Ukryte pliki się nie pokazują

[Huuboss]

Witam,
gdy biorę pokaż ukryte pliki nic się nie dzieje. Kiedyś miałem podobny problem i rozwiązałem go za pomocą combofixa, ale nie pamiętam co wtedy wklejałem do notatnika i przenosiłem. Problem został naprawiony, ale znowu powrócił.

Log z gmera: http://wklej.org/id/414085/

Log z otl
1: http://wklej.org/id/414087/
2: http://wklej.org/id/414088/

Proszę o pomoc. Z góry dziękuję.

[wojtas]

jest to infekcja z pendriva, podłącz więc wszystkie urządzenia typu pen, ( to co podłączasz do kompa)


Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKU\S-1-5-21-1417001333-1993962763-1343024091-1004..\Run: [api32] C:\Documents and Settings\Hubi\Ustawienia lokalne\Temp\apiqq.exe ()
O4 - HKU\S-1-5-21-1417001333-1993962763-1343024091-1004..\Run: [cdoosoft] C:\Documents and Settings\Hubi\Ustawienia lokalne\Temp\herss.exe ()
O4 - HKU\S-1-5-21-1417001333-1993962763-1343024091-1004..\Run: [dso32] C:\Documents and Settings\Hubi\Ustawienia lokalne\Temp\dsoqq.exe ()
O4 - HKU\S-1-5-21-1417001333-1993962763-1343024091-1004..\Run: [nod32] C:\Documents and Settings\Hubi\Ustawienia lokalne\Temp\nodqq.exe ()
O32 - AutoRun File - [2010-11-06 23:47:17 | 000,000,063 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-11-06 23:47:17 | 000,000,063 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2010-11-06 23:47:17 | 000,000,063 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{6f0c0210-d1f2-11de-8adf-00e04caeb388}\Shell\AutoRun\command - "" = H:\wyskq6lt.exe -- File not found
O33 - MountPoints2\{6f0c0210-d1f2-11de-8adf-00e04caeb388}\Shell\open\Command - "" = H:\wyskq6lt.exe -- File not found
O33 - MountPoints2\{73eddec0-a794-11df-8ed7-00e04caeb388}\Shell\AutoRun\command - "" = H:\wyskq6lt.exe -- File not found
O33 - MountPoints2\{73eddec0-a794-11df-8ed7-00e04caeb388}\Shell\open\Command - "" = H:\wyskq6lt.exe -- File not found
O33 - MountPoints2\{897fc910-c95d-11de-8abb-4d6564696130}\Shell\AutoRun\command - "" = H:\wyskq6lt.exe -- File not found
O33 - MountPoints2\{897fc910-c95d-11de-8abb-4d6564696130}\Shell\open\Command - "" = H:\wyskq6lt.exe -- File not found
O33 - MountPoints2\{897fc911-c95d-11de-8abb-4d6564696130}\Shell\AutoRun\command - "" = I:\wyskq6lt.exe -- File not found
O33 - MountPoints2\{897fc911-c95d-11de-8abb-4d6564696130}\Shell\open\Command - "" = I:\wyskq6lt.exe -- File not found
O33 - MountPoints2\{d5d92f42-c59a-11de-93e8-806d6172696f}\Shell\AutoRun\command - "" = C:\wyskq6lt.exe -- [2010-04-15 10:25:08 | 000,126,976 | RHS- | M] ()
O33 - MountPoints2\{d5d92f42-c59a-11de-93e8-806d6172696f}\Shell\open\Command - "" = C:\wyskq6lt.exe -- [2010-04-15 10:25:08 | 000,126,976 | RHS- | M] ()
O33 - MountPoints2\{d5d92f43-c59a-11de-93e8-806d6172696f}\Shell\AutoRun\command - "" = D:\wyskq6lt.exe -- [2010-04-15 10:25:08 | 000,126,976 | RHS- | M] ()
O33 - MountPoints2\{d5d92f43-c59a-11de-93e8-806d6172696f}\Shell\open\Command - "" = D:\wyskq6lt.exe -- [2010-04-15 10:25:08 | 000,126,976 | RHS- | M] ()
O33 - MountPoints2\{d5d92f44-c59a-11de-93e8-806d6172696f}\Shell\AutoRun\command - "" = E:\wyskq6lt.exe -- [2010-04-15 10:25:08 | 000,126,976 | RHS- | M] ()
O33 - MountPoints2\{d5d92f44-c59a-11de-93e8-806d6172696f}\Shell\open\Command - "" = E:\wyskq6lt.exe -- [2010-04-15 10:25:08 | 000,126,976 | RHS- | M] ()
@Alternate Data Stream - 146 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:6900017D
@Alternate Data Stream - 120 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:B3D74A13

