Skocz do zawartości

Infekowanie pendrive - ukryte foldery


Rekomendowane odpowiedzi

Witam. Na laptopie zauważyłem obecność jakiegoś badziewia, które po podłączeniu jakiegokolwiek dysku zewnętrznego ukrywa na nim foldery i tworzy skróty, które przez niego przechodzą. Nie mam pojęcia jak sie tego pozbyć.

 

Proszę o podpowiedź. Z tego co zauważyłem należy przesłać jakieś raporty jak narazie mam usbfix. Jeśli będą potrzebne jakieś inne proszę o informacje z jakiego programu zrobić raport.

 

 

W załączniku wymagane raporty.

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

1. Odinstaluj z panelu programów następujące pozycje:

 

ASUS WebStorage Sync Agent
Browser-Security (HKLM-x32\...\Browser-Security) (Version: 1.2.0.0 - Vondos Media GmbH) <==== UWAGA

 

2. Otwórz notatnik i wklej. Pendrajw ma być podpiety cały czas.

 

CloseProcesses:
G:\Autorun.inf
G:\WindowsServices
C:\Autorun.inf
HKLM-x32\...\Run: [] => [X]
ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1445543375&z=4e046f56fecf1d825e9d733gbzfzfw2wdzec3cdm2w&from=cornl&uid=hgstxhts545050a7e680_tea55c4n2l1ybr2l1ybrx&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1445543375&z=4e046f56fecf1d825e9d733gbzfzfw2wdzec3cdm2w&from=cornl&uid=hgstxhts545050a7e680_tea55c4n2l1ybr2l1ybrx&q={searchTerms}
KLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1445543375&z=4e046f56fecf1d825e9d733gbzfzfw2wdzec3cdm2w&from=cornl&uid=hgstxhts545050a7e680_tea55c4n2l1ybr2l1ybrx&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1445543375&z=4e046f56fecf1d825e9d733gbzfzfw2wdzec3cdm2w&from=cornl&uid=hgstxhts545050a7e680_tea55c4n2l1ybr2l1ybrx&q={searchTerms}
U0 msahci; Brak ImagePath
S1 tcfd_vw_1_10_0_22; system32\drivers\tcfd_vw_1_10_0_22.sys [X]
S1 wfdrvr_vw_1_10_0_25; system32\drivers\wfdrvr_vw_1_10_0_25.sys [X]
C:\Users\Madzia\AppData\Roaming\WindowsServices
CMD: attrib /d /s -s -h G:\*
EmptyTemp:

 

 

plik zapisz jako fixlist.txt i umieść na pulpicie. uruchom FRST i kliknij w Napraw. Po usuwaniu powstanie raport fixlog.txt > przedstaw go.

Odnośnik do komentarza

Zappa

 

autorun.inf nie jest folderem tylko plikiem.

Nie w tym przypadku:

 

[01/08/2016 - 18:34:03 | RASHD] - C:\Autorun.inf

[01/08/2016 - 18:34:04 | RASHD] - G:\Autorun.inf

 

 

 

Veron

 

 

POPRZEDNI KOMPUTER:

 

Sprawy czyszczenia nieukończone, w raporcie FRST było więcej wpisów do interwencji od adware, tzn. polityki blokujące któreś ustawienia w Chrome, zanieczyszczony Firefox, usługa adware MustangService, niechciane instalacje PUP od Lenovo (tu nie ma komputera Lenovo tylko ASUS). Również immunizację USBFix z dysku C usunę, to ma skutki uboczne dla dysków lokalnych, a poza tym to ten rodzaj zabezpieczenia od dawna ma nikłą rolę, bo systemy Windows 7 z łatami i nowsze nie umożliwiają wykonania autorun.inf, infekcje stosują inne metody.

