dgw0
4 Wrzesień 2013 18:32
#1
Witam.
Potrzebuje pomocy z wirusem który ujawnia się tym że na pendrive nie ma moich plików tylko skrót z którego dopiero mogę wejść do folderu gdzie są moje pliki.
Zarażone mam 2 laptopy telefon pendrive i aparat fotograficzny.
Prosiłbym o pomoc w usunięciu tego wirusa.
Wykonałem skany programem OTL.
http://www.wklej.org/id/1123223/
http://www.wklej.org/id/1123225/
Są to skany jednego laptopa z pendrivem.
dgw0 , proszę zapoznaj się z tą stroną oraz tym tematem , a następnie popraw tytuł tematu, używając przycisku
Poza tym, na forum używamy polskich znaków (ż, ł, ć, ś, ą itp.). Proszę wyedytować swojego posta i poprawić co trzeba.
W przypadku zignorowania prośby temat poleci do śmietnika.
falcon89
4 Wrzesień 2013 18:42
#3
Wstaw raport z UsbFix z opcji Listing (podłącz tyle urządzeń ile możesz).
dgw0
4 Wrzesień 2013 18:54
#4
Poprawiłem tytuł i pisownie zgodnie z życzeniem moderatora.
Nie mogę podłączyć więcej jak jedno urządzenie na raz bo jeden port mi padł i touchpad też szfankuje i muszę mieć podłączoną myszke.
Za chwile wykonam skany i wrzucę edytując posta.
Oto skan:
http://www.wklej.org/id/1123269/
Atis
4 Wrzesień 2013 19:08
#5
Nie widać żadnych skrótów. Odinstaluj Akamai NetSession Interface.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL IE - HKU\S-1-5-21-4185604570-4096885922-3628647223-1001…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://www.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP_ss&mntrId=12135246000000000000207c8f014778 O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-19…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20…\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O7 - HKU\S-1-5-21-4185604570-4096885922-3628647223-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: = O20 - AppInit_DLLs: (c:\progra~3\browse~1\261095~1.52{c16c1~1\browse~1.dll) - File not found [2013-08-30 22:20:04 | 000,000,000 | —D | C] – C:\ProgramData\Microsoft\Windows\Start Menu\Programs\gPotato.eu :Files I:\RECYCLER :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
dgw0
4 Wrzesień 2013 19:23
#6
Wykonałem skrypt i oto raport.
http://www.wklej.org/id/1123301/
Problem dalej istnieje bo teraz jak wchodzę na pendrive to nie widzę nawet skrótu i nie mogę się dostać do moich plików.
Akurat na pendrive to może nie problem ale nie chciałbym żeby na telefonie ani na apracie tak się stało.
Atis
4 Wrzesień 2013 19:30
#7
Na tym pendrive nie ma żadnego skrótu.
dgw0
4 Wrzesień 2013 19:41
#8
Jak się go otwierało to był skrót do folderu recycler o ile dobrze pamiętam dopiero w nim był folder ze zdjęciami. I jak skanuje to skanuje go np. za pomocą Kasperskiego to widzę nazwy plików i widzę że te zdjęcia na nim są. Ale gdy teraz go podłączam to widzę folder o nazwie “## aswSnx private storage” a w nim folder “r1565” a w nim całkowita pustka i w żaden sposób nie mogę się dostać do zdjęć.
A i na jakimś forum przeczytałem że jak pierwszy raz uruchomiłem ten skrót to pozwoliłem jakby na zainfekowanie kompa i wtedy przeszedł mi wirus na kompa.
Atis
4 Wrzesień 2013 20:23
#9
aswSnx private storage to folder piaskownicy od Avasta i nie ma związku z infekcją.
Jeżeli faktycznie w koszu (folder RECYCLER) były pliki to teraz są w kwarantannie OTL.
Przeszukaj folder na partycji systemowej: C:_OTL
dgw0
4 Wrzesień 2013 20:57
#10
Ok wszystko jest. Dzięki wielkie.
A mogę skopiować te zdjęcia i usunąć zawartość tego folderu??
To jak sformatuje sobie pendrive teraz to powinien być czysty?
Jutro wieczorem wrzucę skany z telefonem.
