Syf na nośnikach zewnętrznych - zagnieżdżony wirus?

icedcoffee (icedcoffee) 2012-07-04 12:23:56 UTC #1

Podejrzewam, że wdarło mi się na komputer jakieś świństwo po podpięciu już zainfekowanego pendrive'a. Nośnik był używany na służbowym laptopie, który mógł być siedliskiem wielu innych wirusów.

Rzecz wygląda nastepująco: na wszystkich podpinanych do mojego PC nośnikach (pamięć flash, pamięć telefonu, karta pamięci telefonu, mp3) znikają foldery (nadal są, ale niewidoczne), a na ich miejscu pojawiają się skróty o wyglądzie folderu, ale oczywiście ścieżka źródłowego pliku zawiera coś zupełnie innego. Mam wyłączony autorun w systemie, więc może nic strasznego się w komputerze nie stało - ale na bank coś w nim siedzi a ja nie wiem co i gdzie.

Podaję logi z OTL + kod ze ścieżki przykładowego podmienionego folderu z mojego odtwarzacza mp3

OTL.txt: http://wklej.to/rXlei (nie wiem czemu zamieściło od 38 linijki)

Extras.txt: http://www.wklej.org/id/784149/

Element docelowy przykładowego folderu: http://wklej.to/AvFzZ

Dodatkowo niedawno po defragmentacji programem Smart Defrag 2 wszystkie aplikacje, pliki, foldery otwierały się ze znacznym opóźnieniem - problem z dyskiem? Czy może coś na plikach?

EDIT

Polecono mi skan programem Malwarebytes, oto log: http://wklej.to/KW4Zu

spandaupol (Spandau) 2012-07-04 16:39:36 UTC #2

Nikt nie odpowiada ponieważ w raporcie OTL jest crack do Officea, tylko jakoś pełnego Officea mi brakuje, a jeden z elementów został usunięty już przez Malwarebytes. Dodatkowo widzę że masz "{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3 Więc nie wyrzucam tematu do kosza, ale proszę o wyjaśnienie jak to naprawdę z tym Officem jest u Ciebie bo wygląda że ten "lewy" został usunięty.

icedcoffee (icedcoffee) 2012-07-04 17:53:40 UTC #3

Od początku nie miałam Office'a Microsoftu - zaraz po formacie wgrany był Open Office z tego co pamiętam, ale nie ja wgrywałam oprogramowanie więc coś mnie mogło ominąć. Wydaję mi się jednak, że proces KMService.exe pojawił się względnie nie dawno. Sama nie wiedziałam co to jest ale jako że zdawało się nie wpływać na funkcjonowanie żadnego programu, po porostu go zabijałam z poziomu procesów jeśli akuratnie potrzebowałam maksymalnej wydajności procesora, a oprócz tego zostawiałam bo nie wiedziałam czy nie jest faktycznie skojarzony z jakimś programem. Po sugestii skanu z Malwarebytes wykryło go jako wirusa i dopiero wtedy dowiedziałam się, że jest zupełnie niepotrzebny i że faktycznie mógł wleźć mi przy okazji instalowania jakiegoś mało zaufanego softu jako czysty wirus.

spandaupol (Spandau) 2012-07-05 06:25:37 UTC #4

W takim razie podepnij wszystkie urządzenia przenośne i proszę o raport USBFix z opcji Listing instrukcja [http://www.fixitpc.pl/topic/8-dezynfekc ... 74#entry74](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 74#entry74)

icedcoffee (icedcoffee) 2012-07-05 09:10:55 UTC #5

Po podpięciu odtwarzacza mp3: http://www.wklej.org/id/784654/

Po podpięciu telefonu: http://www.wklej.org/id/784656/ (stary SE)

(za mało wejść USB, w tym jedno padnięte)

Na telefonie już były usuwane złośliwe skróty, na ten moment zostały tylko poukrywane foldery i pewnie gdzieś fałszywy kosz. Na mp3 nic nie było ruszane a nawet jeśli, to skróty nadal są.

(Pendrive który był pierwotnym nośnikiem tego wszystkiego został zabrany przez ojca i przez kilka dni nie będę miała możliwości pozyskania z niego żadnych logów)

spandaupol (Spandau) 2012-07-05 11:29:29 UTC #6

Z podłączonymi urządzeniami przenośnymi. W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL IE - HKU\S-1-5-21-1229272821-682003330-725345543-1003..\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKU\S-1-5-21-1229272821-682003330-725345543-1003..\SearchScopes{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2737658 IE - HKU\S-1-5-21-1229272821-682003330-725345543-1003..\SearchScopes{FFD74EB1-2AB8-4A76-98EC-8C3AE31C2971}: "URL" = http://search.yahoo.com/search?fr=chr-g ... =937811&p={searchTerms} O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKU.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found :Files C:\WINDOWS\system32\srvany.exe I:*.lnk attrib /d -s -h I:* /C attrib /d -s -h J:* /C :Commands [emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Następnie pokaż nowy raport USBFix z opcji Listing

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem