Wirus zmienił foldery w skróty, proszę sprawdzić log, pomocy

dodi1 (dodi____) 2010-12-14 20:53:38 UTC #1

Witam,

proszę o pomoc, wirus zmienił mi wszystkie foldery na pendrive w skróty.

Chciałby odzyskać wszystkie dane, bo są dla mnie ważne.

zamieszczam logi z OTL'a

http://wklej.to/XQon

http://wklej.to/sSuf

Wykonałem skan programem Malwarebytes' Anti-Malware i wyleczyłem wszystkie infekcje

zamieszczam log z programu

http://wklej.org/id/438306/

drugi log ze skanowania i leczenia

http://wklej.org/id/438307/

Logi z OTL po wykonaniu skanowania i leczenia programem Malwarebytes' Anti-Malware

http://wklej.org/id/438308/

http://wklej.org/id/438309/

Dziękuję z góry za pomoc

jessica (jessica) 2010-12-15 06:40:47 UTC #2

Z logu OTL wymika, że te skróty nie powstały na dysku twardym., więc po prostu użyj USBFix , >http://www.bezpieczenstwosystemow.pl/index.php?topic=7405.0

Kliknij w nim na: DELETION.

USBFox samoczynnie to wyleczy znów zamiast skrótów będą normalne obiekty.

Daj raport z tego usuwania.

Potem:

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL MsConfig - StartUpReg: ALaunch - hkey= - key= - c:\sysprep\ALaunch.exe File not found MsConfig - StartUpReg: cdoosoft - hkey= - key= - C:\DOCUME~1\admin\USTAWI~1\Temp\herss.exe File not found MsConfig - StartUpReg: EasyMode - hkey= - key= - File not found MsConfig - StartUpReg: HotKeysCmds - hkey= - key= - File not found MsConfig - StartUpReg: IgfxTray - hkey= - key= - File not found MsConfig - StartUpReg: Persistence - hkey= - key= - File not found O34 - HKLM BootExecute: (autocheck autochk /r \??\F:) - File not found O34 - HKLM BootExecute: (autocheck autochk /r \??\F:) - File not found O34 - HKLM BootExecute: (autocheck autochk /r \??\F:) - File not found O34 - HKLM BootExecute: (autocheck autochk /r \??\F:) - File not found O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. :Files w9uxx92.exe /alldrives RECYCLER /alldrives 3yalgc.exe /alldrives qcod.exe /alldrives cqb6wo.exe /alldrives :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\WINDOWS\system32\userinit.exe," [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania, i oczywiście raport USBFix z usuwania.

jessi

dodi1 (dodi____) 2010-12-15 13:27:41 UTC #3

raport usbfix:

http://wklej.org/id/438438/

raport z wykonanego skryptu:

http://wklej.org/id/438439/

log z OTL'a:

http://wklej.org/id/438440/

jessica (jessica) 2010-12-15 13:44:27 UTC #4

Wg mnie: jest OK.

W USBFix kliknij na przycisk UNINSTALL

jessi

dodi1 (dodi____) 2010-12-15 18:30:37 UTC #5

Dziekuje bardzo za pomoc.

Jednak jest mam problem bo wirus znajdowal sie na innym komputerze z ktorego przeniosl sie na pendriv'a a potem na drugi komputer ktory zostal naprawiony powyzej

dostal sie jeszcze na karte aparatu i karte telefonu

zamieszczam log z komputera ktory byl poczatkiem problemow.

http://wklej.org/id/438640/

http://wklej.org/id/438643/

skanowalem komputer programem Malwarebytes' Anti-Malware i nie znalazl zadnej infekcji

Prosze o pomoc

jessica (jessica) 2010-12-15 20:30:42 UTC #6

Nie widzę tu infekcji.

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL IE - HKU\S-1-5-21-2778015196-4142775381-2958492656-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/ O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files (x86)\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll () O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files (x86)\BearShare Applications\MediaBar\DataMngr\IEBHO.dll () 3:64bit: - HKLM..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll () O3:64bit: - HKLM..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files (x86)\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll () O3 - HKLM..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll () O3 - HKLM..\Toolbar: (no name) - Locked - No CLSID value found. O3:64bit: - HKU\S-1-5-21-2778015196-4142775381-2958492656-1000..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll () O3 - HKU\S-1-5-21-2778015196-4142775381-2958492656-1000..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll () O4 - HKU\S-1-5-21-2778015196-4142775381-2958492656-1000..\Run: [bearShare] C:\Program Files (x86)\BearShare Applications\BearShare\BearShare.exe (MusicLab, LLC) O4 - HKU\S-1-5-21-2778015196-4142775381-2958492656-1000..\Run: [DAEMON Tools Lite] C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe File not found O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. [2010/01/19 06:16:01 | 000,000,000 | -HSD | M] -- C:\Users\o\AppData\Roaming.# @Alternate Data Stream - 360 bytes -> C:\WinRE{33875bcb0-c571-4ac4-9d2d-87796275a886}:$WIMMOUNTDATA :Files C:\Program Files (x86)\BearShare Applications C:\Users\o\AppData\Local\Temp*.html :Commands [emptytemp]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania.

jessi

dodi1 (dodi____) 2010-12-16 12:49:40 UTC #7

Dziękuję za poświęcony czas.

zamieszczam raport z usuwania:

http://wklej.org/id/439028/

i log z OTL'a:

http://wklej.org/id/439029/

zainfekowane karty pamięci naprawiłem programem usbfix, skanując i likwidując wcześniej z nich infekcje programem antywirusowym

Dziękuję za pomoc.

jessica (jessica) 2010-12-16 13:05:51 UTC #8

W nowym logu nie widzę niczego podejrzanego.

Powinno być OK.

W USBFix kliknij na przycisk UNINSTALL

jessi

dodi1 (dodi____) 2010-12-16 14:31:24 UTC #9

Dziękuję za pomoc.

Życzę Wesołych i Spokojnych Świąt Bożego Narodzenia i Szczęśliwego Nowego Roku.

Zamykam temat

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem