MONIA09
22 Czerwiec 2013 15:11
#1
Czy ktoś może pomóc mi usunąc wirusa, który zamienia nazwę pendrive karty SD i jakiej dziwne nazwy (ciąg liter) i tworzy skróty do folderów. Przyniosłam go na pendrive z uczelni, niestety teraz jest też na karcie SD ze zdjęciami. O ile pendrive nie jest mi już potrzebny, tak kartę SD używam codziennie do robienia/obróbki zdjęć.
Foldery zamieniły się w skróty. Można je otworzyć i jest zawartość. Utworzył się nowy folder Autorun.inf. i jakieś pliki ukryte thumbs.db, desktop.ini, -.
Dodam, że nie nie znam się bardzo na ''tych sprawach"… Ściągnęłam program USB Fix, OTL i zrobiłam skany
OTL.Txt
http://www.wklej.org/id/1071059/
Extras.Txt
http://www.wklej.org/id/1071060/
Raport USBfix z opcji listing
http://www.wklej.org/id/1071095/
Może ktoś orientuje się jak usunąć tego wirusa?
Na komputerze mam antywirusa Microsoft Security Essentials.
To chyba pierwszy taki uciążliwy wirus jaki wdarł mi się do laptopa od 2 lat… Byłabym bardzo wdzięczna za pomoc.
Atis
22 Czerwiec 2013 15:21
#2
Podłącz ten pendrive, bo należy wyczyścić wszystkie nośniki.
Do okna Własne opcje skanowania / skrypt wklej:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] – System32\Drivers\RtsUStor.sys – (RSUSBSTOR) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\PCAMPR5.SYS – (PCAMPR5) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Reg Error: Value error. [2012-02-07 20:17:45 | 000,002,310 | ---- | M] () – C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (TinyBHO Class) - {00e71626-0bef-11dc-8314-0800200c9a66} - C:\Documents and Settings\Monika\Dane aplikacji\DownloaderGold\ieplug.dll () O2 - BHO: (TinyBHO Class) - {00e71626-0bef-11dc-8314-0864264c9a64} - C:\Documents and Settings\Monika\Dane aplikacji\DownloaderGold\ieplug.dll () O4 - HKLM…\Run: [adiras] adiras.exe File not found O4 - HKLM…\Run: [autoclk] autoclk.exe File not found O4 - HKU\S-1-5-21-583907252-1592454029-839522115-1004…\Run: [msnmsgr] “C:\Program Files\MSN Messenger\msnmsgr.exe” /background File not found O4 - HKLM…\RunOnce: [] File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 42487 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccvkqomw.scr (Hause) O8 - Extra context menu item: Ściągaj z Mipony - file://C:\Program Files\MiPony\Browser\IEContext.htm File not found [2012-02-07 20:17:42 | 000,000,000 | —D | M] – C:\Documents and Settings\All Users\Dane aplikacji\Babylon [2013-02-04 23:21:18 | 000,000,000 | —D | M] – C:\Documents and Settings\Monika\Dane aplikacji\DSite [2013-06-22 16:23:56 | 000,000,000 | —D | M] – C:\Documents and Settings\Monika\Dane aplikacji\DownloaderGold :Files E:\desktop.ini E:\Thumbs.db E:*.lnk attrib /d /s -s -h E:* /c :Commands [emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
Pokaż nowy raporty UsbFix z opcji Listing.
MONIA09
22 Czerwiec 2013 15:44
#3
Podłączyłam więc także pendrive. Wykonałam skrypt. Zrestartowałam laptopa.
Raport z usuwania
http://www.wklej.org/id/1071125/
Nowy log Skanuj OTL.Txt
http://www.wklej.org/id/1071127/
Extras.Txt
http://www.wklej.org/id/1071128/
Raport USBfix z opcji Listing
http://www.wklej.org/id/1071134/
Atis
22 Czerwiec 2013 16:39
#4
Przecież w tym skrypcie nie było nic związanego z pendrive.
Miałaś podłączyć pendrive na czas skanowania UsbFix.
Trojan przeniósł wszystkie pliki do folderu bez nazwy. W UsbFix kliknij Vaccinate.
Uruchom OTL i kliknij Sprzątanie.
Wyłącz i ponownie włącz przywracanie systemu:
http://support.microsoft.com/kb/310405/pl
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.
http://wstaw.org/m/2012/12/29/2012-12-29_005346.png
MONIA09
22 Czerwiec 2013 18:40
#5
Chodziło mi o to, że oprócz karty SD podłączyłam do laptopa też tego pendrive zainfekowanego.
Po zakończeniu sprzątania zniknął z pulpitu program OLT. Wyłączyłam i włączyłam ponownie przywracanie systemu.
I teraz mam problem.
A to raport z programu SecurityCheck:
Nie wiem jednak jak zaktualizować Javę i przeglądarkę Explorer. Adobe Reader zaktualizowałam.
Atis
22 Czerwiec 2013 19:02
#6
Chodzi o to, że w logach widoczne jest tylko jedno urządzenie, więc z drugiego nie można usunąć szkodliwych plików.
W przypadku XP nie ma dostepnej nowszej wersji niż IE8, więc to jest błąd.
Odinstaluj:
JavaFX 2.1.0
Java 7 Update 4
Adobe Reader 9
Zainstaluj:
Java 7 Update 25
Adobe Reader
MONIA09
22 Czerwiec 2013 19:18
#7
No tak bo jak robiłam pierwsze logi to tylko karta SD była włożona. A dopiero później podłączyłam pendrive. W takim razie wyciągnęłam go teraz. Czy aby usunąć z pendrive też te wirusy podłączyć go jeszcze raz i zrobić logi od nowa?
Instaluję właśnie te programy.
Atis
22 Czerwiec 2013 19:26
#8
Podłącz pendrive i utwórz log z OTL i UsbFix.
MONIA09
22 Czerwiec 2013 19:48
#9
Atis
22 Czerwiec 2013 20:22
#10
Wklej i kliknij Wykonaj skrypt:
Pokaż nowy raporty UsbFix z opcji Listing.
MONIA09
22 Czerwiec 2013 20:30
#11
To jest wynik wykonania skryptu OTL
http://www.wklej.org/id/1071361/
A tu raport z UsbFix z opcji Listing
http://www.wklej.org/id/1071363/
Na pulpicie widzę ukryte pliki Thumbs.db i photothumb.db
Atis
22 Czerwiec 2013 20:38
#12
Na pendrive również masz folder bez nazwy w którym są wszystkie pliki.
Przy podłączonym pendrive kliknij Vaccinate.
Widzisz pliki na pulpicie, bo OTL ustawia pokazywanie plików ukrytych i systemowych, a Sprzątanie przywróci domyślne ustawienia.
Kliknij Sprzątanie i to wszystko.
MONIA09
22 Czerwiec 2013 21:06
#13
Dzięki, na wszelki wypadek sformatowałam jeszcze pendrive i kartę… Mam nadzieję, że wirus nie powróci.
