Wirus tworzący skróty na pendrive

dgw0 (Dgw0) 2013-09-04 18:32:17 UTC #1

Witam.

Potrzebuje pomocy z wirusem który ujawnia się tym że na pendrive nie ma moich plików tylko skrót z którego dopiero mogę wejść do folderu gdzie są moje pliki.

Zarażone mam 2 laptopy telefon pendrive i aparat fotograficzny.

Prosiłbym o pomoc w usunięciu tego wirusa.

Wykonałem skany programem OTL.

http://www.wklej.org/id/1123223/

http://www.wklej.org/id/1123225/

Są to skany jednego laptopa z pendrivem.

anon89827741 2013-09-04 18:33:21 UTC #2

dgw0 , proszę zapoznaj się z tą stroną oraz tym tematem, a następnie popraw tytuł tematu, używając przycisku image.php?album_id=20&image_id=4038

Poza tym, na forum używamy polskich znaków (ż, ł, ć, ś, ą itp.). Proszę wyedytować swojego posta i poprawić co trzeba.

W przypadku zignorowania prośby temat poleci do śmietnika.

falcon89 (falcon89) 2013-09-04 18:42:20 UTC #3

Wstaw raport z UsbFix z opcji Listing (podłącz tyle urządzeń ile możesz).

dgw0 (Dgw0) 2013-09-04 18:54:16 UTC #4

Poprawiłem tytuł i pisownie zgodnie z życzeniem moderatora.

Nie mogę podłączyć więcej jak jedno urządzenie na raz bo jeden port mi padł i touchpad też szfankuje i muszę mieć podłączoną myszke.

Za chwile wykonam skany i wrzucę edytując posta.

Oto skan:

http://www.wklej.org/id/1123269/

Atis (Atis) 2013-09-04 19:08:15 UTC #5

Nie widać żadnych skrótów. Odinstaluj Akamai NetSession Interface.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL IE - HKU\S-1-5-21-4185604570-4096885922-3628647223-1001..\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP\_ss&mntrId=12135246000000000000207c8f014778 O3:64bit: - HKLM..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found O7 - HKU\S-1-5-21-4185604570-4096885922-3628647223-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: = O20 - AppInit_DLLs: (c:\progra~3\browse~1\261095~1.52{c16c1~1\browse~1.dll) - File not found [2013-08-30 22:20:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\gPotato.eu :Files I:\RECYCLER :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

dgw0 (Dgw0) 2013-09-04 19:23:44 UTC #6

Wykonałem skrypt i oto raport.

http://www.wklej.org/id/1123301/

Problem dalej istnieje bo teraz jak wchodzę na pendrive to nie widzę nawet skrótu i nie mogę się dostać do moich plików.

Akurat na pendrive to może nie problem ale nie chciałbym żeby na telefonie ani na apracie tak się stało.

Atis (Atis) 2013-09-04 19:30:23 UTC #7

Na tym pendrive nie ma żadnego skrótu.

dgw0 (Dgw0) 2013-09-04 19:41:46 UTC #8

Jak się go otwierało to był skrót do folderu recycler o ile dobrze pamiętam dopiero w nim był folder ze zdjęciami. I jak skanuje to skanuje go np. za pomocą Kasperskiego to widzę nazwy plików i widzę że te zdjęcia na nim są. Ale gdy teraz go podłączam to widzę folder o nazwie "## aswSnx private storage" a w nim folder "r1565" a w nim całkowita pustka i w żaden sposób nie mogę się dostać do zdjęć.

A i na jakimś forum przeczytałem że jak pierwszy raz uruchomiłem ten skrót to pozwoliłem jakby na zainfekowanie kompa i wtedy przeszedł mi wirus na kompa.

Atis (Atis) 2013-09-04 20:23:38 UTC #9

aswSnx private storage to folder piaskownicy od Avasta i nie ma związku z infekcją.

Jeżeli faktycznie w koszu (folder RECYCLER) były pliki to teraz są w kwarantannie OTL.

Przeszukaj folder na partycji systemowej: C:_OTL

dgw0 (Dgw0) 2013-09-04 20:57:21 UTC #10

Ok wszystko jest. Dzięki wielkie.

A mogę skopiować te zdjęcia i usunąć zawartość tego folderu??

To jak sformatuje sobie pendrive teraz to powinien być czysty?

Jutro wieczorem wrzucę skany z telefonem.

Atis (Atis) 2013-09-04 21:27:17 UTC #11

Na pendrive widocznym w logu nie ma szkodliwych plików, więc nie ma potrzeby formatować.

Jeżeli odzyskałeś pliki to możesz skasować cały folder z kwarantanną OTL.

Podłącz zainfekowane urządzenia i pokaż raport Listing i log z OTL.

dgw0 (Dgw0) 2013-09-06 17:50:59 UTC #12

http://www.wklej.org/id/1124318/

http://www.wklej.org/id/1124320/

http://www.wklej.org/id/1124321/

To są skany drugiego laptopa z podłączonym aparatem.

Atis (Atis) 2013-09-06 18:03:29 UTC #13

Odinstaluj Yontoo, QuickStores-Toolbar 1.1.0, Download Updater.

Pobierz i uruchom AdwCleaner Kliknij Scan i później Clean.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btath_bus.sys -- (BTATH_BUS) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000&st=12&barid={611F31DF-4604-4B40-BD20-50DEEC19A8B4} IE - HKLM..\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?sr ... 0&st=12&q={searchTerms}&barid={611F31DF-4604-4B40-BD20-50DEEC19A8B4} IE - HKU\S-1-5-21-4041551288-3406560805-1329038517-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=110819 ... af782b6709 IE - HKU\S-1-5-21-4041551288-3406560805-1329038517-1000..\SearchScopes{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=2912\_1&babsrc=SP\_ss&mntrId=1c539694000000000000ccaf782b6709 IE - HKU\S-1-5-21-4041551288-3406560805-1329038517-1000..\SearchScopes{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?sr ... 0&st=12&q={searchTerms}&barid={611F31DF-4604-4B40-BD20-50DEEC19A8B4} FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" 2012-05-26 15:51:04 | 000,004,117 | ---- | M -- C:\Users\Kamila\AppData\Roaming\mozilla\firefox\profiles\rednb5qq.default\searchplugins\sweetim.xml 2013-08-17 17:57:49 | 000,000,000 | ---D | M -- C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de 2012-07-16 23:31:14 | 000,002,349 | ---- | M -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" File not found O4 - HKU\S-1-5-21-4041551288-3406560805-1329038517-1000..\Run: [] File not found O4 - HKU\S-1-5-21-4041551288-3406560805-1329038517-1000..\Run: [Akamai NetSession Interface] "C:\Users\Kamila\AppData\Local\Akamai\netsession_win.exe" File not found [2012-08-13 14:18:03 | 000,089,088 | ---- | C] (Origin PC) -- C:\ProgramData\kruktlxq.exe 2012-08-13 14:17:56 | 000,000,051 | ---- | C -- C:\ProgramData\wikbaddnvxltzch [2012-05-26 15:45:59 | 000,000,000 | ---D | M] -- C:\Users\Kamila\AppData\Roaming\Babylon [2012-08-13 15:54:25 | 000,000,000 | ---D | M] -- C:\Users\Kamila\AppData\Roaming\QuickStoresToolbar :Files G:*.lnk attrib /d /s -s -h G:* /c :Commands [emptytemp]