Wirus na pendrive - zmienia pliki na skróty

[deoero]

Hej, mam problem z pendrive.
Mam pendrive prawdopodobnie zawirusowany. Wrzucam plik na pendrive a po wyjęciu i ponownym umieszczeniu go w usb te wszystkie pliki automatycznie wrzuca mi do folderu "Removable Drive (4GB)" który jest skrótem w który nie mogę wejść;[

zastosowałem się do tego tematu http://forum.programosy.pl/wszystko-o-logach-aktualizacja-30-01-2012-vt117887.html

Dołączam logi i proszę o pomoc;]

GMER - http://www.wklej.org/id/1755665/

OTL
OTL - http://www.wklej.org/id/1755674/
Extras - http://www.wklej.org/id/1755677/

USBFix - http://www.wklej.org/id/1755543/

AdwCleaner - http://www.wklej.org/id/1755547/

FRST
Frst http://www.wklej.org/id/1755548/
Addition http://www.wklej.org/id/1755550/

[ordynat]

Infekcja "skrótowa" to "pikuś" w porównaniu do drugiej infekcji, którą masz!

1) Wejdź w Tryb Awaryjny (F8 przed startem Systemu).

2) Otwórz Notatnik i wklej w nim:

C:\ProgramData\mspecft.exe
HKU\S-1-5-21-89879547-2904280558-3561642671-1001\...\CurrentVersion\Windows: [Load] C:\ProgramData\mspecft.exe <===== ATTENTION
G:\ \oob3g.4hqsuuk.ggo.ppi.smcbk.x6244.025uqcb.ga9ihjv
C:\Users\All Users\mspecft.exe
G:\Removable Drive (4GB).lnk
C:\Program Files\1CKR5JX6.exe
C:\Program Files\FUWY0EXS.exe
C:\Program Files\KG0K62SI.exe
R2 VSSS; C:\Users\Agnieszka\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [101369984 2015-06-25] (Microsoft Corporation) [File not signed] <==== ATTENTION
C:\Users\Agnieszka\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe
C:\Windows\Minidump\*.dmp
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
S3 X6va005; \??\C:\Users\AGNIES~1\AppData\Local\Temp\00541C2.tmp [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S3 hwusbfake; system32\DRIVERS\ewusbfake.sys [X]
R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X]
CMD: attrib /d /s -s -h G:\*
FF SearchEngineOrder.1: Ask Search
Toolbar: HKU\S-1-5-21-89879547-2904280558-3561642671-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
SearchScopes: HKU\S-1-5-21-89879547-2904280558-3561642671-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=2&src=sp&cf=28a99aa0-412e-11e1-bcad-20cf305fb65e&q={searchTerms}
SearchScopes: HKU\S-1-5-21-89879547-2904280558-3561642671-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=2&src=sp&cf=28a99aa0-412e-11e1-bcad-20cf305fb65e&q={searchTerms}
SearchScopes: HKU\S-1-5-21-89879547-2904280558-3561642671-1000 -> {5EAEF6B9-3133-44D6-B001-7482DBD3B7FC} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=A3C0E962-F485-4527-A5F7-936550EFAE66&apn_sauid=5E4CB263-D6BE-4066-A515-5FF07619DB78
SearchScopes: HKU\S-1-5-21-89879547-2904280558-3561642671-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL =
SearchScopes: HKU\S-1-5-21-89879547-2904280558-3561642671-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
SearchScopes: HKU\S-1-5-21-89879547-2904280558-3561642671-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={6B6F7DD8-0EAA-4390-AEE4-CB0188D9432C}&mid=&lang=&ds=&pr=&d=&v=&sap=dsp&q={searchTerms}
SearchScopes: HKU\S-1-5-21-89879547-2904280558-3561642671-1001 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL =
SearchScopes: HKU\S-1-5-21-89879547-2904280558-3561642671-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-89879547-2904280558-3561642671-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
Task: {20BF652E-F8DA-4654-9418-EDC4558FF1D7} - System32\Tasks\{720DE97C-A003-4205-B021-244F19639CC7} => pcalua.exe -a "D:\Deoero\Zakon Feniksa\Crack.exe" -d "D:\Deoero\Zakon Feniksa"
Task: {DEDFF8E4-F9C4-482E-A184-4AC877F9E5A3} - System32\Tasks\{B34CE6D9-271F-499C-A735-3358D1F9598A} => pcalua.exe -a C:\Users\Agnieszka\Downloads\SmartDeblur-1.27-win\SmartDeblur-1.27-win\SmartDeblur.exe -d C:\Users\Agnieszka\Downloads\SmartDeblur-1.27-win\SmartDeblur-1.27-win
FirewallRules: [{2EB51945-FD3F-435D-AD6F-7F4D74ED2851}] => (Allow) C:\Program Files (x86)\RelevantKnowledge\rlvknlg.exe
FirewallRules: [{C0419DBE-6699-48BA-8386-995EE803C604}] => (Allow) C:\Program Files (x86)\RelevantKnowledge\rlvknlg.exe
FirewallRules: [{C5BCA2CA-281E-4DF4-9FFB-76835E99B7A2}] => (Allow) C:\Program Files (x86)\RelevantKnowledge\rlvknlg.exe
FirewallRules: [{C170B9AF-7CBD-4660-9A70-DE1A38EF0031}] => (Allow) C:\Program Files (x86)\RelevantKnowledge\rlvknlg.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

