Zainfekowany dysk, skróty folderów na dysku zewnętrznym

[Zakrzew21]

Witam,
Mam dysk zewnętrzny Samsung m3 portable 1TB, po podpięciu do komputera kolegi wszystkie foldery zamieniły się w skróty Komunikat"System nie może odnaleźć pliku M:\RECYCLER\8f45ece.exe". Format odpada bo mam masę ważnych dokumentów i danych na dysku.

Z góry dzięki za pomoc. Prosiłbym o jakieś wskazówki krok po kroku co mam robić, ponieważ jestem w tym kompletnie zielony.

UsbFix (Listing).txt

UsbFix.txt

Addition.txt

frst.txt

GMER.txt

Extras.Txt

OTL.Txt

[picasso]

Prócz infekcji na urządzeniu, w systemie kupa adware.

 

1. Przez Panel sterowania odinstaluj adware Bundled software uninstaller, Complitly, Delta toolbar, Protected Search 1.1, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1, Viewpoint Media Player. Jeśli coś zwróci błąd, nie szkodzi, leć dalej:

 

2. Urządzenie ma być podpięte. Otwórz Notatnik i wklej w nim:

 

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=1373037930
HKCU\Software\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=33953&st=home&tid=3546&ts=1363644749269&tguid=33953-3546-1363644650200-959201
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=1373037930
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=1373037930
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=1373037930
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=33953&tid=3546&ts=1363644749269&tguid=33953-3546-1363644650200-959201&st=chrome&q=
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=1373037930
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=1373037930
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=33953&st=home&tid=3546&ts=1363644749269&tguid=33953-3546-1363644650200-959201
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=vltnew&from=vltnew&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=1366455997
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=vltnew&from=vltnew&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=0
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=vltnew&from=vltnew&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=0
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=vltnew&from=vltnew&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=0
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=33953&st=bs&tid=3546&ts=1363644749269&tguid=33953-3546-1363644650200-959201&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=vltnew&from=vltnew&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=0
SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=120349&babsrc=SP_ss&mntrId=1CF11C6F653F903B
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=33953&st=bs&tid=3546&ts=1363644749269&tguid=33953-3546-1363644650200-959201&q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=120349&babsrc=SP_ss&mntrId=1CF11C6F653F903B
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD1600JS-60NCB1_WD-WCANME49424494244&ts=0
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL =
BHO: Complitly - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\Wojtek\AppData\Roaming\Complitly\64\Complitly64.dll (SimplyGen)
BHO-x32: Complitly - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\Wojtek\AppData\Roaming\Complitly\Complitly.dll (SimplyGen)
Toolbar: HKLM - No Name - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - No File
Toolbar: HKCU - No Name - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - No File
FF Plugin-x32: @ei.VideoDownloadConverter_4z.com/Plugin - C:\Program Files (x86)\VideoDownloadConverter_4zEI\Installr\1.bin\NP4zEISB.dll (VideoDownloadConverter)
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
FF Plugin-x32: @viewpoint.com/VMP - C:\Program Files (x86)\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll ()
Task: {009C38CF-D6F9-4B86-8DB3-463FA5FFEFCE} - \Program aktualizacji online firmy InstallShield Software. No Task File
Task: {0AFF3B88-5D8F-446C-8F75-2EBD0DC8005C} - System32\Tasks\{D8F5A6FD-114F-4547-BEB8-5F00B5662B7D} => G:\Download\cfosspeed-v650.exe No File
Task: {25378259-25DB-460D-BA2E-895BDD1CCB32} - System32\Tasks\{739C6975-C9E6-4AC1-81D4-1A009DD24596} => C:\Users\Wojtek\AppData\Local\e-academy Inc\SecureDownloadManager\SecureDownloadManager.exe No File
Task: {26A0FFFE-028E-452B-8D08-D1D9D820C297} - System32\Tasks\{A0A7E3DF-6C78-47CA-B931-51E25C75D967} => C:\Program Files (x86)\Mozilla Firefox\firefox.exe [2013-08-17] (Mozilla Corporation)
Task: {335BD46B-563B-48ED-A15A-5AF24A315B33} - System32\Tasks\{159C5AD2-E12B-43BF-A328-CFE769D04955} => c:\program files (x86)\mozilla firefox\firefox.exe [2013-08-17] (Mozilla Corporation)
Task: {3C1D1FBC-D4E1-4153-8B2E-3BF2DACADE64} - System32\Tasks\ProtectedSearch\Protected Search => C:\Program Files (x86)\Protected Search\ProtectedSearch.exe [2013-01-14] (Simplygen)
Task: {54BB3138-1C82-45F3-9C97-86226F696E40} - System32\Tasks\{2759E921-AE3D-42D2-A496-339ED5BD53D0} => E:\Program Files (x86)\Dwarfs!\Dwarfs.exe No File
Task: {68A94A54-2E4C-4FA5-B832-1FFB29F45E11} - System32\Tasks\{BAAD6AE8-4C8F-4849-A082-00168435ED31} => E:\instalki gier\Assassins Creed 2-skidrow-crack\NEW CRACK\serial_generator.exe No File
Task: {68DDA1DE-A293-4271-85E3-39C4F558A7AF} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe No File
Task: {6EE733F1-B9FF-4DCA-B1A7-C123071E07FF} - System32\Tasks\{64C74183-FECF-4015-9F65-BC348035522F} => N:\setup.exe No File
Task: {7821C510-ADE6-41ED-B27B-53D2D51AB8F0} - System32\Tasks\EPUpdater => C:\Users\Wojtek\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe [2013-04-17] ()
Task: {85236802-FC87-4616-9C3C-C53802563CC9} - \Program aktualizacji online firmy Adobe. No Task File
Task: {A846291A-1FA5-40F8-B513-3588F442A559} - System32\Tasks\{13096EA7-E36E-4689-BFE6-8F49B1BC38D4} => N:\setup.exe No File
Task: {D0EA2D68-8DFC-40AB-802C-11241091472C} - System32\Tasks\{4D9DDE33-B491-4A41-9856-9EE875F0BF3C} => D:\Program Files (x86)\Mount&Blade Warband\mb_warband.exe No File
Task: {DCE8433E-BCF9-4703-BCA6-BA24BA4BC4C4} - System32\Tasks\{966BA18A-7791-4F40-9228-19F26658DFB1} => E:\instalki gier\Assassins Creed 2-skidrow-crack\NEW CRACK\serial_generator.exe No File
Task: {E96BBEBC-BEC9-4FB3-BB3B-BED985708C7F} - System32\Tasks\{0469D7A3-6063-4A56-B499-06AAD5DE3A43} => C:\Program Files (x86)\Mozilla Firefox\firefox.exe [2013-08-17] (Mozilla Corporation)
Task: {EF19A3C1-9C64-4B25-8B54-D3226A07F794} - System32\Tasks\{A2972611-2F98-44EC-B578-5AF87B9A7B78} => C:\Program Files (x86)\Mozilla Firefox\firefox.exe [2013-08-17] (Mozilla Corporation)
Task: {F28774D9-2575-4130-8196-FE60C78526C4} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe No File
Task: {F3706AA0-2D47-4FA1-8C72-47C77A9554A2} - System32\Tasks\{76830C27-38DA-4F7E-9170-6792DC6A1B95} => D:\Program Files (x86)\Battlestations Pacific\Battlestations Pacific\battlestationspacific.exe No File
HKCU\...\Run: [] - [x]
ProxyServer: http=;ftp=;https=;
S3 AtiDCM; \??\C:\Users\Wojtek\AppData\Local\Temp\atidcmxx.sys [x]
S3 dump_wmimmc; \??\D:\Program Files (x86)\gPotato.eu\Rappelz\GameGuard\dump_wmimmc.sys [x]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x]
S3 LgBttPort; system32\DRIVERS\lgbtpt64.sys [x]
S3 lgbusenum; system32\DRIVERS\lgbtbs64.sys [x]
S3 LGVMODEM; system32\DRIVERS\lgvmdm64.sys [x]
S3 NPPTNT2; \??\C:\Windows\system32\npptNT2.sys [x]
U0 sr;
S3 usbbus; system32\DRIVERS\lgx64bus.sys [x]
S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [x]
S3 USBModem; system32\DRIVERS\lgx64modem.sys [x]
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Wojtek\*.exe
C:\Users\Wojtek\*.dat
C:\Users\Wojtek\AppData\Roaming\BabMaint.exe
C:\Users\Wojtek\AppData\Roaming\B1Toolbar
C:\Users\Wojtek\AppData\Roaming\BabSolution
C:\Users\Wojtek\AppData\Roaming\Babylon
C:\Users\Wojtek\AppData\Roaming\Dealply
C:\Users\Wojtek\AppData\Roaming\eIntaller
C:\Users\Wojtek\AppData\Roaming\eUpdate
C:\Users\Wojtek\AppData\Roaming\OpenCandy
C:\Users\Wojtek\AppData\Roaming\toolplugin
C:\Users\Wojtek\AppData\Local\Google\Chrome
CMD: del /q M:\*.lnk
CMD: attrib /d /s -s -h M:\*
CMD: rd /s /q M:\$RECYCLE.BIN
CMD: rd /s /q M:\RECYCLER
CMD: for /d %f in (C:\Users\Wojtek\AppData\Local\{*}) do rd /s /q "%f"
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System /v NoDispScrSavPage /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System /v NoDispAppearancePage /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System /v NoDispCPL /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System /v NoVirtMemPage /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System /v DisableStatusMessages /f
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDriveTypeAutoRun /t REG_DWORD /d 0xb5 /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Zrób nowe logi: skan FRST (bez Addition) + USBFix z opcji Listing. Dołącz plik fixlog.txt oraz log z AdwCleaner.

 

 

 

 

.

[Zakrzew21]

Zrobiłem wszystko tak jak pisałaś. Dodaje nowe logi.

AdwCleanerR0.txt

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

UsbFix Listing 2 MATEUSZ--PC.txt

[picasso]

O ile adware już przetrzebione porządnie, w ogóle nic na urządzeniu nie wykonane. Wszędzie błędy nie odnalezienia plików i zmiany atrybutów. Powiedz mi czy na urządzeniu M w ogóle działa zapis? Spróbuj na karcie utworzyć jakiś przykładowy plik. Da się czy jest błąd?

 

 

 

.

[Zakrzew21]

Da się utworzyć plik i kopiować. Pojawiły się foldery normalne ale tak jakby były ukryte, ale da się wszystko odpalać. Skróty pozostały też. Lecz wirus pewnie nadal siedzi.

[picasso]

Oczywiście, że wszystko jest jak było, przecież mówiłam, że FRST nic nie wykonał na urządzeniu (wszędzie błędy). A foldery się nie pojawiły, cały czas były (mają atrybuty HS = ukryty systemowy), tylko przestawiła Ci się opcja Ukryj chronione pliki systemu operacyjnego umożliwiająca ich zobaczenie. Kolejne podejście:

 

1. Zakładam, że urządzenie jest nadal widzialne pod literą M:. Otwórz Notatnik i wklej w nim:

 

M:\*.lnk
M:\$RECYCLE.BIN
M:\RECYCLER
CMD: attrib /d /s -s -h M:\*

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zrób nowy skan USBFix z opcji Listing. Dołącz plik fixlog.txt.

 

 

 

 

.

[Zakrzew21]

Domyślałem się że mogą mieć atrybut HS, ale odznaczyłem ukrwanie wszelkich plików i ich nie było. Tak po prostu się pojawiły. A wcześniej mimo widoczności plików systemowych itp. nie były i tak widzialne :/

Fixlog.txt

UsbFix Listing 4 MATEUSZ--PC.txt

[picasso]

No nie sądzę, że odznaczyłeś ukrywanie wszystkich plików. Są dwie opcje: Pokaż ukryte pliki i foldery + Ukryj chronione pliki systemu operacyjnego. Pierwsza nic nie pokaże, to wyłączenie tej drugiej ujawnia obiekty ukryte przez HS.

 

Nie wiem dlaczego wcześniej był problem z usuwaniem. Teraz gładko się wykonało. Kolejne działania:

 

1. Ręcznie pokasuj przez SHIFT+DEL z urządzenia śmieci, bo widzę tam jakieś bełkotliwe foldery.

 

2. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, odinstaluj USBFix.

 

3. Odinstaluj stare Java i Adobe:

 

==================== Installed Programs =======================
 

Adobe Reader 9.5.5 - Polish (x32 Version: 9.5.5)

Adobe Shockwave Player 12.0 (x32 Version: 12.0.2.122)

Java™ 6 Update 30 (64-bit) (Version: 6.0.300)

Java™ 6 Update 31 (x32 Version: 6.0.310)

Java™ SE Development Kit 6 Update 29 (64-bit) (Version: 1.6.0.290)

 

4. Uruchom TFC - Temp Cleaner.

 

5. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

 

 

.

[Zakrzew21]

Wykonane. Bardzo serdecznie dziękuję za pomoc.
Pozdrawiam