[pendrive - wirus] pliki wyświetlane jako skróty

[Werka]

Witam,
wczoraj na uczelnianej drukarni złapałam najpewniej wirusa. Po otworzeniu pendrive'a plik i foldery wyświetlają się jako skróty. Można z nich korzystać,aczkolwiek teraz już wiem,że to po prostu wirus... Załączam poniżej logi z programu OTL ,USB Fix oraz ADWCleaner.

Mam nadzieję, że uda się znaleźć rozwiązanie tego problemu,

Werka

[ordynat]

1) Odinstaluj te programy:
Akamai NetSession Interface
"WinZipper" = WinZipper
"iSafe" = YAC(Yet Another Cleaner!)

2) Adw-Cleaner: najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.

3) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
DRV:64bit: - File not found [Kernel | Disabled | Running] -- C:\Program Files\kprocesshacker.sys -- (KProcessHacker2)
O4 - HKU\S-1-5-21-4230098097-1296065846-589089592-1000..\Run: [Akamai NetSession Interface] C:\Users\Werka\AppData\Local\Akamai\netsession_win.exe (Akamai Technologies, Inc.)
O4 - HKU\S-1-5-21-4230098097-1296065846-589089592-1000..\Run: [Opos] File not found
F3:64bit: - HKU\S-1-5-21-4230098097-1296065846-589089592-1000 WinNT: Load - (C:\ProgramData\msbucn.exe) - C:\ProgramData\msbucn.exe ()
F3 - HKU\S-1-5-21-4230098097-1296065846-589089592-1000 WinNT: Load - (C:\ProgramData\msbucn.exe) - C:\ProgramData\msbucn.exe ()

:Files
C:\Program Files\A746334E.exe
C:\Program Files\0KSO2MEG.exe
C:\ProgramData\msbucn.exe
G:\*.lnk
attrib /d /s -s -h G:\* /C
F:\*.lnk
attrib /d /s -s -h F:\* /C

:Reg
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

4) Wejdź po kolei na dyski F i G.
Na nich są foldery "bez nazwy" do których infekcja przesunęła wszystkie dane.
Przenieś z tych folderów pliki poziom wyżej, a foldery "bez nazwy" przez SHIFT+DEL skasuj.

5) Zrób logi z FRST > http://forum.programosy.pl/frst-otl-zoek-vt139692.html
Przed skanem zaznacz "Additional"

6) Zrób nowy log USBFix LISTING.
.

zaraz to przejrzę ...

[Werka]

Nie mogę wykonać skanu USBFIx poniewaz wyskakuje błąd " Line 38888 File "C:UsbFix\UsbFix.exe" Error: Subscript used on non-accessible
variable."

Log z OTL, 2 logi z FRST

OTL

Kod: Zaznacz wszystko

All processes killed
========== OTL ==========
Error: No service named KProcessHacker2 was found to stop!
Service\Driver key KProcessHacker2 not found.
File C:\Program Files\kprocesshacker.sys not found.
Registry value HKEY_USERS\S-1-5-21-4230098097-1296065846-589089592-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Akamai NetSession Interface deleted successfully.
File C:\Users\Werka\AppData\Local\Akamai\netsession_win.exe not found.
Registry value HKEY_USERS\S-1-5-21-4230098097-1296065846-589089592-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Opos deleted successfully.
File move failed. C:\ProgramData\msbucn.exe scheduled to be moved on reboot.
64bit-Registry delete failed. HKEY_USERS\S-1-5-21-4230098097-1296065846-589089592-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load:C:\ProgramData\msbucn.exe scheduled to be deleted on reboot.
File move failed. C:\ProgramData\msbucn.exe scheduled to be moved on reboot.
Registry value HKEY_USERS\S-1-5-21-4230098097-1296065846-589089592-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load:C:\ProgramData\msbucn.exe deleted successfully.
========== FILES ==========
C:\Program Files\A746334E.exe moved successfully.
C:\Program Files\0KSO2MEG.exe moved successfully.
File move failed. C:\ProgramData\msbucn.exe scheduled to be moved on reboot.
G:\KINGSTON (8GB).lnk moved successfully.
[color=#A23BEC]< attrib /d /s -s -h G:\* /C >[/color]
Nie moľna zmieni† atrybutu - G:\˙\Autorun.inf\lpt1.UsbFix
C:\Users\Werka\Desktop\cmd.bat deleted successfully.
C:\Users\Werka\Desktop\cmd.txt deleted successfully.
F:\Werka (8GB).lnk moved successfully.
[color=#A23BEC]< attrib /d /s -s -h F:\* /C >[/color]
Nie moľna zmieni† atrybutu - F:\˙\Autorun.inf\lpt1.UsbFix
Odmowa dost©pu - F:\System Volume Information
C:\Users\Werka\Desktop\cmd.bat deleted successfully.
C:\Users\Werka\Desktop\cmd.txt deleted successfully.
========== REGISTRY ==========
Registry key HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes\ not found.
Registry key HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes\ not found.
Registry key HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes\ not found.
Registry key HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes\ not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Werka
->Temp folder emptied: 1142756706 bytes
->Temporary Internet Files folder emptied: 374950428 bytes
->Java cache emptied: 5546654 bytes
->Flash cache emptied: 46827 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 328084805 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 56349624 bytes
RecycleBin emptied: 209852 bytes

Total Files Cleaned = 1 820,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 06232015_120309

Files\Folders moved on Reboot...
C:\ProgramData\msbucn.exe moved successfully.
C:\Users\Werka\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Werka\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
64bit-Registry value HKEY_USERS\S-1-5-21-4230098097-1296065846-589089592-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load:C:\ProgramData\msbucn.exe deleted successfully.

