Filip290392 Opublikowano 29 Października 2013 Zgłoś Udostępnij Opublikowano 29 Października 2013 Dzień dobry, chciałbym prosić o pomoc w rozwiązaniu problemu z zainfekowanym pendrive'm, który często był użytkowany w różnych punktach ksero, a które uważam za prawdopodobne źródło infekcji. Na dysku powstał skrót "removable disk", poprzez który do niedawna można było dostać się do zawartości pendrive'a. Obecnie dostęp do plików jest niemożliwy. Dodatkowo praca i szybkość komputera pozostawia wiele do życzenia dlatego bardzo prosiłbym o pomoc w poprawie działania komputera i oczyszczenia go oraz pendrive'a z wirusów. Z góry dziękuję. OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
jessica Opublikowano 29 Października 2013 Zgłoś Udostępnij Opublikowano 29 Października 2013 Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (kłopoty osobiste) Czekając na @Picasso możesz zrobić to: 1) Zrób log USBFix z opcji Listing. 2) Odinstaluj CheckRun22find_uninstaller 3) Jeśli nie używasz, to odinstaluj Qtrax Player 4) Odinstaluj DefaultTab Chrome 5) Jeśli jest na liście programów "{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693}" = BitGuard - to go odinstaluj Jeśli nie ma w Dodaj\Usuń programy, to użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego. Pokaż raport z niego C:\AdwCleaner[s0].txt 6) Zrób wymagane tu logi z FRST. jessi Odnośnik do komentarza
Filip290392 Opublikowano 30 Listopada 2013 Autor Zgłoś Udostępnij Opublikowano 30 Listopada 2013 Dzień dobry, przepraszam za zwłokę, dołączam wymagane pliki Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... UsbFix Listing FILIP-KOMPUTER.txtPobieranie informacji ... Odnośnik do komentarza
jessica Opublikowano 1 Grudnia 2013 Zgłoś Udostępnij Opublikowano 1 Grudnia 2013 Log z USBFix robiony bez podpiętego pendrive'a, więc jest bezużyteczny. Zrób nowy. Użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego. Pokaż raport z niego C:\AdwCleaner[s1].txt Otwórz Notatnik i wklej w nim: Pokaż ukrytą zawartość Task: {2AC38E4A-A370-40AD-83B7-37BCEF08C68C} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv => C:\Windows\TEMP\{0AC0BF0E-0DED-4760-9C65-E7CE82CB48CE}.exe C:\Windows\TEMP\{0AC0BF0E-0DED-4760-9C65-E7CE82CB48CE}.exe Task: {81542EFF-2C5B-4AFB-B303-3C104E72357A} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1855460468-3222377162-2898529075-1000Core => C:\Users\Filip\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-01-26] (Facebook Inc.) C:\Users\Filip\AppData\Local\Facebook\Update Task: {BCA9BC77-E9D7-4F66-BF84-8CADE8C6A61C} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe C:\Program Files (x86)\Desk 365 Task: {C7244538-00E5-4A9B-A3D1-2DA980D9A3FA} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1855460468-3222377162-2898529075-1000UA => C:\Users\Filip\AppData\Local\Facebook\Update\FacebookUpdate.exe [2013-01-26] (Facebook Inc.) Task: {E189481D-A7D6-4782-B75A-5A60EBAABC71} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{88FA8008-2CEE-4F6C-8B62-A847FA896818}.exe ask: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\Windows\TEMP\{0AC0BF0E-0DED-4760-9C65-E7CE82CB48CE}.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{88FA8008-2CEE-4F6C-8B62-A847FA896818}.exe Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1855460468-3222377162-2898529075-1000Core.job => C:\Users\Filip\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1855460468-3222377162-2898529075-1000UA.job => C:\Users\Filip\AppData\Local\Facebook\Update\FacebookUpdate.exe C:\Users\Filip\AppData\Local\Facebook\Update C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\loader.dll C:\ProgramData\BitGuard\2.7.1832.68\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.dll C:\Users\Filip\AppData\Local\Lollipop HKLM-x32\...