Umjesto sadržaja sticka samo shortcut :-(

[ risp73 @ 17.10.2013. 23:03 ] @

Kada memory stick ubacim u USB port, umjesto njegovog sadržaja vidim samo neki novi shortcut. Podaci se ne vide, prebačeni su u "fantomski" drajv na sticku.
Na rootu postoje samo hiden datoteke:

[att_img]

U shortcut properties stoji:
%homedrive%\WINDOWS\System32\rundll32.exe 4#CFOTTHKFKASWOKUNHUSK.ini, rundll32

Avast je našao i izbrisao 4#SHX.ini (Win32:Malware-gen).
Probao sam da računar podignem pod Linuxom, izbrišem sve datoteke na rootu (uključujući autorun.inf) ali se kod novog ubacivanja sticka sve ponavlja. Ne pomaže ni formatiranje sticka.
Na internetu se mnogo piše o ovom problemu ali svi traže (i objašnjavaju) kako se čisti stick, nigdje nisam našao da je neko napisao ko izaziva sve ovo.
Računar sam baš temeljito pročistio (uključujući Microsoft Safety Scanner i Kaspersky Rescue Disk) ali ništa nije pomoglo, problem je ostao.
Ako niko nema ideju šta je u pitanju, preostaje mi jedino da vratim image particije C:, a to ne bi baš rado radio.
Biću zahvalan za svaki koristan savjet.
Pozdrav

[ calexx @ 17.10.2013. 23:38 ] @

Sadržaj fleške je u onom nonejm folderu, dovoljno je (za lečenje same fleške) da se samo iskopira negde, fleška formatira i sadržaj vrati direkt na nju (bez nonejm foldera). Sve to možeš da uradiš pod linuxom i kada posle toga ubaciš tu flešku (dok je još linux) sve će da bude u redu. Ako se sve ponavlja kad startuješ windows, onda moraš malo ozbiljnije da ga lečiš. Način će već neko da predloži, ja sam se te bede odavno rešio i uvek me nasmeju u nekoj kopirnici kad im dam flešku a oni skoče i viču da je zaražena. ;) Inače skoro da nema fleške koja nije tako bolesna, ovo se dobro raširilo i uglavnom ga ima u svim kopirnicama i foto radnjama.

[ kristi1 @ 18.10.2013. 04:13 ] @

Prvo da ocistimo sistem, a posle cemo flesku za 5 sekundi, uradi ovako i ne ubadaj flesku dok ti ne kazem.

Preuzmi Farbar-ov Farbar Recovery Scan Tool sa ove adrese na Desktop:
Postoji 32bit. i 64bit.-na verzija. Potrebno je preuzeti verziju koja je kompatibilna sa tvojim sistemom.
Ako nisi siguran koja verzija se odnosi na tvoj sistem, preuzmi ih obe i pokreni. Samo jedan od njih će raditi na tvom sistemu, to će biti prava verzija.

dvoklikom pokreni program, kada se alat pokrene klikni Yes na disclaimer prozor;
pod Optional Scan sekciji, štikliraj List BCD i Driver MD5 polja;
klikni na dugme Scan;
po završetku skeniranja, alat će formirati izveštaj (FRST.txt) u isti direktorijum gde je FRST alat sačuvan;
iskopiraj sadržaj FRST.txt izveštaja u poruku;
po prvom pokretanju, alat bi trebao formirati i dodatni izveštaj (Addition.txt);
okači Addition.txt izveštaj uz poruku koristeći opciju Prikači fajl

[ risp73 @ 18.10.2013. 07:59 ] @

Citat:

calexx:... ovo se dobro raširilo i uglavnom ga ima u svim kopirnicama i foto radnjama.

U pravu si, u pitanju je računar u fotoradnji mog poznanika.

Citat:

kristi1: ...okači Addition.txt izveštaj uz poruku koristeći opciju Prikači fajl

Hvala. Odoh pravo u foto radnju.

[ risp73 @ 18.10.2013. 10:32 ] @

Evo ga.

[ kristi1 @ 18.10.2013. 13:49 ] @

Citat:

po završetku skeniranja, alat će formirati izveštaj (FRST.txt) u isti direktorijum gde je FRST alat sačuvan;
iskopiraj sadržaj FRST.txt izveštaja u poruku;

I taj si morao da kopiras, on mi je vazniji.

[ risp73 @ 18.10.2013. 14:08 ] @

Evo i njega

[ kristi1 @ 18.10.2013. 17:37 ] @

Otvori Notepad i iskopiraj sledeći tekst koji se nalazi unutar osenčenog prostora.

