SafeGroup

Objawy zainfekowania:
W dyskach przenośnych włożonych do komputera tworzy się skrót do tego dysku przenośnego, który to skrót nie jest możliwy do otworzenia (czyli w praktyce nie ma dostępu do dysku).

Jeśli to możliwe to prośba również o pomoc aby problem rozwiązać w stosunku do zainfekowanych dysków przenośnych.Zainfekowany dysk znajdował się w komputerze w trakcie skanowania dla celów logów.

Wykonywane działania:
Według mojej wiedzy nic nie jest zainstalowane, nie skanowałem

Logi:

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

Nie wygląda mi to na infekcję z pendrive,tylko na zwykłym wdrążeniu do systemu adwareczyli skutki instalacji sponsora ,co też nie zmienia faktu że nośników wymiennych też nie sprawdzimy.

Podłącz nośnik wymienny do komputera i wykonaj pierwsze następujące działania.

Odinstaluj:

Mobogenie

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
(cake bake) C:\Program Files (x86)\WADesktop.Updater.exe

() C:\Program Files (x86)\Mobogenie\DaemonProcess.exe

HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [761536 2014-01-03] ()

HKU\S-1-5-21-3183270048-2252803029-1860483952-1001\...\CurrentVersion\Windows: [Load] C:\Users\Kuba\LOCALS~1\Temp\ccztueuh.scr <===== ATTENTION

HKU\S-1-5-21-3183270048-2252803029-1860483952-1001\...\Run: [NextLive] - C:\windows\SysWOW64\rundll32.exe "C:\Users\Kuba\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?babsrc=HP_ss&mntrId=565EC485080CE9BA&affID=119357&tt=040713_xmlful&tsp=4933

HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://samsung.msn.com

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://samsung.msn.com

StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe

SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 

SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=565EC485080CE9BA&affID=119357&tt=040713_xmlful&tsp=4933

Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} -No File

R2 WebCake Desktop Updater; C:\Program Files (x86)\WADesktop.Updater.exe [51992 2013-08-03] (cake bake)

