POMOCY! Wirus na pendrive zamieniający pliki na skróty


(B M Wolczyk 93) #1

Hej! Potrzebuję pomocy z pozbyciem się złośliwca z Pendrive, zależałoby mi na zachowaniu plików, które się tam znajdują.

Pierwszy raz mam taki problem i nie potrafię sobie sama z nim poradzić... 

 

Zdaje się, że to się przyda?

 

UsbFix -Listing

UsbFix- Scan 

AdwCleaner - Log

OTL log

OTL Extras

 

Bardzo proszę o pomoc! :frowning:


(Giiixxxx6) #2

http://forum.dobreprogramy.pl/farbar-recovery-scan-tool-raport-obowi%C4%85zkowy-t478727/


(B M Wolczyk 93) #3

http://wklej.org/id/1703642/ [shortcut.txt]

http://wklej.org/id/1703645/ [Addition.txt]

http://wklej.org/id/1703648/ [FRST.txt]


(Atis) #4

Użyj MCPR.exe:

http://download.mcafee.com/molbin/iss-loc/SupportTools/MCPR/MCPR.exe

http://service.mcafee.com/FAQDocument.aspx?id=TS101331

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Run: [] => [X]
HKU\S-1-5-21-2489688583-4175211301-3988035332-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Beata1993\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-30] (Akamai Technologies, Inc.)
HKU\S-1-5-21-2489688583-4175211301-3988035332-1001\...\Policies\Explorer: [] 
HKU\S-1-5-21-2489688583-4175211301-3988035332-1001\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com/?cid={51467F40-952B-41A8-B79E-6E1BE3BE5C26}&mid=27547f7a849147cda1d4318785c122d0-d63b64a1051d3cdf048da89c1eaa0f56ca862ac6&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2015-01-03 11:56:03&v=4.1.0.411&pid=wtu&sg=&sap=hp
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-2489688583-4175211301-3988035332-1001 -> DefaultScope {FD3658B1-EB54-41D3-8E46-995A056A938F} URL = 
SearchScopes: HKU\S-1-5-21-2489688583-4175211301-3988035332-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={51467F40-952B-41A8-B79E-6E1BE3BE5C26}&mid=27547f7a849147cda1d4318785c122d0-d63b64a1051d3cdf048da89c1eaa0f56ca862ac6&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2015-01-03 11:56:03&v=4.0.5.7&pid=wtu&sg=&sap=dsp&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2489688583-4175211301-3988035332-1001 -> {FD3658B1-EB54-41D3-8E46-995A056A938F} URL = 
CHR Extension: (Bookmark Manager) - C:\Users\Beata1993\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-21]
2015-05-04 21:23 - 2015-05-04 21:25 - 00000000 ____ D () C:\AdwCleaner
2015-04-25 17:06 - 2015-04-25 17:06 - 00741672 _____ (Web software ) C:\Users\Beata1993\Desktop\Free-PDF-to-Word-Doc-Converter(54709)-dp.exe
CustomCLSID: HKU\S-1-5-21-2489688583-4175211301-3988035332-1001_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2015\acad.exe /Automation No File
CustomCLSID: HKU\S-1-5-21-2489688583-4175211301-3988035332-1001_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2015\acad.exe No File
CustomCLSID: HKU\S-1-5-21-2489688583-4175211301-3988035332-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Beata1993\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File
Task: {D5014701-6FC5-4326-992B-23400913E6DA} - System32\Tasks\StormFall TW1 => Iexplore.exe http://plarium.com/play/en/stormfall/top/?adCampaign=31081&amp;clickID=0EtD0C0E0CtAtByD0C0BtBtAtD0D0FyB&amp;publisherID=1_ <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefire => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Driver"
F:\SergeLeLama.vbs
F:\*.lnk
CMD: attrib /d /s -s -h F:\*
Folder: F:
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.


(B M Wolczyk 93) #5

http://wklej.org/id/1703690/ [Fixlog.txt]

 

http://wklej.org/id/1703691/ [FRST.txt] scan


(Atis) #6

Skasuj folder C:\FRST

Usuń stare punkty przywracania: Przywracanie systemu i kopie w tle

Odinstaluj:

Adobe Flash Player 16 NPAPI

Java 7 Update 75

Java SE Development Kit 7 Update 75

Java 6 Update 45

Java SE Development Kit 6 Update 45

Zainstaluj:

Flash Player 17.0.0.169 NPAPI

Java 8 Update 45


(B M Wolczyk 93) #7

 

Koniecznie muszę odinstalować Jave 7? Potrzebuję jej do projektów, Java 8 ma trochę inne biblioteki niż te na których pracuje na zajęciach. 


(Atis) #8

Skoro potrzebujesz to zostaw ten program.


(B M Wolczyk 93) #9

:slight_smile:

 

 

Zawartość Pendrive wygląda już całkiem dobrze :slight_smile: Czy pozbyliśmy się już tego złośliwca na dobre? 

Jeśli nie to proszę o dalszą pomoc :slight_smile:

 

Jeśli tak to mam jeszcze małe pytanie, mianowicie:

 

Od kiedy zaczęłam zabawę z naprawą tej pamięci pokazały mi się wszystkie ukryte foldery na komputerze (na pendrive również), to wina któregoś z programu który być może zdalnie zmienił mi ustawienia wyświetlania ukrytych folderów?

Czy jakaś kolejna zmora?


(Atis) #10

Nie widać infekcji. OTL zmienia ustawienia widoczności folderów.

W opcjach folderów zaznacz:

  • Ukryj chronione pliki systemu operacyjnego

  • Nie pokazuj ukrytych plików, folderów ani dysków

  • Ukryj rozszerzenia znanych typów plików

http://wstaw.org/m/2014/11/08/ukryte_pliki.jpg

http://www.avg.com/pl-pl/faq.num-2009


(B M Wolczyk 93) #11

Dziękuję za pomoc! :slight_smile:


(B M Wolczyk 93) #12

W sumie mam jeszcze pytanie? Czy to wszystko co tutaj zrobiliśmy, usuwa też złośliwca z komputera?

I jak wygenerować fixa?

 

Wiem gdzie zaraziłam pendrive i przydałoby się pozbyć problemu raz na zawsze.

Proszę o odpowiedź :slight_smile: