Wirus - skróty na pendrivach

monique19 · 13 Grudzień 2013 13:24

Mam zainfekowane tym wirusem 2 komputery i kilka pendrivów, więc załączam logi OTL z obu komputerów. Proszę o pomoc w usunięciu.

Komputer 1:

http://wklej.org/id/1205476/

http://wklej.org/id/1205478/

Komputer 2:

http://wklej.org/id/1205484/

Atis · 13 Grudzień 2013 16:04

Pokaż raport UsbFix z opcji Listing.

monique19 · 13 Grudzień 2013 16:09

http://wklej.org/id/1205627/

http://wklej.org/id/1205630/

Atis · 13 Grudzień 2013 16:29

Skrypt wykonaj w w trybie awaryjnym.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

http://support.kaspersky.com/pl/general/various/493#q1

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKU\S-1-5-21-1575816439-807203254-3708177292-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://pl.v9.com/kw/kw_1374075102_987034
IE - HKU\S-1-5-21-1575816439-807203254-3708177292-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://pl.v9.com/kw/kw_1374075102_987034
O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKU\S-1-5-21-1575816439-807203254-3708177292-1000…\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found
O4 - HKU\S-1-5-21-1575816439-807203254-3708177292-1001…\Run: [99] wscript.exe //B “C:\Users\ANGELA\AppData\Roaming\99.vbs” File not found
O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-1575816439-807203254-3708177292-1000…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - Startup: C:\Users\ANGELA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\99.vbs ()
O32 - AutoRun File - [2013-12-03 21:04:26 | 000,000,000 | -HS- | M] () - E:\autorun.inf – [FAT32]
:Files
E:\99.vbs
E:*.lnk
E:*.ini
E:\Thumbs.db
J:\99.vbs
J:*.lnk
J:*.ini
attrib /d /s -s -h E:* /c
attrib /d /s -s -h J:* /c
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj bez Extras.

Pokaż nowy raport UsbFix z opcji Listing.

Odinstaluj:

pdfforge Toolbar v6.5

AVG Security Toolbar

Babylon toolbar on IE

MediaBar

hosts

Hotspot Shield Toolbar

Search Protect by conduit

uTorrentControl_v6 Toolbar

FoxTab FLV Player

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Uruchom Fix it i przywróć domyślny plik Hosts:

http://support.microsoft.com/kb/972034/pl

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found.
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1723986647-1575297754-1382701559-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4:[b]64bit:[/b] - HKLM..\Run: [99] wscript.exe //B "C:\Users\Monika\AppData\Roaming\99.vbs" File not found
O4 - HKLM..\Run: [] File not found
O4 - HKU\.DEFAULT..\Run: [SearchProtect] \SearchProtect\bin\cltmng.exe File not found
O4 - HKU\S-1-5-18..\Run: [SearchProtect] \SearchProtect\bin\cltmng.exe File not found
O4 - HKU\S-1-5-21-1723986647-1575297754-1382701559-1001..\Run: [] File not found
O4 - HKU\S-1-5-21-1723986647-1575297754-1382701559-1001..\Run: [99] wscript.exe //B "C:\Users\Monika\AppData\Roaming\99.vbs" File not found
O4 - HKU\S-1-5-21-1723986647-1575297754-1382701559-1001..\Run: [ares] "C:\Program Files (x86)\Ares\Ares.exe" -h File not found
O4 - HKU\S-1-5-21-1723986647-1575297754-1382701559-1001..\Run: [BackgroundContainer] C:\Users\Monika\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll (Conduit Ltd.)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - Startup: C:\Users\Monika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\99.vbs ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 2048 = C:\PROGRA~3\LOCALS~1\Temp\ccvtvl.com (Nilem)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
[2013-12-13 13:51:50 | 000,000,350 | ---- | M] () -- C:\windows\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job
[2013-11-26 21:42:49 | 000,239,543 | -HS- | C] () -- C:\Users\Monika\AppData\Roaming\99.vbs
:Files
C:\Users\Monika\AppData\Local\Temp*.html
E:\99.vbs
E:\*.lnk
E:\*.ini
E:\autorun.inf
E:\Thumbs.db
attrib /d /s -s -h E:\* /c
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj bez Extras.

Pokaż nowy raport UsbFix z opcji Listing.

monique19 · 13 Grudzień 2013 17:18

AdwCleaner chciał ponownie uruchomić komputer, więc kliknęłam OK i teraz cały czas na ekranie wyświetla się:

LENOVO

Press F2 for setup

Press F12 for boot device selection menu

Żaden z tych klawiszy nie działa. Po wyłączeniu i włączeniu guzikiem oraz wyjęciu i włożeniu z powrotem baterii nadal jest tak samo.