\Runonce: [] - [x] HKCU\...\Run: [Facebook Update] - C:\Users\Filip\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2013-01-26] (Facebook Inc.) AppInit_DLLs: c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll c:\windows\system32\nvinitx.dll,c:\windows\system32\nvinitx.dll,c:\windows\system32\nvinitx.dll [ ] () c:\progra~3\bitguard Startup: C:\Users\Filip\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lollipop.lnk ShortcutTarget: lollipop.lnk -> C:\Users\Filip\AppData\Local\Lollipop\Lollipop.exe () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=B68C742F6851E48C&affID=119357&tsp=4978 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.22find.com/newtab?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD7500BPVT-80HXZT1_WD-WX41A61N1942N1942&ts=1359824764 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=B68C742F6851E48C&affID=119357&tsp=4978 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.22find.com/web/?utm_source=b&utm_medium=mlv&from=mlv&uid=WDCXWD7500BPVT-80HXZT1_WD-WX41A61N1942N1942&ts=1359824765 Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File CHR RestoreOnStartup: "hxxp://isearch.babylon.com/?babsrc=HP_ss_Btisdt4&mntrId=B68C742F6851E48C&affID=119357&tsp=4978" CHR DefaultSearchURL: (Delta Search) - http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=B68C742F6851E48C&affID=119357&tsp=4978 CHR DefaultSuggestURL: (Delta Search) - {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}{google:zeroPrefixUrl}sugkey={google:suggestAPIKeyParameter} CHR Extension: (DefaultTab) - C:\Users\Filip\AppData\Local\Google\Chrome\User Data\Default\Extensions\kdidombaedgpfiiedeimiebkmbilgmlc\1.1.29_0 C:\Users\Filip\AppData\Roaming\OpenCandy C:\Users\Filip\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lollipop.lnk C:\Users\Filip\AppData\Local\Lollipop C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job C:\ProgramData\BitGuard C:\ProgramData\PKP_DLes.DAT C:\ProgramData\PKP_DLet.DAT C:\ProgramData\PKP_DLev.DAT C:\Users\Filip\AppData\Local\Temp\uninst1.exe C:\Users\Filip\AppData\Local\Temp\xfire_installer_10650.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go. Zrób nowe logi z FRST. jessi Odnośnik do komentarza
Filip290392 Opublikowano 2 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 2 Grudnia 2013 Proszę bardzo: AdwCleanerS0.txtPobieranie informacji ... Addition.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... UsbFix Listing 4 FILIP-KOMPUTER.txtPobieranie informacji ... Odnośnik do komentarza
jessica Opublikowano 2 Grudnia 2013 Zgłoś Udostępnij Opublikowano 2 Grudnia 2013 1) Otwórz Notatnik i wklej w nim: Cytat CHR DefaultSearchURL: (Delta Search) - http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=B68C742F6851E48C&affID=119357&tsp=4978 CHR DefaultSuggestURL: (Delta Search) - {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}{google:zeroPrefixUrl}sugkey={google:suggestAPIKeyParameter} I:\~~HKOPIRVMDFMSBBWRD.ini I:\desktop.ini I:\Thumbs.db G:\desktop.ini G:\Thumbs.db Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go. 2) Zrób log z OTL na ustawieniach: Procesy - brak Moduły - brak Usługi - brak Sterowniki - brak Rejestr-skan dodatkowy - brak zaznacz w okienku przy "Pomiń pliki Microsoftu" zaznacz w okienku przy "Pomiń znane dobre pliki" brak zaznaczenia przy "Infekcja LOP" brak zaznaczenia przy "Infekcja Purity". W pole Własne opcje skanowania/Scrypt wklej: Cytat type G:\autorun.inf /C type I:\autorun.inf /C i dopiero wtedy kliknij Skanuj. 3) Zrób nowy log z USBFix LISTING. Cytat G:\Removable Disk (2GB).lnk I:\Removable Disk (8GB).lnk To o tych skrótach pisałeś? Wuygląda na to, że w nich jakieś obiekty, bo mają duży rozmiar. Teoretycznie trzeba je całkowicie usunąć, ale jakoś nie mam odwagi tego zalecić, nie chcę zaszkodzić. jessi Odnośnik do komentarza
Filip290392 Opublikowano 2 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 2 Grudnia 2013 Dołączam wymagane pliki. Tak, pisałem właśnie o tych skrótach. Zgodnie z Twoim zasugerowaniem usunąłem wszystkie pliki z dysków przenośnych, jak trzeba to trzeba, w sumie nic ważnego :-) Fixlog.txtPobieranie informacji ... UsbFix Listing 5 FILIP-KOMPUTER.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 3 Grudnia 2013 Zgłoś Udostępnij Opublikowano 3 Grudnia 2013 jessika W spoilerze komentarze do Ciebie: Pokaż ukrytą zawartość C:\AdwCleaner[s0].txt = od wersji 3 AdwCleaner nie tworzy logów w root dysku C tylko w folderze C:\AdwCleaner. Nie wiem też jaki był cel usuwania zadań Facebook Update. CHR RestoreOnStartup: "hxxp://isearch.babylon.com/?babsrc=HP_ss_Btisdt4&mntrId=B68C742F6851E48C&affID=119357&tsp=4978" CHR DefaultSearchURL: (Delta Search) - http://www1.delta-se...119357&tsp=4978 CHR DefaultSuggestURL: (Delta Search) - {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}{google:zeroPrefixUrl}sugkey={google:suggestAPIKeyParameter} Tego nie usuniesz skryptem FRST (i jest zwrot "The Chrome "Settings" can be used to fix the entry."). Żadne z narzędzi ogólnych (OTL, FRST) nie jest zdolne edytować Preferences Google Chrome (domyślna wyszukiwarka, strona startowa, URL otwierane przy starcie). Te wpisy usuwa się w opcjach przeglądarki. CHR Extension: (DefaultTab) - C:\Users\Filip\AppData\Local\Google\Chrome\User Data\Default\Extensions\kdidombaedgpfiiedeimiebkmbilgmlc\1.1.29_0 I zawsze ale to zawsze zaczyna się czyszczenie Google Chrome od jego opcji, to jedyna poprawna metoda usuwania rozszerzeń adware i ich konfiguracji. Wszystkie automaty (w tym AdwCleaner) usuwają na chama i nieprecyzyjnie. type G:\autorun.inf /C type I:\autorun.inf /C Nie było potrzeby tego sprawdzać. Pliki są zerobajtowe (puste): [18/09/2013 - 11:54:38 | N | 0] G:\Autorun.inf [21/10/2013 - 12:52:16 | ASH | 0] I:\autorun.inf I masz tu infekcję robakiem Gamarue, która jest na forum już od dawna. Te pliki autorun.inf są mało ważne i prawdopodobnie tylko by zapobiec konkurencyjnym infekcjom, trzonem tej infekcji jest całkiem co innego: widzialne skróty o nazwie urządzenia (te których bałaś się usunąć) namawiające użytkownika do kliknięcia (to infekuje system), a cała poprawna zawartość urządzeń przesunięta do ukrytych folderów "bez nazwy" (nazwą spacja): [18/09/2013 - 11:54:32 | SHD ] G:\ [30/06/2013 - 12:00:34 | SHD ] I:\ Ogólne postępowanie z tą infekcją (usunięcie wpisów startowych, o ile są), następnie usunięcie skrótów i innych plików dodanych przez infekcję na urządzeniu, na koniec odkrycie folderów "bez nazwy" i ręczne przeniesienie danych z tych folderów. Filip290392 Cytat Tak, pisałem właśnie o tych skrótach. Zgodnie z Twoim zasugerowaniem usunąłem wszystkie pliki z dysków przenośnych, jak trzeba to trzeba, w sumie nic ważnego :-) Tu nie koniec. Na C jest folder Gamarue (C:\MSI) oraz urządzenia mapowane jako F jest zainfekowane: [25/09/2013 - 20:23:47 | D ] C:\MSI [23/10/2013 - 16:29:26 | RASH | 2615] F:\desktop.ini [23/10/2013 - 16:29:26 | RASH | 253952] F:\Thumbs.db [21/10/2013 - 12:52:16 | ASH | 0] F:\autorun.inf [23/10/2013 - 16:29:26 | SH | 28727904] F:\~~HKOPIRVMDFMSBBWRD.ini [25/10/2013 - 18:14:14 | A | 1744] F:\Removable Disk (8GB).lnk [30/06/2013 - 12:00:34 | SHD ] F:\ Trzeba odtworzyć też usunięty wpis nVidia: AppInit_DLLs: c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll c:\windows\system32\nvinitx.dll,c:\windows\system32\nvinitx.dll,c:\windows\system32\nvinitx.dll [ ] () 1. Otwórz Notatnik i wklej w nim (zakładam, że pendrive jest nadal pod literą F): HKCU\...