Code:
Start
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=10148&l=dis
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - DefaultScope {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redir...1A-BEC6-4FCC-8F0A-8A97061C9E26
SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redir...1A-BEC6-4FCC-8F0A-8A97061C9E26
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Task: C:\WINDOWS\Tasks\PandaUSBVaccine.job => C:\Program Files\Panda USB Vaccine\USBVaccine.exe
End

U okviru Notepad-a klikni na File --> Save As
Fajl nazovi Fixlist i sačuvaj na Desktop
Dvoklikom ponovo pokreni FRST.exe
Klikni na Fix i sačekaj dok program ne završi.
Ukoliko program zatraži restart računara, omogući mu da to nesmetano obavi.
Nakon završetka rada, otvoriće se Notepad, sa sadržajem koji treba da kopiraš u temu.
Takođe, na Desktop-u će se nalaziti (fixlog.txt).

Potrebno je da fixlog.txt kopiras na forum

sledece:

Instaliraj MCShield
Prikljuci USB uredjaje i sacekaj da ih program skenira.

Izvestaj o zavrsenom skeniranju se nalazi na ovoj lokaciji:

Start > All Programs > MCShield > Logs > All scans

Kopiraj ovde sadrzaj Notepad-a.

[ risp73 @ 21.10.2013. 15:27 ] @

kristi1
Prije svega želim da ti zahvalim na spremnosti da mi pomogneš. Zahvaljujući tvom postu saznao sam za program FRST pa sam malo pretražio internet i, između ostalog, našao sajt http://forums.pcpitstop.com/in...tead-of-folders-in-usb-drives/ iz kojeg sam vidio da bi naša "operacija" najvjerovatnije potrajala relativno dugo.
Moj poznanik je zaključio da mu se mnogo više isplati da vrati image sistemske particije i doda nekoliko naknadno instalisanih programa, nego da danima koristi računar a da na njega ne priključuje memorijske stickove.
Za vikend smo sredili računar pa sam mu onda napisao .bat fajl kojim bi mijenjao atribute fajlova na sticku ali se to pokazalo pomalo lošim rješenjem – on DOS nikada nije ni vidio pa se malo teže snalazi.
Total Commander vidi skrivene fajlove pa je problem time i definitivno i trajno riješen - kad neko u radnju donese zaražen stick dovoljno je TC-om izbrisati ono smeće i slike iskopirati na lokalni disk.
Na taj način poznanik može da izradi slike, a i klijentu je stick očišćen.
Na kraju hvala ti još jednom i izvini zbog "prekida operacije".
Srdačan pozdrav

[ mbm @ 21.10.2013. 16:51 ] @

Rešenje za ovaj malware se nalazi ovde.
Trebalo je samo nekoliko minuta da se sve obavi.
Nema mnogo detalja.

Sprečiti autorun USB memorije i promeniti atribute fajlova od korenog direktorijuma na niže.
Čovek je to lepo rešio.

Sve ostalo predugo traje.

http://en.kioskea.net/forum/af...in-my-pendrive-become-shortcut

[ Goran Mijailovic @ 21.10.2013. 18:34 ] @

Ima alat koji se zove Unhide koji resava deo ove price.

Unhide by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2013 BleepingComputer.com
More Information about Unhide.exe can be found at this link:
http://www.bleepingcomputer.com/forums/topic405109.html

[ kristi1 @ 21.10.2013. 21:42 ] @

Neka on instalira MCShield i problem sa fleskama vise nece imati, cak i Grinler koristi taj program koji je poceo da se siri po svim vaznijim forumima zastite. znaci TSF G2G, Avast, BC ....

Pored njega malware ne moze da prodje, a trenutno se radi na V.3 verziji.

http://en.kioskea.net/forum/af...in-my-pendrive-become-shortcut

Ovo MCS odraadi za 3 sekunde cim ubodes flesku, plus brise malware-e.

[ risp73 @ 22.10.2013. 19:27 ] @

MCShield je stvarno efikasan, pitanje stickova je riješeno

Jedno pitanje za kristi1.
Da li je moguće da MCShield onako na brzinu očisti i računar? Ne bi vjerovao, ali danas sam pokušao namjerno
da u istoj radnji zarazim stick na dva, do danas 100% zaražena računara, ali nisam uspio ni na jednome.
Pomislio sam da je MCShield možda nekako vakcinisao stickove, nešto upisao u njih, ali evo sad pregledam
jedan stick, na njemu sigurno nema ništa. ???

Pa kad sam krenuo s pitanjima evo još jedno:
Kako da updateujem Malwarebytes' Anti-Malware na računaru koji nije na internetu?

Odgovor sam našao na https://forums.malwarebytes.org/index.php?showtopic=6844 :

It's indeed possible to copy the latest definitions file to a USB stick or cd-r for transport to more computers
without an internet connection. I routinely do this myself.

cd "Documents and Settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware

Inside is the rules.ref file. Copy it and the latest installer from the site to a usb stick. Install to the target PC
as you normally would. Then copy the rules.ref file from USB stick to above location, overwriting the one already present.

If I can be of any further assistance, just ask...

Čovjek se izgleda šalio ;-)
Prenio sam ovaj rules.ref ali MBAM neće da radi s njim.
Ima li neko bolju ideju?

[ kristi1 @ 22.10.2013. 21:48 ] @

Citat:

Jedno pitanje za kristi1.
Da li je moguće da MCShield onako na brzinu očisti i računar? Ne bi vjerovao, ali danas sam pokušao namjerno
da u istoj radnji zarazim stick na dva, do danas 100% zaražena računara, ali nisam uspio ni na jednome.
Pomislio sam da je MCShield možda nekako vakcinisao stickove, nešto upisao u njih, ali evo sad pregledam
jedan stick, na njemu sigurno nema ništa. ???

Ne cisti on racunare, ali sprecava da se isti zaraze crvom (bilo kojim). Moguce da su ti sistemim bili cisti pa zato nisi zarazio stick.

[ valerijan @ 22.10.2013. 21:58 ] @

...ili drugim rečima na MCShield stranici:

Citat:

What do you get with MCShield?

MCShield is an antimalware program designed to prevent infections transmitted via removable drives. USBNoRisk

[ risp73 @ 22.10.2013. 23:24 ] @

Citat:

kristi1:
... Moguce da su ti sistemim bili cisti pa zato nisi zarazio stick.

E tu je problem i to je ono što me zbunjuje.
Prije nekoliko dana sam, prije nego sam krenuo u foto radnju, formatirao stick, "vakcinisao"
ga programom Autorun Eater (kreira "neizbrisiv" autorun.inf) i na njega snimio nekoliko slika.
Imao sam namjeru da provjerim da li će takva zaštita eventualno biti efikasna.
Kada sam stick priključio na računar, sin mog poznanika i ja smo "uživo" gledali šta se dešava
- slike su se na trenutak pojavile na ekranu, vrlo kratko, ne duže od sekunde, a onda su nestale,
zamijenio ih je onaj shortcut. Moram da priznam da je bilo zabavno, nikad ranije nisam gledao
nešto slično.
Formatirao sam stick, odnio ga na drugi računar i ovaj ga je u trenutku zarazio, na sticku je opet
bio vidljiv samo onaj shortcut. Isto se dogodilo i sa trećim računarom.
Da ne bude zabune, i meni sve ovo izgleda apsolutno nevjerovatno pa sam zato i pitao da možda
MCShield ipak nekako ne uspijeva da očisti računar. Nisam vjerovao da to može pa sam zato i tražio
da li neko zna kako da offline ažuriram MBAM.
Ne očekujem da će mi neko ovo objasniti, više onako, da se izjadam :-(

Pozdrav

[ valerijan @ 23.10.2013. 00:34 ] @

Meni je uspelo...Ali sam napravio malu varijaciju na temu:

prekopirao sam ceo Malwarebytes folder sa jednog kompjutera (ažuriran MBAM) na isto mesto na drugom (sveža instalacija MBAM-a)

tj. u C:\Documents and Settings\All Users\Application Data (ceo folder Malwarebytes).

C:\Program Files\Malwarebytes' Anti-Malware folder nisam dirao.

Verovatno nije neophodno da se kopira ceo, ali to je bilo najbrže test rešenje.

_{[Ovu poruku je menjao valerijan dana 23.10.2013. u 11:21 GMT+1]}

[ risp73 @ 23.10.2013. 12:52 ] @

Citat:

valerijan: Meni je uspelo...Ali sam napravio malu varijaciju na temu:

I meni, hvala na ideji.

Radi i mbam-rules.exe samo njegove definicije nisu najsvježije.

