virus na dysku przenośnym

[tomi78]

witam,
wygląda na to ze złapałem pierwszego wirusa. kompletnie nie wiem co zrobić, na dysku przenośnym mam ważne zdjęcia których nie chcę stracić.
mam antywirusa eset smart security, który po podłączeniu usb od razu przenosi całą zawartość do kwarantanny.
może ktoś pomoże przeprowadzić laika przez proces odkażania?

[Pangia]

Podepnij ten dysk i zrób loga USBFixem z opcji Listing. W międzyczasie może zajrzy tu ktoś, kto później będzie potrafił odczytać ten log

[tomi78]

oto log z usbfix:

Kod: Zaznacz wszystko

PC: LENOVO (23923QG) (x64-based PC
CPU: Intel(R) Core(TM) i5-3210M CPU @ 2.50GHz (2501)
RAM -> [Total : 3819 | Free : 1700]
BIOS: Phoenix BIOS SC-T v2.2
BOOT: Normal boot

OS: Microsoft Windows 7 Professional  (6.1.7601 64-Bit) # Service Pack 1
WB: Windows Internet Explorer 9.0.8112.16421

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
AV: ESET Smart Security 4.2 [Enabled | Updated]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Fixed drive # 451 Gb (401 Mb free - 89%) [Windows7_OS] # NTFS
D:\ -> Fixed drive # 149 Gb (77 Mb free - 52%) [SAMSUNG] # FAT32
F:\ -> CD-ROM
Q:\ -> Fixed drive # 14 Gb (2 Mb free - 17%) [Lenovo_Recovery] # NTFS

################## | Active Processes |

C:\Windows\system32\csrss.exe (680)
C:\Windows\system32\wininit.exe (788)
C:\Windows\system32\csrss.exe (808)
C:\Windows\system32\services.exe (844)
C:\Windows\system32\lsass.exe (868)
C:\Windows\system32\lsm.exe (876)
C:\Windows\system32\svchost.exe (972)
C:\Windows\system32\winlogon.exe (392)
C:\Windows\system32\ibmpmsvc.exe (696)
C:\Windows\system32\svchost.exe (684)
C:\Windows\System32\svchost.exe (1056)
C:\Windows\System32\svchost.exe (1104)
C:\Windows\system32\svchost.exe (1144)
C:\Windows\system32\svchost.exe (1308)
C:\Windows\System32\WUDFHost.exe (1416)
C:\Windows\system32\svchost.exe (1480)
C:\Windows\system32\svchost.exe (1584)
C:\Windows\system32\WLANExt.exe (1640)
C:\Windows\system32\conhost.exe (1648)
C:\Windows\System32\spoolsv.exe (1844)
C:\Program Files\ThinkVantage Fingerprint Software\upeksvr.exe (2044)
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (1996)
C:\Program Files\ThinkPad\Bluetooth Software\btwdins.exe (2104)
C:\Program Files\Canon\imagePROGRAFStatusMonitor\cnwisam.exe (2148)
C:\Program Files\ESET\ESET Smart Security\x86\ekrn.exe (2200)
C:\Program Files\Intel\WiFi\bin\EvtEng.exe (2248)
C:\Program Files (x86)\Lenovo\RapidBoot HDD Accelerator\FBService.exe (2476)
C:\Program Files\Intel\iCLS Client\HeciServer.exe (2512)
C:\Windows\system32\cnwiols6.exe (2556)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe (2580)
C:\Program Files\Lenovo\Communications Utility\CAMMUTE.exe (2608)
C:\Program Files\Lenovo\Communications Utility\TPKNRSVC.exe (2644)
C:\Program Files\Lenovo\Communications Utility\vcamsvc.exe (2672)
C:\Program Files\LENOVO\VIRTSCRL\lvvsst.exe (2708)
C:\Program Files\Canon\LPESP\CNWILSV6.EXE (2744)
C:\Windows\System32\svchost.exe (2772)
C:\Windows\System32\svchost.exe (2808)
C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe (2836)
C:\Windows\system32\svchost.exe (2972)
C:\Program Files (x86)\o2\Mobile Connection Manager\ImpWiFiSvc.exe (3020)
C:\Program Files\LENOVO\HOTKEY\TPHKSVC.exe (2336)
C:\Program Files (x86)\Common Files\Ulead Systems\DVD\ULCDRSvr.exe (2408)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (1732)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (2452)
C:\Program Files\Intel\WiFi\bin\ZeroConfigService.exe (1752)
C:\Program Files\LENOVO\HOTKEY\MICMUTE.exe (3100)
C:\Program Files\LENOVO\HOTKEY\TPHKLOAD.exe (3120)
C:\Windows\system32\wbem\wmiprvse.exe (3284)
C:\Windows\system32\wbem\unsecapp.exe (3344)
C:\Windows\system32\taskhost.exe (3876)
C:\Windows\system32\Dwm.exe (3988)
C:\Windows\Explorer.EXE (4012)
C:\Windows\system32\igfxext.exe (3652)
C:\Windows\system32\igfxsrvc.exe (3624)
C:\Windows\system32\svchost.exe (3740)
C:\Windows\system32\svchost.exe (4124)
C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (4208)
C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe (4268)
C:\Windows\System32\hkcmd.exe (4288)
C:\Windows\System32\igfxpers.exe (4304)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (4340)
C:\Windows\System32\TpShocks.exe (4436)
C:\Program Files\Lenovo\Communications Utility\TpKnrres.exe (4452)
C:\Program Files\ESET\ESET Smart Security\egui.exe (4468)
C:\Program Files\Canon\imagePROGRAFStatusMonitor\cnwida.exe (4480)
C:\Program Files\Lenovo\Password Manager\password_manager.exe (4488)
C:\Program Files\Common Files\Common Desktop Agent\CDASrv.exe (4504)
C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (4512)
C:\Program Files\ThinkPad\Bluetooth Software\BTTray.exe (4536)
C:\Program Files (x86)\Integrated Camera Driver\X64\RCIMGDIR.exe (4588)
C:\Program Files (x86)\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe (4600)
C:\Program Files (x86)\Dolby Advanced Audio v2\pcee4.exe (4636)
C:\Windows\SysWOW64\rundll32.exe (4648)
C:\Windows\system32\rundll32.exe (4684)
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (4768)
C:\Program Files (x86)\Ask.com\Updater\Updater.exe (4780)
C:\PROGRA~2\ThinkPad\UTILIT~1\SCHTASK.exe (4804)
C:\Windows\System32\svchost.exe (1404)
C:\PROGRA~1\LENOVO\VIRTSCRL\virtscrl.exe (4880)
C:\Windows\system32\rundll32.exe (2388)
C:\PROGRA~1\Lenovo\HOTKEY\tpnumlkd.exe (4724)
C:\PROGRA~1\Lenovo\HOTKEY\TPONSCR.EXE (4736)
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe (5628)
C:\PROGRAM FILES\SYNAPTICS\SYNTP\SYNTPHELPER.EXE (5912)
C:\Program Files (x86)\Lenovo\Password Manager\password_manager.exe (6040)
C:\Program Files\Realtek\Audio\HDA\FMAPP.exe (6128)
C:\Windows\system32\taskeng.exe (5168)
C:\Program Files\Lenovo\SimpleTap\SimpleTap.exe (3840)
C:\Windows\SysWOW64\RunDll32.exe (4520)
C:\Program Files\ThinkPad\Bluetooth Software\BtStackServer.exe (5616)
C:\Windows\system32\SearchIndexer.exe (3112)
C:\Windows\system32\svchost.exe (1524)
C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe (5164)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe (6400)
C:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe (2620)
C:\Program Files (x86)\Lenovo\System Update\SUService.exe (6204)
C:\Program Files (x86)\Symantec\VIP Access Client\VIPAppService.exe (4324)
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe (6848)
C:\Program Files (x86)\Lenovo\message center plus\mcplaunch.exe (1928)
C:\Program Files (x86)\o2\Mobile Connection Manager\EMMSN.exe (5648)
C:\Program Files (x86)\o2\Nori\Nori.exe (2156)
C:\Windows\system32\wbem\unsecapp.exe (3140)
C:\Windows\System32\WUDFHost.exe (2228)
C:\Windows\system32\svchost.exe (5580)
C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE (904)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (7196)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (7876)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (8116)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (5444)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (5728)
C:\Windows\system32\taskeng.exe (6924)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (5264)
C:\Windows\system32\svchost.exe (9180)
C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (6216)
C:\UsbFix\Go.exe (1384)
C:\Windows\system32\wbem\wmiprvse.exe (7908)

################## | Files # Infected Folders |

Found ! C:\Users\T16B9~1.SUT\AppData\Local\Temp\AcDeltree.exe
Found ! C:\Users\T16B9~1.SUT\AppData\Local\Temp\DataCard_Setup64.exe
Found ! C:\Users\T16B9~1.SUT\AppData\Local\Temp\ResetDevice.exe
Found ! F:\AutoRun.exe
Found ! F:\AUTORUN.INF
Found ! Q:\AUTORUN.INF

