Pamięci przenośne - wirus tworzy skróty

[kalesa]

Mam wirusa który po włożeniu jakiejkolwiek pamięci przenośnej (karta,pendrive) tworzy skrót w tej pamięci do urządzenia.

Jakikolwiek pendrive podłączony do komptera też 'staje sie skrótem', więc wirek musiał wejść też na komputer.

 

Logi

USBFix http://www.wklejto.pl/166784

OTL http://www.wklejto.pl/166785

Extras http://www.wklejto.pl/166786

 

Z gory dziekuje za pomoc i pozdrawiam.

[picasso]

Poproszę o inaczej zrobiony log z USBFix: z opcji Listing, przy wszystkich podpiętych urządzeniach.

[kalesa]

http://www.wklejto.pl/166890

[picasso]

Na temat używanych już narzędzi: uruchamiałeś jakiś skrypt do OTL = co to było?, co robiłeś w TDSSKiller?, RSIT to słabszy program (nie jest zorientowany na 64-bitowe platformy, brak wsparcia dla Windows 8), a instalacje Spybot - Search & Destroy daruj sobie w przyszłości.

 

1. Pobierz FRST. Otwórz Notatnik i wklej w nim:

 

C:\ProgramData\Spybot - Search & Destroy
C:\Users\kalesa\AppData\Roaming\Mozilla\Firefox\extensions\{7473b6bd-4691-4744-a82b-7854eb3d70b6}
C:\WINDOWS\DeleteOnReboot.bat
C:\MSI
H:\desktop.ini
H:\Thumbs.db
H:\Removable Disk (1GB).lnk
I:\desktop.ini
I:\Thumbs.db
I:\KINGSTON (15GB).lnk
I:\autorun.inf
J:\autorun.inf
J:\desktop.ini
J:\Thumbs.db
J:\KALESA'S IP (2GB).lnk
CMD: attrib /d /s -s -h H:\*
CMD: attrib /d /s -s -h I:\*
CMD: attrib /d /s -s -h J:\*

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Wejdź po kolei na dyski H, I, J. Na dyskach będą widoczne foldery "bez nazwy". To w nich są dane właściwe. Przenieś dane z tych folderów poziom wyżej, a foldery przez SHIFT+DEL skasuj.

 

3. Zastosowałeś w USBFix immunizację dla dysków twardych:

 

O32 - AutoRun File - [2013-07-08 15:30:33 | 000,000,000 | RHSD | M] - C:\Autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2013-07-08 15:30:34 | 000,000,000 | RHSD | M] - D:\Autorun.inf -- [ NTFS ]

O32 - AutoRun File - [2013-07-08 15:30:34 | 000,000,000 | RHSD | M] - E:\Autorun.inf -- [ NTFS ]

 

To ma skutki uboczne na Windows 7/8 i usuń z tych dysków immunizację: KLIK.

 

4. Zrób nowy log USBFix z opcji Listing. Dołącz fixlog.txt.

 

 

 

.

[kalesa]

USBFIX http://www.wklejto.pl/166895

FIXLOG http://www.wklejto.pl/166893

 

Jako ze o swoim problemie napisalem na kilku forach, a nie wiem, czy moge tutaj zalaczyc linki do 'konkurencji', to wkleje skrypt::

 

 

 

:OTL
IE - HKU\S-1-5-21-4284930298-1307950728-1732993296-1000\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No CLSID value found
FF - user.js - File not found
FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF64_11_7_700_224.dll File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
O18:[b]64bit:[/b] - Protocol\Handler\ms-help - No CLSID value found
O20 - Winlogon\Notify\SDWinLogon: DllName - (SDWinLogon.dll) -  File not found
O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O30 - LSA: Security Packages - (livessp) -  File not found
@Alternate Data Stream - 128 bytes -> C:\ProgramData\TEMP:EAD001CC

:Commands
[emptytemp]

 

 

Jesli chodzi o TDSSKiller, to robilem tylko zwykle skanowanie.

 

Nie do konca zrozumialem 4.

