Skróty na pendrive

Dusia · 7 Maja 2014

Witam. Mam ten sam problem. Wszystkie pliki na pendrive'ach zamieniają się na skróty, a skanowanie nie wykrywa żadnych wirusów. Niestety, nie znam się na tym na tyle, więc przesyłam wszystko co zalecała zrobić instrukcja na forum. Wcześniej, nie widząc, że tak nie powinnam użyłam programu ComboFix. Proszę o pomoc i radę jak sobie poradzić z tym problemem.

Extras.Txt

FRST.txt

UsbFix Listing 2 DUSIEK-VAIO.txt

picasso · 7 Maja 2014

Posty sklejam do oczekiwanej na starcie formy. Ale oczywiście odpowiadasz mi już w nowym poście, nie edytuj poprzedniego.

Został tu użyty ComboFix i nie zostały przedstawione wyniki jego pracy. Na temat używania tego narzędzia: KLIK. System nie wygląda na zaprawiony tym rodzajem infekcji, widać ją tylko na pendrive (ukryte foldery). Ale system i tak nie jest czysty - są śmieci adware zainstalowane. Do wdrożenia następujące operacje:

1. Podczas tej operacji pendrive (obecnie widziany pod literą G) ma być podpięty. Otwórz Notatnik i wklej w nim:

(SweetIM Technologies Ltd.) C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe
(SweetIM Technologies Ltd.) C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe
Task: {0B0AE895-C0C8-4471-821F-92EB8004494C} - System32\Tasks\YourFile Update => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe 
Task: {20561217-7D1C-4AEE-B41B-45DFFD973636} - System32\Tasks\Go for FilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe 
Task: {35346115-050F-42CD-B692-33BFAE333E27} - System32\Tasks\{D8F89288-2E34-4DB6-A959-621816085E24} => C:\Program Files (x86)\ToonCar\ToonCar.exe [2001-10-23] ()
Task: {7542A388-5208-4309-8E72-48EB3BA74039} - System32\Tasks\CodecUpdaterUpdaterRefreshTask => C:\ProgramData\CodecUpdate\ix_updater.exe [2012-07-18] ()
Task: {C871A238-9A8C-4805-8BC7-8664798A2442} - System32\Tasks\CodecUpdaterUpdaterLogonTask => C:\ProgramData\CodecUpdate\ix_updater.exe [2012-07-18] ()
Task: C:\Windows\Tasks\CodecUpdaterUpdaterLogonTask.job => C:\ProgramData\CodecUpdate\ix_updater.exe
Task: C:\Windows\Tasks\CodecUpdaterUpdaterRefreshTask.job => C:\ProgramData\CodecUpdate\ix_updater.exe
R2 svcgdp; C:\Program Files (x86)\Software Plate\svcgdp.exe [224416 2012-07-02] (Beijing ELEX Technology Co., Ltd.)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S3 zlportio; \??\C:\Program Files (x86)\UltraStar\zlportio.sys [X]
HKLM-x32\...\Run: [sweetIM] => C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe [115032 2012-05-29] (SweetIM Technologies Ltd.)
HKLM-x32\...\Run: [sweetpacks Communicator] => C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe [295728 2012-02-26] (SweetIM Technologies Ltd.)
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.dogpile.com/
URLSearchHook: HKLM-x32 - free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files (x86)\free-downloads.net\tbfree.dll (Conduit Ltd.)
URLSearchHook: HKLM-x32 - Ashampoo PO Toolbar - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - C:\Program Files (x86)\Ashampoo_PO\prxtbAsha.dll (Conduit Ltd.)
URLSearchHook: HKCU - free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files (x86)\free-downloads.net\tbfree.dll (Conduit Ltd.)
URLSearchHook: HKCU - Ashampoo PO Toolbar - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - C:\Program Files (x86)\Ashampoo_PO\prxtbAsha.dll (Conduit Ltd.)
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033
SearchScopes: HKLM-x32 - {CF4F24C0-2D6C-4337-8C25-716F297656AB} URL = ${SEARCH_URL}{searchTerms}
SearchScopes: HKCU - DefaultScope {CF4F24C0-2D6C-4337-8C25-716F297656AB} URL = http://www.dogpile.com/search/web?fcoid=417&fcop=topnav&fpid=27&ql=&q={searchTerms}
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=112555&tt=4212_1&babsrc=SP_ss&mntrId=be448af1000000000000c44619b30120
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={E8878FF2-9021-43B6-906F-4B73067F3666}&mid=8e44297dae4547d08fa2150f5f57e8d3-916e3f00c35bb49f3aabeb0b7b6ab4987a0a4a36&lang=pl&ds=gm011&pr=sa&d=2012-03-27 20:55:13&v=10.2.0.3&sap=dsp&q={searchTerms}
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033
SearchScopes: HKCU - {CF4F24C0-2D6C-4337-8C25-716F297656AB} URL = http://www.dogpile.com/search/web?fcoid=417&fcop=topnav&fpid=27&ql=&q={searchTerms}
SearchScopes: HKCU - {FAFEBB96-F248-4BD6-A55C-FA6A33248A5E} URL = http://search.ividi.org/?q={searchTerms}&src=tbsp&id=be448af1000000000000c44619b30120&affilt=3&r=320
BHO-x32: hosts - {11111111-1111-1111-1111-110311531182} - C:\Program Files (x86)\hosts\hosts-bho.dll No File
BHO-x32: ividi Helper Object - {8B8B2E80-1444-451D-AC8E-EB9A847F3887} - C:\Program Files (x86)\Unitech LLC\ividi\1.8.23.0\bh\ividi.dll (Unitech LLC)
BHO-x32: Ashampoo PO Toolbar - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - C:\Program Files (x86)\Ashampoo_PO\prxtbAsha.dll (Conduit Ltd.)
BHO-x32: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files (x86)\free-downloads.net\tbfree.dll (Conduit Ltd.)
BHO-x32: SweetPacks Browser Helper - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
Toolbar: HKLM-x32 - free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files (x86)\free-downloads.net\tbfree.dll (Conduit Ltd.)
Toolbar: HKLM-x32 - SweetPacks Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
Toolbar: HKLM-x32 - Ashampoo PO Toolbar - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - C:\Program Files (x86)\Ashampoo_PO\prxtbAsha.dll (Conduit Ltd.)
Toolbar: HKCU - No Name - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No File
Toolbar: HKCU - No Name - {ECDEE021-0D17-467F-A1FF-C7A115230949} - No File
Toolbar: HKCU - No Name - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No File
CHR HKLM-x32\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Users\Dusiek\AppData\Roaming\BabylonToolbar\CR\BabylonChrome1.crx [2011-12-19]
CHR HKLM-x32\...\Chrome\Extension: [giacfgjdclhnmkacnfbaljbmpnelflol] - C:\Program Files (x86)\iVIDI.org plugin\ividiplg.crx [2012-11-05]
CHR HKLM-x32\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\Dusiek\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx [2012-08-07]
CHR HKLM-x32\...\Chrome\Extension: [kpdhgpkkloealnjnmepfhanpcleldbef] - C:\Program Files (x86)\Unitech LLC\ividi\1.8.23.0\ividi.crx [2013-07-25]
CHR HKLM-x32\...\Chrome\Extension: [pgafcinpmmpklohkojmllohdhomoefph] - C:\ProgramData\Browser Manager\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.crx [2013-07-25]
C:\Program Files (x86)\Mozilla Firefox\extensions
C:\Program Files (x86)\mozilla firefox\plugins
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UltraStar
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Uninstall Google Chrome.lnk
C:\Users\Dusiek\AppData\Local\Google\Chrome\User Data\Default\External Extensions
C:\Users\Dusiek\AppData\Roaming\Babylon
C:\Users\Dusiek\AppData\Roaming\DigitalSites
C:\Users\Dusiek\AppData\Roaming\GoforFiles
C:\Users\Dusiek\AppData\Roaming\NCdownloader
C:\Users\Dusiek\AppData\Roaming\OpenCandy
C:\Users\Dusiek\AppData\Roaming\YourFileDownloader
C:\Users\Dusiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DownTango
C:\Users\Dusiek\Desktop\Programy\ALL Media Server.lnk
C:\Users\Dusiek\Desktop\Programy\ALL YouTube Downloader.lnk
C:\Users\Dusiek\Desktop\Programy\ALLPlayer.lnk
C:\Users\Dusiek\Desktop\Programy\Avira AntiVir Control Center.lnk
C:\Users\Dusiek\Desktop\Programy\Optimizer Pro.lnk
C:\Users\Dusiek\Desktop\Programy\UltraStar.lnk
C:\Users\Dusiek\Desktop\Muzyczka\Skrót do Beethoven- Symphony no. 5.lnk
C:\Windows\SysWOW64\sho*.tmp
C:\*.log
C:\END
C:\msvcp100.dll
C:\msvcr100.dll
C:\user.js
CMD: attrib /d /s -s -h G:\*
CMD: sc config "PLAY ONLINE. RunOuc" start= demand
Reboot:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Przez Panel sterowania odinstaluj adware: Ashampoo PO Toolbar, BabylonObjectInstaller, CodecUpdater Updater, DownTango, free-downloads.net Toolbar, hosts, Internet Explorer Toolbar 4.6 by SweetPacks, iVIDI Plugin 1.3, Software Plate, SweetIM for Messenger 3.7, Unitech LLC toolbar, Update for Mipony Download Manager, Update Manager for SweetPacks 1.0.