[ordynat]

Nie mogę wykonać skanu USBFIx poniewaz wyskakuje błąd " Line 38888 File "C:UsbFix\UsbFix.exe" Error: Subscript used on non-accessible
variable."

Przeszkadza Twój Antywirus.

zaraz przejrzę logi FRST.
to wygląda tak, jakby nie zostało wykonane zalecenie użycia Adw-Clranera
...
Otwórz Notatnik i wklej w nim:

C:\ProgramData\WindowsMangerProtect
C:\Program Files (x86)\XTab
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1430821242&from=wpm05053&uid=ST1000LM024XHN-M101MBB_S32XJ9DF435965
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1430821242&from=wpm05053&uid=ST1000LM024XHN-M101MBB_S32XJ9DF435965
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420126735&from=cor&uid=ST1000LM024XHN-M101MBB_S32XJ9DF435965&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420126735&from=cor&uid=ST1000LM024XHN-M101MBB_S32XJ9DF435965&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1430821242&from=wpm05053&uid=ST1000LM024XHN-M101MBB_S32XJ9DF435965
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1430821242&from=wpm05053&uid=ST1000LM024XHN-M101MBB_S32XJ9DF435965
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420126735&from=cor&uid=ST1000LM024XHN-M101MBB_S32XJ9DF435965&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420126735&from=cor&uid=ST1000LM024XHN-M101MBB_S32XJ9DF435965&q={searchTerms}
HKU\S-1-5-21-4230098097-1296065846-589089592-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1430821242&from=wpm05053&uid=ST1000LM024XHN-M101MBB_S32XJ9DF435965&q={searchTerms}
HKU\S-1-5-21-4230098097-1296065846-589089592-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1430821242&from=wpm05053&uid=ST1000LM024XHN-M101MBB_S32XJ9DF435965
HKU\S-1-5-21-4230098097-1296065846-589089592-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1430821242&from=wpm05053&uid=ST1000LM024XHN-M101MBB_S32XJ9DF435965
HKU\S-1-5-21-4230098097-1296065846-589089592-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1430821242&from=wpm05053&uid=ST1000LM024XHN-M101MBB_S32XJ9DF435965&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4230098097-1296065846-589089592-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4230098097-1296065846-589089592-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4230098097-1296065846-589089592-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4230098097-1296065846-589089592-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4230098097-1296065846-589089592-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll [2015-05-29] (Thinknice Co. Limited)
BHO-x32: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files (x86)\XTab\SupTab.dll [2015-05-29] (Thinknice Co. Limited)
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-4230098097-1296065846-589089592-1000\...\Policies\Explorer: []
R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [157824 2015-05-29] (XTab system)
R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [487424 2015-05-29] (Windows SysTool) [File not signed] <==== ATTENTION
C:\Windows\Minidump\062315-14320-01.dmp
C:\Program Files\LJVZ9JT3.exe
C:\Program Files\FIO1ERUV.exe
C:\Program Files\FC9EB5TE.exe
C:\Program Files (x86)\WinZipper
C:\Users\Werka\AppData\Roaming\WinZipper
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

Zrób nowe logi FRST.

Napisz, jak widzisz sytuację na pendrive'ach.
.

[Werka]

Nie mam żadnego Antywirusa,o którym bym wiedziała. Wyłączone są również zapr systemuWindows.

Generalnie od wykonania pierwszych operacji komputer gorzej pracuje, przegladarka regularnie "zwiesza się" na ok 4-5 sekund, po czym znowu zaczyna działać ponownie.
Co jakiś czas "przerzuca" również pole aktywne na tło. Tak jakby samoistnie przeskakuje pomiędzy okienkami i pulpitem. Wygląda to tak jakbym co chwilę klikała na pulpit i znowu na otwarte okno/folder/przeglądarkę.

----
Edit.

Było wykonane, po naciśnięciu USUŃ pojawił się czarny ekran i komputer wyłączył się i ponownie włączył (jednak już w trybie awarjnym, a nie normalnie - jak to jest w przypadku zaplanowanego ponownego uruchomienia).

[ordynat]

wróć do mojego poprzedniego postu.

.

[Werka]

Kilka razy sprawdzałam i pendrive'y działają OK.

Wielkie dzięki za błyskawiczną pomoc.

[ordynat]

fixlog jakiś dziwny, obcięty.

Chyba możemy kończyć:

Otwórz Notatnik i wklej w nim:

C:\Program Files (x86)\Elex-tech
DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

W USBFix kliknij na przycisk UNINSTALL.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
.

[labas]

Otwórz Notatnik i wklej w nim:

C:\ProgramData\WindowsMangerProtect
C:\Program Files (x86)\XTab
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1430821242&from=wpm05053&uid=ST1000LM024XHN-M101MBB_S32XJ9DF435965
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?

sądzący przez co się cytowane jesteś zainfekowany wirusem 'delta homes'. http://knksoftware.pl/adware/delta-homes