Pendrive tworzy skrót - pomocy


(Peesiu1992) #1

Witam, 

Jak w temacie. Nie wiem co z tym zrobić a potrzebuje zgrywać pliki na uczelnie. Podpatrzałem na inne tematy i ściągnąłem program UsbFix. Z włożonym pendrivem zeskanowałem i wyskoczył mi taki raport: 

http://wklej.org/id/2317032/

Co dalej robić, jestem zielony w tym temacie więc piszcie krok po kroku.

Proszę o pomoc


(Atis) #2

Podłącz pendrive i w UsbFix kliknij Clean. Pokaż raport z czyszczenia.

Farbar Recovery Scan Tool - Raport obowiązkowy

 


(Peesiu1992) #3

raport z UsbFiz clean : http://wklej.org/id/2317111/

Zaraz dodam reszte

Logi z FRST: 

  1. Log FRST http://wklej.org/id/2317143/

  2. Log Addition http://wklej.org/id/2317153/

  3. Log http://wklej.org/id/2317154/

Report z Listening (nie wiem czy dobry bo zdecydowanie szybciej się zrobił niż reszta) : http://wklej.org/id/2317163/


(Atis) #4

Pobierz i uruchom AdwCleaner Kliknij Skanuj (Scan) i później Usuń (Cleaning).

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM-x32\...\RunOnce: [] = [X]
HKLM\...\Policies\Explorer\Run: [2043976218] = C:\ProgramData\msgoewrd.exe
GroupPolicy: Ograniczenia - Chrome ======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ======= UWAGA
HKU\S-1-5-21-2935758756-2640844973-1510149521-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia ======= UWAGA
FF NewTab: hxxp://searchinterneat-a.akamaihd.net/t?eq=U0EeFFhaR1oWHFAWIw5bVQkVDA1FdAsVVQpAQBgaIQ8BTAESE1ZGdQFeUQ8UQhNBNARaB0tXUUEeGGlxR1dMckFRL1dfMlAWT1RP
FF DefaultSearchEngine: Default
FF SelectedSearchEngine: mystartsearch
FF Homepage: hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghGdVoPAg1BRRgbJg0KTA1CEFQOeVgOWBRJQgdAJQwABwlHRFYFIk0FA18DB0VXfWFoKB8fHGZXMlZWBmoYRltCLA==
FF SearchPlugin: C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\903g810d.default\searchplugins\default.xml [2016-04-10]
FF SearchPlugin: C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\903g810d.default\searchplugins\mystartsearch.xml [2016-04-17]
FF Extension: YahooToolsProtected  - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\903g810d.default\extensions\yahooprotected@gmail.com.xpi [2015-11-21] [Brak podpisu cyfrowego]
FF Extension: deskCut - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\903g810d.default\Extensions\1437138791_xpi [2015-07-17] [Brak podpisu cyfrowego]
FF Extension: Strong Signal - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\903g810d.default\Extensions\{f318d533-127c-4630-af87-2d2b706e5282}.xpi [2015-02-14] [Brak podpisu cyfrowego]
CHR RestoreOnStartup: Default - "hxxp://search.yahoo.com/?fr=hp-ddc-bdtype=bg_616_bl-is-15 __alt__ ddc_dsssyc_bd_com"
CHR DefaultSearchURL: Default - hxxp://www.mystartsearch.com/web/?type=dsts=1437138713z=dbfdbc6726749263dda0812g0zdc2mbgac2b2qctdefrom=coruid=ST1000DM003-1ER162_Z4Y0ATP2XXXXZ4Y0ATP2q={searchTerms}
CHR DefaultSearchKeyword: Default - mystartsearch
CHR Extension: (Strong Signal) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\iofiplankempicdeegfcodkmgchcdmom [2015-03-11] [UpdateUrl: hxxp://cdn.mystrongsignal.com/update] ==== UWAGA
OPR StartupUrls: "hxxp://www.mystartsearch.com/?type=hpts=1437138713z=dbfdbc6726749263dda0812g0zdc2mbgac2b2qctdefrom=coruid=ST1000DM003-1ER162_Z4Y0ATP2XXXXZ4Y0ATP2"
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S1 qsafd_vt_1_10_0_20; system32\drivers\qsafd_vt_1_10_0_20.sys [X]
2015-09-05 00:31 - 2015-09-05 00:31 - 0000016 _____ () C:\ProgramData\mntemp
CustomCLSID: HKU\S-1-5-21-2935758756-2640844973-1510149521-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 - C:\Users\user\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll = Brak pliku
Task: {0D860727-7750-4DE3-945A-F7EFF73222EF} - System32\Tasks\{5BB0ABD9-F1F1-44B6-BEA9-6EEC8518A18C} = pcalua.exe -a "D:\GRY\Mafia 2\Mafia 2\SetupLauncher.exe" -d "D:\GRY\Mafia 2\Mafia 2"
Task: {76C350C7-F749-4429-9930-5965F2809D51} - System32\Tasks\{E3BB5F0F-5FEA-485B-B078-73623772E071} = Chrome.exe hxxp://ui.skype.com/ui/0/7.4.0.102/pl/abandoninstall?page=tsProgressBar
Task: {BB62CF01-AFC8-48EE-8BA1-75370107AD54} - System32\Tasks\{5593EA35-C653-4C62-AC6A-F3F134DB9990} = Chrome.exe hxxp://ui.skype.com/ui/0/7.4.0.102/pl/abandoninstall?page=tsMain
Task: {DF0FB873-A40B-4AAF-AFA9-F5F5EB3F7F43} - System32\Tasks\{FBC4D433-129E-4916-8CDA-A767671E02AF} = Chrome.exe hxxp://ui.skype.com/ui/0/7.4.0.102/pl/abandoninstall?page=tsMain
Task: {F6293BDF-8200-4043-8B55-8B100F430C30} - System32\Tasks\{F618390D-6337-4201-A808-E7B3277A8A5B} = Chrome.exe hxxp://ui.skype.com/ui/0/7.4.0.102/pl/abandoninstall?page=tsProgressBar
Task: {FF76B5FE-AE75-41FC-967D-371E6E6A39DE} - System32\Tasks\{E191EF30-2A87-4EDC-AF0A-D74F9DCA631D} = Chrome.exe hxxp://ui.skype.com/ui/0/7.5.85.101/pl/abandoninstall?page=tsProgressBar
ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) - --app=hxxp://mmotraffic.com/catalog/goplay/1000932/MTE3NjYvLy8xMDAwOTMy/ --start-fullscreen
ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) - --app=hxxp://mmotraffic.com/catalog/goplay/1000932/MTE3NjYvLy8xMDAwOTMy/ --start-fullscreen
F:\ \-_-----_- ___--_-_--_-_---___ -- __-__ -__--_.{606EF3C3-E1F2-40AB-B5B2-AC500B6B57C1}
F:\ \-_-------- __---___ --_--_- ___-__ --_- __-_--__ ---_- __--___.{0F0C24FB-3D98-4D22-84AB-9D0608A00568}
F:\ \desktop.ini
RemoveDirectory: F:\System Volume Information
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