[ jolemisa @ 25.10.2013. 01:45 ] @

MCShieldje zakon za fleseve.Jeste da malo usporava pri podizanju sistema jer cekira sve na pocetku,ali meni je stalno instalisan i neplasim se bilo kakve zaraze sa flesa

[ e-tronic @ 22.12.2013. 18:01 ] @

Pozdrav svima. Evo mog problema. Kada bilo koji folder prekopiram na flash ili memorijsku karticu, istog trenutka se pored njega stvori shortcut sa istim imenom, a nakon toga se izgubi pravi folder i ostane samo shortcut. Pokušavao sam nekako da rešim problem ali ne ide. Pratio sam instrukcije sa nekoliko prvih postova ove teme. Pokrenuo sam FRST64 program, skenirao, ubacio onaj txt fajl, a onda fix. Instalirao sam MCShield, prikljucio telefon sa mem. karticom (koju sam pre toga formatirao) i sačekao da MCShield skenira i dobio izveštaj - Malware was found and neutralized. Nakon toga ponovo sam prebacio neki folder na mem. karticu i opet isto, pretvori se u shortcut. Šta da radim?! Počinje ozbiljno da me brine, a ne znam kako to da rešim. Molim za pomoć! Unapred zahvalan.

[ calexx @ 22.12.2013. 18:23 ] @

Prvo izleči komp a onda fleške. Džabe njih lečiš ako ih priključiš na zaražen komp koji sve vrati.

[ Aleksandar Maletic @ 22.12.2013. 19:20 ] @

Pozdrav e-tronic.

Kolega je sve rekao, očigledno je da je zaražen kompjuter sa kog prebacujete taj sadržaj na USB memoriju.
Prvo i osnovno, ažurirajte postojeći antivirus i odradite kompletno skeniranje. Nakon toga uradite sledeće:

• Preuzmite i instalirajte program Malwarebytes Anti-Malware.
• Pokrenite ga i izvršite update (Update > Check for Updates) i po završetku potvrdite sa OK.

• Posle update-a odaberite Scanner, označite Perform full scan i pritisnite Scan.

• Kada se skeniranje završi pritisnite OK, pa Show Results da vidite izveštaj.

• Proverite da li su svi pronađeni fajlovi štiklirani (ako nisu - štiklirajte ih), pritisnite Remove Selected i potvrdite sa OK.

• Program će vas upitati da restartujes računar i vi to potvrdite.

• Takođe posle uklanjanje malware-a sa računara dobićete log fajl (izveštaj) koji ćete iskopirati u temi.

[ e-tronic @ 22.12.2013. 20:42 ] @

Ok, hvala puno na trudu koji ste uložili da mi detaljno objasnite šta da radim. Čim se završi skeniranje iskopiraću taj log file (izveštaj) u temu. Pozdrav.

[ e-tronic @ 22.12.2013. 23:54 ] @

Malwarebytes je završio sa skeniranjem. Štiklirao sam sve neoznačene fajlove (foldere) i obrisao, zatim sam prihvatio zahtev za restartovanje računara.
Ne znam kako da u poruku ubacim .txt file, pa sam izveštaj obrisanih fajlova postavio ovde. Text file je pod imenom mbam-log.txt.

[ Aleksandar Maletic @ 23.12.2013. 08:41 ] @

• Preuzmite AdwCleaner.
• Pokrenite program.
• Kliknite na Search i sačekajte da program izvrši kratkotrajnu analizu.
• Nakon izvršene analize, program će kreirati izveštaj.
• Zatvorite izveštaj i odaberite opciju Clean.
• Restartujte računar.

• Preuzmite OTL na Desktop, pokrenite program.
• Kliknite na Run Scan. Kada analiza bude izvršena iskopirajte sadržaj log fajla u novoj poruci ili prikačite fajl uz poruku.

[ e-tronic @ 23.12.2013. 13:44 ] @

Analiza je završena. Prikačio sam fajlove - izveštaj analize. Pozdrav, i hvala.

_{[Ovu poruku je menjao e-tronic dana 23.12.2013. u 15:03 GMT+1]}

[ Aleksandar Maletic @ 23.12.2013. 14:09 ] @

U redu. Ispratite još ovo uputstvo.
Potrebno je onemogućiti automatsku reprodukciju uređaja, odnosno, ugasiti AutoPlay.
Kliknite na Start, zatim Run.
U polje unesite sledeći tekst: gpedit.msc
Potvrdite sa Enter.
Pratite sledeću putanju:
Computer Configuration>Administrative Templates>Windows Components>AutoPlay Policies>Turn off AutoPlay
Kliknite na Enabled.
Odaberite "Turn off AutoPlay on All drives" i potvrdite sa Ok.
Napustite Local Group Policy Editor.