3. Wyczyść Google Chrome:

Ustawienia > karta Rozszerzenia > odinstaluj Babylon, Browser Manager, iVIDI.org plugin, iVidi Chrome Toolbar, SweetIM for Facebook, Unitech (o ile nadal będą widoczne)
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
Ustawienia > karta Historia > wyczyść
Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

5. Zrób nowe logi: FRST z opcji Scan (zaznacz ponownie pole Addition, by powstały dwa raporty) + USBFix z opcji Listing. Dołącz też pliki: fixlog.txt, log z AdwCleaner oraz C:\ComboFix.txt.

.

Dusia · 7 Maja 2014

Mam problem. Wszystkie programy udało mi się usunąć poza Ashampoo PO Toolbar. Komputer zupełnie nie reaguje na komendy jak próbuje go usunąć. Google Chrome usunęłam w całości przez panel sterowania bo zupełnie z niego nie korzystam a w zakładce Rozszerzenia nie pokazywały się żadne z wymienionych

.

picasso · 7 Maja 2014

Nie szkodzi, przejdź dalej. Ewentualne poprawki zostaną naniesione potem.

Dusia · 7 Maja 2014

Myślę, że jest wszystko.

Fixlog.txt

UsbFix Listing 3 DUSIEK-VAIO.txt

picasso · 7 Maja 2014

Zostały podane logi z drugiego przebiegu AdwCleaner. Podaj najistotniejszy, czyli pierwszy pokazujący co było usuwane: AdwCleaner[s0].txt.

Dusia · 8 Maja 2014

Ech, niestety jak pierwszy raz uruchomiłam AdwCleaner to nie miałam podpiętego pendrive'a i myślałam, że to co tam się zrobi, będzie niepełne. Więc usunęłam ten pierwszy log i zrobiłam drugi przy podpiętym pendrive.. teraz nie wiem za bardzo jak go odzyskać..

picasso · 8 Maja 2014

Dusia, AdwCleaner nie ma żadnego związku z pendrive, to osobne czyszczenie adware z systemu. A podane logi AdwCleaner pokazują, że brakujący log jest na dysku:

************************* 

AdwCleaner[R0].txt - [11264 octets] - [07/05/2014 21:16:18]

AdwCleaner[R1].txt - [1033 octets] - [07/05/2014 21:24:38]

AdwCleaner[s0].txt - [10498 octets] - [07/05/2014 21:20:27]

AdwCleaner[s1].txt - [953 octets] - [07/05/2014 21:25:56]

Masz dostarczyć plik C:\AdwCleaner\AdwCleaner[s0].txt

.

Dusia · 8 Maja 2014

Niestety, ten drugi log był robiony kiedy pierwszy był jeszcze na dysku. Potem usunęłam ten pierwszy i wysłałam drugi.

.

picasso · 8 Maja 2014

1. Skoro raportu brak, to trudno. Jeszcze poprawki na szczątki m.in. po po odinstalowanym Google Chrome. Otwórz Notatnik i wklej w nim:

C:\Program Files (x86)\Google\Chrome
C:\Program Files (x86)\Software Plate
C:\Users\Dusiek\AppData\Local\Google\Chrome
C:\Windows\SysWOW64\sqlite3.dll

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

2. Osobna sprawa to pendrive. Foldery ukryte na nim przez infekcję zostały pomyślnie odkryte za pomocą skryptu FRST. Ale należy się zastanowić skąd się wzięła na urządzeniu ta infekcja, gdyż tu widziany system nie wykazuje, by był tym zainfekowany, czyli to inny komputer do którego podpięto pendrive był zarażony.

