wirusem SergeLeLama. Wcześniej nie podłączałem do niego żadnego Pena czy czegokolwiek. Teraz zauważyłem ten problem, proszę o pomoc, podaję logi
Celowo kolejny raz zainfekowałeś urządzenie?
Poza tym już raz miałeś ten problem i wiesz o tym, że wymagany jest raport z UsbFix.
Witam, absolutnie nie
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKU\S-1-5-21-3667326627-1389045210-2829055028-1001\...\Run: [SergeLeLama] => wscript.exe //B "C:\Users\e\AppData\Local\Temp\SergeLeLama.vbs" <===== ATTENTION
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM-x32 - DefaultScope value is missing.
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL =
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - No File
S3 cpuz130; \??\C:\Users\e\AppData\Local\Temp\cpuz130\cpuz_x64.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
U3 tmlwf;
U3 tmwfp;
C:\AdwCleaner
C:\Windows\system32\Drivers\etc\hosts.ics
Task: {AE978279-EE16-46AE-BDCC-36B4B2C119A4} - System32\Tasks\{A72015F3-005C-4E97-91DD-3D1058826FEF} => Firefox.exe http://ui.skype.com/ui/0/6.2.0.106/pl/abandoninstall?source=lightinstaller&page=tsBing
G:\*.lnk
G:\SergeLeLama.vbs
CMD: attrib /d /s -s -h G:\*
CMD: del /f /s /q %TEMP%\*.*
Reboot:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
Pokaż nowy raport z UsbFix.
Fixlog:
Wykonaj Fix w trybie awaryjnym.
FRST FIX w trybie awaryjnym
Wszystko trzeba powtarzać jak małemu dziecku?
Pokaż nowe logi.
FRST Fix
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKU\S-1-5-21-3667326627-1389045210-2829055028-1001\...\Run: [Lspypj] => C:\Users\e\AppData\Roaming\Lspypj.exe
C:\Users\e\AppData\Roaming\*.exe
Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST
Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.
Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania
Odinstaluj Java 7 Update 55.
Zainstaluj Java 7 Update 65, Service Pack 1 x64 (903.2 MB), Internet Explorer 11.
Wszystko jest już OK. Bardzo dziękuję za pomoc.