Kłopoty z pendrive i kartą pamięci na telefonie

Witam serdecznie!
Widziałem już podobnych tematów multum, ale zupełnie nie umiałem rozwiązania przypiąć do mojego komputera.
Problem jest taki - jak włączam pendrive albo telefon przez USB, to pokazuje mi się najpierw skrót "Removable Disk", a dane z dysku dopiero po otworzeniu tego skrótu. Pół biedy z pendrive'ami, bo da się dostać do tych plików. Najgorszy problem jest z kartą pamięci - telefon (Nokia XpressMusic, ten taki "krzywy") nie radzi sobie z włączeniem tego skrótu, więc nie mam dostępu do dzwonków, tapet itd. Poza tym przy wsadzeniu pendrive do portu USB pokazuje się komunikat Microsoft Security Essentials, że znaleziono nierozpoznane elementy.
Czytałem, żeby zrobić skan USBFixem, więc załączam. H to karta pamięci, pozostałe dwa to pendrive.

Wykonaj eksperyment,przed podłączeniem telefonu wyłącz na 10 minut antywirusa.
Wykonaj rutynowo skanowanie przy pomocy Malwarebytes i czyszczenie rejestru przy pomocy CCleaner-a.

Pokaż logi z OTL http://oldtimer.geekstogo.com/OTL.exe
Zaznacz-Wszyscy użytkownicy.Wszystkie panele-Użyj filtrowania.Zaznacz-infekcja LOP iPurity https://obrazki.elektroda.pl/4338219300_1364652821.png
i log z USBFix z funkcji Listing.

Załączam logi z USBFix i OTL. A antywirusa nie mam pojęcia jak wyłączyć... W panelu programu nie ma takiej opcji, a w menedżerze zadań widzę tylko, jak wyłączyć "klienta" na pasku, co nie wyłączy przecież programu.
Poza tym nie rozumiem, co miałby dać ten eksperyment - chcemy przecież, żeby przestało nam się na komputerze robić coś dziwnego z dyskami zewnętrznymi, co ma do tego antywirus, który jest zainstalowany jakieś 1,5-2 lata i nic się takiego nigdy nie działo?

Odinstaluj:
Bundled software uninstaller
McAfee Security Scan Plus
OptimizerPro1 Updater
IB Updater Service

Uzyj AdwCleaner, opcja Delete.

Wykonaj skrypt w OTL:

