Pendrive wirus - Removable Disk

[tomohozo]

Dobry wieczór,

 

Od kilku dni mam problem, mianowicie chodzi o to, że przy wgrywaniu plików na pendrive tworzy się folder Removable disk, a pliki zostają ukryte.

 

Próbowałem usunąć plik autorun.inc ale niestety nie da się (Total Commander (pokazuj ukryte pliki).

 

U mnie na laptopie pliki normalnie widać po wejściu do folderu Removable disk, natomiast na innych komputerach nie jest to możliwe.

 

Ponieważ jestem laikiem proszę o sprawdzenie logów wykonanych przez program ComboFix i wytłumaczenie w jaki sposób mogę się pozbyć tego problemu, tak jak wspominałem wcześniej, jestem laikiem, a więc prosiłbym o jakieś łopatologiczne wytłumaczenie.

 

System Windows Vista 32 bity.

 

Logi:

 

http://wklej.org/id/1562296/

 

Serdeczne dzięki za pomoc

[picasso]

Na temat używania ComboFix: KLIK. Zasady działu jakie logi są obowiązkowe: KLIK. Prócz obowiązkowych logów poproszę też o dodatkowy log USBFix z opcji Listing zrobiony przy podpiętym pendrive.

[tomohozo]

Wrzucam w załączniki logi z FRST oraz USBFix z kategorii listing.

 

Mam jeszcze problem, mianowicie komputer strasznie wolno chodzi (przy włączaniu) trzeba czekać jakieś 5 min żeby cokolwiek można było na nim robić - nie ma dużo aplikacji włączających się przy starcie oraz prawie zawsze zawiesza się przy przeglądaniu stron internetowych, jak jest otwarte kilka zakładek.

 

Prosiłbym też o pomoc z tym wirusem na pendrive.

Addition.txt

FRST.txt

Shortcut.txt

UsbFix Listing 1 TOMEK-PC.txt

[picasso]

Nadal brakuje raportu z GMER.

 

 

Od kilku dni mam problem, mianowicie chodzi o to, że przy wgrywaniu plików na pendrive tworzy się folder Removable disk, a pliki zostają ukryte.

Próbowałem usunąć plik autorun.inc ale niestety nie da się (Total Commander (pokazuj ukryte pliki).

W systemie nie widać oznak infekcji związanej z tą infekcją, ale nie został podany GMER. Na urządzeniu obecnie nie widać ani "Removable Disk", ani ukrytych plików innych niż AUTORUN.INF (który jest pusty = zero bajtów):

 

################## | G:\ - Removable drive (FAT32) |
 

[27/03/2014 - 20:33:12 | A | 11 Ko] - G:\WOW.xlsx

[20/12/2014 - 15:30:38 | A | 26 Ko] - G:\FRST.txt

[20/12/2014 - 15:30:48 | A | 24 Ko] - G:\Addition.txt

[20/12/2014 - 15:30:56 | A | 38 Ko] - G:\Shortcut.txt

[20/12/2014 - 15:32:28 | H | 0 Ko] - G:\AUTORUN.INF

[31/05/2014 - 23:24:36 | A | 379 Ko] - G:\to co do poprawy.docx

[01/04/2014 - 23:20:06 | D] - G:\podstawy projektowania inzynierskiego

 

G:\AUTORUN.INF - a czy to przypadkiem nie jest plik zrobiony przez Panda USB Vaccine (widać ślady stosowania) lub przezeń zablokowany? Wprawdzie plik Panda powinien mieć 16 bajtów a nie 0, ale skoro jest nie do ruszenia, to może to produkt działań Panda. Po utworzeniu takiego pliku za pomocą Panda można go usunąć tylko poprzez format urządzenia lub bezpośrednią hex edycję dysku.

 

 

Mam jeszcze problem, mianowicie komputer strasznie wolno chodzi (przy włączaniu) trzeba czekać jakieś 5 min żeby cokolwiek można było na nim robić - nie ma dużo aplikacji włączających się przy starcie oraz prawie zawsze zawiesza się przy przeglądaniu stron internetowych, jak jest otwarte kilka zakładek.