Pokušajte da prebacite neke fajlove na USB memoriju. Da li je u redu sad?

[ e-tronic @ 23.12.2013. 14:30 ] @

Ispratio sam sve instrukcije po redu, kao što ste rekli. Pri sebi trenutno nemam USB Flash pa sam isprobao sa mobilnim telefonom u kojem je memorijska kartica. Dešava se isto kao i ranije: prekopiram folder, on postane shortcut, obrišem ga, ali se ponovo vrati sa celokupnim sadržajem. Da li bi pomogla reinstalacija Windows-a i formatiranje svih mem. kartica i USB Flash-eva? Pozdrav.
P.S. Na računaru imam instaliran MCShield. Prilikom prvog priključenja telefona na računar (nakon svih Vaših odrađenih instrukcija), MCShield mi je prijavio da ima zaraženih fajlova, koje je potom obrisao. Nakon toga sam prebacio folder i dešava se kao što sam opisao u tekstu iznad.

_{[Ovu poruku je menjao e-tronic dana 23.12.2013. u 15:42 GMT+1]}

[ Aleksandar Maletic @ 23.12.2013. 17:56 ] @

• Preuzmite Kaspersky Virus Removal Tool.
• Posle preuzimanja restartujte računar u Safe Mode-u(dok se pali računar pritiskajte F8, pa kada se pojavi meni, odaberite Safe Mode).
• Kada se učita Safe Mode pokrenite setup.
• Obeležite "I accept the license agreement", zatim pritisnite Start -

• Otvorite Settings -

• Odaberite karticu Scan scope i obeležite sva polja -

• Zatim pod karticom Actions obeležite Select Action i stavite kvačicu na poljaDisinfect i Delete if disinfection fails -

• Kliknite na karticu Automatic Scan, zatim Start scanning kako bi pokrenuli skeniranje -

• Nakon skeniranja i čišćenja restartujte računar.

[ kristi1 @ 24.12.2013. 13:04 ] @

Pokreni OTL

U beli okvir prozora gde piše Custom Scans/Fixes iskopiraj sledeci tekst:

Code:

:processes

:OTL
O4:[b]64bit:[/b] - HKLM..\Run: [WinUsbDriver] wscript.exe //B "C:\Users\Pantic\AppData\Local\Temp\WinUsbDriver.vbs" File not found
O4 - HKCU..\Run: [WinUsbDriver] wscript.exe //B "C:\Users\Pantic\AppData\Local\Temp\WinUsbDriver.vbs" File not found
O33 - MountPoints2\{31bf85de-6196-11e2-a7a5-dc0ea1d0b4a2}\Shell - "" = AutoRun
O33 - MountPoints2\{31bf85de-6196-11e2-a7a5-dc0ea1d0b4a2}\Shell\AutoRun\command - "" = G:\AutoRun.exe
O33 - MountPoints2\{70510de1-69ea-11e2-b7c7-dc0ea1d0b4a2}\Shell - "" = AutoRun
O33 - MountPoints2\{70510de1-69ea-11e2-b7c7-dc0ea1d0b4a2}\Shell\AutoRun\command - "" = G:\AutoRun.exe

:files
C:\Users\Pantic\AppData\Local\Temp\WinUsbDriver.vbs

:commands
[CREATERESTOREPOINT]
[emptytemp]

Klikni taster Run Fix;

Log koji dobiješ iskopiraj ovde u poruci.

Sledece -->

Preuzmi najnoviju verziju MCShield-a sa sljedeće adrese:

http://www.mcshield.net/download/MCShield-Setup.exe

Instaliraj MCShield i sačekaj da se završi uvodno skeniranje.

Kad se završi uvodno skeniranje, ubacuj sve USB memorijske uređaje redom u USB port i svaki zadrži u portu dok MCShield ne izbaci poruku da je skeniranje završeno. Ukoliko imaš više USB uređaja, zabilježi negdje kojim su redom ubacivani.

Objašnjenje: U USB memorijske uređaje spadaju svi oni uređaji koji po priključivanju na kompjuter dobijaju svoju oznaku particije. Tu spadaju USB flash drajvovi, eksterni hard-diskovi, memorijske kartice, MP3 i MP4 plejeri, neki mobilni telefoni, neki GPS (navigacioni) uređaji itd.