:OTL
PRC - [2013/04/07 10:55:02 | 000,015,152 | ---- | M] () -- C:\Windows\SysWOW64\jmdp\stij.exe
PRC - [2012/08/22 22:31:25 | 000,210,944 | ---- | M] () -- C:\ProgramData\OptimizerPro1\OptimizerPro1.exe
SRV:64bit: - [2013/04/07 10:54:58 | 001,455,408 | ---- | M] () [Auto | Running] -- C:\Windows\SysNative\dmwu.exe -- (IBUpdaterService)
IE - HKU\S-1-5-21-885473801-1135821649-2530607942-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?affID=119816&bab...HP_ss&mntrId=005a097c000000000000e839df979c57
IE - HKU\S-1-5-21-885473801-1135821649-2530607942-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = http://mystart.incredibar.com/mb165?a=6PQzJu9kKZ&i=26
IE - HKU\S-1-5-21-885473801-1135821649-2530607942-1001\..\SearchScopes,DefaultScope = {0388404D-6072-4CEB-B521-8F090FEAEE57}
IE - HKU\S-1-5-21-885473801-1135821649-2530607942-1001\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = http://klit.startnow.com/s/?q={searchTerms}
IE - HKU\S-1-5-21-885473801-1135821649-2530607942-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP_ss&mntrId=005a097c000000000000e839df979c57
IE - HKU\S-1-5-21-885473801-1135821649-2530607942-1001\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb203?a=6PQzJu9kKZ&search={searchTerms}&i=26
IE - HKU\S-1-5-21-885473801-1135821649-2530607942-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\Web Assistant\Firefox
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}: C:\Program Files\Web Assistant\Firefox
[2012/08/22 22:31:57 | 000,000,000 | ---D | M] (DownloadnSave) -- C:\Users\Arek\AppData\Roaming\mozilla\Firefox\Profiles\c3rauwr8.default\extensions\5035414aa88cb@5035414aa8903.info
[2012/08/31 15:20:56 | 000,000,000 | ---D | M] (DownloadnSave) -- C:\Users\Arek\AppData\Roaming\mozilla\Firefox\Profiles\c3rauwr8.default\extensions\50407d3cdf353@50407d3cdf38c.info
[2013/06/20 21:57:57 | 000,000,000 | ---D | M] (safeee saavve) -- C:\Users\Arek\AppData\Roaming\mozilla\Firefox\Profiles\c3rauwr8.default\extensions\ayu88y-6k@ecciyk-.edu
[2013/02/19 15:45:28 | 000,001,294 | ---- | M] () -- C:\Users\Arek\AppData\Roaming\mozilla\firefox\profiles\c3rauwr8.default\searchplugins\delta.xml
[2013/07/06 21:26:26 | 000,002,120 | ---- | M] () -- C:\Users\Arek\AppData\Roaming\mozilla\firefox\profiles\c3rauwr8.default\searchplugins\MyStart Search.xml
[2012/11/21 17:24:59 | 000,001,390 | ---- | M] () -- C:\Users\Arek\AppData\Roaming\mozilla\firefox\profiles\c3rauwr8.default\searchplugins\yahoo-zugo.xml
[2013/02/19 15:44:33 | 000,006,484 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
F3:64bit: - HKU\S-1-5-21-885473801-1135821649-2530607942-1001 WinNT: Load - (C:\Users\Arek\LOCALS~1\Temp\ccebifbw.scr) - C:\Users\Arek\LOCALS~1\Temp\ccebifbw.scr (House)
F3 - HKU\S-1-5-21-885473801-1135821649-2530607942-1001 WinNT: Load - (C:\Users\Arek\LOCALS~1\Temp\ccebifbw.scr) - C:\Users\Arek\LOCALS~1\Temp\ccebifbw.scr (House)
O20 - AppInit_DLLs: (c:\progra~3\browse~1\261095~1.52\{c16c1~1\browse~1.dll) - File not found
[2013/07/06 21:26:20 | 000,000,378 | -H-- | M] () -- C:\windows\tasks\OptimizerPro1UpdaterTask{C1C6C98E-E589-4CD1-A6EF-350CA9B615AE}.job
[2013/02/19 15:43:33 | 000,000,000 | ---D | M] -- C:\Users\Arek\AppData\Roaming\Babylon

:Files
C:\Users\Arek\LOCALS~1\Temp\ccebifbw.scr
G:\autorun.inf
G:\4#BZVSHV.ini
G:\desktop.ini
G:\Thumbs.db
G:\Removable Disk (1GB).lnk
H:\autorun.inf
H:\4#PUEYTRYTIAAEBOXS.ini
H:\desktop.ini
H:\Thumbs.db
H:\Removable Disk (1GB).lnk
I:\desktop.ini
I:\4#UAPHXOOYQCEHTI.ini
I:\autorun.inf
I:\Thumbs.db
I:\Removable Disk (4GB).lnk
attrib -S -H G:\* /C
attrib -S -H H:\* /C
attrib -S -H I:\* /C

Po wykonaniu daj nowy log z OTL oraz USBFix.

Zrobiłem. Zauważyłem, że pliki są na wszystkich dyskach (bo system pokazuje poprawną ilość zajętego miejsca), ale jak się wejdzie, to pokazuje się tylko pusty folder. Jak sprawdzałem tuż po wykonaniu skryptu, to było podobnie, ale jak włączałem widoczność ukrytych plików i folderów, to ujawniał się ten Removable Disk i dało się do tych danych jeszcze mieć dostęp. Teraz jak włączam opcję uwidocznienia plików ukrytych, to już tych plików nie widać...

Nie staly sie ukryte, tylko usuniete. Infekcji juz nie ma!

