Zainfekowany pendrive - nie widać zawartości


(Pawel Grzymowicz) #1

Witajcie, 

 

mam problem z zainfekowanym pendrivem. Robiłem przeinstalowanie windowsa 8 (bo podejrzewałem, że mam spyware`u dużo, co okazało się prawdą), zgrałem ważne pliki na pendrivy. Po przywróceniu ustawień początkowych windowsa chciałem wgrać z pena moje pliki, po przeskanowaniu avastem wykryło wirusy które avast przeniósł do kwarantannej. Od tego czasu, po odpaleniu pena nie widzę jego zawartości. Poniżej log z usbfixa

 

############################## | UsbFix V 7.811 | [Research]

 

User: M (Administrator) # KOMP-NO1

Updated 20/01/2015 by El Desaparecido - SosVirus

Started at 13:10:14 | 26/01/2015

 

Website : http://www.en.usbfix.net/

Changelog : http://www.en.usbfix.net/changelog/

Support : http://www.sos-virus.net/

Live detection : http://how-to-remove.us/

Contact : http://www.en.usbfix.net/contact/

 

**################## | System information |**

 

MB: SAMSUNG ELECTRONICS CO., LTD. (NP350V5C-S0APL) 

CPU: Intel® Core i7-3630QM CPU @ 2.40GHz

GC: Intel® HD Graphics 4000

RAM -> [Total : 6035 Mo | Free : 4346 Mo]

Bios: American Megatrends Inc.

Boot: Normal boot

 

OS: Microsoft™ Windows 8.1 Pro (6.3.9600 64-Bit) 

WB: Internet Explorer : 11.00.9600.16384

WB: Google Chrome : 40.0.2214.91

 

**################## | Security Information |**

 

AV: Windows Defender [(!) Disabled |Updated]

AV: avast! Antivirus [(!) Disabled |Updated]

AS: Windows Defender [(!) Disabled |Updated]

AS: avast! Antivirus [(!) Disabled |Updated]

FW: Windows Firewall [Enabled]

SC: Security Center [Enabled]

WU: Windows Update [Enabled]

 

**################## | Disk Information |**

 

C:\ (%SystemDrive%) -> Fixed disk # 931 Gb (904 Gb free - 97%) [] # NTFS

D:\ -> Removable disk # 4 Gb (3 Gb free - 84%) [] # NTFS

 

**################## | Regedit Run |**

 

F2 - HKLM..\Winlogon : [shell] explorer.exe

F2 - [x64] HKLM..\Winlogon : [shell] explorer.exe

F2 - HKLM..\Winlogon : [userinit] userinit.exe

F2 - [x64] HKLM..\Winlogon : [userinit] C:\Windows\system32\userinit.exe,

04 - HKLM..\Run : [startCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe" MSRun

04 - HKLM..\Run : [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui

 

**################## | Generic Research |**

 

 

**################## | Registry |**

 

 

**################## | UsbFix - Information |**

 

Info :

Info : Shortcut virus on flash disk, What is it ?

Live detection : http://how-to-remove.us/

 

**################## | Hijack |**

 

Hijacked! [sHD] D:\Age of Empires II

Hijacked! [sH] D:\F_Protokół_Odbioru_GW_2014.pdf

Hijacked! [sH] D:\Taka sobie opisówka.docx

Hijacked! [sHD] D:\WAMASOFT

Hijacked! [sH] D:\WamaSoft.pdf

Hijacked! [sH] D:\zmiany krs w wama soft.docx

 

################## | E.O.F |** [http://www.sosvirus.net/**](http://www.sosvirus.net/) |** [http://www.en.usbfix.net/**](http://www.en.usbfix.net/) **|**

 

Z góry dzięki za pomoc!


(Acorus) #2

Podepnij pendriva. Pokaż log UsbFix z funkcji listing.

 

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.


(Pawel Grzymowicz) #3

 

Raport z funkcji “Listing”

 

http://wklej.org/id/1609881/

 

Raport FRST

 

http://wklej.org/id/1609885/

 

Raport Additional

 

http://wklej.org/id/1609886/


(Acorus) #4

Otwórz notatnik systemowy i wklej:

HKLM-x32\...\RunOnce: [] = [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hpppts=1422272070from=coruid=HGSTXHTS541010A9E680_JA10001023YG0R23YG0RX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hpppts=1422272070from=coruid=HGSTXHTS541010A9E680_JA10001023YG0R23YG0RX
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dsts=1422272031from=coruid=HGSTXHTS541010A9E680_JA10001023YG0R23YG0RXq={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dsts=1422272031from=coruid=HGSTXHTS541010A9E680_JA10001023YG0R23YG0RXq={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hpppts=1422272070from=coruid=HGSTXHTS541010A9E680_JA10001023YG0R23YG0RX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hpppts=1422272070from=coruid=HGSTXHTS541010A9E680_JA10001023YG0R23YG0RX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dsts=1422272031from=coruid=HGSTXHTS541010A9E680_JA10001023YG0R23YG0RXq={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dsts=1422272031from=coruid=HGSTXHTS541010A9E680_JA10001023YG0R23YG0RXq={searchTerms}
HKU\S-1-5-21-3089141541-1828154270-4214640693-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dsppts=1422272070from=coruid=HGSTXHTS541010A9E680_JA10001023YG0R23YG0RXq={searchTerms}
HKU\S-1-5-21-3089141541-1828154270-4214640693-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hpppts=1422272070from=coruid=HGSTXHTS541010A9E680_JA10001023YG0R23YG0RX
HKU\S-1-5-21-3089141541-1828154270-4214640693-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hpppts=1422272070from=coruid=HGSTXHTS541010A9E680_JA10001023YG0R23YG0RX
HKU\S-1-5-21-3089141541-1828154270-4214640693-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dsppts=1422272070from=coruid=HGSTXHTS541010A9E680_JA10001023YG0R23YG0RXq={searchTerms}
SearchScopes: HKU\S-1-5-21-3089141541-1828154270-4214640693-1001 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dsppts=1422272070from=coruid=HGSTXHTS541010A9E680_JA10001023YG0R23YG0RXq={searchTerms}
SearchScopes: HKU\S-1-5-21-3089141541-1828154270-4214640693-1001 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=butm_medium=corutm_campaign=install_ieutm_content=dsfrom=coruid=HGSTXHTS541010A9E680_JA10001023YG0R23YG0RXts=1422272086type=defaultq={searchTerms}
SearchScopes: HKU\S-1-5-21-3089141541-1828154270-4214640693-1001 - {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=butm_medium=corutm_campaign=install_ieutm_content=dsfrom=coruid=HGSTXHTS541010A9E680_JA10001023YG0R23YG0RXts=1422272086type=defaultq={searchTerms}
SearchScopes: HKU\S-1-5-21-3089141541-1828154270-4214640693-1001 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dsppts=1422272070from=coruid=HGSTXHTS541010A9E680_JA10001023YG0R23YG0RXq={searchTerms}
SearchScopes: HKU\S-1-5-21-3089141541-1828154270-4214640693-1001 - {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=butm_medium=corutm_campaign=install_ieutm_content=dsfrom=coruid=HGSTXHTS541010A9E680_JA10001023YG0R23YG0RXts=1422272086type=defaultq={searchTerms}
BHO-x32: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited)
CHR StartupUrls: Default - "hxxp://www.trovi.com/?gd=ctid=CT3319709octid=EB_ORIGINAL_CTIDISID=M1B681FBF-5887-477C-96CF-84140BE8A388SearchSource=55CUI=UM=6UP=SP5D82D3DE-1ADB-446F-8706-FB5C155E461BSSPV=", "hxxp://www1.delta-search.com/?babsrc=HP_ssmntrId=A0FA52B7C352C0B2affID=119357tsp=4962", "hxxp://isearch.omiga-plus.com/?type=hpts=1422272031from=coruid=HGSTXHTS541010A9E680_JA10001023YG0R23YG0RX", "hxxp://isearch.omiga-plus.com/?type=hpppts=1422272070from=coruid=HGSTXHTS541010A9E680_JA10001023YG0R23YG0RX"
R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158896 2015-01-16] (XTab system)
R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [464384 2015-01-26] (SysTool PasSame LIMITED) [File not signed]
S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X]
S3 OSFMount; \\C:\Program Files\OSFMount\OSFMount.sys [X]
2015-01-26 12:35 - 2015-01-26 12:35 - 00000000 ____ D () C:\ProgramData\IHProtectUpDate
2015-01-26 12:34 - 2015-01-26 12:35 - 00000000 ____ D () C:\Program Files (x86)\XTab
2015-01-26 12:34 - 2015-01-26 12:34 - 00000000 ____ D () C:\ProgramData\WindowsMangerProtect
2015-01-26 12:33 - 2015-01-26 12:41 - 00000000 ____ D () C:\Users\M\AppData\Roaming\omiga-plus
CMD: attrib /d /s -s -h D:\*
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Pawel Grzymowicz) #5

Rewelacja! Wszystko działa, przeskanowałem pod kątem występowania złośliwego oprogramowania i nic Avast nie znajduje. Mam jeszcze dwa podobne peny z plikami jak wyżej. Czy to zadziała również na nie ? na razie wolałem ich nie podłączać…


(Acorus) #6

Skasuj folder C:\FRST

Podłącz je i Użyj USBFix z funkcji Listing.Pokaż z niego log.


(Pawel Grzymowicz) #7

Pierwszy pen

 

Raport Listing

 

http://wklej.org/id/1609985/

 

Drugi pen

 

Raport Listing

 

http://wklej.org/id/1609989/


(Acorus) #8

Podłącz je razem i pokaż 1 log.


(Pawel Grzymowicz) #9

http://wklej.org/id/1609993/


(Acorus) #10

Otwórz notatnik systemowy i wklej:

CMD: attrib /d /s -s -h D:\*
CMD: attrib /d /s -s -h F:\*

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Pawel Grzymowicz) #11

Wszystko działa! Bardzo dziękuję za pomoc!