Idi na Start -> All Programs -> MCShield -> Logs -> AllScans

Otvoriće ti se izvještaj u Notepad-u čiji sadržaj treba da postaviš u poruku

Sledece -->

Preuzmi FRST - (Farbar Recovery Scan Tool) i sacuvaj ga na Desktop

[color=green]Napomena: Potrebno je preuzeti onu verziju koja je kompatibilna sa tvojim sistemom.
[/color]

[list][*]Dvoklikom pokreni FRST;
[*] Kada se alat startuje, klikni Yes na disclaimer.
[*]Klikni na dugme Scan;
[*]Alat ce kreirati izvestaj (FRST.txt) u isti direktorijum gde je i FRST.exe sacuvan.
[*] Iskopiraj sadrzaj tog loga u poruku.
[*]Alat bi takodje pri prvom pokretanju trebao da kreira i dodatni izvestaj (Addition.txt). Taj izvestaj okaci u poruku koristeci opciju "Prikaci file".[/list]

[ e-tronic @ 24.12.2013. 13:52 ] @

OK, odradiću sve kao što ste napisali.
Da li to da odradim nakon što Kaspersky završi svoj deo?
Ostavio sam sinoć da Kaspersky skenira (u Safe Mode-u), jutros kad sam ustao bilo je tek 49% i pojavio se novi prozor sa dve opcije. Koliko se sećam od mene se tražilo da izaberem opciju koja će obrisati zaražene fajlove ili opciju da se nastavi. Odabrao sam opciju (recommended), tj. da obriše fajlove. Računar se zatim restartovao.
Da li Kaspersky ponovo treba da skenira računar s obzirom da skeniranje prvi put nije u potpunosti završeno? Pozdrav.

[ e-tronic @ 24.12.2013. 16:13 ] @

Uradio sam sve, korak po korak.
Evo log fajla iz OTL-a:

Code:
All processes killed
========== PROCESSES ==========
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\WinUsbDriver deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{31bf85de-6196-11e2-a7a5-dc0ea1d0b4a2}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31bf85de-6196-11e2-a7a5-dc0ea1d0b4a2}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{31bf85de-6196-11e2-a7a5-dc0ea1d0b4a2}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31bf85de-6196-11e2-a7a5-dc0ea1d0b4a2}\ not found.
File G:\AutoRun.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{70510de1-69ea-11e2-b7c7-dc0ea1d0b4a2}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{70510de1-69ea-11e2-b7c7-dc0ea1d0b4a2}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{70510de1-69ea-11e2-b7c7-dc0ea1d0b4a2}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{70510de1-69ea-11e2-b7c7-dc0ea1d0b4a2}\ not found.
File G:\AutoRun.exe not found.
========== FILES ==========
File move failed. C:\Users\Pantic\AppData\Local\Temp\WinUsbDriver.vbs scheduled to be moved on reboot.
========== COMMANDS ==========
Restore point Set: OTL Restore Point

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 57482 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Pantic
->Temp folder emptied: 3087403179 bytes
->Temporary Internet Files folder emptied: 130988779 bytes
->Java cache emptied: 308285736 bytes
->FireFox cache emptied: 131866138 bytes
->Google Chrome cache emptied: 364130699 bytes
->Opera cache emptied: 54845284 bytes
->Flash cache emptied: 81878 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 699178371 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 42310992 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 4.596,00 mb

OTL by OldTimer - Version 3.2.69.0 log created on 12242013_161648

Files\Folders moved on Reboot...
C:\Users\Pantic\AppData\Local\Temp\WinUsbDriver.vbs moved successfully.
C:\Users\Pantic\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Pantic\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

A evo i AllScans iz MCShield-a:

Code:
>>> MCShield AllScans.txt <<<

MCShield ::Anti-Malware Tool:: http://www.mcshield.net/

>>> v 2.8.3.24 / DB: 2013.12.23.1 / Windows 7 <<<

24.12.2013 16:39:38 > Drive C: - scan started (no label ~238 GB, NTFS HDD )...

=> The drive is clean.

24.12.2013 16:39:39 > Drive D: - scan started (no label ~29 GB, FAT32 HDD )...

=> The drive is clean.

MCShield ::Anti-Malware Tool:: http://www.mcshield.net/

>>> v 2.8.3.24 / DB: 2013.12.23.1 / Windows 7 <<<

24.12.2013 16:41:40 > Drive G: - scan started (STORE N GO ~7728 MB, NTFS flash drive )...

