Foldery na pendrive zamieniają się w skróty

[tehawanka 0]

Wklej i kliknij Wykonaj skrypt:

:Files

G:\zzz.dll

C:\soayeg.exe

G:\soayegx.exe

G:\x.exe

G:\New Folder.lnk

G:\Documents.lnk

G:\Pictures.lnk

G:\Music.lnk

G:\Video.lnk

Później kliknij Sprzątanie.

Wyłącz na chwilę przywracanie systemu - Klik

Dysk przeskanuj Malwarebytes' Anti-Malware

Trojan do folderów na pendrive dodaje atrybut ukryty i systemowy.

Ustaw pokazywanie plików ukrytych i systemowych i sprawdź, co jest na tym pendrive: Klik

[Sadonis 0]

Zrobilem tak jak pisałes. Na pen drivie pozostały skróty do folderów , 2 pliki ktore byly luzem i ukryte foldery o tych samych nazwach co skroty.

[tehawanka 0]

Chyba możesz usunąć te pliki ręcznie?

[Sadonis 0]

Wszystko elegancko smiga. Jeszcze jedno pytanie. Jak sie ustrzec przed powtorzeniem tego problemu??

[tehawanka 0]

Trojan wykorzystuje lukę w systemie i Microsoft udostępnij odpowiednią poprawkę, więc należy regularnie aktualizować system.

Dodatkowo wszystkie urządzenia typu pendrive zabezpieczyć przed tworzeniem się szkodliwych plików autorun.inf.

Panda USB Vaccine

[Sadonis 0]

Serdecznie dziękuję!!!

[daniel3r3 0]

Witam! mam ten sam problem.... z tym że jak podłącze PEN DRIVA to wyskakuje mi okienko: "System Windows nie może odnaleźć pliku:"Vakeg.EXe" upewnij sie że wpisana nazwa jest poprawna i spróbuj ponownie... " .. a gdy uruchomie byle jaki skrót na Pen Drivie to pokazuje mi się okienko:"element "yoadaa.scr" do którego odwołuje się skrót został przeniesiony i nie może działać poprawnie. zrobiłem skan OTL i oto wynik http://wklej.org/id/389048/ oraz Extras: http://wklej.org/id/389049/ proszę o Pomoc!! Serdecznie pozdrawiam!

[tehawanka 0]

Usuń te skróty.

Ustaw pokazywanie plików ukrytych i systemowych, a następnie usuń wszystkie dziwne pliki z pendrive

Do okna Własne opcje skanowania / skrypt wklej:

:OTL

O4 - HKU\S-1-5-21-117609710-2139871995-839522115-1003..\Run: [yoadaa] C:\Documents and Settings\Daniel\yoadaa.exe File not found

O32 - AutoRun File - [2010-09-14 17:23:10 | 000,000,134 | ---- | M] () - G:\autorun.inf -- [ FAT32 ]

O33 - MountPoints2\{d1dff3fd-c024-11df-bf9d-fed4101db5d2}\Shell - "" = AutoRun

 

:Commands

[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

 

Do okna Własne opcje skanowania / skrypt wklej:

netsvcs

C:\*.*

D:\*.*

E:\*.*

Kliknij Skanuj i pokaż log.

Dysk przeskanuj Malwarebytes' Anti-Malware

[daniel3r3 0]

Zrobiłem wszystko tak jak napisałeś i oto wynik : http://wklej.org/id/389078/ jeszcze tylko skan Dysku został....

 

no i już widzę że jest OK! Dzięki za pomoc Serdecznie. jeszcze tylko skan dokończę i już myslę że jest git;]

[tehawanka 0]

Log wygląda OK.

Uruchom OTL i kliknij Sprzątanie.

Wyłącz na chwilę przywracanie systemu - Klik

Pendrive zabezpiecz za pomocą Panda USB Vaccine

[stachu4002 0]

siema

mój problem jest taki jak wasz tez na pendrivie utworzyły mi się dziwne skróty wszystko usunełem z wyjątkiem pliku''autorun.inf''gdy chce go usunąć wyświetla mi się błąd''Nie można usunąć autorun:Plik jest usuwany przez inną osobę lub program.Zamknij wszystkie programy,które mogą używać tego pliku i spróbuj ponownie''.Wie może ktoś jak to usunąć?

[tehawanka 0]

Pokaż log z OTL (wklej.org)

[stachu4002 0]

http://wklej.org/id/390780/

 

http://wklej.org/id/390781/

 

proszę o pomoc.