To osobna sprawa: w systemie działa adware. Poza tym, być może jest tu też i problem z dyskiem twardym, gdyż jest mnóstwo folderów świadczących o intensywnej pracy checkdiska i obcinaniu wadliwych danych:

 

[03/12/2014 - 12:16:37 | D] - C:\found.011

[19/09/2014 - 07:28:29 | D] - C:\found.010

[04/09/2014 - 09:37:03 | D] - C:\found.009

[24/08/2014 - 12:39:25 | D] - C:\found.008

[05/08/2014 - 16:56:27 | D] - C:\found.007

[09/07/2014 - 12:56:54 | D] - C:\found.006

[06/07/2014 - 19:25:57 | D] - C:\found.005

[23/06/2014 - 17:51:41 | D] - C:\found.004

[03/06/2014 - 19:03:29 | D] - C:\found.003

[25/05/2014 - 10:37:15 | D] - C:\found.002

[21/04/2014 - 17:52:08 | D] - C:\found.001

[19/04/2014 - 08:00:28 | D] - C:\found.000

 

Na razie mogę się zająć tylko tym co widać:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 PennyBee; C:\Program Files\PennyBee\PennyBee.exe [50176 2014-10-23] () [File not signed]
R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-11] (Fuyu LIMITED) [File not signed]
U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-18] (Microsoft Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 HTCAND32; System32\Drivers\ANDROIDUSB.sys [X]
Task: {5546CDE7-146D-4926-B7FB-BFF55BC2150D} - System32\Tasks\Opera D5 => C:\Program Files\Opera\launcher.exe
Task: {57963B13-89CD-4F7D-8ED2-765B574B85EF} - System32\Tasks\Opera D1 => C:\Program Files\Opera\launcher.exe
Task: {94E2F319-D480-450B-A33B-D8595CF64612} - System32\Tasks\Opera D6 => C:\Program Files\Opera\launcher.exe
CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1418322505&from=cor&uid=WDCXWD1600BEVS-60RST0_WD-WXCY0754784547845"
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-2669564976-2020018048-883904723-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKU\S-1-5-21-2669564976-2020018048-883904723-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
BHO: No Name -> {7E853D72-626A-48EC-A868-BA8D5E23E045} -> No File
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PPMate
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SopCast
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
G:\AUTORUN.INF
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj:

- Adware: PennyBee, PennyBeeUpdate.

- Stare wersje i zbędniki: Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader 8, Akamai NetSession Interface, Google Toolbar for Internet Explorer, Java™ SE Runtime Environment 6.

 

3. Specjalny skrót IE jest uszkodzony:

 

Shortcut: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz zaległy GMER. Dołącz też plik fixlog.txt.

[tomohozo]

 

 

Nadal brakuje raportu z GMER.

 

Dwukrotna próba użycia tego narzędzia skończyła się fiaskiem, zarówno przy opcji Quick Scan, jak i przy zaznaczeniu tylko party C://. Pojawia się niebieski ekran (charakterystyczny dla systemu Windows XP), po czym laptop się restartuje.

 

 

 

G:\AUTORUN.INF - a czy to przypadkiem nie jest plik zrobiony przez Panda USB Vaccine (widać ślady stosowania) lub przezeń zablokowany? Wprawdzie plik Panda powinien mieć 16 bajtów a nie 0, ale skoro jest nie do ruszenia, to może to produkt działań Panda. Po utworzeniu takiego pliku za pomocą Panda można go usunąć tylko poprzez format urządzenia lub bezpośrednią hex edycję dysku.

 

Pewnie masz rację. Pobrałem USB Vaccine, zainstalowałem, potem zrobiłem format danych na pendrive, następnie wgrałem jakieś pliki, by zobaczyć czy wirus nadal się pojawi. Czy to znaczy, że problem rozwiązany, jeśli po wrzuceniu plików nie ma nic podejrzanego? W USB Vaccine zaznaczyłem, aby system sam nie otwierał zawartości pendrive'a.

 

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

Plik w załączniku. Nie mniej jednak po formacie, pojawiła się informacja na pulpicie:

Line 3921 (File "C:\\Users\Tomek\Desptop\FRST.exe"):

 

Error: Error in expression.

 

Nie mniej jednak plik załączyłem.

 

 

 

2. Przez Panel sterowania odinstaluj:

- Adware: PennyBee, PennyBeeUpdate.

- Stare wersje i zbędniki: Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader 8, Akamai NetSession Interface, Google Toolbar for Internet Explorer, Java™ SE Runtime Environment 6.

 

Odinstalowane.

 

 

 

Specjalny skrót IE jest uszkodzony:

 

Zrobione.

 

 

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz zaległy GMER. Dołącz też plik fixlog.txt. 

 

Fix log i FRST w załączniku.

 

Pozdrawiam i dzięki za dotychczasową pomoc.

FRST.txt

Fixlog.txt