.

Dusia · 8 Maja 2014

Nie wiem skąd to podłapałam, ale pojawiało się na każdym podłączanym do komputera pendrivie. Czy muszę teraz całą resztę pendrive'ów przepuścić przez USBFix?

Fixlog.txt

picasso · 8 Maja 2014

Skrypt wykonany. Tak, poproszę o log z USBFix z opcji Listing zrobiony przy podpiętych pozostałych pendrive.

.

Dusia · 8 Maja 2014

Przesyłam logi z pendrive'ów

UsbFix Listing 4 DUSIEK-VAIO.txt

UsbFix Listing 5 DUSIEK-VAIO.txt

UsbFix Listing 6 DUSIEK-VAIO.txt

UsbFix Listing 7 DUSIEK-VAIO.txt

picasso · 10 Maja 2014

Tylko pendrive z raportu UsbFix Listing 6 DUSIEK-VAIO.txt nie jest dotknięty tą infekcją. To urządzenie omijasz, dla reszty zaś:

1. Każde z urządzeń jest widziane pod literą G, dla każdego powtórz dokładnie ten sam skrypt FRST. Otwórz Notatnik i wklej w nim:

CMD: attrib /d /s -s -h G:\*

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Na kilku pendrive są podejrzane katalogi o nazwie srecko. Jeśli to folder nieznany, z każdego pendrive skasuj go przez SHIFT+DEL.

3. Zrób nowe raporty USBFix z opcji Listing dla każdego z pendrive (z wyjątkiem tego z raportu UsbFix Listing 6 DUSIEK-VAIO.txt).

.

Dusia · 12 Maja 2014

Hej, wielkie dzięki. Usunęłam foldery srecko, wprowadziłam zmiany i teraz już żadnych skrótów nie widać.

UsbFix Listing 8 DUSIEK-VAIO.txt

UsbFix Listing 9 DUSIEK-VAIO.txt

UsbFix Listing 10 DUSIEK-VAIO.txt

picasso · 13 Maja 2014

Możemy kończyć:

1. Uruchom TFC - Temp Cleaner.

2. Odinstaluj USBFix. Skasuj ręcznie używane narzędzia z folderu C:\Users\Dusiek\Desktop\Downloads. Zastosuj DelFix.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Zaktualizuj cały Windows i resztę podanych niżej programów, stan obecny:

Windows 7 Home Premium (X64) OS Language: Polish
Internet Explorer Version 8
 

==================== Installed Programs ======================
 

Adobe Flash Player 10 ActiveX (HKLM-x32\...\Adobe Flash Player ActiveX) (Version: 10.0.45.2 - Adobe Systems Incorporated)

Adobe Reader X (10.1.6) (HKLM-x32\...\{AC76BA86-7AD7-1033-7B44-AA1000000001}) (Version: 10.1.6 - Adobe Systems Incorporated)

Java 7 Update 40 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217040FF}) (Version: 7.0.400 - Oracle)

Java 6 Update 20 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86416020FF}) (Version: 6.0.200 - Sun Microsystems, Inc.)

Java 6 Update 34 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216034FF}) (Version: 6.0.340 - Oracle)

Mozilla Firefox 28.0 (x86 pl) (HKLM-x32\...\Mozilla Firefox 28.0 (x86 pl)) (Version: 28.0 - Mozilla)

OpenOffice.org 3.3 (HKLM-x32\...\{0141D498-16DA-4221-A529-1D7A64BE8B05}) (Version: 3.3.9567 - OpenOffice.org)

Te wszystkie stare Adobe i Java do deinstalacji, OpenOffice.org należy zastąpić najnowszą wersją, by interpretował najnowszą Java.

Dusia · 13 Czerwca 2014

Hej.

Niestety wracam z tym samym problemem. Przynajmniej wiem już, który punkt ksero zaraża. Jak na razie infekcja jest na jednym pedrivie, innych nie wkładałam żeby nie przeszło na nie. Wysyłam wszystkie raporty. Podczas tworzenia GMER wyświetla się niebieski ekran z ostrzeżeniem o zagrożeniu systemu i restartuje się komputer (po ok. 15 minutach skanowania). Stało się tak już 2 razy, więc tego raportu nie mam.

UsbFix Listing 1 DUSIEK-VAIO.txt