Na pendrive tworzy się skrót tego pendrive

Dla specjalistów Bezpieczeństwo
#1

Witam,
Mam problem, który nie należy do nieznanych ale nie mogę znaleźć rozwiązania idealnego, które rozwiąże problem a mianowicie, jakikolwiek pendrive czy dysk zewnętrzny wepnę do swojego komputera to tworzy się na tym pendrive skrót tego pendrive, bardzo dziwna sytuacja, plików nie usuwa ale jest to niekomfortowe w korzystaniu. Prośba o pomoc w sprawie.

Z góry dziękuje
Pozdrawiam

#2

Trzeba wyleczyć PC z infekcji, skrót pewnie jest do malware jakie jest kopiowane na pendrive po przypisaniu mu litery przez Windows (tak by zarazić inne komputery, bo nietechnicznych nie zrozumie że pliki zostały ukryte).

Raport obowiązkowy - Farbar Recovery Scan Tool

#3

Shortcut.txt (91,5 KB)
Addition.txt (103,3 KB)
FRST.txt (65,0 KB)

#4

@kamilvvv97

  1. Odinstaluj:
  • µTorrent (zamień na otwartoźródłowy qBittorent)
  • CCleaner (zamień na otwartoźródłowy BleachBit)
  • Adobe Flash Player (niewspierane, możliwy wektor ataku)
  • Outbyte PC Repair (adware!)

2. Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” →

CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ograniczenia <==== UWAGA
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
HKU\S-1-5-21-4200854220-3294602373-1765642704-1003\...\Run: [MicrosoftEdgeAutoLaunch_79C999F0AD65A01173697ECF2D69C522] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4243360 2023-02-23] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-4200854220-3294602373-1765642704-1003\...\Run: [Opera Browser Assistant] => C:\Users\kamil\AppData\Local\Programs\Opera\assistant\browser_assistant.exe [3916232 2022-12-20] (Opera Norway AS -> Opera Software)
HKU\S-1-5-21-4200854220-3294602373-1765642704-1003\...\Run: [CCleaner Smart Cleaning] => C:\Program Files\CCleaner\CCleaner64.exe [38935376 2023-01-11] (PIRIFORM SOFTWARE LIMITED -> Piriform Software Ltd)
HKU\S-1-5-21-4200854220-3294602373-1765642704-1003\...\RunOnce: [FlashPlayerUpdate] => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_293_pepper.exe [1453112 2019-11-25] (Adobe Inc. -> Adobe)
HKU\S-1-5-21-4200854220-3294602373-1765642704-1003\...\MountPoints2: {04a20409-2a50-11ec-b076-3417eba6f2f2} - "D:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-4200854220-3294602373-1765642704-1003\...\MountPoints2: {10e22b4f-bd16-11eb-b01f-3417eba6f2f2} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-4200854220-3294602373-1765642704-1003\...\MountPoints2: {2265d209-e8f0-11ea-af88-3417eba6f2f2} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-4200854220-3294602373-1765642704-1003\...\MountPoints2: {2db98770-98c9-11ed-b105-3417eba6f2f2} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-4200854220-3294602373-1765642704-1003\...\MountPoints2: {69518c8f-44e4-11eb-afc5-3417eba6f2f2} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-4200854220-3294602373-1765642704-1003\...\MountPoints2: {911e85eb-9114-11eb-affc-3417eba6f2f2} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-4200854220-3294602373-1765642704-1003\...\MountPoints2: {a4abe37c-9965-11ec-b0c5-3417eba6f2f2} - "D:\HiSuiteDownLoader.exe" 
Task: {05CBE605-62DC-4059-8479-FDF2978B9496} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe [670928 2020-12-01] (Mozilla Corporation -> Mozilla Foundation)
Task: {136E0B01-B695-4DEC-80B9-D39C631B63AC} - System32\Tasks\Opera scheduled Autoupdate 1568271519 => C:\Users\kamil\AppData\Local\Programs\Opera\launcher.exe [2635208 2023-02-15] (Opera Norway AS -> Opera Software)
Task: {2107E17A-AD41-4D94-AB5B-FBCD7F3DC991} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [926896 2012-09-23] (Adobe Systems, Incorporated -> Adobe Systems Incorporated)
Task: {49C34A67-5CF3-4B4E-922F-6C7935FA3169} - System32\Tasks\CCleanerCrashReporting => C:\Program Files\CCleaner\CCleanerBugReport.exe [4713808 2023-01-11] (PIRIFORM SOFTWARE LIMITED -> Piriform Software) -> --product 90 --send dumps|report --path "C:\Program Files\CCleaner\LOG" --programpath "C:\Program Files\CCleaner" --configpath "C:\Program Files\CCleaner\Setup" --guid "fb7f183a-b33c-4cc2-9fcf-ddbc2272c521" --version "6.08.10255" --silent
Task: {591E25C5-FAEF-49B6-9B6F-7BD6D79E22FB} - System32\Tasks\Opera scheduled assistant Autoupdate 1582783615 => C:\Users\kamil\AppData\Local\Programs\Opera\launcher.exe [2635208 2023-02-15] (Opera Norway AS -> Opera Software) -> --scheduledautoupdate --component-name=assistant --component-path="C:\Users\kamil\AppData\Local\Programs\Opera\assistant" $(Arg0)
Task: {6B8C8A38-7D9F-48F1-9D7F-2F203E44D056} - System32\Tasks\Adobe Flash Player PPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_293_pepper.exe [1453112 2019-11-25] (Adobe Inc. -> Adobe)
Task: {991A05B6-5FA4-4191-98C7-487E311A68A8} - System32\Tasks\UsbFix Boot Scan => C:\Program Files (x86)\UsbFix\UsbFix.exe [2053256 2020-12-02] (SOSVIRUS (LE BOZEC CEDRIC, DOMINIQUE, MARIE) -> ) [Brak podpisu cyfrowego]
Task: {A602F512-34CE-45A8-82F5-1B423E6CB463} - System32\Tasks\Microsoft\Office\Office Feature Updates => C:\Program Files\Microsoft Office\root\Office16\sdxhelper.exe [144264 2023-02-23] (Microsoft Corporation -> Microsoft Corporation)
Task: {C518B535-6751-4D99-AF2C-D529B8D1A8EF} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe [684976 2023-01-11] (Piriform Software Ltd -> Piriform)
Task: {CC23404A-2AE2-4E85-8234-807DD8F80D65} - System32\Tasks\Microsoft\Windows\EDP\Presentatiodxm => C:\WINDOWS\SysWOW64\RUNDLL32 C:\ProgramData\OverProper\SentBlrrt\TWMEasls_v3HW06S.dll lbfst_RhfxZMY
Task: C:\WINDOWS\Tasks\CCleanerCrashReporting.job => C:\Program Files\CCleaner\CCleanerBugReport.exe
Tcpip\Parameters: [DhcpNameServer] 185.172.85.85 185.172.85.120
Tcpip\..\Interfaces\{2F5F3888-1882-44A1-906A-894119E751D2}: [DhcpNameServer] 192.168.113.1 185.251.37.37
Tcpip\..\Interfaces\{3d2ca4f7-d11d-4e04-8266-6c79463106ef}: [DhcpNameServer] 192.168.42.129
Tcpip\..\Interfaces\{8ef75120-2f87-4015-a47f-98bbe791192e}: [DhcpNameServer] 185.172.85.85 185.172.85.120
Tcpip\..\Interfaces\{EEFCEE30-CC5A-4C2B-98B7-F7A8EEE32BC7}: [DhcpNameServer] 192.168.111.1 185.251.37.37
Tcpip\..\Interfaces\{f61fda3a-62fd-4240-b688-a580bf7d1d6c}: [DhcpNameServer] 192.168.42.129
Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono]
Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono]
Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono]
Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono]
S3 TermService; C:\WINDOWS\SysWOW64\termsrv.dll [1060352 2019-09-16] (Microsoft Corporation) [Brak podpisu cyfrowego] <==== UWAGA (Brak ServiceDLL)
S3 RBMS_OptimaBI; C:\Program Files (x86)\Comarch ERP Optima\Analizy BI\bin\reports book\Comarch.BI.Mobile.Service.exe [X]
S3 EuGdiDrv; \SystemRoot\system32\EuGdiDrv.sys [X]
C:\Users\kamil\AppData\Roaming\Opera Software\Opera Stable\Extensions\kbmoiomgmchbpihhdpabemajcbjpcijk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oracle Database 11g Express Edition\Backup Database.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oracle Database 11g Express Edition\Restore Database.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oracle Database 11g Express Edition\Get Started.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oracle Database 11g Express Edition\Run SQL Command Line.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oracle Database 11g Express Edition\Get Help\Go To Online Forum.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oracle Database 11g Express Edition\Get Help\Read Documentation.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Oracle Database 11g Express Edition\Get Help\Register For Online Forum.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Free DWG Viewer\Free DWG Viewer Help.lnk
C:\Users\kamil\Desktop\Różna\Get Started With Oracle Database 11g Express Edition .lnk
2023-02-10 14:12 - 2019-11-05 11:32 - 000000266 __RSH C:\ProgramData\ntuser.pol
2022-10-17 08:49 - 2022-10-24 11:20 - 000000128 ____H () C:\Users\kamil\AppData\Roaming\d9135c394decbfc1cfce595848be5701eeb798e2
2022-10-17 08:49 - 2022-10-24 11:20 - 000000128 ____H () C:\Users\kamil\AppData\Roaming\ecf00c38dc807e105d881c433a6b455dd2c606b6
CustomCLSID: HKU\S-1-5-21-4200854220-3294602373-1765642704-1003_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\kamil\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.19178.2\x64\Microsoft.Teams.AddinLoader.dll => Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
AlternateDataStreams: C:\ProgramData:iSpring Suite 8 [128]
AlternateDataStreams: C:\Users\All Users:iSpring Solutions [128]
AlternateDataStreams: C:\Users\All Users:iSpring Suite 8 [128]
AlternateDataStreams: C:\ProgramData\Dane aplikacji:iSpring Solutions [128]
AlternateDataStreams: C:\ProgramData\Dane aplikacji:iSpring Suite 8 [128]
AlternateDataStreams: C:\Users\kamil\Dane aplikacji:iSpring Solutions [128]
AlternateDataStreams: C:\Users\kamil\Dane aplikacji:iSpring Suite 8 [128]
AlternateDataStreams: C:\Users\kamil\AppData\Roaming:iSpring Solutions [128]
AlternateDataStreams: C:\Users\kamil\AppData\Roaming:iSpring Suite 8 [128]
CMD: netsh advfirewall reset
EmptyEventLogs:
EmptyTemp:

Plik naprawczy przeznaczony jest tylko dla autora wątku!
Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt

3. Wykonaj profilaktyczne skanowanie z wpiętym pendrive.
Jeśli zostanie wykryte zagrożenie - zamieść zrzut ekranu (screen) lub log.

  • RogueKiller Anti Malware
    Zalecane pobranie wersji przenośnej (portable). Przed uruchomieniem pełnego skanowania należy włączyć w ustawieniach bezsygnaturowy „moduł MaIPE (BETA)”; opcjonalnie „skanuj z pełną wydajnością” (ustawienia → ustawienia skanowania).

  • Malwarebytes Anti-Malware
    Upewnij się, że przed skanowaniem zostało zaznaczone: skanuj w poszukiwaniu rootkitów, skanuj archiwa, użyj sztucznej inteligencji. Opcje te odnajdziesz w ustawieniach → bezpieczeństwo → opcje skanowania.

  • AdwCleaner
    Po skończonym skanowaniu pomiń linie oznaczone jako preinstalowane. Resztę odnalezionych elementów przenieś do kwarantanny.

  1. Stwórz nowe logi FRST do kontroli, wybierając w programie opcję „skanuj”. :slight_smile:
1 polubienie
#5

screen skanowanie
screen skanowanie951×601 58.5 KB

Fixlog.txt (22,0 KB)
as_1141.tmp.txt (8,7 KB)
Shortcut.txt (88,9 KB)
Addition.txt (64,8 KB)
FRST.txt (59,3 KB)

#6

Witaj @kamilvvv97

Czy wykonałeś skanowanie Malwarebytes Anti-Malware i ADWCleaner?
Wstaw pliki wynikowe skanowania

Na prośbę @ThetaETX przejrzę również logi FRST, które udostępniłeś
Do momentu rozwiązania problemu nie podłączaj urządzeń zewnętrznych do USB

Pozdrawiam serdecznie
Juliusz

1 polubienie
#7

Ten temat został automatycznie zamknięty 30 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.