 


(Peesiu1992) #5

Raport Fixlog http://wklej.org/id/2317326/

Report FRST http://wklej.org/id/2317356/


(Atis) #6

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

F:\-_-----_- ___--_-_--_-_---___ -- __-__ -__--_.{606EF3C3-E1F2-40AB-B5B2-AC500B6B57C1}
F:\-_-------- __---___ --_--_- ___-__ --_- __-_--__ ---_- __--___.{0F0C24FB-3D98-4D22-84AB-9D0608A00568}
F:\desktop.ini
C:\AdwCleaner
C:\Users\user\AppData\LocalLow\Temp
DeleteQuarantine:

Uruchom FRST i kliknij Napraw (Fix). Skasuj folder C:\FRST


(Peesiu1992) #7

Raport z Fix : http://wklej.org/id/2317397/

Resztę będę dodawał od razu jak zrobię!

Malwarebytes wykrył mi dwa zagrożenia, które usunął 

Zainstalowałem Java 8 Update 91

Zainstalowałem uBlock na Chromie i mam pytanie odnośnie firefoxa i opery. Bo jak klikam w Firefox to wyskakuje okienko “Only with firefox, get firefox now!” czyli pewnie to jest najnowsza wersja firefoxa, a pod spodem wyskakuje “Pobierz mimo wszystko” i że Działa z firefox 24.0 . Ściągać nowe wersje firefoxa i opery, a te odinstalować? 

Proszę o odpowiedź bo nie wiem czy w ogóle mogę tego pendriva wyjmować ( nie otwieram go ani nic) a chciałbym iść przed 24 spać. Dzięki za dotychczasowe odpowiedzi, doceniam!

Mogę po prostu odinstalować firefoxa i operę, wystarczy mi chrome. 


(Atis) #8

Infekcja została usunięta, więc możesz odłączyć pendrive.


(Peesiu1992) #9

Atis naprawdę szacun za wiedze którą posiadasz i dzięki za pomoc. Jeszcze dwa pytanka.

  1. Czy mogę używać jeszcze tego pendriva oraz innego, na którym też stworzyła się wcześniej kopia (a którego nie podpinałem do komputera po usunięciu infekcji) ?

  2. Jak chronić się przed takimi robalami, czy mogę się jeszcze takim czymś zarazić z innego pendriva … jakoś skanować te pendrivy czy jak. 


(Atis) #10

Jeżeli podłączysz do zainfekowanego systemu to pendrive zostanie zainfekowany i nie można się przed tym uchronić.


(Peesiu1992) #11

Takie coś mi wyskakuje, mogę wejść w ten pendrive? W środku jest folder bez nazwy ale nie klikam na niego 

pisze mi w Kingsoft Antivirus - USB Defense. 

 

Detected hidden files (folders)

 

f:\Autorun.inf.

w innym pendrivach nie ma tego problemu, poprostu go wyrzucę i tyle :) 


(Atis) #12

Przecież to jet folder utworzony przez UsbFix, bo użyłeś opcji Vaccinate.