[tehawanka 0]

Odinstaluj My Global Search Bar i BearShare MediaBar.

Zainstaluj nowego Avasta 5 i SP3.

 

Do okna Własne opcje skanowania / skrypt wklej:

:OTL

IE - HKU\S-1-5-21-1214440339-1935655697-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=14780&l=dis

DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\glaide32.sys -- (glaide32)

O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll ()

O2 - BHO: (My Global Search Bar BHO) - {37B85A21-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (My Global Search)

O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\MediaBar\DataMngr\IEBHO.dll (MusicLab, LLC)

O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll ()

O3 - HKLM\..\Toolbar: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (My Global Search)

O3 - HKU\S-1-5-21-1214440339-1935655697-725345543-1003\..\Toolbar\ShellBrowser: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - C:\Program Files\MyGlobalSearch\bar\1.bin\MGSBAR.DLL (My Global Search)

O4 - HKLM..\Run: [bearShare] C:\Program Files\BearShare\BearShare.exe File not found

O4 - HKLM..\Run: [DataMngr] C:\PROGRA~1\BEARSH~1\MediaBar\\DataMngr\DataMngrUI.exe ()

O4 - HKU\S-1-5-21-1214440339-1935655697-725345543-1003..\Run: [nymig] C:\Documents and Settings\Łukasz\nymig.exe ()

O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\\DataMngr\datamngr.dll) - C:\PROGRA~1\BEARSH~1\MediaBar\\DataMngr\datamngr.dll ()

 

:Files

D:\autorun.inf

D:\nymig.scr

D:\nymig.exe

E:\autorun.inf

E:\nymig.scr

E:\nymig.exe

E:\Recycled

C:\Program Files\MyGlobalSearch

C:\Program Files\BearShare Applications\MediaBar

C:\Documents and Settings\Łukasz\WINDOWS.lnk

C:\Documents and Settings\Łukasz\Ustawienia lokalne.lnk

C:\Documents and Settings\Łukasz\UserData.lnk

C:\Documents and Settings\Łukasz\Ulubione.lnk

C:\Documents and Settings\Łukasz\temp.lnk

C:\Documents and Settings\Łukasz\Szablony.lnk

C:\Documents and Settings\Łukasz\SendTo.lnk

C:\Documents and Settings\Łukasz\Recent.lnk

C:\Documents and Settings\Łukasz\Pulpit.lnk

C:\Documents and Settings\Łukasz\PrintHood.lnk

C:\Documents and Settings\Łukasz\Nowy katalog.lnk

C:\Documents and Settings\Łukasz\NetHood.lnk

C:\Documents and Settings\Łukasz\Moje dokumenty.lnk

C:\Documents and Settings\Łukasz\Menu Start.lnk

C:\Documents and Settings\Łukasz\Gadu-Gadu.lnk

C:\Documents and Settings\Łukasz\Video.lnk

C:\Documents and Settings\Łukasz\Pictures.lnk

C:\Documents and Settings\Łukasz\Passwords.lnk

C:\Documents and Settings\Łukasz\New Folder.lnk

C:\Documents and Settings\Łukasz\Music.lnk

C:\Documents and Settings\Łukasz\Documents.lnk

C:\Documents and Settings\Łukasz\Dane aplikacji.lnk

C:\Documents and Settings\Łukasz\Cookies.lnk

C:\Documents and Settings\Łukasz\Application Data.lnk

C:\Documents and Settings\Łukasz\.java.lnk

C:\Documents and Settings\Łukasz\.gstreamer-0.10.lnk

C:\Documents and Settings\Łukasz\..lnk

C:\Documents and Settings\Łukasz\...lnk

C:\Documents and Settings\Łukasz\nymig.scr

C:\Documents and Settings\Łukasz\nymig.exe

C:\Documents and Settings\Łukasz\autorun.inf

C:\Documents and Settings\All Users\Dane aplikacji\10280

C:\Documents and Settings\All Users\Dane aplikacji\36271

C:\Documents and Settings\KaroOolla\Dane aplikacji\bearsharetb

C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\s3jgzdft.default\searchplugins\askcom.xml

C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\s3jgzdft.default\searchplugins\BearShareWebSearch.xml

C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\s3jgzdft.default\extensions\{E84D42CA-64EB-11DE-A65F-8C3656D89593}

 

:Reg

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

 

:Commands

[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż nowy log Skanuj.

 

Do okna Własne opcje skanowania / skrypt wklej:

C:\*.*

D:\*.*

E:\*.*

Kliknij Skanuj i pokaż log.