Atis
4 Wrzesień 2013 21:27
#11
Na pendrive widocznym w logu nie ma szkodliwych plików, więc nie ma potrzeby formatować.
Jeżeli odzyskałeś pliki to możesz skasować cały folder z kwarantanną OTL.
Podłącz zainfekowane urządzenia i pokaż raport Listing i log z OTL.
dgw0
6 Wrzesień 2013 17:50
#12
Atis
6 Wrzesień 2013 18:03
#13
Odinstaluj Yontoo, QuickStores-Toolbar 1.1.0, Download Updater.
Pobierz i uruchom AdwCleaner Kliknij Scan i później Clean.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – C:\Windows\system32\drivers\EagleXNt.sys – (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] – C:\Windows\system32\drivers\EagleNT.sys – (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\btath_bus.sys – (BTATH_BUS) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000&st=12&barid={611F31DF-4604-4B40-BD20-50DEEC19A8B4} IE - HKLM…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?sr … 0&st=12&q={searchTerms}&barid={611F31DF-4604-4B40-BD20-50DEEC19A8B4} IE - HKU\S-1-5-21-4041551288-3406560805-1329038517-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=110819 … af782b6709 IE - HKU\S-1-5-21-4041551288-3406560805-1329038517-1000…\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: “URL” = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=2912_1&babsrc=SP_ss&mntrId=1c539694000000000000ccaf782b6709 IE - HKU\S-1-5-21-4041551288-3406560805-1329038517-1000…\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: “URL” = http://search.sweetim.com/search.asp?sr … 0&st=12&q={searchTerms}&barid={611F31DF-4604-4B40-BD20-50DEEC19A8B4} FF - prefs.js…browser.search.order.1: “Search the web (Babylon)” [2012-05-26 15:51:04 | 000,004,117 | ---- | M] () – C:\Users\Kamila\AppData\Roaming\mozilla\firefox\profiles\rednb5qq.default\searchplugins\sweetim.xml [2013-08-17 17:57:49 | 000,000,000 | —D | M] (QuickStores-Toolbar) – C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de [2012-07-16 23:31:14 | 000,002,349 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM…\Run: [unlockerAssistant] “C:\Program Files\Unlocker\UnlockerAssistant.exe” File not found O4 - HKU\S-1-5-21-4041551288-3406560805-1329038517-1000…\Run: [] File not found O4 - HKU\S-1-5-21-4041551288-3406560805-1329038517-1000…\Run: [Akamai NetSession Interface] “C:\Users\Kamila\AppData\Local\Akamai\netsession_win.exe” File not found [2012-08-13 14:18:03 | 000,089,088 | ---- | C] (Origin PC) – C:\ProgramData\kruktlxq.exe [2012-08-13 14:17:56 | 000,000,051 | ---- | C] () – C:\ProgramData\wikbaddnvxltzch [2012-05-26 15:45:59 | 000,000,000 | —D | M] – C:\Users\Kamila\AppData\Roaming\Babylon [2012-08-13 15:54:25 | 000,000,000 | —D | M] – C:\Users\Kamila\AppData\Roaming\QuickStoresToolbar :Files G:*.lnk attrib /d /s -s -h G:* /c :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Pokaż nowy raport UsbFix z opcji Listing.
dgw0
6 Wrzesień 2013 18:31
#14
http://www.wklej.org/id/1124353/
To raport z AdvCleaner. Niestety nie moglem usunac z panelu sterowania ani menu start Yontoo i QuickStores-Toolbar 1.1.0.
Za chwile edytuje jak zrobie skrypt OTL.
EDIT:
http://www.wklej.org/id/1124363/
To raport ze skryptu OTL.
EDIT2:
http://www.wklej.org/id/1124377/
http://www.wklej.org/id/1124380/
Atis
6 Wrzesień 2013 19:18
#15
Wklej i kliknij Wykonaj skrypt:
:OTL [2013-09-06 20:16:59 | 000,000,000 | —D | C] – C:\AdwCleaner [2013-09-06 19:47:29 | 000,000,000 | —D | C] – C:\UsbFix
Uruchom OTL i kliknij Sprzątanie.
Usuń stare punkty przywracania:
Aby usunąć wszystkie punkty przywracania
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.
http://wstaw.org/m/2012/12/29/2012-12-29_005346.png