:Files
C:\Documents and Settings\Hubi\Ustawienia lokalne\Temp\cvasds0.dll
C:\Documents and Settings\Hubi\Ustawienia lokalne\Temp\cvasds1.dll
C:\Qoobox
albkpq3.exe /alldrives
b9v.exe /alldrives
lpl.exe /alldrives
r3q63rok.exe /alldrives
9d6resf.exe /alldrives
jofk1wf.exe /alldrives
o1o.exe /alldrives
wq.exe /alldrives
kyme.exe /alldrives
h3wp9.exe /alldrives
io3yalc.exe /alldrives
autorun.inf /alldrives

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]
[emptyflash]
[clearallrestorepoints]

Kliknij wykonaj skrypt. I potwierdź reset komputera .
Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie). oraz Przy podpiętym urządzeniu przenośnym (pendrive itp) , uruchom USBFIX z opcji Listing i pokaż raport na forum.

[Huuboss]

OTL:
1. http://wklej.org/id/414169/
2. http://wklej.org/id/414170/

tutaj mam też coś co mi się otworzyło w notatniku. Nie wiem czy to jest z OTL, czy z USBfix, bo akurat jednocześnie, gdy otworzyłem USBfix OTL skończył skanowanie.

3. http://wklej.org/id/414171/


USBfix:
http://wklej.org/id/414172/

[wojtas]

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej: oczywiście wszystkie urządzenie przenośne podłączone podczas usuwania, jak i tworzenia logów

:Processes
killallprocesses

:Files
09lf.exe /alldrives
0fpdq2dw.exe /alldrives
12gn6id2.exe /alldrives
1gkbvsni.exe /alldrives
1hqup.exe /alldrives
1j038ki.exe /alldrives
1thes92p.exe /alldrives
2bbi1ax.exe /alldrives
2ul.exe /alldrives
3dcs9.exe /alldrives
62.exe /alldrives
9d6tpg.exe /alldrives
9qqigqwf.exe /alldrives
9rfpp.exe /alldrives
awb3ryk.exe /alldrives
ba.exe /alldrives
bbjl2g.exe /alldrives
bveijo.exe /alldrives
c2e.exe /alldrives
ca.exe /alldrives
chxnxyx.exe /alldrives
df.exe /alldrives
dqm.exe /alldrives
eyruu.exe /alldrives
fk.exe /alldrives
ggpw.exe /alldrives
hc3hvi0.exe /alldrives
i8ikdjwt.exe /alldrives
iuvvl9f3.exe /alldrives
ji83j.exe /alldrives
k1d.exe /alldrives
lhhr8.exe /alldrives
mi9al8rs.exe /alldrives
mvmdh.exe /alldrives
n0qls.exe /alldrives
nhx.exe /alldrives
p3vwxx.exe /alldrives
p9rs.exe /alldrives
pbyqfn.exe /alldrives
qhbfqx.exe /alldrives
qkm.exe /alldrives
RECYCLER /alldrives
rfg.exe /alldrives
rpw.exe /alldrives
s1.exe /alldrives
tgt.exe /alldrives
twhvna.exe /alldrives
vgyn6ewc.exe /alldrives
vi8f.exe /alldrives
ws.exe /alldrives
xcr.exe /alldrives
xjb3.exe /alldrives
y.exe /alldrives
y6cqb2is.exe /alldrives
yqq8eqil.exe /alldrives
ysyjq1bs.exe /alldrives


:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]
[emptyflash]
[clearallrestorepoints]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie). + nowy log z USBFIX

[Huuboss]

OTL:
1. http://wklej.org/id/414395/
2. http://wklej.org/id/414397/
i ten dodatkowy
3. http://wklej.org/id/414398/

USBfix:
http://wklej.org/id/414399/


Dodam też, że ukryte pliki już działają, ale to po poprzednim skanowaniu itp. ale zapomniałem napisać.

[wojtas]

skasuj:

D:\3gptoavi2.exe



Wykonaj czynności końcowe :

1.Uruchom OTL z opcji sprzątanie.
2. wykonaj optymalizację Windowsa
3.Wyłącz przywracanie systemu ( właściwości mój komputer-zakładka przywracanie - wyłącz przywracanie na wszystkich dyskach). Po chwili włącz je powrotem
4. zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )


Zaktualizuj zabezpieczenia:
>>> Adobe Reader (bez Free McAfee® Security Scan Plus)
>>> Java™ 6 Update 22
>>> Avast 5

Autor postu otrzymał pochwałę

[Huuboss]

Dziękuję bardzo za pomoc.
Ten wirus czy co to było wydaje mi się, że za każdym razem jest przenoszony z brata kompa. Czy jak brat zrobiłby to samo co ja musiałem, to czy u niego też to usunie?

[wojtas]

musi dać takie same logi co Ty dawałeś