[stachu4002 0]

http://peb.pl/windows/294988-problem-z-sp3-podczas-instalacji-2.html

wiec na to wychodzi ze jak bym miał pobrać SP3 i go zainstalować to bym miał wszystko od nowa tak jak po formacie.Proszę wyłumacz mi ktoś jestem w tych sprawach zielony.

[tehawanka 0]

Skoncentruj się na usuwaniu trojana, a później będziesz myślał o instalacji SP3

SP3 to jest zbiór poprawek, a po instalacji elementy typu nieoficjalne style do XP mogą nie działać.

[stachu4002 0]

zrobiłem chyba wszystko tak jak opisałeś

oto link:

http://wklej.org/id/390872/

[klosio24 0]

witam mam ten sam problem co ludzie wcześniej. Mam na pendrivie dość ważne dane które zostały wycięte z dysku i wklejone na pendriva a po następnym otwarciu stały się skrótami i nie można ich otworzyć a są mi potrzebne. Prosze o pomoc. oto log http://wklej.org/hash/e42d2bc8420/ i http://wklej.org/id/390884/.

[tehawanka 0]

stachu4002

Wklej i kliknij wykonaj skrypt:

:OTL

O4 - HKU\S-1-5-21-1214440339-1935655697-725345543-1003..\Run: [nymig] C:\Documents and Settings\Łukasz\nymig.exe File not found

O3 - HKU\S-1-5-21-1214440339-1935655697-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.

 

:Files

E:\DCIM.lnk

E:\picture.lnk

E:\other.lnk

E:\theme.lnk

E:\webpage.lnk

E:\system.lnk

Później kliknij Sprzątanie.

Zabezpiecz się przed infekcją z pendrive:

- użyj Flash Disinfector

- zainstaluj poprawkę KB971029

Ten trojan wykorzystuje lukę w LNK, a poprawka jest dostępna tylko dla SP3:

http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx

Jeżeli nie instalujesz SP3 to w zamian możesz użyć:

http://www.sophos.com/products/free-tools/sophos-windows-shortcut-exploit-protection-tool.html

[stachu4002 0]

słyszałem ze ps3 może wykryć pirackie oprogramowanie?to prawda?

[tehawanka 0]

klosio24

Foldery na pendrive zostały ukryte przez trojana.

Ustaw pokazywanie plików ukrytych i systemowych, a następnie sprawdź ten pendrive.

Post 7

Zainstaluj poprawki o których napisałem powyżej.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\pablo\USTAWI~1\Temp\catchme.sys -- (catchme)

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.defaultenginename: "Ask.com"

FF - prefs.js..browser.search.order.1: "Ask.com"

O3 - HKU\S-1-5-21-1715567821-1229272821-725345543-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.

O4 - HKU\S-1-5-21-1715567821-1229272821-725345543-1003..\Run: [XBV6RD5SZF] C:\DOCUME~1\pablo\USTAWI~1\Temp\Zge.exe File not found

O20 - AppInit_DLLs: (C:\WINDOWS\system32\0053.DLL) - C:\WINDOWS\System32\0053.DLL File not found

NetSvcs: odqcp - C:\WINDOWS\system32\yfcdr.dll ()

NetSvcs: bfxgv - C:\WINDOWS\system32\yfcdr.dll ()

NetSvcs: SSHNAS - File not found

 

:Files

C:\WINDOWS\system32\yfcdr.dll

 

:Services

odqcp

bfxgv

 

:Reg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"3356:TCP"=-

 

:Commands

[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

 

Do okna Własne opcje skanowania / skrypt wklej:

netsvcs

C:\*.*

D:\*.*

E:\*.*

Kliknij Skanuj i pokaż log.

 

stachu4002

Nie wiem czy to jest prawda, bo mam legalnego XP.

[klosio24 0]

oto log http://wklej.org/id/390924/

[tehawanka 0]

Log wygląda OK.

Uruchom OTL i kliknij Sprzątanie.

Wyłącz na chwilę przywracanie systemu - Klik

[stachu4002 0]

tehawanka dzięki za pomoc:)

[matii007 0]

Witam. mam taki sam problem z pendrivem.. foldery zamienily sie na skróty. Zaraziłem sobie tym pendrivem 3 inne komputery. ten wirus atakuje komp zaraz po wlozeniu zarazonego pend. do kompa?? . prosze o wskazówki jak to "ustrojstwo" usunąć.

Z góry dziekuje.