C:\Users\Kuba\AppData\Local\{884D70CA-E152-4D51-97D1-78B0E1BD73EF}

C:\Users\Kuba\AppData\Local\{B4C2BFD1-8138-4AA8-920B-A1D939FB8683}

C:\Users\Kuba\AppData\Local\{C444D2FA-9921-46E2-AF11-3D899FE09D0B}

C:\Users\Kuba\AppData\Local\{70D3E9A4-F356-4F05-A5A9-47C01D16F028}

C:\Users\Kuba\AppData\Local\{FD8D1E54-EB08-476F-B50E-AFE5976A94E1}

C:\Users\Kuba\AppData\Local\{2778953E-FED7-491F-BFFC-7DDA25706983}

C:\Users\Kuba\AppData\Local\{7C9DE6C3-49E7-4DD6-8435-379E2E0D528A}

C:\Users\Kuba\AppData\Local\{D1E8CC04-F445-44F9-89FB-B228C55653F0}

C:\Users\Kuba\AppData\Local\{1D41BADF-40E8-4EF8-B8AC-9F29C10E0D2A}

C:\Users\Kuba\AppData\Local\{5DE19D3F-4C87-4A97-B347-A976A3F05C1D}

C:\Users\Kuba\AppData\Local\{30BA049D-5BAD-4442-9874-401229AF25EB}

C:\Users\Kuba\AppData\Local\{8A34DB63-FE8B-409B-AA61-87902A588340}

C:\Users\Kuba\AppData\Local\{FBCF5759-9C02-42F3-918C-C4E81FDA0652}

C:\Users\Kuba\AppData\Local\{746DDB05-8D78-43B3-AA3B-BEB146F01489}

C:\Users\Kuba\Downloads\SoftonicDownloader_dla_gretl.exe

C:\Users\Kuba\AppData\Local\{E2729061-D398-479B-B50B-95763417A341}

C:\Users\Kuba\AppData\Local\{4732A2D5-D4F6-4983-B7BC-0CE435FD6A9F}

C:\Users\Kuba\AppData\Local\{6C41D629-7CE3-4C00-AB12-FEAAF501F071}

C:\Users\Kuba\AppData\Local\{9DF716B7-823A-41A2-AF64-8676FEF6F3F7}

C:\Users\Kuba\AppData\Local\{7300554C-A887-4C6E-BC7E-5D28A3A83CC0}

C:\Users\Kuba\AppData\Local\{9AA5A430-45A9-406B-9C4A-F64745BA9A30}

C:\Users\Kuba\AppData\Local\{2ECF6BA6-9670-4D6B-818C-16FAC5EE8151}

C:\Users\Kuba\AppData\Local\{A3003019-7CB9-4AFB-8CA3-3FC583C046DA}

C:\Users\Kuba\AppData\Local\{0F1A1A6C-CDAB-4987-8E51-1F0725FA24C4}

C:\Users\Kuba\AppData\Local\{DAEAC42B-F2F9-4667-B17B-5B2D1FBABACC}

C:\Users\Kuba\AppData\Local\{F906FF27-21C7-4E62-8E07-350DE6E83856}

C:\Users\Kuba\AppData\Local\{B3469DBF-759F-437B-B767-0E720355CAAA}

C:\Users\Kuba\AppData\Local\{0D6408E4-7295-45DC-8C36-B8BA47FC6B6D}

C:\Users\Kuba\AppData\Local\{814A0E6F-8DFF-40C0-9A46-2A6BCAB27406}

C:\Users\Kuba\AppData\Local\{3154EBD7-8D1B-41D7-AD10-B95A305E82D9}

C:\Users\Kuba\AppData\Local\{E7618675-4815-4B8F-B9CB-FDF671481346}

C:\Users\Kuba\AppData\Local\{F8CC077B-A4AB-4CFB-985D-E420FD9541F7}

C:\Users\Kuba\AppData\Local\{F2E4143B-0D15-453D-938E-F8DC1F4DAEFF}

C:\Users\Kuba\AppData\Local\{8E38E3BB-7853-4CBF-826F-B93F1A725B99}

C:\Users\Kuba\AppData\Local\{1B244A37-CC3B-408F-841F-B21E9B147BC8}

C:\Users\Kuba\AppData\Local\{9C2FC7E4-B77F-46F6-A935-6DAD6E2C64A2}

C:\Users\Kuba\AppData\Local\{32137149-147D-4AD3-8010-01C08B826A64}

C:\Users\Kuba\AppData\Local\{CC38BD9B-1A7B-462A-BDC4-B89FFA8A8A68}

C:\Users\Kuba\AppData\Local\{3437A32E-23AD-4122-810E-98D3904ED3B2}

C:\Users\Kuba\AppData\Local\Temp\converter.exe

C:\Users\Kuba\AppData\Local\Temp\DataCard_Setup64.exe

C:\Users\Kuba\AppData\Local\Temp\drm_dyndata_7400009.dll

C:\Users\Kuba\AppData\Local\Temp\ggdrive-menu.exe

C:\Users\Kuba\AppData\Local\Temp\ggdrive-overlay.exe

C:\Users\Kuba\AppData\Local\Temp\ICReinstall_PDFCreator_Downloader.exe

C:\Users\Kuba\AppData\Local\Temp\installstats.exe

C:\Users\Kuba\AppData\Local\Temp\ResetDevice.exe

C:\Users\Kuba\AppData\Local\Temp\uninst1.exe

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Google Chrome
Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres delta-search.com
Ustawienia > karta Ustawienia > Po uruchomieniu >przestaw na "Otwórz stronę nowej karty"
Ustawienia > karta Historia > wyczyść

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaji następnie Usuń
pokaż raport

Następnie ściągnij program UsbFix

[Aby zobaczyć linki, zarejestruj się tutaj]

Wykonaj log z opcji listing i przedstaw na forum.

Dzięki za wsparcie.

Report z FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

log z UsbFix

[Aby zobaczyć linki, zarejestruj się tutaj]

Przez nieuwagę nie zapisałem raportu z działania adwcleanera... Sorry.

Wiem, że jeszcze nie skończyliśmy ale chciałem jedynie wspomnieć, żeproblem natenczas nadal występuje.

Zostały nałożone atrybuty na nośnik.

Wygląda to teżjak infekcja robakiem Gamarue dlatego jest widoczny skrót o nazwie urządzenia.

Do notatnika wklej:

Kod:
G:\autorun.inf

G:\~~CW.ini

G:\desktop.ini

G:\Thumbs.db

G:\FLASH DRIVE (8GB).lnk

CMD: attrib /d /s -s -h G:\*

Zapisz obok programu FRST jako fixlist.txti z poziomu programu kliknij w Fix,po wykonaniu podaj raport i napisz jaka jest sytuacja.

A czy skrot mozna otworzyć z prawokliku➡otworz
jak tak to odblokujesz to programem autorun virus remover portable

Poniżej raport

[Aby zobaczyć linki, zarejestruj się tutaj]

Wszystko wydaje się być już ok.

Nie zdążyłem wypróbować Twojej rady witek21

next time

W adwcleaner klik odinstaluj.

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

Poniżej

[Aby zobaczyć linki, zarejestruj się tutaj]

Zaktualizuj Adobe Reader 10.1.0

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools ,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i kliknij Start.

gladrak

tachion

gladrak

tachion

witek21

gladrak

witek21

tachion

gladrak

tachion