Objawy zainfekowania:
W dyskach przenośnych włożonych do komputera tworzy się skrót do tego dysku przenośnego, który to skrót nie jest możliwy do otworzenia (czyli w praktyce nie ma dostępu do dysku).
Jeśli to możliwe to prośba również o pomoc aby problem rozwiązać w stosunku do zainfekowanych dysków przenośnych.Zainfekowany dysk znajdował się w komputerze w trakcie skanowania dla celów logów.
Wykonywane działania:
Według mojej wiedzy nic nie jest zainstalowane, nie skanowałem
Logi:
OTL
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Nie wygląda mi to na infekcję z pendrive,tylko na zwykłym wdrążeniu do systemu
adwareczyli
skutki instalacji sponsora ,co też nie zmienia faktu że nośników wymiennych też nie sprawdzimy.
Podłącz nośnik wymienny do komputera i wykonaj pierwsze następujące działania.
Odinstaluj:
Mobogenie
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
(cake bake) C:\Program Files (x86)\WADesktop.Updater.exe
() C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [761536 2014-01-03] ()
HKU\S-1-5-21-3183270048-2252803029-1860483952-1001\...\CurrentVersion\Windows: [Load] C:\Users\Kuba\LOCALS~1\Temp\ccztueuh.scr <===== ATTENTION
HKU\S-1-5-21-3183270048-2252803029-1860483952-1001\...\Run: [NextLive] - C:\windows\SysWOW64\rundll32.exe "C:\Users\Kuba\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?babsrc=HP_ss&mntrId=565EC485080CE9BA&affID=119357&tt=040713_xmlful&tsp=4933
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://samsung.msn.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://samsung.msn.com
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=565EC485080CE9BA&affID=119357&tt=040713_xmlful&tsp=4933
Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} -No File
R2 WebCake Desktop Updater; C:\Program Files (x86)\WADesktop.Updater.exe [51992 2013-08-03] (cake bake)
C:\Users\Kuba\AppData\Local\{884D70CA-E152-4D51-97D1-78B0E1BD73EF}
C:\Users\Kuba\AppData\Local\{B4C2BFD1-8138-4AA8-920B-A1D939FB8683}
C:\Users\Kuba\AppData\Local\{C444D2FA-9921-46E2-AF11-3D899FE09D0B}
C:\Users\Kuba\AppData\Local\{70D3E9A4-F356-4F05-A5A9-47C01D16F028}
C:\Users\Kuba\AppData\Local\{FD8D1E54-EB08-476F-B50E-AFE5976A94E1}
C:\Users\Kuba\AppData\Local\{2778953E-FED7-491F-BFFC-7DDA25706983}
C:\Users\Kuba\AppData\Local\{7C9DE6C3-49E7-4DD6-8435-379E2E0D528A}
C:\Users\Kuba\AppData\Local\{D1E8CC04-F445-44F9-89FB-B228C55653F0}
C:\Users\Kuba\AppData\Local\{1D41BADF-40E8-4EF8-B8AC-9F29C10E0D2A}
C:\Users\Kuba\AppData\Local\{5DE19D3F-4C87-4A97-B347-A976A3F05C1D}
C:\Users\Kuba\AppData\Local\{30BA049D-5BAD-4442-9874-401229AF25EB}
C:\Users\Kuba\AppData\Local\{8A34DB63-FE8B-409B-AA61-87902A588340}
C:\Users\Kuba\AppData\Local\{FBCF5759-9C02-42F3-918C-C4E81FDA0652}
C:\Users\Kuba\AppData\Local\{746DDB05-8D78-43B3-AA3B-BEB146F01489}
C:\Users\Kuba\Downloads\SoftonicDownloader_dla_gretl.exe
C:\Users\Kuba\AppData\Local\{E2729061-D398-479B-B50B-95763417A341}
C:\Users\Kuba\AppData\Local\{4732A2D5-D4F6-4983-B7BC-0CE435FD6A9F}
C:\Users\Kuba\AppData\Local\{6C41D629-7CE3-4C00-AB12-FEAAF501F071}
C:\Users\Kuba\AppData\Local\{9DF716B7-823A-41A2-AF64-8676FEF6F3F7}
C:\Users\Kuba\AppData\Local\{7300554C-A887-4C6E-BC7E-5D28A3A83CC0}
C:\Users\Kuba\AppData\Local\{9AA5A430-45A9-406B-9C4A-F64745BA9A30}
C:\Users\Kuba\AppData\Local\{2ECF6BA6-9670-4D6B-818C-16FAC5EE8151}
C:\Users\Kuba\AppData\Local\{A3003019-7CB9-4AFB-8CA3-3FC583C046DA}
C:\Users\Kuba\AppData\Local\{0F1A1A6C-CDAB-4987-8E51-1F0725FA24C4}