EDIT: zniknęło po odłączeniu pendriva

Niedługo dodam logi.

monique19 · 13 Grudzień 2013 21:01

Komputer 2:

http://wklej.org/id/1205902/

http://wklej.org/id/1205941/

http://wklej.org/id/1205947/

Z komputera 1 będzie jutro.

Atis · 13 Grudzień 2013 21:14

Przecież napisałem, że skrypt należy wykonać w trybie awaryjnym.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
DRV:[b]64bit:[/b] - [2013-11-07 14:15:39 | 000,046,368 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avgtpx64.sys -- (avgtp)
IE - HKU\S-1-5-21-1723986647-1575297754-1382701559-1001\..\SearchScopes\{07A217B3-FB61-4DCD-B628-21E3A6DEEAA2}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN36286856761205016&UM=1
O2 - BHO: (MSS+ Identifier) - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files\McAfee Security Scan\3.8.130\McAfeeMSS_IE.dll File not found
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:[b]64bit:[/b] - HKLM..\Run: [99] wscript.exe //B "C:\Users\Monika\AppData\Roaming\99.vbs" File not found
O4 - HKLM..\Run: [99] wscript.exe //B "C:\Users\Monika\AppData\Roaming\99.vbs" File not found
O4 - HKU\S-1-5-21-1723986647-1575297754-1382701559-1001..\Run: [99] wscript.exe //B "C:\Users\Monika\AppData\Roaming\99.vbs" File not found
O4 - Startup: C:\Users\Monika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\99.vbs ()
[2013-12-02 23:36:57 | 000,002,100 | ---- | M] () -- C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk
[2013-11-25 13:45:21 | 000,001,931 | ---- | M] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
:Files
E:\99.vbs
E:\*.lnk
E:\*.ini
E:\autorun.inf
E:\Thumbs.db
attrib /d /s -s -h E:\* /c
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pokaż nowy raport UsbFix z opcji Listing.

monique19 · 13 Grudzień 2013 22:05

Myślałam, że to tylko do pierwszego.

http://wklej.org/id/1206009/

http://wklej.org/id/1206027/

http://wklej.org/id/1206032/

Atis · 13 Grudzień 2013 22:24

Trojan przeniósł pliki do folderu bez nazwy na E.

Przenieś pliki do innej lokalizacji i skasuj folder bez nazwy.

W normalnym trybie wklej i kliknij Wykonaj skrypt:

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:64bit: - HKLM..\Run: [99] wscript.exe //B "C:\Users\Monika\AppData\Roaming\99.vbs" File not found
[2013-12-13 17:42:00 | 000,000,000 | ---D | C] -- C:\AdwCleaner
[2013-11-25 13:45:21 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus
[2010-10-08 12:28:29 | 000,000,000 | ---D | M] -- C:\Users\Monika\AppData\Roaming\BitDefender
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"99"=-

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.

http://wstaw.org/m/2012/12/29/2012-12-29_005346.png

monique19 · 14 Grudzień 2013 10:36

http://wklej.org/id/1206246/

Atis · 14 Grudzień 2013 11:19

Trojan przeniósł pliki do folderu bez nazwy na E.

W normalnym trybie wklej i kliknij Wykonaj skrypt:

:OTL
IE - HKU\S-1-5-21-1575816439-807203254-3708177292-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://pl.v9.com/kw/kw_1374075102_987034
IE - HKU\S-1-5-21-1575816439-807203254-3708177292-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://pl.v9.com/kw/kw_1374075102_987034
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKU\S-1-5-21-1575816439-807203254-3708177292-1000..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found
O4 - HKU\S-1-5-21-1575816439-807203254-3708177292-1000..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
[2013-11-26 15:13:47 | 000,239,543 | -HS- | C] () -- C:\Users\ANGELA\AppData\Roaming\99.vbs

Uruchom OTL i kliknij Sprzątanie.

monique19 · 16 Grudzień 2013 09:14

W 2. przypadku pomogło, dzięki

Natomiast w 1. nadal są skróty na pendrivach.

Atis · 16 Grudzień 2013 09:27

W ostatnim raporcie nie ma żadnych skrótów tylko folder bez nazwy na E.

Natomiast J jest według UsbFix całkowicie pusty.

monique19 · 16 Grudzień 2013 11:13

Usunęłam ten folder, nie był mi potrzebny.

Na drugim było coś, ale też usunęłam i teraz problem już nie występuje, sprawdzałam kilka razy.

Dziękuję bardzo za pomoc