Mam usunac "Autorun.inf" z kazdego dysku? Jesli tak, to niestety nie mam takich plikow na dyskach.

[picasso]

Zrobione. Tylko drobna poprawka. Zrób nowy plik fixlist.txt o zawartości:

 

H:\desktop.ini
I:\AutoRun.inf
I:\desktop.ini
J:\desktop.ini
C:\ProgramData\Spybot - Search & Destroy

 

Uruchom go w FRST opcją Fix. Przedstaw wynikowy fixlog.txt.

 

 

Jako ze o swoim problemie napisalem na kilku forach, a nie wiem, czy moge tutaj zalaczyc linki do 'konkurencji'

Czytałeś tutejsze zasady działu? W zasadach działu jest napisane, że należy obowiązkowo podać link do tematu. Podaj go.

 

Poza tym, ten skrypt nie miał nic wspólnego z naprawą problemu zasadniczego oraz zawiera rożne nielogiczności: usunięcie poprawnych wpisów systemu (WebCheck to pozorne "not found"), usuwanie napisu "FF - user.js - File not found". Lol, to jest informacja, że pliku user.js nie ma i tego się nie załącza w skrypcie, bo skrypt w ogóle nie robi z tym nic. Tego się po prostu nie naprawia, brak user.js to bardzo pożądana sytuacja (stan domyślny w Firefox).

 

 

Mam usunac "Autorun.inf" z kazdego dysku? Jesli tak, to niestety nie mam takich plikow na dyskach.

- chodzi tylko o dyski C do E

- to nie są pliki tylko foldery

- są obecne tylko ich nie widzisz (nie masz odznaczonej w Opcjach folderów pozycji Ukryj chronione pliki systemu operacyjnego)

- nie masz tego robić ręcznie tylko narzędziem MKV, bo ręcznie i tak Ci się nie uda (te foldery mają specjalny "błąd" w nazwie uniemożliwiający standardowe usuwanie.

 

 

 

.

[kalesa]

FIXLOG http://www.wklejto.pl/166926

Linki

http://forum.komputerswiat.pl/topic/46513-pamieci-przenosne-wirus-tworzy-skroty/

http://forum.pcfoster.pl/topic/13653-wirus-tworzy-skroty-na-pamieciach-przenosnych/

http://forum.idg.pl/topic/218304-pami%C4%99ci-przeno%C5%9Bne-wirus-tworzy-skr%C3%B3ty/

 

Jesli chodzi o pendriva i karte microsd wyglada na to, ze wszystko wrocilo do normy, za co bardzo dziekuje, natomiast dalej mam problem z ipodem. Nie wykrywa mi piosenek, mimo iz nie tworzy juz skrotow.

Co do AutoRun'ow - juz usuniete.

[picasso]

Komentując co wyprawiali z Twoim systemem (i ja sądzę, że nikt z nich nie wie jak działa ta infekcja, bo błądzenie):

- pcfoster.pl: Tylko tu liźnięto temat w ostatnim poście, tzn. zainteresowano się rzeczywistymi wpisami infekcji, ale tylko po stronie systemu (ładowanie cchbuzyt.com). Ale nie zaadresowano zasadniczej wady na urządzeniach.

- idg.pl: głupoty. Nie zauważone wpisy infekcji w systemie. Za to usuwanie całego klucza SearchScopes (wyszukiwarki Internet Explorer) i to poprawnego (! systemowy Bing) oraz MountPoints2 (historia podpinanych USB, w obu raportach OTL+USBFix brak wykrytych infekcyjnych wpisów w tym kluczu).

- komputerswiat.pl: już komentowałam skrypt. Akcje nie związane z problemem i nielogiczności w skrypcie. A że wpisy 64-bit zadali z błędem (tagi Bold forum), skrypt nie wykonał wszystkiego i niepotrzebne akcje samodzielnie się ograniczyły. Trzeba jednak odtworzyć to w co walnęło skryptem, czyli 32-bitowy wpis WebCheck:

 

Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

 

natomiast dalej mam problem z ipodem. Nie wykrywa mi piosenek, mimo iz nie tworzy juz skrotow.

