Nieotwieralny skrót w dysku przenośnym (logi)

[gladrak]

Objawy zainfekowania:
W dyskach przenośnych włożonych do komputera tworzy się skrót do tego dysku przenośnego, który to skrót nie jest możliwy do otworzenia (czyli w praktyce nie ma dostępu do dysku).

Jeśli to możliwe to prośba również o pomoc aby problem rozwiązać w stosunku do zainfekowanych dysków przenośnych.Zainfekowany dysk znajdował się w komputerze w trakcie skanowania dla celów logów.

Wykonywane działania:
Według mojej wiedzy nic nie jest zainstalowane, nie skanowałem

Logi:

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Nie wygląda mi to na infekcję z pendrive,tylko na zwykłym wdrążeniu do systemu adwareczyli skutki instalacji sponsora ,co też nie zmienia faktu że nośników wymiennych też nie sprawdzimy.

Podłącz nośnik wymienny do komputera i wykonaj pierwsze następujące działania.

Odinstaluj:

Mobogenie

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

(cake bake) C:\Program Files (x86)\WADesktop.Updater.exe
() C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [761536 2014-01-03] ()
HKU\S-1-5-21-3183270048-2252803029-1860483952-1001\...\CurrentVersion\Windows: [Load] C:\Users\Kuba\LOCALS~1\Temp\ccztueuh.scr <===== ATTENTION
HKU\S-1-5-21-3183270048-2252803029-1860483952-1001\...\Run: [NextLive] - C:\windows\SysWOW64\rundll32.exe "C:\Users\Kuba\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?babsrc=HP_ss&mntrId=565EC485080CE9BA&affID=119357&tt=040713_xmlful&tsp=4933
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://samsung.msn.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://samsung.msn.com
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=565EC485080CE9BA&affID=119357&tt=040713_xmlful&tsp=4933
Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} -No File
R2 WebCake Desktop Updater; C:\Program Files (x86)\WADesktop.Updater.exe [51992 2013-08-03] (cake bake)
C:\Users\Kuba\AppData\Local\{884D70CA-E152-4D51-97D1-78B0E1BD73EF}
C:\Users\Kuba\AppData\Local\{B4C2BFD1-8138-4AA8-920B-A1D939FB8683}
C:\Users\Kuba\AppData\Local\{C444D2FA-9921-46E2-AF11-3D899FE09D0B}
C:\Users\Kuba\AppData\Local\{70D3E9A4-F356-4F05-A5A9-47C01D16F028}
C:\Users\Kuba\AppData\Local\{FD8D1E54-EB08-476F-B50E-AFE5976A94E1}
C:\Users\Kuba\AppData\Local\{2778953E-FED7-491F-BFFC-7DDA25706983}
C:\Users\Kuba\AppData\Local\{7C9DE6C3-49E7-4DD6-8435-379E2E0D528A}
C:\Users\Kuba\AppData\Local\{D1E8CC04-F445-44F9-89FB-B228C55653F0}
C:\Users\Kuba\AppData\Local\{1D41BADF-40E8-4EF8-B8AC-9F29C10E0D2A}
C:\Users\Kuba\AppData\Local\{5DE19D3F-4C87-4A97-B347-A976A3F05C1D}
C:\Users\Kuba\AppData\Local\{30BA049D-5BAD-4442-9874-401229AF25EB}
C:\Users\Kuba\AppData\Local\{8A34DB63-FE8B-409B-AA61-87902A588340}
C:\Users\Kuba\AppData\Local\{FBCF5759-9C02-42F3-918C-C4E81FDA0652}
C:\Users\Kuba\AppData\Local\{746DDB05-8D78-43B3-AA3B-BEB146F01489}
C:\Users\Kuba\Downloads\SoftonicDownloader_dla_gretl.exe
C:\Users\Kuba\AppData\Local\{E2729061-D398-479B-B50B-95763417A341}
C:\Users\Kuba\AppData\Local\{4732A2D5-D4F6-4983-B7BC-0CE435FD6A9F}
C:\Users\Kuba\AppData\Local\{6C41D629-7CE3-4C00-AB12-FEAAF501F071}
C:\Users\Kuba\AppData\Local\{9DF716B7-823A-41A2-AF64-8676FEF6F3F7}
C:\Users\Kuba\AppData\Local\{7300554C-A887-4C6E-BC7E-5D28A3A83CC0}
C:\Users\Kuba\AppData\Local\{9AA5A430-45A9-406B-9C4A-F64745BA9A30}
C:\Users\Kuba\AppData\Local\{2ECF6BA6-9670-4D6B-818C-16FAC5EE8151}
C:\Users\Kuba\AppData\Local\{A3003019-7CB9-4AFB-8CA3-3FC583C046DA}
C:\Users\Kuba\AppData\Local\{0F1A1A6C-CDAB-4987-8E51-1F0725FA24C4}
C:\Users\Kuba\AppData\Local\{DAEAC42B-F2F9-4667-B17B-5B2D1FBABACC}
C:\Users\Kuba\AppData\Local\{F906FF27-21C7-4E62-8E07-350DE6E83856}
C:\Users\Kuba\AppData\Local\{B3469DBF-759F-437B-B767-0E720355CAAA}
C:\Users\Kuba\AppData\Local\{0D6408E4-7295-45DC-8C36-B8BA47FC6B6D}
C:\Users\Kuba\AppData\Local\{814A0E6F-8DFF-40C0-9A46-2A6BCAB27406}
C:\Users\Kuba\AppData\Local\{3154EBD7-8D1B-41D7-AD10-B95A305E82D9}
C:\Users\Kuba\AppData\Local\{E7618675-4815-4B8F-B9CB-FDF671481346}
C:\Users\Kuba\AppData\Local\{F8CC077B-A4AB-4CFB-985D-E420FD9541F7}
C:\Users\Kuba\AppData\Local\{F2E4143B-0D15-453D-938E-F8DC1F4DAEFF}
C:\Users\Kuba\AppData\Local\{8E38E3BB-7853-4CBF-826F-B93F1A725B99}
C:\Users\Kuba\AppData\Local\{1B244A37-CC3B-408F-841F-B21E9B147BC8}
C:\Users\Kuba\AppData\Local\{9C2FC7E4-B77F-46F6-A935-6DAD6E2C64A2}
C:\Users\Kuba\AppData\Local\{32137149-147D-4AD3-8010-01C08B826A64}
C:\Users\Kuba\AppData\Local\{CC38BD9B-1A7B-462A-BDC4-B89FFA8A8A68}
C:\Users\Kuba\AppData\Local\{3437A32E-23AD-4122-810E-98D3904ED3B2}
C:\Users\Kuba\AppData\Local\Temp\converter.exe
C:\Users\Kuba\AppData\Local\Temp\DataCard_Setup64.exe
C:\Users\Kuba\AppData\Local\Temp\drm_dyndata_7400009.dll
C:\Users\Kuba\AppData\Local\Temp\ggdrive-menu.exe
C:\Users\Kuba\AppData\Local\Temp\ggdrive-overlay.exe
C:\Users\Kuba\AppData\Local\Temp\ICReinstall_PDFCreator_Downloader.exe
C:\Users\Kuba\AppData\Local\Temp\installstats.exe
C:\Users\Kuba\AppData\Local\Temp\ResetDevice.exe
C:\Users\Kuba\AppData\Local\Temp\uninst1.exe

