Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus robiący skróty na przenośnych dyskach i telefonie.

08 Sty 2014 07:39 3948 25
  • Spec od komputerów
    Odinstaluj BitGuard,Qtrax Player,Browsers Protector,Contextual Tool Extrafind,Delta toolbar,Delta Chrome Toolbar,Jump Flip,Mobogenie.Użyj AdwCleaner http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner z funkcji Skan(Szukaj) a następnie Clean(usuń) (w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).
    Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

    Cytat:
    :OTL
    O3 - HKLM\..\Toolbar: (Delta Toolbar) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.24.6\deltaTlbr.dll (Delta-search.com)
    O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files\Mobogenie\DaemonProcess.exe ()
    O4 - HKCU..\Run: [AdobeBridge] File not found
    O4 - HKCU..\Run: [QNPlus] File not found
    F3 - HKCU WinNT: Load - (C:\Users\Krzysiek\LOCALS~1\Temp\ccowwiv.bat) - File not found
    [2014-01-07 01:59:12 | 000,000,000 | ---D | C] -- C:\Program Files\Jump Flip
    [2014-01-07 01:55:24 | 000,000,000 | ---D | C] -- C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie
    [2014-01-05 23:44:44 | 000,000,000 | ---D | C] -- C:\Users\Krzysiek\.android
    [2014-01-05 23:44:41 | 000,000,000 | ---D | C] -- C:\Users\Krzysiek\AppData\Roaming\newnext.me
    [2014-01-05 23:44:41 | 000,000,000 | ---D | C] -- C:\Users\Krzysiek\AppData\Local\cache
    [2014-01-05 23:44:40 | 000,000,000 | ---D | C] -- C:\Users\Krzysiek\AppData\Local\genienext
    [2014-01-05 23:44:39 | 000,000,000 | ---D | C] -- C:\Users\Krzysiek\Documents\Mobogenie
    [2014-01-05 23:44:39 | 000,000,000 | ---D | C] -- C:\Users\Krzysiek\AppData\Local\Mobogenie
    [2014-01-05 23:43:41 | 000,000,000 | ---D | C] -- C:\Program Files\Mobogenie

    :Files
    F:\*.lnk
    F:\jafdeqiphm..vbs
    H:\jafdeqiphm..vbs
    H:\*.lnk
    H:\Autorun.inf
    I:\jafdeqiphm..vbs
    I:\*.lnk
    J:\autorun.inf
    attrib /d /s -s -h F:\* /C
    attrib /d /s -s -h H:\* /C
    attrib /d /s -s -h I:\* /C
    attrib /d /s -s -h J:\* /C

    :Commands
    [emptytemp]


    Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
    Pokaż nowy log OTL.txt oraz raport z usuwania.
  • Poziom 7  
    Hej.
    Usunąłem wskazane programy, z paska odinstaluj programy/panel sterowanie nie da się usunąć Contextual Tool Extrafind. Gdy wykonywałem skrypt 3krotnie OTL sie zawieszał po kilku minutach(brak odpowiedzi) i nie mogłem zapisać raportu. Przesyłam nowy log z OTL.
  • Spec od komputerów
    Wykonaj skrypt w trybie awaryjnym.
  • Poziom 7  
    Nie pomogło. w trybie awaryjnym również proces stanął zaraz na początku przy:
    O3 - HKLM\..\Toolbar: (Delta Toolbar) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.24.6\deltaTlbr.dll (Delta-search.com)
  • Spec od komputerów
    A użyłeś AdwCleaner? Chyba nie.
  • Poziom 7  
    Tak zrobiłem. Pliki w programie ADW Clenaer zostały usunięte. Pliki na pendrivach są ale są ukryte, a pliki widoczne to skróty. Program OTL zawiesza sie ciągle w tym samym momencie.
  • Spec od komputerów
    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    HKCU\...\Run: [jafdeqiphm] - C:\Users\Krzysiek\AppData\Local\Temp\jafdeqiphm..vbs [101848 2013-08-26] () <===== ATTENTION
    HKCU\...\CurrentVersion\Windows: [Load] C:\Users\Krzysiek\LOCALS~1\Temp\ccowwiv.bat <===== ATTENTION
    Startup: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jafdeqiphm..vbs ()
    U3 a58e9n7j; C:\Windows\System32\Drivers\a58e9n7j.sys [0 ] (Microsoft Corporation)
    2014-01-08 10:43 - 2014-01-08 18:28 - 00000000 ____D C:\AdwCleaner
    2014-01-07 01:53 - 2014-01-07 01:53 - 00666648 _____ C:\Users\Krzysiek\Downloads\Malwarebytes-AntiMalware(13117)(1).exe
    2014-01-05 23:44 - 2014-01-08 08:32 - 00000360 _____ C:\Users\Krzysiek\daemonprocess.txt
    2014-01-05 23:44 - 2014-01-07 06:40 - 00000000 ____D C:\Users\Krzysiek\AppData\Roaming\newnext.me
    2014-01-05 23:44 - 2014-01-07 02:01 - 00000000 ____D C:\Users\Krzysiek\AppData\Local\cache
    2014-01-05 23:44 - 2014-01-07 01:55 - 00000000 ____D C:\Users\Krzysiek\AppData\Local\genienext
    2014-01-05 23:44 - 2014-01-05 23:44 - 00000000 ____D C:\Users\Krzysiek\.android
    2014-01-07 06:40 - 2014-01-05 23:44 - 00000000 ____D C:\Users\Krzysiek\AppData\Roaming\newnext.me
    2014-01-07 02:01 - 2014-01-05 23:44 - 00000000 ____D C:\Users\Krzysiek\AppData\Local\cache
    2014-01-07 01:55 - 2014-01-05 23:44 - 00000000 ____D C:\Users\Krzysiek\AppData\Local\genienext
    2014-01-07 00:23 - 2014-01-07 00:23 - 00000000 _____ C:\Users\Krzysiek\AppData\Local\Temprad3C6E0.tmp
    2014-01-06 22:36 - 2014-01-06 22:36 - 00000000 _____ C:\Users\Krzysiek\AppData\Local\Temprad6904B.tmp
    C:\Users\Krzysiek\AppData\Local\Temp\jafdeqiphm..vbs
    F:\jafdeqiphm..vbs
    H:\jafdeqiphm..vbs
    H:\Autorun.inf
    I:\jafdeqiphm..vbs
    J:\autorun.inf
    F:\Pictures.lnk
    F:\DSC_0260.lnk
    F:\DSC_0268.lnk
    F:\Hans_Solo-8-PL-2011-LbP.lnk
    F:\112.lnk
    F:\[ www.UsaBit.com ] - Life Of Pi 2012 DVDRip XviD-ARROW.lnk
    F:\Biały słoń - Elephant White (2011) [DVDRip.lnk
    F:\pliki femsa.lnk
    F:\wniosek-o-wydanie-duplikatu-z-protokolu-badania-i-decyzji-dla-zbiornika-lpg-montowanego-w-samochodzie-1.lnk
    F:\REGULAMIN_PROJEKTU_Sam_Sobie_Szefem_II_2013-02-25.lnk
    F:\Żydzi i Masoni we wspólnej pracy pdf djvu.lnk
    F:\foto cz.2.lnk
    F:\harmonogram_projektu_27-02-2013r.lnk
    F:\Norweski dla początkujących.lnk
    F:\Igrzyska Śmierci.lnk
    F:\PKZ Olsztyn.lnk
    F:\WCPR.lnk
    F:\siec.lnk
    F:\WLAN_Atheros_Win7_32_Z920458.lnk
    F:\noc.lnk
    F:\czerwcowe urodziny.lnk
    F:\[WWW.MAXI-TORRENTS.PL] Polaczenie - The Call (2013) [DVDRip] [XviD-GHW] [Lektor PL].lnk
    F:\Pieszkowo mieszkanie.lnk
    F:\norweski.lnk
    F:\femsa l=pliki.lnk
    F:\gun - spluwa 2010 lektor pl ac3 dvdrip xvid _5fantastic pl_.lnk
    F:\za%B3.lnk
    F:\21 Jump Street 2012.lnk
    F:\For.lnk
    F:\za%B3%B1czniki%201-22%20do%20regulaminu.lnk
    F:\Książki na temat NLP, psychologii, samodoskonalenia, medytacji, tworzenia pieniędzy itp cz2 [pdf].lnk
    H:\Music.lnk
    H:\DCIM.lnk
    H:\TAG.lnk
    H:\Autorun.inf.lnk
    H:\Private.lnk
    I:\Pork_Pores_Porkinson-Psychoterapy-PL-2013-BiL.lnk


    Po wykonaniu uruchom:
    attrib /d /s -s -h F:\*
    attrib /d /s -s -h H:\*
    attrib /d /s -s -h I:\*
    attrib /d /s -s -h J:\*

    Na koniec daj fixlog.txt oraz nowe logi z OTL + USBFix.
  • Poziom 7  
    Co znaczy:

    Po wykonaniu uruchom:
    attrib /d /s -s -h F:\*
    attrib /d /s -s -h H:\*
    attrib /d /s -s -h I:\*
    attrib /d /s -s -h J:\*
  • Spec od komputerów
    Klikasz na menu start i wpisujesz w polu uruchrom to co masz podane.
  • Spec od komputerów
    Użyj USBFix z funkcji Deletion (jeśli jakiś folder nazwałeś muza lub muzyka to zmień na inną przed użyciem USBFix.).Pokaż z niego log i nowe logi z OTL.
  • Spec od komputerów
    Nie widze zebys zrobil to o co prosilem. Miales dac fixlog.txt z FRST.

