[sirtepek]

Witam.
1.Otóż na przenośnych nośnikach danych typu pendrive lub karta pamięci w telefonie automatycznie tworzą się skróty folderów(Documents, Music, Pictures, Video, New Folder) oraz skróty plików autorun.inf oraz Password.lnk. Formatowałem pendrive, ale skróty dalej wracały. Widziałem już na forum podobny problem, także wrzucam potrzebne logi i mam nadzieję że mi pomożecie. Podczas tworzenia logów mam podłączone 2 pendrive.
2.Plik autorun.inf(bez skrótów folderów) mialem na innych pendrivach, był to bodajże wirus, który kiedyś usuwałem programem Flash Disinfector. Gdy antywirus miał aktywną ochronę to wykrywał program Flash Disinfector jako wirusa na pendrive, a tak naprawdę program tylko imitował wirusa skutecznie zabiezpieczając dysk. Ja to wiem, jednak miałem małe nieprzyjemności w bibliotece na komputerze, gdyż okazało się ze mój pendrive jest zainfekowany . Pytanie, czy jest inny program typu Flash Disinfector, którego żaden antywirus go nie wykryje lub czy można go skutecznie "ukryć" przed antywirusami?
3. Czy usuwanie "wirusów, robaków" które na pewno wykryjecie będę musiał wykonać na wszystkich pendrivach które posiadam?

LOGI:
OTL.txt
Extras.txt

Pozdrawiam
sirtepek

[tehawanka]

Do okna Własne opcje skanowania / skrypt wklej:

Cytuj

:OTL
IE - HKU\S-1-5-21-1700030685-1572870504-1533824989-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://vshare.toolbarhome.com/?hp=df
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
O4 - HKU\S-1-5-21-1700030685-1572870504-1533824989-1000..\Run: [fuedue] C:\Users\Lukasz\fuedue.exe ()
O18 - Protocol\Handler\vsharechrome {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - File not found

:Files
autorunf.inf /alldrives
C:\Windows\System32\Video.lnk
C:\Windows\System32\Pictures.lnk
C:\Windows\System32\Passwords.lnk
C:\Windows\System32\New Folder.lnk
C:\Windows\System32\Music.lnk
C:\Windows\System32\Documents.lnk
C:\Windows\System32\fuedue.exe
C:\Users\Lukasz\AppData\Roaming\Mozilla\Firefox\Profiles\aoiz5ghv.default\searchplugins\web-search.xml
C:\Users\Lukasz\AppData\Roaming\mozilla\Firefox\Profiles\aoiz5ghv.default\extensions\vshare@toolbar

:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Do okna Własne opcje skanowania / skrypt wklej:

Cytuj

C:\*.*
D:\*.*
E:\*.*
F:\*.*
I:\*.*
I:\*.
J:\*.*
J:\*.

Kliknij Skanuj i pokaż log.

Ten post był edytowany przez tehawanka dnia: 25 Czerwiec 2011 - 19:24

[sirtepek]

nie miałem żadnego programu anty-spyware, a tym bardziej nie instalowałem Ewido Anti-Spyware.
daję logi:
LOG po wykonaniu skryptu:
OTL
Extras

Ten post był edytowany przez sirtepek dnia: 25 Czerwiec 2011 - 19:17

[tehawanka]

Nie widać żadnych ukrytych folderów.
Wklej i kliknij Wykonaj skrypt:

Cytuj

:OTL
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
O4 - HKU\S-1-5-21-1700030685-1572870504-1533824989-1000..\Run: [fuedue] File not found
O33 - MountPoints2\{4945986b-ed95-11df-9b3e-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\H\Shell - "" = AutoRun

