Foldery na pendrive zamieniają się w skróty

[filutka78 11]

-------------------->>@TheNeverendingblue

 

Muszę zabezpieczyć pendrive'y przed tego rodzaju niespodziankami na przyszłość.

W USBFix kliknij na VACCINATE.

USBFix stworzy foldery zaporowe "autorun.inf", a to będzie utrudniać infekcjom pendrivowym przedostawanie się z komputera na pena, lub odwrotnie - z pena na dysk twardy.

 

Potem kończymy:

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

F.

[nomoreheroesparadise 0]

problem jak wyzej

z góry dzięki za szybka odpowiedz

log z otl:OTL

log z usbfix:USBFIX

[filutka78 11]

------------------>>@nomoreheroesparadise

 

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O4 - Startup: C:\Users\Eresnen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe ()

O4 - HKCU..\Run: [home] wscript.exe //B "C:\Users\Eresnen\AppData\Local\Temp\home.vbe" File not found

O4 - HKLM..\RunOnce: [] File not found

[2013-02-02 12:12:05 | 000,000,004 | ---- | C] () -- C:\Users\Eresnen\AppData\Roaming\skype.ini

[2014-04-13 21:05:30 | 000,122,644 | -HS- | C] () -- C:\Users\Eresnen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe

O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)

O16:64bit: - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)

O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)

O4 - HKLM..\Run: [] File not found

O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=tti&from=tti&uid=WDC_WD3200BEVT-75A23T0_WD-WX61A70R0317R0317&ts=1351446842

 

:Files

E:\*.lnk

E:\home.vbe

home.vbe /alldrives

attrib /d /s -s -h E:\* /C

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

2) Zrób log z USBFix, z opcji LISTING.

 

3)

PRC - File not found --

Niepokoi mnie ten bezplikowy proces.

Na wszelki wypadek zrób log z TDSSKiller > http://forum.pclab.pl/topic/896975-Narz%C4%99dzia-u%C5%BCywane-do-dezynfekcji/page__p__11846322entry11846322

 

F.

[Congestus 0]

Witam, Tak jak reszta mam zainfekowane dyski przenosne(pełnoskrótów, których nie mogę otworzyć). Podkreslę, że niechciałbym stracić danych. Proszę o poinstrułowanie mnie w celu usunięcia infekcji.

[filutka78 11]

----------------->>@Congestus

 

1) Użyj >USBFix

Kliknij w nim na: DELETION.

Daj raport z tego usuwania.

 

2) Zrób logi z OTL > http://forum.pclab.pl/topic/893302-WA%C5%BBNE-Wymagane-logi-systemowe-w-tym-dziale/page__p__11808005entry11808005

 

F.

[Congestus 0]

Poprawka podłączyłem dysk jeszcze raz teraz da się otworzyć skróty, jak się na nie najedzie to prowadzą do C:\Windows\System32. Dodatkowo na dyku wykrywa mi trojany(wszystkie skróty do folderów). Pliki w skrótach (folderach) nie są skrótami. Dalej mam zrobić to samo?

[filutka78 11]

------------------>>@Congestus

 

Dalej mam zrobić to samo?

Tak.

ewentualnie możesz najpierw zrobić log z USBFix LISTING i logi z OTL.

 

F.

[Congestus 0]

UsbFix : USBFix

OTL: Extras OTL

[filutka78 11]

------------------>>@Congestus

 

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O4 - HKLM..\Run: [] File not found

O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.

O3 - HKU\S-1-5-21-184632661-1998259291-487928182-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.

O2:64bit: - BHO: (no name) - {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} - No CLSID value found.

MOD - [2014/04/09 20:20:45 | 000,216,064 | -H-- | M] () -- K:\.Trashes\8bd0efee.exe

 

:Files

K:\.Trashes\8bd0efee.exe

K:\*.lnk

ucskr.cmd /alldrives

attrib /d /s -s -h K:\* /C

 

:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-21-184632661-1998259291-487928182-1000\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie

 

2) Zrób nowy log z OTL, ale oprócz normalnych ustawień, dodaj jeszcze jedno:

W pole Własne opcje skanowania/Scrypt wklej:

type I:\autorun.inf /C

type K:\autorun.inf /C

i dopiero wtedy kliknij Skanuj.

 

3) Zrób nowy log z USBFix LISTING,

 

F.

[Congestus 0]

OTL

USBFix

[filutka78 11]

------------------>>@Congestus

 

1)Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files

K:\.Trashes

K:\*.lnk

I:\ucskr.cmd

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

2) Zrób nowy log USBFix LISTING.

 

F.

[Congestus 0]

Skrypt

USBFix

[filutka78 11]

------------------->>@Congestus

 

coś to się nie udaje ...

Użyj USBFix z opcji DELETION.

 

F.

[Congestus 0]

Użyłem, wyskoczyła mi stronka http://en.kioskea.net/forum/viruses-security-7

 

Edit

USBFix

[filutka78 11]

------------------->>@Congestus

 

Wg mnie - jest już OK.

 

Chyba możemy kończyć:

W USBFix kliknij na przycisk UNINSTALL.

 

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

 

F.

[Congestus 0]

Dzięki wszystko działa.

[sebarajzer 0]

Witam. Mam problem z wirusem na dysku zewnętrznym. Udało mi się za pomocą USBFix usunąć je z pendrivów jednak nie mogę usunąć infekcji z zewnętrznego HDD.

 

OTL: http://wklej.org/id/1356968/

 

OTL EXTRAS: http://wklej.org/id/1356969/

 

USBFIX scan: http://wklej.org/id/1356971/

 

USBFIX clean: http://wklej.org/id/1356972/

 

Z góry dziękuje za wszelką pomoc w rozwiązaniu tej zagwozdki

[eternal_ 0]

Witam, ja też mam podobny problem. Po wlozeniu pendriva pokazuja mi sie skroty zamiast folderow. Jednak moge do nich wejsc i otwierac pliki.