################## | Registry |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\F
Shell\AutoRun\Command = F:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{218f6f59-273e-11e2-b2fe-ed714099c9eb}
Shell\AutoRun\Command = D:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{218f6f72-273e-11e2-b2fe-ed714099c9eb}
Shell\AutoRun\Command = D:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{269347d3-38d5-11e2-a3fc-e006e6bb9703}
Shell\AutoRun\Command = D:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{269347ea-38d5-11e2-a3fc-e006e6bb9703}
Shell\AutoRun\Command = D:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{4f80be69-20e1-11e2-b5f5-806e6f6e6963}
Shell\AutoRun\Command = D:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{58333f60-38ac-11e2-93ca-e006e6bb9703}
Shell\AutoRun\Command = D:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{58333f6e-38ac-11e2-93ca-e006e6bb9703}
Shell\AutoRun\Command = E:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{ab74e91a-f9ff-11e1-96e4-806e6f6e6963}
Shell\AutoRun\Command = Q:\LenovoQDrive.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{b3be0535-2e1d-11e2-a7f1-e006e6bb9703}
Shell\AutoRun\Command = G:\iLinker.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{e9022d57-3935-11e2-9570-3c970e289242}
Shell\AutoRun\Command = D:\AutoRun.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{e9022d6b-3935-11e2-9570-3c970e289242}
Shell\AutoRun\Command = F:\AutoRun.exe



################## | Vaccin |

(!) This computer is not vaccinated!

################## | E.O.F |

[tomi78]

przepraszam, powinienem najpierw przeczytać regulamin.

oto link do logga z usbfixa

http://www.wklej.eu/index.php?id=bfe38b8805

[mateo8898]

Log miał być z opcji Listing

Poza tym wrzuć także logi z OTL otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p107754

[tomi78]

załączam linki do loggów usbfix listing, otl
mam nadzieje ze to pomoze,

http://www.wklej.eu/index.php?id=0c56fab69d

http://www.wklej.eu/index.php?id=f25a525497

http://www.wklej.eu/index.php?id=e7717cd5ce

[mateo8898]

1. Odinstaluj: Ask Toolbar, Softonic toolbar on IE, Winamp Toolbar, Google Toolbar
2. Na czas poniższych operacji pamięci przenośne mają być podłączone.
Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
IE - HKU\S-1-5-21-2597037989-2941687821-1556331407-1166\..\SearchScopes\{CB792C15-4CF9-4A77-AC16-53C25CEFDC68}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=53E35EDA-419F-48ED-9CA5-7F57807B6B34&apn_sauid=D95ED192-5F85-494D-907A-1E1FB4AD03DC
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [PWMTRV] rundll32 C:\PROGRA~2\ThinkPad\UTILIT~1\PWMTR64V.DLL,PwrMgrBkGndMonitor File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~3\Office14\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~3\Office14\ONBttnIE.dll/105 File not foun
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~3\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~3\Office14\ONBttnIE.dll/105 File not found
O32 - AutoRun File - [2011-12-16 18:07:14 | 000,000,083 | RHS- | M] () - D:\Autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2011-12-15 04:05:40 | 000,000,049 | -HS- | M] () - Q:\AUTORUN.INF -- [ NTFS ]
[2012-12-16 17:22:28 | 000,000,000 | ---D | C] -- C:\Users\t.sutarzewicz\AppData\Local\{8E20A26C-EDEE-4F1E-B974-38A212F35D43}
[2012-12-16 17:20:18 | 000,000,000 | ---D | C] -- C:\Users\t.sutarzewicz\AppData\Local\{7ACD4696-651C-42FA-A371-72ED2C77DA53}
[2012-12-16 17:04:33 | 000,000,000 | ---D | C] -- C:\Users\t.sutarzewicz\AppData\Local\{C0D20068-10CD-446D-8022-7830AF5B6010}
[2012-12-16 17:02:21 | 000,000,000 | ---D | C] -- C:\Users\t.sutarzewicz\AppData\Local\{3FE1E5B9-EE61-49C3-9441-F1499EA05D15}
[2012-12-16 16:58:13 | 000,000,000 | ---D | C] -- C:\Users\t.sutarzewicz\AppData\Local\{D22A8A4D-E9E4-4606-9ABE-02821334DF7C}
[2012-12-16 16:35:17 | 000,000,000 | ---D | C] -- C:\Users\t.sutarzewicz\AppData\Local\{95FF679A-703C-4AC5-A96F-607870DF89C3}
[2012-12-16 16:34:18 | 000,000,000 | ---D | C] -- C:\Users\t.sutarzewicz\AppData\Local\{BB45E265-2246-4260-8FAE-2E856305D62F}
[2012-12-16 16:00:55 | 000,000,000 | ---D | C] -- C:\Users\t.sutarzewicz\AppData\Local\{AFC7F916-D9C0-40FC-BD7E-239DED18310F}
[2012-12-16 16:00:29 | 000,000,000 | ---D | C] -- C:\Users\t.sutarzewicz\AppData\Local\{FC0AFEDF-782E-44B2-8671-971BA57B3F2D}
[2012-12-16 15:55:31 | 000,000,000 | ---D | C] -- C:\Users\t.sutarzewicz\AppData\Local\{560156E5-E8FA-405A-BBF8-525A2895D212}