:Files
F:\Bpn3E9_cfdg.exe
F:\DpY03y_cfdg.exe
F:\Ept1Rb_cfdg.exe
F:\Hev48y_cfdg.exe
F:\Hgn49p_cfdg.exe
F:\Jft22a_cfdg.exe
F:\Kan3I7_cfdg.exe
F:\Kjs04v_cfdg.exe
F:\KxK713_cfdg.exe
F:\Mut6Bi_save2pc.exe
F:\QtX35q_save2pc.exe
F:\Rnk1Eo_cfdg.exe
F:\XeT55e_save2pc.exe
I:\autorun.inf
I:\fuedue.exe
I:\fuedue.scr
I:\New Folder.lnk
I:\Passwords.lnk
I:\Documents.lnk
I:\Pictures.lnk
I:\Music.lnk
I:\Video.lnk
J:\Music.lnk
J:\Video.lnk
J:\biriprg.exe
J:\autorun.inf
J:\fuedue.exe
J:\fuedue.scr
J:\New Folder.lnk
J:\Passwords.lnk
J:\Documents.lnk
J:\Pictures.lnk

Pokaż nowy log Skanuj:

Cytuj

C:\*.*
D:\*.*
E:\*.*
F:\*.*
I:\*.*
I:\*.
J:\*.*
J:\*.

[sirtepek]

log po wykonaniu skryptu
OTL
Extras

Na dwóch pendrivach nie ma już żadnego skrótu folderu ani pliku. Dzięki wielkie.
Pytanie, czy teraz mam zrobić to samo na pozostałych pendrivach i kartach pamięci?

[tehawanka]

Prawdopodobnie zostało zainfekowane każde urządzenie podłączone do tego komputera.
Log wygląda OK.
Uruchom OTL i kliknij Sprzątanie.
Wyczyść foldery przywracania systemu - Klik
Dysk przeskanuj Malwarebytes' Anti-Malware Free

[sirtepek]

a możesz mi napisać, którego loga mam użyć, aby wyczyścić pozostałe zainfekowane pendrivy? i czy podczas operacji czyszczenia pendrivów, nie utracę na nich żadnych danych ?

[tehawanka]

Podłącz wszystkie urządzenia i utwórz nowy log.
Przed skanowaniem do OTL wklej:

Cytuj

X:\*.*
X:\*.

X - podstaw litery pod którymi urządzenia są widoczne w Mój komputer.

Ten post był edytowany przez tehawanka dnia: 26 Czerwiec 2011 - 10:16

[sirtepek]

LOG OTL
LOG Extras
Niestety, wszystkich urządzeń nie udało mi się podłączyć (mało portów USB).

[tehawanka]

Znów zainfekowałeś system.
Zainstaluj poprawkę od Microsoftu lub zamiennik od Sophos: Klik Klik
Czy wiesz co jest w tych folderach:

Cytuj

J:\RESTORE
J:\SYSTEM

Wklej i kliknij Wykonaj skrypt:

Cytuj

:OTL
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
O4 - HKU\S-1-5-21-1700030685-1572870504-1533824989-1000..\Run: [fuefue] C:\Users\Lukasz\fuefue.exe ()

:Files
RECYCLER /alldrives
autorun.inf /alldrives
fuedue.exe /alldrives
fuedue.scr /alldrives
C:\Users\Lukasz\fuefue.exe
K:\New Folder.lnk
K:\Passwords.lnk
K:\Documents.lnk
K:\Pictures.lnk
K:\Music.lnk
K:\Video.lnk
J:\gaigaen.scr
J:\gaigaen.exe
J:\pjtier.exe
J:\pjtier.scr
J:\fuefue.exe
J:\fuefue.scr
J:\Passwords.lnk
J:\pktier.exe
J:\pktier.scr
J:\Documents.lnk
J:\Pictures.lnk
J:\New Folder.lnk
J:\Music.lnk
J:\Video.lnk
J:\RECYCLE

:Commands
[emptytemp]

Pokaż nowy log na takich samych ustawieniach jak poprzedni.

Ten post był edytowany przez tehawanka dnia: 26 Czerwiec 2011 - 10:53

[sirtepek]

Poprawkę KB2286198 zainstalowałem z Microsoftu.
Nie mam pojęcia co jest w tych folderach, nawet nie mogę ich znaleźć na pendrivie.
LOGI:
LOG po wykonaniu skryptu
LOG po skanowaniu OTL
LOG po skanowaniu Extras.

[tehawanka]

Nie widzisz ponieważ foldery są ukryte:
Instrukcja włączenia pokazywania ukrytych plików
Wklej i kliknij wykonaj skrypt:

Cytuj

:OTL
O4 - HKU\S-1-5-21-1700030685-1572870504-1533824989-1000..\Run: [fuefue] File not found

:Files
I:\fuefue.exe
I:\fuefue.scr

Samodzielnie sprawdź, czy pliki fuefue zostaną usunięte, a później kliknij Sprzątanie itp.

Ten post był edytowany przez tehawanka dnia: 26 Czerwiec 2011 - 11:32

[sirtepek]

heh, miałem odznaczone te opcje ukrytych folderów, a jednak nie widziałem tych folderów. Dopiero po restarcie Windowsa pojawiły się.
w folderze RESTORE na dysku J jest folder "kosz" o nazwie: S-1-5-21-1482476501-1644491937-682003330-1013 a w nim 2 logi OTL i Extras, natomiast w foldrze "SYSTEM" znajdują się 2 foldery o nazwie "FOLDER" i "S-1-5-21-1482476501-1644491937-682003330-1013" a w nich te same logi, których otworzyć nie mogę
Tak, tych plików już nie ma, sprawdziłem, pendrivy są czyste. Dzięki

Po podłaczeniu mp3 mam normalną ikonkę pamieci masowej i stacji dysków (H:) AMT-CDROM, która zawsze się pojawia gdy podłącze mp3. Na stacji dysków(H:) AMT-CDROM jest plik autorun.inf niezabezpieczony... nie wiem czy to ma znaczenie.

Ten post był edytowany przez sirtepek dnia: 26 Czerwiec 2011 - 11:50

[tehawanka]

Usuń te foldery, a w razie problemów wklej do OTL:

Cytuj

:Files
J:\RESTORE
J:\SYSTEM

[sirtepek]

ok, foldery usunąłem, nie było problemów.
została jeszcze do wyczyszczenia Nokia 6300, na której są skróty folderów i WALKMAN Sony A728(walkmana czyta jako urządzenie przenośne, a nie pamięć masową tak jak w przypadku Nokii, zresztą nie widzę tu skrótów folderów, także chyba jest OK)
daję logi:
OTL
Extras

Ten post był edytowany przez sirtepek dnia: 26 Czerwiec 2011 - 12:07

[tehawanka]

Na Noki masz jakies ukryte foldery to je sprawdź.
Wklej i kliknij Wykonaj skrypt:

Cytuj

:OTL
O32 - AutoRun File - [2011-03-27 11:20:14 | 000,000,135 | RHS- | M] () - H:\autorun.inf -- [ FAT ]
O33 - MountPoints2\{dd59763c-ef3c-11df-a988-001fd0b5315c}\Shell - "" = AutoRun

:Files
H:\autorun.inf
H:\fuedue.exe
H:\fuedue.scr
H:\Passwords.lnk
H:\New Folder.lnk
H:\Documents.lnk
H:\Pictures.lnk
H:\Music.lnk
H:\Video.lnk

Ten post był edytowany przez tehawanka dnia: 26 Czerwiec 2011 - 12:23

[sirtepek]

LOG po wykonaniu skryptu
OTL
Extras

Foldery ukryte sprawdziłem. Mam nadzieję że już nic nie ma. Teraz na zakończenie muszę wyczyścić foldery przywracania systemu i przeskanować dyski Malwarebytes' Anti-Malware Free tak jak mi radziłeś w poprzednim poście?

[tehawanka]

Log wygląda OK.
Kliknij Sprzątanie, wyczyść foldery przywracania i przeskanuj dysk.
Aktualizuj programy mające wpływ na bezpieczenstwo, Java, Flash Player, przeglądarki internetowe itp.

Ten post był edytowany przez tehawanka dnia: 26 Czerwiec 2011 - 17:29

[sirtepek]

przeskanowałem dysk Malwarebytes' Anti-Malware i wykryło mi 10 zagrożeń, jednak pozostał plik "fuedue.scr" w systemie :/
daję log ze skanowania:
LOG Mbam

[tehawanka]

Akurat tego pliku nie było widać w logu.
Skoro wszystko usunąłeś to teraz nie powinno być już problemów.
System volume information miałeś wyczyścić wyłączając na chwilę przywracanie systemu.