W USBFix widać było dyski H, I, J. Z tego zestawu dysk J wygląda na iPod i ostateczny stan tam osiągnięty to:

 

[08/07/2013 - 15:10:08 | D ] J:\iPod_Control

[09/07/2013 - 18:59:54 | A | 126] J:\desktop.ini

 

Nie było nic więcej niż ten folder + plik desktop.ini (notabene: plik w ostatnim podejściu nie został usunięty, nie znaleziony, tak jakby urządzenie nie było podpięte). Czy folder J:\iPod_Control to jedyne co było wcześniej na urządzeniu? Co w nim jest?

 

 

 

 

.

[kalesa]

Tak, folder iPod_Control to jedyne co od zawsze bylo na iPodzie. Folder zawiera 3 podfoldery: Device, iTunes i Music. Z jakiegos powodu folder iPod_Control byl ukryty, po odkryciu i zrobieniu (na cale szczescie!) kopii zapasowej, odpalilem iTunesa w celu sprawdzenia czy wszystko dziala. Po probie odpalenia iPoda (proby synchronizacji z komputerem) wyskoczyl blad: "Nie mozna zsynchronizowac iPoda "KALESA'S IP" Żądany plik jest zablokowany". Kliknalem 'ok' i w tym momencie wszystkie piosenki z iPoda zostaly usuniete. Na szczescie tak jak wspomnialem zrobilem kopie tego folderu i kolejny raz wrzucilem go na iPoda, ale skutek byl taki sam - folder od razu stal sie ukryty, a po odkryciu i wlaczeniu iTunesa powtorzyla sie sytuacja.

[picasso]

po odkryciu i zrobieniu (na cale szczescie!) (...) Na szczescie tak jak wspomnialem zrobilem kopie tego folderu i kolejny raz wrzucilem go na iPoda, ale skutek byl taki sam - folder od razu stal sie ukryty, a po odkryciu i wlaczeniu iTunesa powtorzyla sie sytuacja.

Czy folder w kopii zapasowej nie jest aby ukryty (flagi HS)? Zrób na urządzeniu ręcznie strukturę folderów:

 

J:\iPod_Control

---- Device

---- iTunes

---- Music

 

I tylko pliki z kopii zapasowej skopiuj do korespondujących gałęzi. Podaj mi jakie są wyniki akcji.

 

 

.

[kalesa]

Nie, folder w kopii zapasowej nie jest ukryty.

Niestety, nic to nie dalo. Wyskoczyl ten sam blad, po czym usuleno cala muzyke. Nowy folder iPod_Control, ktory po bledzie automatycznie zastapil moj stary, jest niewidoczny.  

 

Edit: dodam jeszcze, ze nawet z tym nowym folderem (bez muzyki) dalej wyswietla sie ten sam blad po probie synchronizacji z komputerem.

Edytowane 11 Lipca 2013 przez kalesa

[picasso]

Czy ta kopia iPod na pewno jest poprawna? Może rzeczywiście w kopii są wadliwe obiekty i urządzenie tego po prostu nie przyjmuje. Na wszelki wypadek podaj mi jeszcze DIR iPod (zakładam że jest nadal mapowany jako J) oraz tej kopii zapasowej:

 

Uruchom SystemLook x64 i w oknie wklej:

 

:dir
J:\ /s
X:\ścieżka do kopii folderu /s

 

(pod "X:\ścieżka do kopii folderu" podstawiasz rzecz jasna wierną ścieżkę)

 

Klik w Look. Przestaw wynikowy raport.

 

 

.

[kalesa]

http://www.wklejto.pl/166956

[picasso]

Z tego co widzę na urządzeniu folder iPod_Control i jego podfoldery są ukrywane, ale tylko przez atrybut H. Wg tego co czytam na temat iPoda ich ukrycie jest normalnym zjawiskiem, tak ma być: KLIK.