Uruchom:
attrib -S -H G:\*.*
attrib -S -H H:\*.*
attrib -S -H I:\*.*

Mozesz tez recznie w opcjach folderow wlaczyc pokazywanie plikow ukrytych oraz wylaczyc ukrywanie chronionych.

Swoje pliki masz w folderze bez nazwy na kazdym z nosnikow.

W OTL wybierz sprzatanie.

No dobra, niby jest, tylko trochę wojna domowa tu była - po restarcie kompa nie ma śladu po OTL Dzięki wielkie!

Wirusa mogłem przynieść tylko z komputera pracodawcy - to u niego pierwszy raz zauważyłem Removable Disk, a poza tym jego komputer od kilku dni krzyczy coś o trojanach. Korzystam z jego komputera do pracy, którą czasami na pendrive przynoszę też do domu. Dobrze by było, żeby z tamtego komputera też się tego syfu pozbyć. Zrobić logi w OTL i USBFix i podesłać? Czy sugerujecie coś innego?

Tak ma byc, sprzatanie usuwa OTL.

Mozesz podeslac, wazne zeby po takiej infekcji i podlaczeniu do czystego komputera nie klikac na skrot, ktory sie tworzy na pendrivie, wtedy dochodzi do infekcji komputera.

W sensie żeby jak już przyniosę od niego ewentualnie zainfekowany to nie uruchamiać Removable Disk?

Tak. Wystarczy wtedy wlaczyc pokazywanie plikow ukrytych oraz wylaczyc ukrywanie chronionych i usunac:

x:\*.ini
x:\autorun.inf
x:\Thumbs.db
x:\Removable Disk (4GB).lnk

Pliki beda tak jak wczesniej w katalogu bez nazwy.

Jak juz dojdzie do infekcji to trzeba jeszcze usunac plik exe z komputera.

Który exe? Bo ja z tych skryptów to nic nie rozumiem szczerze powiedziawszy ;P
Czyli jeszcze raz, żebym miał pewność, że Cię dobrze zrozumiałem - jeśli niestety przyniósłbym znów pendrive w takim stanie, to nie otwieram Removable Disk, tylko ustawiam pliki ukryte i chronione jako widoczne i usuwam 4 pliki, które wymieniłeś. Potem już mogę wejść w ten katalog i normalnie korzystać z danych?

Dokladnie tak.

Echhh, żona przyniosła z punktu ksero zainfekowanego pendive i uruchomiła ów zakazany skrót.... Załączam logi z USBFix i OTL.

Z góry dzięki za pomoc

W USBFix masz wybrac opcje Listing!

############################## | UsbFix 7.045 |

User: Arek (Administrator) # AREK-KOMPUTER [SAMSUNG ELECTRONICS CO., LTD. R580/R590]
Updated 15/05/2011 by TeamXscript
Started at 15:21:52 | 10/10/2013
Website: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido(malpa)gmail.com

CPU: Intel(R) Core(TM) i7 CPU M 620 @ 2.67GHz
CPU 2: Intel(R) Core(TM) i7 CPU M 620 @ 2.67GHz
Microsoft Windows 7 Home Premium (6.1.7601 64-Bit) # Service Pack 1
Internet Explorer 9.10.9200.16686

Windows Firewall: Enabled
RAM -> 3957 Mb
C:\ (%systemdrive%) -> Fixed drive # 102 Gb (35 Mb free - 34%) [] # NTFS
D:\ -> Fixed drive # 474 Gb (252 Mb free - 53%) [] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
G:\ -> Removable drive # 980 Mb (508 Mb free - 52%) [] # FAT32
Z:\ -> CD-ROM