\Policies\Explorer: [] Task: {06FB12D3-AE44-4ACE-9F67-7919099E8FFA} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2013.4.0.10\SymErr.exe Task: {CDC18E8B-E58B-4D91-882B-C434045E18D2} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2013.4.0.10\SymErr.exe FW: avast! Internet Security (Disabled) {131692B0-0864-D491-4E21-3A3A1D8BBB47} C:\MSI F:\desktop.ini F:\Thumbs.db F:\autorun.inf F:\~~HKOPIRVMDFMSBBWRD.ini F:\Removable Disk (8GB).lnk CMD: attrib /d /s -s -h F:\* Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d c:\windows\system32\nvinitx.dll /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Po w/w akcji wejdź na dysk F, powinien być widoczny folder "bez nazwy". Przenieś z niego wszystkie pliki poziom wyżej, następnie przez SHIFT+DEL skasuj ów folder "bez nazwy". 3. W Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy Delta Search. Ustawienia > karta Rozszerzenia > sprawdź co tam widać, bo rozszerzenia były usuwane na chama. Ustawienia > karta Historia > wyczyść 4. W Menedżerze urządzeń jest wadliwe urządzenie pozostałe po komercyjnej wersji Avast, odinstaluj to z poziomu Menedżera urządzeń: ==================== Faulty Device Manager Devices ============= Name: avast! Firewall NDIS Filter Miniport Description: avast! Firewall NDIS Filter Miniport Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: ALWIL Software Service: aswNdis Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. 5. Zrób nowy skan FRST (bez Addition) oraz USBFix z opcji Listing. Dołącz plik fixlog.txt. . Odnośnik do komentarza
Filip290392 Opublikowano 3 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 3 Grudnia 2013 Wykonałem zalecenia, dołączam pliki Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... UsbFix Listing 6 FILIP-KOMPUTER.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2013 Zgłoś Udostępnij Opublikowano 4 Grudnia 2013 Zadanie pomyślnie wykonane. Tylko jeden obiekt (nie związany z infekcją) nie został usunięty, tzn. rejestracja WMI (Centrum zabezpieczeń) komercyjnej już odinstalowanej wersji avast! Internet Security. Usunięciu elementu zapobiega darmowa czynna wersja Avast. To już szczegół i może tak zostać. Zanim zadam czynności końcowe dodatkowe pytanie: czy na pewno wszystkie urządzenia przenośne były tu podpięte i sprawdzane? . Odnośnik do komentarza
Filip290392 Opublikowano 4 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2013 Tak, to już wszystkie :-) Mam tylko jeszcze jedno pytanie. Czy jest jakiś skuteczny sposób ochrony przed tego typu infekcjami? Wolałbym żeby tego typu problem był pierwszym i jednocześnie ostatnim. Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2013 Zgłoś Udostępnij Opublikowano 5 Grudnia 2013 Niestety nie znam sposobu na zapobiegnięcie tej infekcji na urządzeniach przenośnych, nie pozbawiając urządzeń możliwości zapisu na nich. Urządzenia są podpinane do różnych komputerów, które mogą być źródłem infekcji. Infekcja nie została wykryta po stronie Twojego systemu jako czynna (brak wpisów startowych Gamarue), jej prawdopodobnym źródłem był ów wspominany punkt ksero. I zakończ temat: 1. Porządki po narzędziach: odinstaluj USBFix, przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji wymienione poniżej programy: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.117) Adobe Reader 9.5.0 - Polish (x32 Version: 9.5.0) Java 7 Update 11 (x32 Version: 7.0.110) OpenOffice.org 2.4 (x32 Version: 2.4.9364) Poza tym, ostatni log wskazuje podwójny majdan antywirusowy, do Avast został doinstalowany Trend Micro Titanium Internet Security. Jeden z nich musi być odinstalowany, gdyż to za dużo. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się