C:\Users\Kuba\AppData\Local\{DAEAC42B-F2F9-4667-B17B-5B2D1FBABACC}
C:\Users\Kuba\AppData\Local\{F906FF27-21C7-4E62-8E07-350DE6E83856}
C:\Users\Kuba\AppData\Local\{B3469DBF-759F-437B-B767-0E720355CAAA}
C:\Users\Kuba\AppData\Local\{0D6408E4-7295-45DC-8C36-B8BA47FC6B6D}
C:\Users\Kuba\AppData\Local\{814A0E6F-8DFF-40C0-9A46-2A6BCAB27406}
C:\Users\Kuba\AppData\Local\{3154EBD7-8D1B-41D7-AD10-B95A305E82D9}
C:\Users\Kuba\AppData\Local\{E7618675-4815-4B8F-B9CB-FDF671481346}
C:\Users\Kuba\AppData\Local\{F8CC077B-A4AB-4CFB-985D-E420FD9541F7}
C:\Users\Kuba\AppData\Local\{F2E4143B-0D15-453D-938E-F8DC1F4DAEFF}
C:\Users\Kuba\AppData\Local\{8E38E3BB-7853-4CBF-826F-B93F1A725B99}
C:\Users\Kuba\AppData\Local\{1B244A37-CC3B-408F-841F-B21E9B147BC8}
C:\Users\Kuba\AppData\Local\{9C2FC7E4-B77F-46F6-A935-6DAD6E2C64A2}
C:\Users\Kuba\AppData\Local\{32137149-147D-4AD3-8010-01C08B826A64}
C:\Users\Kuba\AppData\Local\{CC38BD9B-1A7B-462A-BDC4-B89FFA8A8A68}
C:\Users\Kuba\AppData\Local\{3437A32E-23AD-4122-810E-98D3904ED3B2}
C:\Users\Kuba\AppData\Local\Temp\converter.exe
C:\Users\Kuba\AppData\Local\Temp\DataCard_Setup64.exe
C:\Users\Kuba\AppData\Local\Temp\drm_dyndata_7400009.dll
C:\Users\Kuba\AppData\Local\Temp\ggdrive-menu.exe
C:\Users\Kuba\AppData\Local\Temp\ggdrive-overlay.exe
C:\Users\Kuba\AppData\Local\Temp\ICReinstall_PDFCreator_Downloader.exe
C:\Users\Kuba\AppData\Local\Temp\installstats.exe
C:\Users\Kuba\AppData\Local\Temp\ResetDevice.exe
C:\Users\Kuba\AppData\Local\Temp\uninst1.exe
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix ,po wykonaniu pokaż raport z tego działania.
Google Chrome
Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres delta-search.com
Ustawienia > karta Ustawienia > Po uruchomieniu >przestaw na "Otwórz stronę nowej karty"
Ustawienia > karta Historia > wyczyść
Ściągnij program
[Aby zobaczyć linki, zarejestruj się tutaj]
kliknij
Szukaji następnie
Usuń
pokaż raport
Następnie ściągnij program
UsbFix
[Aby zobaczyć linki, zarejestruj się tutaj]
Wykonaj log z opcji listing i przedstaw na forum.
Dzięki za wsparcie.
Report z FRST
[Aby zobaczyć linki, zarejestruj się tutaj]
log z UsbFix
[Aby zobaczyć linki, zarejestruj się tutaj]
Przez nieuwagę nie zapisałem raportu z działania adwcleanera... Sorry.
Wiem, że jeszcze nie skończyliśmy ale chciałem jedynie wspomnieć, żeproblem natenczas nadal występuje.
Zostały nałożone atrybuty na nośnik.
Wygląda to teżjak infekcja robakiem Gamarue dlatego jest widoczny skrót o nazwie urządzenia.
Do notatnika wklej:
Kod:
G:\autorun.inf
G:\~~CW.ini
G:\desktop.ini
G:\Thumbs.db
G:\FLASH DRIVE (8GB).lnk
CMD: attrib /d /s -s -h G:\*
Zapisz obok programu FRST jako
fixlist.txti z poziomu programu kliknij w Fix,po wykonaniu podaj raport i napisz jaka jest sytuacja.
A czy skrot mozna otworzyć z prawokliku➡otworz
jak tak to odblokujesz to programem autorun virus remover portable
Poniżej raport
[Aby zobaczyć linki, zarejestruj się tutaj]
Wszystko wydaje się być już ok.
Nie zdążyłem wypróbować Twojej rady witek21
W adwcleaner klik odinstaluj.
Wklej na stronę raport z
SecurityCheck
[Aby zobaczyć linki, zarejestruj się tutaj]
Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.
Poniżej
[Aby zobaczyć linki, zarejestruj się tutaj]
Zaktualizuj
Adobe Reader 10.1.0
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
Zapisz na pulpicie,uruchom i zaznacz
Remove disinfection tools ,następnie kliknij
Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Ściągnij
[Aby zobaczyć linki, zarejestruj się tutaj]
i kliknij Start.