################## | Listing |

[12/05/2012 - 10:35:08 | SHD ] C:\$Recycle.Bin
[06/07/2013 - 23:24:07 | A | 12132] C:\AdwCleaner[S1].txt
[26/05/2012 - 09:30:12 | D ] C:\Dev-Cpp
[14/07/2009 - 07:08:56 | SHD ] C:\Documents and Settings
[10/10/2013 - 12:46:10 | ASH | 4148744192] C:\hiberfil.sys
[09/06/2010 - 00:07:19 | D ] C:\Intel
[06/07/2013 - 21:43:41 | D ] C:\MSI
[07/08/2012 - 17:53:01 | RHD ] C:\MSOCache
[10/10/2013 - 12:46:13 | ASH | 4148744192] C:\pagefile.sys
[14/07/2009 - 05:20:08 | D ] C:\PerfLogs
[20/06/2013 - 22:32:01 | RD ] C:\Program Files
[30/09/2013 - 09:49:31 | RD ] C:\Program Files (x86)
[20/09/2013 - 11:08:41 | HD ] C:\ProgramData
[12/05/2012 - 10:16:48 | SHD ] C:\Recovery
[09/06/2010 - 00:09:07 | A | 2162] C:\RHDSetup.log
[05/08/2012 - 18:39:00 | A | 540] C:\settings.ini
[09/06/2010 - 00:44:15 | A | 166] C:\Setup.log
[22/01/2013 - 19:12:17 | D ] C:\SIERRA
[10/10/2013 - 07:26:12 | SHD ] C:\System Volume Information
[04/09/2012 - 22:33:58 | D ] C:\Team17
[10/10/2013 - 10:55:39 | D ] C:\UsbFix
[09/07/2013 - 16:27:02 | A | 4112] C:\UsbFix AREK-KOMPUTER.txt
[04/07/2013 - 09:18:00 | A | 6557] C:\UsbFix [Scan 1] AREK-KOMPUTER.txt
[04/07/2013 - 21:37:26 | A | 8008] C:\UsbFix [Scan 2] AREK-KOMPUTER.txt
[04/07/2013 - 21:41:20 | A | 7611] C:\UsbFix [Scan 3] AREK-KOMPUTER.txt
[09/07/2013 - 16:25:16 | A | 6611] C:\UsbFix [Scan 4] AREK-KOMPUTER.txt
[10/10/2013 - 15:21:50 | A | 2293] C:\UsbFix.txt
[12/05/2012 - 10:18:56 | RD ] C:\Users
[08/09/2013 - 14:40:42 | D ] C:\Windows
[12/05/2012 - 10:35:08 | SHD ] D:\$RECYCLE.BIN
[10/07/2013 - 16:41:13 | D ] D:\0f2b46137f0e6f31b3daaeee4ed95a5f
[22/05/2012 - 16:24:13 | D ] D:\52cd4916ed6601fc1bc751
[02/08/2013 - 15:18:03 | D ] D:\Anno 1404
[12/06/2012 - 09:48:53 | D ] D:\Balladyna
[02/10/2013 - 22:58:58 | D ] D:\Gry
[16/10/2012 - 21:34:42 | D ] D:\Majesty
[19/02/2012 - 18:59:27 | HD ] D:\msdownld.tmp
[25/01/2013 - 17:13:02 | D ] D:\Oracle
[14/03/2013 - 13:16:06 | D ] D:\Piosenki
[26/06/2012 - 13:14:28 | D ] D:\Programy
[06/10/2013 - 01:00:23 | D ] D:\Sciag
[17/07/2011 - 19:25:32 | SHD ] D:\System Volume Information
[12/06/2012 - 09:51:45 | D ] D:\Warsztaty muzyczno-liturgiczne 11-13.02.11
[18/10/2012 - 13:36:12 | D ] D:\zdj
[06/10/2013 - 10:03:39 | RD ] D:\Łosiowe
[08/05/2013 - 22:40:39 | D ] D:\Śpiewnik audio
[01/10/2013 - 10:27:12 | RASH | 3976] G:\desktop.ini
[01/10/2013 - 10:27:12 | RASH | 253952] G:\Thumbs.db
[01/10/2013 - 10:26:46 | ASH | 0] G:\autorun.inf
[01/10/2013 - 10:27:12 | A | 1514] G:\Removable Disk (2GB).lnk
[04/07/2013 - 09:01:18 | SHD ] G:\ 

Skrypt:

:Files
G:\desktop.ini
G:\Thumbs.db
G:\autorun.inf
G:\Removable Disk (2GB).lnk
attrib -S -H G:\* /C

Dzięki