Pendrive sam tworzy skróty

mateusz193 · 29 Maj 2014 15:36

Prosił bym o pomoc jak się pozbyć tego czegoś z mojego komputera…

Link do OTL: http://www.wklej.org/id/1376559/

Link do Extras: http://www.wklej.org/id/1376564/

Acorus · 29 Maj 2014 16:36

Odinstaluj BrowseSmart,McAfee Security Scan Plus,SpyHunter,Unity Web Player.Użyj AdwCleaner http://www.bleepingcomputer.com/download/adwcleaner/ z funkcji Skan(Szukaj) a następnie Clean(usuń) (w przypadku Visty/Windows7 uruchom z prawokliku jako Administrator).

Podepnij pendriva.Użyj USBFix z funkcji Deletion (jeśli jakiś folder nazwałeś muza lub muzyka to zmień na inną przed użyciem USBFix.).Pokaż z niego log.http://www.usbfix.net/

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.

mateusz193 · 29 Maj 2014 17:43

Log z USBFix: http://www.wklej.org/id/1376719/

Raporty z FRST:http://www.wklej.org/id/1376723/

http://www.wklej.org/id/1376724/

Acorus · 29 Maj 2014 18:02

nie Research tylko Delete.

mateusz193 · 29 Maj 2014 18:25

http://www.wklej.org/id/1376800/

Acorus · 29 Maj 2014 18:41

Pokaż nowe logi z FRST.

mateusz193 · 29 Maj 2014 19:32

FRST: http://www.wklej.org/id/1376908/

Addition: http://www.wklej.org/id/1376911/

Acorus · 30 Maj 2014 08:08

Otwórz Notatnik i wklej:

Task: {690D2F58-F536-42C2-9763-7E7E3B0C176F} - \GoforFilesUpdate No Task File ==== ATTENTION
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
S3 McComponentHostService; C:\Program Files\McAfee Security Scan\3.8.141\McCHSvc.exe [289256 2014-01-16] (McAfee, Inc.)
S3 esgiguard; \\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
2014-05-29 19:21 - 2014-05-29 19:21 - 00000000 ____ D () C:\AdwCleaner
2014-05-12 22:33 - 2014-05-29 21:29 - 00000436 _____ () C:\Windows\system32\Drivers\etc\hosts.ics
2014-05-29 19:20 - 2014-03-01 01:05 - 00000000 ____ D () C:\Windows\46B04D534E344388B6EE80FAB66AEF9B.TMP

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST

mateusz193 · 30 Maj 2014 11:14

Fixlog: http://www.wklej.org/id/1377389/

Jeszcze coś muszę zrobić czy to już wszystko? Bo niestety ale dalej dzieję się to samo

Acorus · 30 Maj 2014 16:44

To znaczy co się dzieje?

mateusz193 · 30 Maj 2014 17:36

Każdy plik dodany na pendriv-a znika, a pojawia się jedynie jego skrót.

Acorus · 30 Maj 2014 17:49

Pokaż log USBFix z funkcji Listing.

mateusz193 · 30 Maj 2014 18:19

http://www.wklej.org/id/1377835/

Acorus · 31 Maj 2014 07:38

Pokaż jeszcze nowy OTL.txt

mateusz193 · 31 Maj 2014 09:48

http://www.wklej.org/id/1378191/

Acorus · 31 Maj 2014 16:27

Wykonaj w trybie awaryjnym.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
O4 - HKU\S-1-5-21-3501923714-2275752867-3962545697-1000..\Run: [99] wscript.exe //B "C:\Users\Mateusz\AppData\Roaming\99.vbs" File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - Startup: C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\99.vbs ()
[2014-05-30 13:11:15 | 000,000,374 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts.ics
[2014-05-29 17:29:12 | 000,239,543 | -HS- | M] () -- C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\99.vbs
[2014-05-29 17:29:12 | 000,239,543 | -HS- | M] () -- C:\Users\Mateusz\AppData\Roaming\99.vbs

:Files
J:\99.vbs
J:\*.lnk
attrib /d /s -s -h J:\* /C

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.Pokaż nowy OTL.txt i USBFix z funkcji Listing.

mateusz193 · 31 Maj 2014 17:35

Wygląda na to że podziałało tylko przy sprawdzaniu jednego pendriva-a wirus wtargnął również na drugiego i gdybym mógł Cię prosić o zmodyfikowanie skryptu tak aby usunąć to z jednego i drugiego nośnika to był bym bardzo wdzięczny

USBFix: http://www.wklej.org/id/1378660/

OTL: http://www.wklej.org/id/1378666/

Acorus · 31 Maj 2014 17:57

Trzeba było wszystkie pendrivy podłączyć.Wkładasz zarażonego i usuwanie od nowa.Wykonaj w trybie awaryjnym.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
O4 - HKU\S-1-5-21-3501923714-2275752867-3962545697-1000..\Run: [99] wscript.exe //B "C:\Users\Mateusz\AppData\Roaming\99.vbs" File not found
O4 - Startup: C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\99.vbs ()
[2014-05-31 19:25:38 | 000,000,374 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hosts.ics
[2014-05-29 17:29:12 | 000,239,543 | -HS- | M] () -- C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\99.vbs
[2014-05-29 17:29:12 | 000,239,543 | -HS- | M] () -- C:\Users\Mateusz\AppData\Roaming\99.vbs

:Files
F:\99.vbs
F:\1.lnk
J:\99.vbs
J:\*.lnk
attrib /d /s -s -h F:\* /C
attrib /d /s -s -h J:\* /C

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.

mateusz193 · 31 Maj 2014 18:10

Jesteś mistrzem! Udało się pozbyć tego badziewia

Dla pewności popatrz jeszcze czy wszystko jest w porządku.

USBFix:http://www.wklej.org/id/1378710/

OTL:http://www.wklej.org/id/1378709/

Acorus · 31 Maj 2014 19:52

Skasuj folder C:\FRST.W OTL użyj opcji Sprzątanie.W USBFix Vaccinate a następnie Uninstall.