    Skrypt dla OTL:

    :OTL
    DRV - File not found [Kernel | On_Demand | Unknown] -- -- (ays4q66q)
    IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=68983abd-8c7c-11e1-b422-001b382390a2&q={searchTerms}
    O4 - HKCU..\Run: [jafdeqiphm] wscript.exe //B "C:\Users\Krzysiek\AppData\Local\Temp\jafdeqiphm..vbs" File not found
    O4 - HKCU..\Run: [QNPlus] File not found
    O4 - Startup: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jafdeqiphm..vbs ()
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Reg Error: Value error.)
    O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 10.13.2)
    O32 - AutoRun File - [2014-01-07 00:11:00 | 000,000,000 | -HSD | M] - H:\Autorun.inf -- [ FAT32 ]
    O32 - AutoRun File - [2014-01-07 00:11:00 | 000,000,000 | -HSD | M] - H:\Autorun.inf -- [ FAT32 ]
    [2014-01-12 08:45:15 | 000,101,848 | ---- | C] () -- C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jafdeqiphm..vbs

    :Files
    F:\jafdeqiphm..vbs
    F:\*.lnk
    H:\jafdeqiphm..vbs
    H:\*.lnk
    I:\jafdeqiphm..vbs
    I:\*.lnk
    K:\jafdeqiphm..vbs
    K:\*.lnk
    attrib /d /s -s -h F:\* /C
    attrib /d /s -s -h H:\* /C
    attrib /d /s -s -h I:\* /C
    attrib /d /s -s -h J:\* /C
    C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jafdeqiphm..vbs
  • Spec od komputerów
    Czy mozesz dac log z wykonania skryptu z OTL? Z tego co widze to NIC sie nie wykonalo.
    Daj tez nowy log z USBFix.
  • Pomocny post
    Spec od komputerów
    Usun jeszcze plik: J:\default-capability.lnk

    Reszta wyglada ok. Wybierz w OTL Sprzatanie i to wszystko.
  • Poziom 7  
    Super zajebiście. Pomogłeś mi. Najlepsze jest to że rok nie mogłem wciskać bezpośrednio " ć " bo wyskakiwało mi jakieś powiadomienie a teraz jest OK.

    Podziękował :D
  • Spec od komputerów
    Odinstaluj: McAfee Security Scan

    Uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun:
    http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner

    Zainstaluj http://ninite.com/java/

    W USBFix wybierz Deletion i daj nowy log.

    Wykonaj skrypt w OTL:

    :OTL
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\20.tmp -- (MEMSWEEP2)
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer)
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Maciej\USTAWI~1\Temp\catchme.sys -- (catchme)
    IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://start.qone8.com/web/?type=ds&ts=138299...m=cor&uid=ST3160811AS_6PT0BML9XXXX6PT0BML9&q={searchTerms}
    IE - HKLM\..\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}: "URL" = http://us.yhs.search.yahoo.com/avg/search?fr=...chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms}
    IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ost&s={searchTerms}&f=4
    IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={32B26B99-7B24-4D15-A0A5-E4014529DC5E}
    FF - prefs.js..keyword.URL: "http://isearch.avg.com/search?cid=%7B5fdab9b1-4968-49a7-8280-04ad8ec7b8b6%7D&mid=2ece1692c6d747d1a37ad15ac95e18f7-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&ds=AVG&v=8.0.0.34.1&lang=pl&pr=fr&d=2011-10-30%2011%3A06%3A41&sap=ku&q="
    O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (Reg Error: Key error.)
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 10.51.2)
    O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 10.51.2)
    O32 - AutoRun File - [2013-11-29 19:59:18 | 000,004,042 | RHS- | M] () - G:\autorun.inf -- [ FAT32 ]

    :Files
    G:\ggl1.tmp
    G:\ggl.tmp
    G:\*.lnk
    G:\autorun.inf
    attrib /d /s -s -h G:\* /C
  • Spec od komputerów
    Usun jeszcze recznie:
    G:\FOUND.000
    G:\RECYCLER
    oraz G:\snkb0pt o ile sam go nie utworzyles.
  • Poziom 9  
    Wykonane. Wielkie dzięki za pomoc, przywracasz wiarę w ludzi ;)
    I jeszcze jedna sprawa: rozumiem że u mnie na komputerze infekcja jest wyleczona i karta też jest "zdrowa", jednak obawiam się czy sytuacja się nie powtórzy po tym jak aparat zostanie znowu podłączony do innego komputera na którym prawdopodobnie to "złapał". Jest jakimś program którym polecałbyś przeskanować komputer przed podłączeniem aparatu żeby znowu nie pojawił się ten problem ?
  • Spec od komputerów
    USBFix usuwa ta infekcje.