3) Wejdź na "G" - powinien się tam pojawić folder bez nazwy, do którego nfekcja przesunęła wszystkie dane.
Przenieś z tego folderu pliki poziom wyżej, a folder "bez nazwy" przez SHIFT+DEL skasuj.

4) Zrób log z USBFix z opcji LISTING.

5) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

6 )Zrób nowe logi z FRST.
.

Autor postu otrzymał pochwałę

[deoero]

wrzucam log z fixlist.exe - http://wklej.org/id/1755753/

ale gdy chcę wejść w G:/ (pendrive) proszą mnie o sformatowanie nośnika. Formatować?
przypomnę, że chciałem w miarę możliwości odzyskać te dane z pena;[

jak kliknę, że nie chcę formatować dostaję takie info:
"G:/ nie jest dostępny.

Wolumin nie zawiera rozpoznawanego systemu plików.
Sprawdź, czy załadowano wszystkie wymagane sterowniki systemu plików i czy wolumin nie jest uszkodzony."

[ordynat]

pomiń punkt 3 moich zaleceń (podejrzewam, że ten pen już nie istnieje, została po nim tylko obudowa))
.

[deoero]

USB Fix opcja Listing - http://wklej.org/id/1755814/

Farbar Service Scanner (zaznaczyłem wszystkie opcje) - http://wklej.org/id/1755817/

FRST
wrzucam tylko FRST bo nie dało mi Additiona tym razem
http://wklej.org/id/1755818/

i czekam na dalsze wskazówki;]

[ordynat]

CHR dev: Chrome dev build detected! <======= ATTENTION

Odinstaluj tę dziurawą wersję Google Chrome.
Zainstaluj stąd > http://www.google.com/chrome/

2) Rzeczywiście USBFix nie widzi "G" - WIEC ALBO PEN JEST USZKODZONY, ALBO WEJSCIE usb.
Wypróbuj tego pena na jakimś innym komputerze.