 

Poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia - Chrome 
DeleteKey: HKCU\Software\Google\Chrome\Extensions
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-3872225513-4102284116-2658569052-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3872225513-4102284116-2658569052-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.piesearch.com/?type=sc&ts=1451822655&pid=etc0103&uid=9ed4e68e-014a-4f81-9fa2-ea14dbc02584
FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Madzia\AppData\Roaming\Mozilla\Firefox\Profiles\utsynkfr.default\extensions\deskCutv2@gmail.com => nie znaleziono
S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer34.exe [235776 2015-12-15] (MustangService)
S3 e1edc438-f640-4184-a443-d2a7c37a01dc; \??\C:\OA30\690b33e1-0462-4e84-9bea-c7552b45432a.sys [X]
Task: {310BA02C-9380-48ED-8CAB-645720B6EB56} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo)
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
C:\ProgramData\TempMoudleSet
C:\Program Files (x86)\Lenovo
C:\Users\Madzia\AppData\Local\Lenovo
C:\Users\Madzia\Desktop\Magda\szkoła\Nowy folder\Skrót do praca z socjologii.lnk
C:\Windows\System32\Tasks\Lenovo
RemoveDirectory: C:\Autorun.inf
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Firefox:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus zostanie zdegradowany. Sugeruję w zamian wstawić uBlock Origin.
  • Menu Historia > Wyczyść całą historię przeglądania.
3. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń wpis Metric Collection SDK (od niechcianej instalacji Lenovo)..

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

 

 

KOMPUTER Z XP:

 

Co masz na myśli mówiąc "+ pendrive nr 2"? FRST w ogóle nie skanuje pendrivów, od tego jest USBFix lub komendy w skryptach FRST. Działania na poziomie XP:

 

1. Odinstaluj Adobe AIR, Adobe Shockwave Player 12.1, HP Customer Participation Program 13.0, Java 8 Update 60.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:

CreateRestorePoint:

Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\Szymon\DANEAP~1\PRICEF~1\UPDATE~1\UPDATE~1.EXE

Task: C:\WINDOWS\Tasks\At2.job => C:\DOCUME~1\Szymon\DANEAP~1\PRICEF~1\UPDATE~1.EXE

Task: C:\WINDOWS\Tasks\BVRFVTD.job => rundll32.exe 0 C:\WINDOWS\system32\compobjk.dll

Task: C:\WINDOWS\Tasks\PFExe.job => C:\Documents and Settings\Szymon\Ustawienia lokalne\Dane aplikacji\PriceFountain\pricefountain.exe

Task: C:\WINDOWS\Tasks\SzymonStaplersFloatV2.job => rundll32 exe RejudgesAttaching dll

S1 {fe331f63-d0ef-486b-89da-478e619996a9}Gt; system32\drivers\{fe331f63-d0ef-486b-89da-478e619996a9}Gt.sys [X]

HKU\S-1-5-21-329068152-746137067-1644491937-1003\...\Run: [tsiVideo] => rundll32.exe C:\DOCUME~1\Szymon\USTAWI~1\Temp\mdi064.dll,dalmat

SearchScopes: HKU\S-1-5-21-329068152-746137067-1644491937-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3

FF HKU\S-1-5-21-329068152-746137067-1644491937-1003\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3

DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{0265E1E5-A74F-8601-9120-4A1B8ED37D9D}

DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\PriceFountain

DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher

DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Skype

C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat

C:\Documents and Settings\All Users\Menu Start\Programy\PDFCreator\Licenses

C:\Documents and Settings\Szymon\Dane aplikacji\PriceFountain

C:\Documents and Settings\Szymon\Dane aplikacji\WindowsServices

C:\Documents and Settings\Szymon\Ustawienia lokalne\Dane aplikacji\PriceFountain

C:\Documents and Settings\Szymon\Ustawienia lokalne\Dane aplikacji\StaplersFloat

C:\WINDOWS\system32\compobjk.dll

EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Documents and Settings\Szymon\Menu Start\Programy\Akcesoria\Narzędzia systemowe

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

 

5. Jeśli masz zaprawiony jakiś drugi pendrive, wymagane kolejny log USBFix z opcji Listing zrobiony przy podpiętym pendrive.