>>> G:\WinUsbDriver.vbs - Malware > Deleted. (13.12.24. 16.41 WinUsbDriver.vbs.386242; MD5: 80e49685d1ac8a3623dd78779820ae5a)

=> Malicious files   : 1/1 deleted.

____________________________________________

::::: Scan duration: 1sec ::::::::::::::::::
____________________________________________

MCShield ::Anti-Malware Tool:: http://www.mcshield.net/

>>> v 2.8.3.24 / DB: 2013.12.23.1 / Windows 7 <<<

24.12.2013 16:42:46 > Drive G: - scan started (no label ~60 MB, FAT flash drive )...

>>> G:\DCIM.lnk - Malware > Deleted. (13.12.24. 16.43 DCIM.lnk.675564; MD5: f1a839bfef42b79171341d274cddd179)

>>> G:\MP3.lnk - Malware > Deleted. (13.12.24. 16.43 MP3.lnk.717338; MD5: 2ce4750256441604b313af4c53725f0c)

>>> G:\MSSEMC.lnk - Malware > Deleted. (13.12.24. 16.43 MSSEMC.lnk.134893; MD5: 9b4403fb64eba2651d3b26644e3a737c)

>>> G:\RECYCLEMGR.lnk - Malware > Deleted. (13.12.24. 16.43 RECYCLEMGR.lnk.657665; MD5: 7a70f0be3a80afcbe1dddac943b490b6)

>>> G:\vetrenjaca.lnk - Malware > Deleted. (13.12.24. 16.43 vetrenjaca.lnk.239082; MD5: b8976742907a313f1f6d925582b7b2c8)

>>> G:\WinUsbDriver.vbs - Malware > Deleted. (13.12.24. 16.43 WinUsbDriver.vbs.359747; MD5: 80e49685d1ac8a3623dd78779820ae5a)

> Resetting attributes: G:\DCIM < Successful.

> Resetting attributes: G:\MP3 < Successful.

> Resetting attributes: G:\MSSEMC < Successful.

> Resetting attributes: G:\RECYCLEMGR < Successful.

> Resetting attributes: G:\vetrenjaca < Successful.

=> Malicious files   : 6/6 deleted.
=> Hidden folders    : 5/5 unhidden.

____________________________________________

::::: Scan duration: 24sec :::::::::::::::::
____________________________________________

MCShield ::Anti-Malware Tool:: http://www.mcshield.net/

>>> v 2.8.3.24 / DB: 2013.12.23.1 / Windows 7 <<<

24.12.2013 16:45:49 > Drive G: - scan started (no label ~971 MB, FAT flash drive )...

>>> G:\Audio.lnk - Malware > Deleted. (13.12.24. 16.45 Audio.lnk.83447; MD5: 1c9380d9b7eb76cf59c6116bd40827b2)

>>> G:\lab vežba 2.lnk - Malware > Deleted. (13.12.24. 16.45 lab vežba 2.lnk.83809; MD5: b1f8f6cd4cb2a69b21f3113f628e373f)

>>> G:\Photos.lnk - Malware > Deleted. (13.12.24. 16.45 Photos.lnk.256688; MD5: 80a6faafef8cc88065a98ebf84742a5c)

>>> G:\WinUsbDriver.vbs - Malware > Deleted. (13.12.24. 16.45 WinUsbDriver.vbs.622204; MD5: 80e49685d1ac8a3623dd78779820ae5a)

> Resetting attributes: G:\Audio < Successful.

> Resetting attributes: G:\lab vežba 2 < Successful.

> Resetting attributes: G:\Photos < Successful.

=> Malicious files   : 4/4 deleted.
=> Hidden folders    : 3/3 unhidden.

____________________________________________

::::: Scan duration: 9sec ::::::::::::::::::
____________________________________________

MCShield ::Anti-Malware Tool:: http://www.mcshield.net/

>>> v 2.8.3.24 / DB: 2013.12.23.1 / Windows 7 <<<

24.12.2013 16:45:59 > Drive H: - scan started (no label ~unknown size, FAT flash drive )...

=> The drive is clean.

Fajlove FRST i Addition sam prikačio.