3) Otwórz Notatnik i wklej w nim:

2015-07-12 09:20 - 2015-07-12 09:20 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LightningDownloader
2015-07-12 09:20 - 2015-07-12 09:20 - 00000000 ____D C:\Program Files (x86)\LightningDownloader
2015-07-12 09:19 - 2015-07-12 09:19 - 00000000 ____D C:\Program Files (x86)\LightEngine
2015-07-12 09:19 - 2015-07-12 09:19 - 00000000 ____D C:\Program Files (x86)\AdKiller for Chrome
2015-07-12 09:18 - 2015-07-12 09:19 - 00000000 ____D C:\ProgramData\6869412199465378742
2015-07-12 09:18 - 2015-07-12 09:18 - 00000000 ____D C:\Program Files (x86)\CuutoThePriceo
2015-07-12 09:18 - 2015-07-12 09:18 - 00000000 ____D C:\Program Files (x86)\CutThePrice
2015-07-12 09:18 - 2015-07-12 09:18 - 00000000 ____D C:\Program Files (x86)\bestadblocker
2015-07-12 09:17 - 2015-07-12 09:17 - 00000000 ____D C:\ProgramData\knnnapmepkmnkcgchcmfblhhdjplkjka
2015-07-12 09:16 - 2015-07-12 15:16 - 00000430 _____ C:\Windows\Tasks\BloatAway.job
015-07-12 09:16 - 2015-07-12 09:16 - 00003350 _____ C:\Windows\System32\Tasks\BloatAway
2015-07-12 09:16 - 2015-07-12 09:16 - 00000000 ____D C:\ProgramData\{d354eaff-e58f-3e65-d354-4eaffe58abff}
C:\Program Files\DUK7OSRV.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

Zrób nowe logi FRST.
.

Autor postu otrzymał pochwałę

[deoero]

Na drugim kompie ta sama sytuacja z penem. Od razu prosi o format.

Podaję logi:

fixlog - http://www.wklej.org/id/1755881/

FRST - http://www.wklej.org/id/1755883/

Additiona nie wydało

[ordynat]

No to teraz przynajmniej mamy jasność, że ten pen nie nadaje się do użytku.
Spróbuj go jeszcze sformatować.

Inne "rzeczy":
Otwórz Notatnik i wklej w nim:

FF Extension: bestadblocker - C:\Users\Agnieszka\AppData\Roaming\Mozilla\Firefox\Profiles\9glqysw2.default\Extensions\556notq@J.net [2015-07-12]
BHO-x32: bestadblocker -> {B91D5C6B-A21F-496E-80FE-9D70477D6F7E} -> C:\Program Files (x86)\bestadblocker\Yu70xG0ukRYvIW.dll No File
C:\Program Files (x86)\bestadblocker
BHO: bestadblocker -> {B91D5C6B-A21F-496E-80FE-9D70477D6F7E} -> C:\Program Files (x86)\bestadblocker\Yu70xG0ukRYvIW.x64.dll No File
S2 65e6d763; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\LightEngine\LightEngine.dll",serv
c:\Program Files (x86)\LightEngine
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-89879547-2904280558-3561642671-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=2&src=sp&cf=28a99aa0-412e-11e1-bcad-20cf305fb65e&q={searchTerms}
SearchScopes: HKU\S-1-5-21-89879547-2904280558-3561642671-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?aff=2&src=sp&cf=28a99aa0-412e-11e1-bcad-20cf305fb65e&q={searchTerms}
SearchScopes: HKU\S-1-5-21-89879547-2904280558-3561642671-1000 -> {5EAEF6B9-3133-44D6-B001-7482DBD3B7FC} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=A3C0E962-F485-4527-A5F7-936550EFAE66&apn_sauid=5E4CB263-D6BE-4066-A515-5FF07619DB78
BHO: CutThePrice -> {7597C3D4-452B-449C-904B-5BB955616DCF} -> C:\Program Files (x86)\CutThePrice\Jmox43IQSgmzP9.x64.dll No File
C:\Program Files (x86)\CutThePrice
BHO-x32: CutThePrice -> {7597C3D4-452B-449C-904B-5BB955616DCF} -> C:\Program Files (x86)\CutThePrice\Jmox43IQSgmzP9.dll No File
Toolbar: HKU\S-1-5-21-89879547-2904280558-3561642671-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.
.

[deoero]

"System nie mógł dokończyć formatowania"
Pen is dead

wstawiam fixloga

http://wklej.org/id/1755930/