Recycler na dysku zewnetrznym: logi

[Mirahz]

Witam
Na zewnętrznym dysku i teraz na swoim komputerze miałem plik RECYCLER przez którego w ogóle nie widać plików znajdujących się na dysku zewnętrznym.
Antywirus chyba rozpoznał tego RECYCLERA i kila innych plików jako trojany i je usunął ale to nie rozwiązało problemu bo pliki są dalej niewidoczne a fizyczną pamięć zajmują
Czytałem że w takim przypadku trzeba wykonać logi w programie UsbFix wiec tak zrobiłem proszę o sprawdzenie ich

Jeśli do rozwiązania problemu będą potrzebne jeszcze jakieś inne logi z innych programów proszę pisać a jak najszybciej takowe wykonam.
Z góry dziękuje

Już się poprawiam i wstawiam logi w linkach na wklej.eu
USBFIX Deletion:
http://www.wklej.eu/index.php?id=455d8ee524
USBFIX Listing
http://www.wklej.eu/index.php?id=8e1b35dd26
OTL
http://www.wklej.eu/index.php?id=f5b377be94

[mateo8898]

Masz rootkita ZeroAcess. Użyj ComboFix otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p73687 i podaj log z niego.

Następnie podaj nowe logi z OTL (mają być dwa: OTL.txt i Extras.txt)

[Mephis]

Combofix Log:
http://www.wklej.eu/index.php?id=74319ff228
OTL:
http://www.wklej.eu/index.php?id=aa578e4911
Extras:
http://www.wklej.eu/index.php?id=d4e2ee488d
Tak zrozumiałem, że mam wygenerować te 3 logi po kolei. Jeśli jest źle to poprawie

[mateo8898]

Pobierz najnowszą wersję ComboFix stąd http://www.instalki.pl/programy/downloa ... boFix.html uruchom i wykonaj nowe logi, bo tamta wersja jest mocno przestarzała i nie usunęła infekcji w całości.

[Mephis]

OKej zrobiłem nowe logi i pliki na dysku zewnętrznym są już widoczne ale pojawiły się dodatkowe skróty od wszystkich folderów i nie da się ich otworzyć- wyskakuje błąd spowodowany usunięciem pliku recycler ( jego skrót dalej jest na tym dysku).
Co mam zrobić z tymi skrótami ?
Combofix
http://www.wklej.eu/index.php?id=5457eec9cd
OTL
http://www.wklej.eu/index.php?id=0aad5936e9
Extras
http://www.wklej.eu/index.php?id=886abb6114

Dziękuje bardzo za pomoc

[mateo8898]

W takim razie podaj jeszcze nowy log z UsbFix z opcji Listing, oczywiście z podłączonym dyskiem zewnętrznym.

Odinstaluj: Bing Bar Platform, DAEMON Tools Toolbar. Następnie:

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
IE - HKU\S-1-5-21-116932825-3151948895-1960116506-1002\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.claro-search.com/?affID=114506&tt=5012_8&babsrc=HP_clro&mntrId=42f543a9000000000000e02a821adad9
IE - HKU\S-1-5-21-116932825-3151948895-1960116506-1002\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120327&user_guid=69038028404548768C5466D3A215551B&machine_id=88a2bec9d4d1e279fceb24d1cf673273&browser=IE&os=win&os_version=6.1-x64-SP0&iesrc={referrer:source}
IE - HKU\S-1-5-21-116932825-3151948895-1960116506-1002\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.claro-search.com/?q={searchTerms}&affID=114506&tt=5012_8&babsrc=SP_clro&mntrId=42f543a9000000000000e02a821adad9
IE - HKU\S-1-5-21-116932825-3151948895-1960116506-1002\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = http://safesearchr.lavasoft.com/?source=3336ca5f&tbp=rbox&toolbarid=adawaretb&u=8DD4711210013684ED65FB506C591BA3&q={searchTerms}
IE - HKU\S-1-5-21-116932825-3151948895-1960116506-1002\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
IE - HKU\S-1-5-21-116932825-3151948895-1960116506-1002\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}
FF - prefs.js..browser.search.selectedEngine: "Claro Search"
FF - prefs.js..browser.startup.homepage: "http://www.claro-search.com/?affID=114506&tt=5012_8&babsrc=HP_clro&mntrId=42f543a9000000000000e02a821adad9"
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "blekko"
FF - prefs.js..browser.startup.homepage: "http://safesearchr.lavasoft.com/?source=3336ca5f&tbp=homepage&toolbarid=adawaretb&v=2_2&u=8DD4711210013684ED65FB506C591BA3"
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF64_11_5_502_135.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpWinExt,version=5.0: C:\Program Files (x86)\MSN Toolbar\Platform\6.0.2237.0\npwinext.dll File not found
[2012/10/03 16:30:18 | 000,000,000 | ---D | M] (Lavasoft Search Plugin) -- C:\Users\Krzysiek\AppData\Roaming\mozilla\Firefox\Profiles\6awntd5s.default\extensions\jid1-yZwVFzbsyfMrqQ@jetpack
C:\Users\Krzysiek\AppData\Roaming\mozilla\firefox\profiles\6awntd5s.default\searchplugins\sweetim.xml
[2012/03/27 11:58:10 | 000,001,390 | ---- | M] () -- C:\Users\Krzysiek\AppData\Roaming\mozilla\firefox\profiles\6awntd5s.default\searchplugins\yahoo-zugo.xml
[2012/10/03 16:30:03 | 000,000,616 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\adawaretb.xml
[2012/12/15 15:48:06 | 000,006,522 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
O2 - BHO: (no name) - {6c97a91e-4524-4019-86af-2aa2d567bf5c} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {6c97a91e-4524-4019-86af-2aa2d567bf5c} - No CLSID value found.
O3 - HKU\S-1-5-21-116932825-3151948895-1960116506-1002\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKU\S-1-5-21-116932825-3151948895-1960116506-1002..\Run: [Bslolp] C:\Users\Krzysiek\AppData\Roaming\Bslolp.exe (IORISOFT)
O4 - HKU\S-1-5-21-116932825-3151948895-1960116506-1002..\Run: [MediaSearch] C:\Users\Krzysiek\AppData\Local\MediaSearch\search.exe ()
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O8:64bit: - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O8 - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found
O20 - AppInit_DLLs: (c:\PROGRA~3\BROWSE~1\25986~1.67\{C16C1~1\BrowserProtect.dll) - c:\ProgramData\BrowserProtect\2.5.986.67\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll ()
[2013/01/03 02:53:24 | 000,000,000 | ---D | C] -- C:\Users\Krzysiek\AppData\Roaming\DYA_OHVLCOUWMHUOJBBNL
[2013/01/03 02:53:24 | 000,000,000 | ---D | C] -- C:\ProgramData\DYA_OHVLCOUWMHUOJBBNL
[2013/01/02 21:36:19 | 000,000,000 | ---D | C] -- C:\Users\Krzysiek\AppData\Local\adawarebp

:Files
C:\ProgramData\BrowserProtect
C:\Users\Krzysiek\AppData\Local\MediaSearch

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAStorIcon"=-
"WinampAgent"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Podajesz log z usuwania + nowe logi z OTL.

[Mephis]

USBFix Listing:
http://www.wklej.eu/index.php?id=75a97ebf0e
Skrypt w OTLu juz wkleiłem ale nie wiem czy to ten log po usuwaniu bo po zakończeniu procesu uruchomił mi się ponownie komputer:
http://www.wklej.eu/index.php?id=f35d810165
Nowe logi z OTLa:
http://www.wklej.eu/index.php?id=9e4443a326
Extras:
http://www.wklej.eu/index.php?id=19b055dcad

[mateo8898]

Na czas usuwania niech pamięci przenośne będą podłączone.

Wklej w OTL:

:OTL
[2012/10/21 18:02:38 | 000,003,915 | ---- | M] () -- C:\Users\Krzysiek\AppData\Roaming\mozilla\firefox\profiles\6awntd5s.default\searchplugins\sweetim.xml
[2012/12/22 10:12:58 | 000,000,344 | ---- | M] () -- C:\windows\tasks\HPCeeScheduleForKrzysiek.job
@Alternate Data Stream - 971 bytes C:\ProgramData:$SS_DESCRIPTOR_SBXNV9VVGV1BFPVHRP275D836HNTHKP9KTLWJMHFSVF7JBCVPJGV

:Files
D:\*.lnk

Klikasz Wykonaj skrypt. Podajesz log z usuwania + nowy log z UsbFix z opcji Listing.

Po wykonaniu napisz także czy problemy z folderami ustąpiły.

[Mephis]

Tak pamięci były cały czas podpięte
Log z usuwania
http://www.wklej.eu/index.php?id=c24ca3599a
USBFix Listing
http://www.wklej.eu/index.php?id=97866ebcd4
Usunięte zostały te foldery ale został jeszcze
$RECYCLEBIN
RECYCLER
$AVG
spróbować przenieść je do kosza ?

[mateo8898]

Ale one będą się odtwarzać, dwa pierwsze czyli RECYCLEBIN i RECYCLER to... kosz.
Drugi jest od AVG. Zostaw je w spokoju, nie są szkodliwe.

W OTL Sprzątanie

W UsbFix Uninstall

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport (po uruchomieniu odrzuć okres testowy)

Zainstaluj SP1 http://www.instalki.pl/programy/downloa ... ack_1.html

Zaktualizuj Firefoksa do najnowszej wersji https://www.instalki.pl/download/programy/windows/internet/przegladarki-www/firefox/

Zainstaluj antywira.

[Mephis]

Dziękuje serdecznie za pomoc