Odnośnik do komentarza

KOMPUTER Z WINDOWS 8:

 

Czy na pewno odinstalowałeś wcześniej adware Browser-Security? Nadal to widać w starcie. Poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3872225513-4102284116-2658569052-1001\...\Run: [safe_urls768] => C:\Users\Madzia\AppData\Roaming\Browser-Security\s768.exe [2548944 2016-06-20] ()
HKU\S-1-5-21-3872225513-4102284116-2658569052-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki
RemoveDirectory: C:\MATS
RemoveDirectory: C:\Users\Madzia\AppData\Roaming\Browser-Security
RemoveDirectory: C:\Users\Madzia\Desktop\Stare dane programu Firefox

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

 

 

KOMPUTER Z WINDOWS XP:

 

Pomyliłeś się przy wklejaniu, obciąłeś literę w pierwszej komendzie CloseProcesses:, dlatego nie wykonało się zabijanie procesów. Reszta komend wykonana.

 

Na koniec skorzystaj z DelFix i wyczyść foldery Przywracania systemu: KLIK.

 

 

PENDRIVE:

 

W Opcjach folderów włącz pokazywanie ukrytych, tzn. odznacz opcję Ukryj chronione pliki systemu operacyjnego. Następnie przez SHIFT+DEL (omija Kosz) skasuj z dysku te elementy infekcji:

 

[06/08/2016 - 10:39:28 | A | 2 Ko] - G:\USB DISK.lnk

[20/07/2016 - 10:57:32 | RASHD] - G:\WindowsServices

 

Natomiast z poniższego folderu przenieść swoje dane poziom wyżej, a po tym skasuj folder "z kreską":

 

[20/07/2016 - 10:57:32 | SHD] - G:\_

Odnośnik do komentarza

WINDOWS XP

 

Przy zastosowaniu ostatniego skryptu to znaczy:
 

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
DeleteKey: HKCU\Software\Google\Chrome\Extensions
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-3872225513-4102284116-2658569052-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3872225513-4102284116-2658569052-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.piesearch.com/?type=sc&ts=1451822655&pid=etc0103&uid=9ed4e68e-014a-4f81-9fa2-ea14dbc02584
FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Madzia\AppData\Roaming\Mozilla\Firefox\Profiles\utsynkfr.default\extensions\deskCutv2@gmail.com => nie znaleziono
S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer34.exe [235776 2015-12-15] (MustangService)
S3 e1edc438-f640-4184-a443-d2a7c37a01dc; \??\C:\OA30\690b33e1-0462-4e84-9bea-c7552b45432a.sys [X]
Task: {310BA02C-9380-48ED-8CAB-645720B6EB56} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo)
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE ->
C:\ProgramData\TempMoudleSet
C:\Program Files (x86)\Lenovo
C:\Users\Madzia\AppData\Local\Lenovo
C:\Users\Madzia\Desktop\Magda\szkoła\Nowy folder\Skrót do praca z socjologii.lnk
C:\Windows\System32\Tasks\Lenovo
RemoveDirectory: C:\Autorun.inf
EmptyTemp:

 

ponownie nie mogę otworzyć zawartości pendrive ...

UsbFix_Report.txt

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
  • 4 tygodnie później...

KOMPUTER Z WINDOWS 8:

 

Uruchom AdwCleaner ponownie, wybierz po kolei oipcje Skanuj + Oczyść. Przedstaw wynikowy log z czyszczenia.

 

 

KOMPUTER Z WINDOWS XP:

 

Przy zastosowaniu ostatniego skryptu to znaczy (...) ponownie nie mogę otworzyć zawartości pendrive ...

To skrypt z 64-bitowego Windows 8 a nie XP, nie mający żadnego zastosowania na XP, ani związku z infekcją pendrive.

 

W raportach z XP nie ma oznak aktywnej infekcji. A co do pendrive, to nie widzę by został wykonany ten zestaw instrukcji:

 

PENDRIVE:

 

W Opcjach folderów włącz pokazywanie ukrytych, tzn. odznacz opcję Ukryj chronione pliki systemu operacyjnego. Następnie przez SHIFT+DEL (omija Kosz) skasuj z dysku te elementy infekcji:

 

[06/08/2016 - 10:39:28 | A | 2 Ko] - G:\USB DISK.lnk

[20/07/2016 - 10:57:32 | RASHD] - G:\WindowsServices

 

Natomiast z poniższego folderu przenieść swoje dane poziom wyżej, a po tym skasuj folder "z kreską":

 

[20/07/2016 - 10:57:32 | SHD] - G:\_

Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...