Czy wie ktoś jak pozbyć się wirusa, który powoduje tworzenie się skrótu na pendrivie?
Atis
(Atis)
15 Czerwiec 2016 13:58
#2
Pobierz i uruchom UsbFix. Download UsbFix Windows Installer: KLIK
Podłącz pendrive i w UsbFix kliknij Clean. Pokaż raport z czyszczenia.
Pokaż logi z FRST i raport UsbFix z opcji Listing.
Farbar Recovery Scan Tool - Raport obowiązkowy
Atis
(Atis)
15 Czerwiec 2016 16:01
#4
W instrukcji wyraźnie jest napisane:
Atis
(Atis)
15 Czerwiec 2016 17:42
#6
Odinstaluj SUPERAntiSpyware,
Użyj McAfee Consumer Product Removal (MCPR)
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
CloseProcesses: HKLM-x32…\RunOnce: [] => [X] HKU\S-1-5-21-3794270045-3454476683-4213196960-1001…\Run: [Akamai NetSession Interface] => “C:\Users\Lenovo\AppData\Local\Akamai\netsession_win.exe” HKU\S-1-5-21-3794270045-3454476683-4213196960-1001…\RunOnce: [Uninstall C:\Users\Lenovo\AppData\Local\Microsoft\OneDrive\17.3.6201.1019_1\amd64] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q “C:\Users\Lenovo\AppData\Local\Microsoft\OneDrive\17.3.6201.1019_1\amd64” HKU\S-1-5-21-3794270045-3454476683-4213196960-1001…\Policies\Explorer: [] Startup: C:\Users\Lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk [2016-06-08] ShortcutTarget: helper.lnk -> C:\Users\Lenovo\AppData\Roaming\WindowsServices\helper.vbs () CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA SearchScopes: HKU\S-1-5-21-3794270045-3454476683-4213196960-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR HomePage: Default -> hxxp://www.mystartsearch.com/?type=hp&ts=1413792978&from=tt4u&uid=ST500LT012-1DG142_S3PA961NXXXXS3PA961N CHR StartupUrls: Default -> “hxxps://www.google.pl/webhp?sourceid=chrome-instant&ion=1&espv=2&es_th=1&ie=UTF-8”,“hxxp://www.sweet-page.com/?type=hp&ts=1417448878&from=cor&uid=ST500LT012-1DG142_S3PA961NXXXXS3PA961N”,“hxxp://www.qassa.pl/startpage.php”,“hxxp://isearch.omiga-plus.com/?type=hp&ts=1421012477&from=cor&uid=ST500LT012-1DG142_S3PA961NXXXXS3PA961N”,“hxxp://www.yessearches.com/?mode=nnnb&ptid=dam&uid=C3E167D93EFC3C00BA5DF033414C6CF0&v=20160409&ts=AHEqA38sB3AmA0…” R2 YestonyP; C:\ProgramData\Yestony\Yestony.exe [399768 2016-05-27] () S2 YestonyU; C:\Program Files (x86)\Yestony\Update\YestonyUpdate.exe [533400 2016-05-27] () S2 cktSvc; “C:\Program Files (x86)\Uncheckit\cktSvc.exe” {92E162D7-70FD-48F7-A779-91154F8FD518} [X] U2 qkseeService; C:\Program Files (x86)\qksee\qkseeSvc.exe [X] S2 UncheckitSvc; C:\Program Files (x86)\Uncheckit\UncheckitSvc.exe [X] 2016-06-13 18:08 - 2016-06-15 14:17 - 00000000 ____D C:\AdwCleaner 2016-05-27 23:04 - 2016-05-27 23:04 - 00000000 ____D C:\ProgramData\Yestony 2016-05-27 22:57 - 2016-05-27 22:57 - 00000000 ____D C:\Users\Lenovo\AppData\Local\Yestony 2016-05-27 19:54 - 2016-05-27 19:54 - 00000000 ____D C:\Program Files (x86)\Yestony 2016-05-24 16:18 - 2016-05-24 16:18 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_57838296.html 2016-05-24 16:18 - 2016-05-24 16:18 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_57835687.html 2016-05-24 16:18 - 2016-05-24 16:18 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_57835468.html 2016-05-24 16:17 - 2016-05-24 16:17 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_57809843.html 2016-05-24 16:17 - 2016-05-24 16:17 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_57809453.html 2016-05-24 16:16 - 2016-05-24 16:17 - 00000000 ____D C:\ProgramData\uckt 2016-05-24 16:16 - 2016-05-24 16:16 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_57739593.html 2016-05-24 16:16 - 2016-05-24 16:16 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_57739296.html 2016-05-24 16:16 - 2016-05-24 16:16 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_57732234.html 2016-05-24 16:16 - 2016-05-24 16:16 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_57721421.html 2016-05-24 16:16 - 2016-05-24 16:16 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_57718609.html 2016-05-24 16:16 - 2016-05-24 16:16 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_57718328.html 2016-05-24 16:15 - 2016-06-15 00:11 - 00000000 ____D C:\WINDOWS\SysWOW64_tWm 2016-05-24 16:15 - 2016-05-24 16:15 - 00000072 _____ C:\WINDOWS\SysWOW64\pl_57659953.html 2016-05-24 16:15 - 2016-05-24 16:15 - 00000072 _____ C:\WINDOWS\SysWOW64\EN_57672734.html 2014-12-22 13:59 - 2016-04-20 15:19 - 0000184 _____ () C:\Users\Lenovo\AppData\Local\RegisteredPackageInformation.xml 2016-06-13 16:10 - 2016-04-18 16:32 - 00000001 _____ C:\WINDOWS\SysWOW64\pl.html Task: {0D2F1CFC-C1D6-4C4E-BC21-C2D3C4606CE3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {1C0170C4-9FDB-4D56-8D1C-C02756CAD7F1} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {362D8889-84FB-449A-A776-226A848A411B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {4882DCB0-4066-451B-8E0F-FB5F9F02AFA9} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA Task: {50FD8B34-5B4E-458D-AB8D-8AF1E1BA3BCB} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {5C5318CB-63A8-4BCF-A31F-06F82191D5D3} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {68E73AB7-A98F-4AF4-8ABA-A6BB41927386} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {89A23EDD-FA02-4B65-A6DF-409D6C209052} - System32\Tasks\YestonyUpdateTaskMachineUA => C:\Program Files (x86)\Yestony\Update\YestonyUpdate.exe [2016-05-27] () <==== UWAGA Task: {97202DD3-7F5A-4BE1-9714-36E3D4743D58} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {A2B0091A-69A4-4F9E-942C-2FCD0A74279F} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {A31A17A0-84CC-4F15-8428-FD0F6FBB903E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {DB5B1554-4034-412F-BF10-DFCE0D754CCB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {EF44AF1F-50E2-412E-BD22-8D23550B0CCB} - System32\Tasks{3691B0BC-84E5-4E12-B546-F8C157E5421A} => pcalua.exe -a “C:\Program Files (x86)\Elex-tech\YAC\uninstall.exe” F:\WindowsServices Folder: F: Hosts: EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.
Atis
(Atis)
15 Czerwiec 2016 21:56
#8
Wirus przeniósł pliki do folderu bez nazwy na F. Przenieś pliki do innej lokalizacji i skasuj folder bez nazwy.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
Uruchom FRST i kliknij Napraw (Fix). Skasuj folder C:\FRST
Usuń stare punkty przywracania: KLIK
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium: KLIK
Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK