Infekcja pendrive - skrót Removable Drive

matik777 · 29 Czerwiec 2015 21:59

Witam

Komputer z Win 8.1 mam zainfekowany. Na podłączonym pendrive powstał skrót Removable Drive (2GB), gdzie po kliknięciu dopiero widzę zawartość. Skanowanie DR.Web CuerIt! nie pomogło. Wrzucam linki do logów:

USBfix: http://wklej.org/hash/1ae254112b5/

FRST: http://wklej.org/hash/35a0af44a02/

Addition: http://wklej.org/hash/0b2f05a94fe/

Dodam, że kliknięcie opcji Clena w USBfix powoduje bluescreen.

Proszę o pomoc, wskazówki jak rozwiązać problem.

Atis · 29 Czerwiec 2015 22:25

Klikając w taki skrót uruchamiasz wirusa i powodujesz zainfekowanie systemu.

Windows 7 na E chyba też jest zainfekowany.

W razie problemów Fix wykonaj w trybie awaryjnym.

http://forum.dobreprogramy.pl/temat/434609-tryb-awaryjny-w-windows-8/

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\RunOnce: [] => [X]
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-946985134-1459142714-2408742761-1001\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-946985134-1459142714-2408742761-1001\...\CurrentVersion\Windows: [Load] C:\ProgramData\msrcpnn.exe <===== ATTENTION
URLSearchHook: [S-1-5-80-3263513310-3392720605-1798839546-683002060-3227631582] ATTENTION ==> Default URLSearchHook is missing
URLSearchHook: [S-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003] ATTENTION ==> Default URLSearchHook is missing
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X]
R2 VSSS; C:\Users\Mateusz\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [102578944 2015-06-23] (Microsoft Corporation) [File not signed] <==== ATTENTION
C:\Users\Mateusz\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe
2015-06-29 22:53 - 2015-06-29 23:26 - 00000000 ____ D C:\Users\Mateusz\Doctor Web
2015-06-29 23:34 - 2015-03-25 19:52 - 00000000 ____ D C:\AdwCleaner
C:\Program Files\*.exe
C:\ProgramData\*.exe
L:\dda.dlg.dffnpr.79hprr4.cbjx.aiiqz.aibc.goh9979e
L:\*.lnk
CustomCLSID: HKU\S-1-5-21-946985134-1459142714-2408742761-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Mateusz\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll No File
CMD: attrib /d /s -s -h L:\*
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

Pokaż raport UsbFix z opcji Listing.

matik777 · 3 Lipiec 2015 15:33

Uruchomiłem fixa. Zapomniałem o podłączeniu pendrive pod L:\ Po restarcie i podłączeniu pendrive avira wykryła robaka na pendrive i usunęła ten skrót przez który się można było dostać do zawartości. Nie miałem jak zajrzeć, a miejsce było zajęte. Wszedłem przez linuxa i skopiowałem dane na inny dysk, a potem sformatowałem pendrive na Windowsie juz. Jak na razie wszystko działa.

Dzięki za pomoc Atis

Teraz piszę, bo wcześniej nie miałem czasu.