 

AVAST po przeskanowaniu pokazal mi, ze mam zainfekowany plik: ituneshelper.vbe

Pokazuje tez, ze pliki na penie sa uszkodzone.

 

OTL log: http://www.wklej.org/id/1357194/

Extras: http://www.wklej.org/id/1357195/

UsbFix: http://www.wklej.org/id/1357196/

 

 

Zainfekowane mam dwa peny. - Czy mam je oba wlozyc na raz?

Bardzo zalezy mi na zachowaniu danych z pendrive'ow. - Czy lepiej skopiowac mimo wszystko dane na dysk czy naprawiac bezposrednio pliki na penach?

- Czy plik ituneshelper mam po prostu usunac z dysku?

 

Bede bardzo wdzieczna za pomoc i wskazowki, co dokladnie mam zrobic. Nie jestem pewna, czy podalam wszystkie potrzebne informacje, ale temat jest dla mnie zupelnie nowy. Jesli potrzebne sa dodatkowe info, to oczywiscie dodam.

 

Dzieki!!!

[Sparkpl 0]

Witam.

Tak jak reszta mam zainfekowane dyski przenośne i komputer też(pełno skrótów, których nie mogę otworzyć).

Podkreślę, że nie chciałabym stracić danych. Proszę o poinstruowanie mnie w celu usunięcia infekcji.

Bardzo proszę o pomoc.

Poniżej skan z OTL:

OTL.zip

[filutka78 11]

----------------->>@Sparkpl

 

1) Użyj >Adw-cleaner .

najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

 

2) Użyj >USBFix

Kliknij w nim na: DELETION.

Daj raport z tego usuwania.

 

3) zrób nowy log z OTL.

 

NAPISZ, JAK OCENIASZ SYTUACJĘ?

 

F.

[Sparkpl 0]

Wykonałam wszystkie 3 czynności:

1) http://www.wklej.org/id/1379240/

2)http://www.wklej.org/id/1379244/

http://www.wklej.org/id/1379241/

3)http://www.wklej.org/id/1379237/

i niestety nic to nie dało. Nadal są same skróty i przy próbie otwarcia jakiegokolwiek dokumentu pojawia się komunikat:

"System Windows nie może odnaleźć pliku "zyrhxgytk..vbs". Upewnij się, że wpisana nazwa jest poprawna i spróbuj ponownie."

[filutka78 11]

-----------------@Sparkpl

 

C:\ (%SystemDrive%) -> Fixed drive # 298 Gb (193 Mb free - 65%) [] # NTFS

D:\ -> CD-ROM

Jakoś nie widzę tu, by podczas użycycia USBNFixa był podpięty pendrive!

Jeśli rzeczywiście nie był popdpięty, to powtórz to z USBFixem.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2014-05-22 18:15:42 | 000,055,224 | ---- | M] (StdLib) -- C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}t.sys

[2014-06-01 12:08:16 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job

[2014-06-01 12:08:16 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job

[2014-06-01 11:54:29 | 000,000,000 | ---D | C] -- C:\Users\Mama\AppData\Local\avgchrome

O20 - AppInit_DLLs: (c:\progra~2\bitguard\271832~1.68\{c16c1~1\bitguard.dll) - File not found

O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.

DRV - [2014-05-22 18:15:42 | 000,055,224 | ---- | M] (StdLib) [Kernel | System | Running] -- C:\Windows\System32\drivers\{b9a19c25-a741-47e5-91a2-0b62bef307ff}t.sys -- ({b9a19c25-a741-47e5-91a2-0b62bef307ff}t)

DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)

DRV - File not found [File_System | On_Demand | Stopped] -- C:\Windows\System32\drivers\BHipsEx.sys -- (BHipsEx)

 

:Files

C:\Users\wangzhisong

 

:Reg

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-21-3694592312-1120352182-650457069-1003\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

F.

[Sparkpl 0]

-----------------@Sparkpl

Czekam na instrukcje co dalej.

 

 

OK PenDrive już naprawiony, ale co z skrótami na komputerze.Ten wirus wlazł mi do komputera i w nim już też mam same skróty.

[filutka78 11]

-----------------@Sparkpl

 

w logu OTL wcale nie widzę tych skrótów na dysku -zrób nowy log - może w nim już będą te skróty.

Podaj przykladowe ściezki tych skrótów.

 

zrób też usuwanie, które podałam w swoim poprzednim pościoe,

 

F.

[Sparkpl 0]

-----------------@Sparkpl

 

w logu OTL wcale nie widzę tych skrótów na dysku -zrób nowy log - może w nim już będą te skróty.

Podaj przykladowe ściezki tych skrótów.

 

zrób też usuwanie, które podałam w swoim poprzednim pościoe,

 

F.

 

Przykładowe ścieżki skrótów plików, które są arkuszami exel lub dokumentami word:

- C:\Windows\system32\cmd.exe /c start zyrhxgyrtk..vbs&start 06.2014.xlsx&exit

- C:\Windows\system32\cmd.exe /c start zyrhxgyrtk..vbs&start 2014.14_KR.GOT." "LIM.GW_dla" "kl.z" "wpływami_i_kredytowi_PP_02.2014.pdf&exit

- C:\Windows\system32\cmd.exe /c start zyrhxgyrtk..vbs&start ceny" "filie.doc&exit

 

OTL:

http://www.wklej.org/id/1379367/

http://www.wklej.org/id/1379369/