 

Hmmm, może atrybuty R (Read-Only) lub uszkodzenie bazy iPod stanowią problem? Tak jak tu opisane: KLIK? Na początek wypróbuj tropu z atrybutami R:

 

1. Ściągnij atrybuty R na kopii folderu D:\iPod_Control. Zrób plik fixlist.txt o zawartości:

 

CMD: attrib -r D:\iPod_Control
CMD: attrib /d /s -r D:\iPod_Control\*

 

Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Skopiuj folder D:\iPod_Control na urządzenie zasadnicze i powiedz co się dzieje.

 

 

.

[kalesa]

1. http://www.wklejto.pl/167001

2. Niestety dalej ten sam blad wywalal.

Ale cos sie zmienilo, gdy odznaczylem opcje 'tylko do odczytu'. Blad juz nie wyskakiwal, ale muzyki tez nie odczytalo, natomiast odczytalo, ze iPoda jest zapelniony.

[picasso]

Ale cos sie zmienilo, gdy odznaczylem opcje 'tylko do odczytu'. Blad juz nie wyskakiwal, ale muzyki tez nie odczytalo, natomiast odczytalo, ze iPoda jest zapelniony.

Opcję "Tylko do odczytu" miała ściągnąć rekursywna komenda na kopii folderu. Komenda się niby wykonała... Skoro Ty mówisz, że odznaczałeś ten atrybut ręcznie, to albo komenda jednak nie wykonana, albo atrybuty zostały ponownie nałożone. Z czego konkretnie ściągałeś ten atrybut? Wg skanu SystemLok był on na wszystkich plikach urządzenia, w tym muzycznych.

 

I może tu jest jednak wariant z uszkodzoną bazą iPod. Wykonaj sprawdzanie dysku J checkdiskiem jak podane w linku (KLIK).

 

 

.

[kalesa]

Opcje 'tylko do odczytu' odznaczylem juz na dysku J. Sprawdzanie dysku nic nie wykrylo.

[picasso]

"Tylko do odczytu" było zdejmowane na kopii folderu, skoro po przeniesieniu na urządzenie znów są te atrybuty, zostały dodane. Odznaczałeś je dla każdego pliku po kolei?

 

Obawiam się, że tu więcej nie zdziałam. Po prostu wygląda na to, że coś jest nie tak z tą kopią folderu iPod_Control. Urządzenie jej nie akceptuje i usuwa dane. Czy możesz sprawdzić jak sprawy wyglądają "na czysto", tzn. skopiowanie na iPod muzyki z innego źródła niż ta kopia zapasowa?

 

 

.

[kalesa]

Zauwazylem teraz cos innego. Za kazdym razem gdy odznaczam 'tylko do odczytu' po chwili automatycznie ta opcja sama sie wlacza. 

Jest mozliwosc aby odznaczyc ta opcje permanentnie? Byc moze to rozwiaze problem

[picasso]

Albo odznaczasz atrybut na składniku który dziedziczy atrybut z poziomu wyżej, albo jest coś nie tak z danymi. Czy zaczynasz zdejmować atrybuty "od samej góry"?

[kalesa]

Jakkolwiek bym nie zrobil to i tak opcja wraca. Dotyczy to wszystkich folderow na dysku J oraz na kopii zapasowej.

 

Edit:poddaje sie, zrobilem juz tyle roznych kombinacji i doszedlem do wniosku, ze jeszcze raz sformatuje iPoda i dodam recznie kazda piosenke.

Chcialbym BARDZO podziekowac za PROFESJONALNA pomoc, bo bez Ciebie i Twojego forum podejrzewam, ze bym sobie z tym nie poradzil.

Bardzo dziekuje za wlozony trud i poswiecony czas. Pozdrawiam.

[picasso]

Edit:poddaje sie, zrobilem juz tyle roznych kombinacji i doszedlem do wniosku, ze jeszcze raz sformatuje iPoda i dodam recznie kazda piosenke.

Myślę, że to dobry pomysł i nie ma co żałować decyzji.

 

Na zakończenie jeszcze:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, odinstaluj USBFix, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj starszą Java 7 Update 9 (64-bit), zaktualizuj Google Chrome i Silverlight.

 

 

 

.

[kalesa]

Zrobione.

Dziekuje jeszcze raz za pomoc i pozdrawiam.