Zainfekowany prendrive, skróty zamiast plików

Pysia141192 · 14 Styczeń 2014 22:00

Witam! Dziś zauwazyłam, że na prendrive, zamiast folderu ze zdjeciami i drugiego z plikami są skróty. Nie wiedziałam co robić (bo te pliki i zdjecia są dla mnie bardzo ważne), więc poszukałam na necie i znalazłam się tutaj.

Ściagnęłam OTL, przeskanowałam i oto wyniki.

Extras --> http://www.wklej.org/id/1236658/

OTL --> http://www.wklej.org/id/1236659/

Atis · 14 Styczeń 2014 22:14

Odinstaluj:

WebConnect 3.0.0

KMP Service

Bonanza Deals

Mobogenie

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Pokaż raport UsbFix z opcji Listing.

Pysia141192 · 14 Styczeń 2014 22:33

http://www.wklej.org/id/1236713/

Atis · 14 Styczeń 2014 23:00

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKU\.DEFAULT..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-18..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O20:64bit: - AppInit_DLLs: (C:\Windows\Jaksta\AC\x64\jaudcap.dll) - C:\Windows\Jaksta\AC\x64\jaudcap.dll (Jaksta Technologies Pty Ltd)
O20 - AppInit_DLLs: (C:\Windows\Jaksta\AC\x86\jaudcap.dll) - C:\Windows\Jaksta\AC\x86\jaudcap.dll (Jaksta Technologies Pty Ltd)
[2013-10-26 17:17:02 | 000,000,000 | ---D | M] -- C:\Users\User\AppData\Roaming\29768
:Files
RECYCLER /alldrives
K:\*.lnk 
E:\ComboFix
E:\Qoobox
K:\FOUND.*
attrib /d /s -s -h K:\* /c
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pokaż nowy raport UsbFix z opcji Listing.

Pysia141192 · 15 Styczeń 2014 08:11

Usuwanie --> http://www.wklej.org/id/1236889/

Skanowanie --> http://www.wklej.org/id/1236893/

Listing --> http://www.wklej.org/id/1236895/

Atis · 15 Styczeń 2014 09:05

Wklej i kliknij Wykonaj skrypt:

:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
:Files
K:\*.ini
K:\*.lnk
K:\RECYCLER

Uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.

http://wstaw.org/m/2012/12/29/2012-12-29_005346.png

Pysia141192 · 15 Styczeń 2014 09:40

Sprzątanie zrobione.

Stare punkty przywracania usunięte, ale kiedy pokazuje się okienko, że “Stare punkty przywracania usunięte” i klikam okej w oknie ochrony systemu to wyskakują mi dwa okna. Screeny dodaję w załącznikach.

Raport z SecurityCheck -->

Atis · 15 Styczeń 2014 09:59

Odinstaluj The Sea App i później w MBAM zaznacz wszystko i kliknij Usuń zaznaczone.

Odinstaluj Java 7 Update 25 i zainstaluj Java 7 Update 51

Błąd

http://www.sevenforums.com/tutorials/66939-task-scheduler-error-event-id-404-fix.html

Pysia141192 · 15 Styczeń 2014 10:27

Zrobione.

Ten błąd trzeba koniecznie usunąć? Bo ja za bardzo nie znam angielskiego i musiałabym nad tym posiedzieć, więc chcę się upewnić.

Atis · 15 Styczeń 2014 11:23

Pobierz i uruchom SystemLook_x64

Do okna programu wklej:

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Rpc
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Ole

Kliknij Look i pokaż raport.

Pysia141192 · 15 Styczeń 2014 11:25

http://www.wklej.org/id/1237009/

Atis · 15 Styczeń 2014 11:51

Kliknij prawym na Komputer > Zarządzaj > Usługi

Sprawdź czy tryb uruchomienia usługi Harmonogram zadań i Dziennik zdarzeń jest Automatyczny.

W poradniku są obrazki, więc porównaj z tym jak tam jest ustawione.

Pysia141192 · 15 Styczeń 2014 12:42

Sprawdziłam, harmonogram zadań był wyłączony, ale już poprawiłam i jest okej.

Mam coś jeszcze do sprawdzenia?

Atis, bardzo dziękuję ci za pomoc!

Pysia141192 · 19 Styczeń 2014 22:04

Hmm, chyba nadal potrzebuję pomocy. Okazało się, że nie tylko pendrive był zainfekowany i zamiast plików i folderów miał skróty, ale także dysk zewnętrzny.

OTL --> http://www.wklej.org/id/1242853/

Extras --> http://www.wklej.org/id/1242856/

Co jest jeszcze potrzebne? Powtórzyć cały proces? Te wszystkie skany?

Pysia141192 · 20 Styczeń 2014 09:39

Adwcleaner --> http://www.wklej.org/id/1243098/

Listing --> http://www.wklej.org/id/1243100/

Acorus · 20 Styczeń 2014 15:05

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
O4 - HKU\S-1-5-21-1190529800-3669105352-1035768370-1000..\Run: [Komunikator] C:\Program Files (x86)\Tlen.pl\tlen.exe File not found
O4 - HKLM..\RunOnce: [] File not found
[2014-01-19 22:51:30 | 000,000,000 | ---D | C] -- C:\AdwCleaner

:Files
I:\*.lnk
attrib /d /s -s -h I:\* /C

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.

Pysia141192 · 20 Styczeń 2014 15:29

Zrobione. Coś jeszcze? Bo widzę, że mimo iż pliki powróciły to skróty zostały i AVG nadal wywala mi komunikaty.

Acorus · 20 Styczeń 2014 15:37

Pokaż nowy USBFix z funkcji Listing.

Pysia141192 · 20 Styczeń 2014 15:42

Listing --> http://www.wklej.org/id/1243454/

Acorus · 20 Styczeń 2014 18:35

Użyj USBFix z funkcji Deletion.