Datum: 24.12.2013. Vreme: 18:53.
Izgleda da je virus otklonjen. Nema više shortcut-ova! Kada priključim USB Flash i ostale prenosive memorije, MCShield prijavljuje poruku "Malware was not detected". Kada prebacim folder, bude sve OK. Ne znam tačno koji od prethodnih koraka je ključan, ali bitno je da je sad u redu. Hvala Vam puno na pomoći. Napišite mi ako treba još nešto da uradim, preventive radi. Pozdrav :)

_{[Ovu poruku je menjao e-tronic dana 24.12.2013. u 18:51 GMT+1]}

_{[Ovu poruku je menjao e-tronic dana 24.12.2013. u 18:53 GMT+1]}

[ jolemisa @ 24.12.2013. 20:26 ] @

Vecina nas ima kakve takve probleme sa Fleshevima.Kada bi u njih moglo instalisati neki anti virusni program da samo objavi da su podaci zarazeni i da ih ne treba skidati.

[ kristi1 @ 25.12.2013. 09:08 ] @

Otvori notepad i kopiraj ovo iz Code taga

Code:

HKLM\...\Run: [WinUsbDriver] - wscript.exe //B "C:\Users\Pantic\AppData\Local\Temp\WinUsbDriver.vbs" <===== ATTENTION
HKCU\...\Run: [WinUsbDriver] - wscript.exe //B "C:\Users\Pantic\AppData\Local\Temp\WinUsbDriver.vbs" <===== ATTENTIONC
C:\Users\Pantic\AppData\Roaming\CamLayout.ini
C:\Users\Pantic\AppData\Roaming\CamShapes.ini

Snimi ga na desktop pod nazivom Fixlist (mora da bude na isto mesto gde je i FRST)

Pokreni FRST i klikni Fix.

Zatim mi postavi novi FRST, znaci opcija scan.

[ code797 @ 25.12.2013. 14:35 ] @

Citat:

jolemisa:
Vecina nas ima kakve takve probleme sa Fleshevima.Kada bi u njih moglo instalisati neki anti virusni program da samo objavi da su podaci zarazeni i da ih ne treba skidati.

Evo sta ja radim, za pocetak iskljucim Autoplay/autorun, onda je potrebno podesiti Windows da prikazuje sve skrivene i sistemske fajlove kao i prikaz ekstenzija, ovde je jos bolje koristiti neki File Manager npr Total Commander ili besplatan Multi Commander i u njemu podesis da prikazuje sve fajlove i foldere + prikazuje ekstenzije, takodje u opcijama podesis da ne prikazuje lnk/exe ikonice zbog LNK exploit-a koji bi zarazio komp bez ikakve interakcije korisnika.

E kada otvoris USB disk preko file managera sa prikazom svih fajlova i foldera koje se nalaze na flesu onda samo treba da upotrebis malo mozak i da vidis da li nesto nije u redu sa fajlovima i folderima koji se nalaze na fles memoriji, ovde je problem samo kod fajlova kao sto su .exe, .cmd, .html, .vbs, .docx... dok se fajlovi za filmove, muziku, slike mogu otvarati bez problema. Niko nije lud da otvori folder pod nazivom "Slike" a koji ima .lnk ekstenziju ili npr film "Now You See Me" sa .exe ekstenzijom.

[ e-tronic @ 25.12.2013. 19:06 ] @

@kristi1
Uradio sam kako ste rekli. U prilogu je novi FRST.

[ kristi1 @ 25.12.2013. 21:16 ] @

U redu je system je cist. Inace ovo je nova varijanta crva i dosta je zaj***n.

MCShield da zadrzis da ne bi vise imao problema sa crvima sa fleske.

Preuzmi DelFix i sacuvaj ga na Desktop

[*] Dvoklikom pokreni program.

Štikliraj sledece opcije:
[*] Remove disinfection tools
[*] Purge System Restore

[*] Klikni na dugme "Run" i pricekaj da program završi rad.
[*] Kada alat završi, otvorice izvestaj u notepadu. [/list]
Napomena: Izvestaj ce takodje biti sacuvan na C:\DelFix.txt

Nije mi potreban izvestaj.

[ e-tronic @ 28.12.2013. 12:19 ] @

@kristi1, @Aleksandar Maletic
Hvala puno, sad je sve u redu.
Zaključio sam da su fotokopirnice glavni izvor "zaraze" jer sam u međuvremenu bio da mi nešto odštampaju. Njihovi računari su puni virusa (toga su svesni), a moji folderi na flash-u su kod njih bili u obliku shortcut-a. E sad, da nemam MCShield i da nisam preduzeo mere koje ste mi Vi ovde izložili, opet bih sebi napravio problem.
Ne znam stvarno ko bi bolje i detaljnije objasnio postupak "čišćenja" računara od virusa od Vas, stoga Vam se još jednom zahvaljujem.
Pozdrav.