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Google Chrome
Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres delta-search.com
Ustawienia > karta Ustawienia > Po uruchomieniu >przestaw na "Otwórz stronę nowej karty"
Ustawienia > karta Historia > wyczyść

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaji następnie Usuń
pokaż raport

Następnie ściągnij program UsbFix

[Aby zobaczyć linki, zarejestruj się tutaj]

Wykonaj log z opcji listing i przedstaw na forum.

[gladrak]

Dzięki za wsparcie.

Report z FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

log z UsbFix

[Aby zobaczyć linki, zarejestruj się tutaj]

Przez nieuwagę nie zapisałem raportu z działania adwcleanera... Sorry.

Wiem, że jeszcze nie skończyliśmy ale chciałem jedynie wspomnieć, żeproblem natenczas nadal występuje.

[tachion]

Zostały nałożone atrybuty na nośnik.

Wygląda to teżjak infekcja robakiem Gamarue dlatego jest widoczny skrót o nazwie urządzenia.

Do notatnika wklej:

Kod:

G:\autorun.inf
G:\~~CW.ini
G:\desktop.ini
G:\Thumbs.db
G:\FLASH DRIVE (8GB).lnk
CMD: attrib /d /s -s -h G:\*

Zapisz obok programu FRST jako fixlist.txti z poziomu programu kliknij w Fix,po wykonaniu podaj raport i napisz jaka jest sytuacja.

[witek21]

A czy skrot mozna otworzyć z prawokliku➡otworz
jak tak to odblokujesz to programem autorun virus remover portable

[gladrak]

Poniżej raport

[Aby zobaczyć linki, zarejestruj się tutaj]

Wszystko wydaje się być już ok.

Nie zdążyłem wypróbować Twojej rady witek21

[witek21]

next time

[tachion]

W adwcleaner klik odinstaluj.

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

[gladrak]

Poniżej

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Zaktualizuj Adobe Reader 10.1.0

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools ,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i kliknij Start.