:Files
*.lnk /alldrives
D:\00d0f7b_l.exe
D:\00d0f7b_a.exe

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

3. Wklej do notatnika:

attrib -s -h C:\Documents and Settings
attrib -s -h D:\SamsungSoftware
attrib -s -h D:\Zdjęcia
attrib -s -h D:\Muzyka
attrib -s -h D:\Video Fuerteventura
attrib -s -h D:\video gran canaria
attrib -s -h D:\editad
attrib -s -h Q:\FactoryRecovery

Plik Zapisz jako Ustaw rozszerzenie z TXT na Wszystkie pliki zapisz pod nazwą FIX.BAT uruchom utworzony plik.
Po wykonaniu podaj nowy log z opcji Listing.

[tomi78]

punkt 2 wykonałem i zapisał mi się nowy txt. o co chodzi z tym "Dajesz log z usuwania + nowe logi z OTL." co dokładnie mam zrobić?
i gdzie mam wkleić txt z pkt 3?
sorry za być może błahe pytania ale nie chciałbym czegoś zepsuć

[tomi78]

nie czekając na odpowiedź wykonałem następujące logi mam nadzieje że dobrze:

http://www.wklej.eu/index.php?id=5e2e9dc929

[Pangia]

Ha, było poczekać, bo akurat pisałem odpowiedź

punkt 2 wykonałem i zapisał mi się nowy txt. o co chodzi z tym "Dajesz log z usuwania + nowe logi z OTL." co dokładnie mam zrobić?

To pokazujesz ten nowy .txt (czyli nowe logi) i robisz log z OTL jeszcze raz, ale opcją Skanuj.

i gdzie mam wkleić txt z pkt 3?

Otwierasz Notatnik, wklejasz podany plik, zapisujesz pod nazwą FIX.BAT na Pulpicie, żeby było łatwo uruchomić (dla pewności zaznacz pod nazwą "Wszystkie pliki", żeby czasem się z tego zwykły plik tekstowy nie zrobił) i uruchamiasz.

[tomi78]

a oto log z listinga po całym procesie
http://www.wklej.eu/index.php?id=41e722e9fa
panowie co dalej, bo moich danych na usb nie widać

[mateo8898]

Jednak się nie wykonało. W takim razie inaczej.
Wciśnij klawisze Windows + R.

W okienku Uruchamianie wpisz: cmd.exe

Pojawi się okno konsoli. Wklepuj do niego po kolei polecenia:

attrib -s -h C:\Documents and Settings
attrib -s -h D:\SamsungSoftware
attrib -s -h D:\Zdjęcia
attrib -s -h D:\Muzyka
attrib -s -h D:\Video Fuerteventura
attrib -s -h D:\video gran canaria
attrib -s -h D:\editad
attrib -s -h Q:\FactoryRecovery

Po każdej linijce ENTER. Następnie podaj nowy log z opcji Listing

[Pangia]

a oto log z listinga po całym procesie
http://www.wklej.eu/index.php?id=41e722e9fa
panowie co dalej, bo moich danych na usb nie widać

Bo są ukryte. FIX.bat miał to naprawić, ale najwidoczniej nie poszło jak należy, dlatego musisz to zrobić ręcznie przez cmd.exe.

[tomi78]

niestety znowu coś nie zadziałało
przesyłam widok okna konsoli
http://img23.otofotki.pl/el238_Przechwytywanie.PNG.html

[mateo8898]

Pewnie się literki dysków pozmieniały. W takim razie wklepuj:

attrib -s -h D:\SamsungSoftware
attrib -s -h D:\Zdjęcia
attrib -s -h D:\Muzyka
attrib -s -h D:\Video Fuerteventura
attrib -s -h D:\video gran canaria
attrib -s -h D:\editad

za literkę D wstaw literkę, pod którą obecnie jest widoczny dysk przenośny.