Problem z wirusem Trojan.LNK.Gen

KillerPL312 · 26 Kwiecień 2015 12:30

Witam,

Nigdzie nie mogłem znaleźć sposobu na tego Trojana. Ukrywa on wszystkie pliki na dyskach przenośnych i tworzy do nich skróty o rozszerzeniu .lnk. Co robić?

Dodam okno, które wyświetlił mi antywirus po podłączeniu dysku przenośnego.

Dysk przenośny był wcześniej sformatowany i wgrane zostały nowe pliki na innym komputerze, który nie jest zainfekowany.

Proszę o szybką pomoc.

Acorus · 26 Kwiecień 2015 12:42

Podepnij dyski przenośne.

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.

KillerPL312 · 26 Kwiecień 2015 13:07

logi z FRST- http://wklej.org/id/1697049/

log z USBFix

Na wszelki wypadek dodaje również logi z FRST tutaj.

UsbFix Listing 1 AEROCOOL-PC.txt

Addition.txt

FRST.txt

Acorus · 26 Kwiecień 2015 13:21

Użyj USBFix z funkcji Usuń(Clean).Pokaż z niego log i nowe logi z FRST.

KillerPL312 · 26 Kwiecień 2015 14:20

oto logi, mam 2 skany clean z USBFix, z powodu crasha, ale przynajmniej jest wszystko.

2 log z USBFix clean: http://wklej.org/id/1697128/

UsbFix Clean 1 AEROCOOL-PC.txt

Addition.txt

FRST.txt

Acorus · 26 Kwiecień 2015 14:55

Otwórz notatnik systemowy i wklej:

Task: {00224F77-3B21-4D7D-8EFB-BE4EC3AF4A8D} - \6d63f4df-3cff-40c7-9307-58e556d789d4-1 No Task File ==== ATTENTION
Task: {205BBFDB-8482-4C64-A486-E662462CE4EE} - \Re-Markable Update No Task File ==== ATTENTION
Task: {2E7939F1-2915-4AC2-8574-226CEDDF048C} - System32\Tasks\{50D8350B-09D3-4443-BBC0-6B1128601D13} = Firefox.exe http://ui.skype.com/ui/0/7.0.59.102/pl/abandoninstall?page=tsProgressBar
Task: {4747342C-4FF2-4418-ABFE-B5FE0F0527F2} - \6d63f4df-3cff-40c7-9307-58e556d789d4-2 No Task File ==== ATTENTION
Task: {57ECE91D-3BA1-4102-853F-7F98844A3454} - System32\Tasks\{591A9B9B-9F8E-4E63-B47E-C90BFD8D34EC} = Firefox.exe http://ui.skype.com/ui/0/7.0.59.102/pl/go/help.faq.installer?LastError=1603
Task: {581754D4-A303-4FD1-AD92-DE83A411FC7A} - \6d63f4df-3cff-40c7-9307-58e556d789d4-5_user No Task File ==== ATTENTIO
Task: {7B676229-9E38-4C75-8179-9EFC449F7704} - \6d63f4df-3cff-40c7-9307-58e556d789d4-11 No Task File ==== ATTENTION
Task: {7CF5C8DC-3376-45B9-AABA-CE2D9930DBD3} - System32\Tasks\{8BD5D365-4529-4CDE-97D3-B44D3B28AFE2} = Firefox.exe http://ui.skype.com/ui/0/7.0.59.102/pl/go/help.faq.installer?LastError=1603
Task: {8AC0B76B-3D6E-413A-A7CC-A988D26A9BF9} - System32\Tasks\{833A4C28-4FA8-43C9-8B00-74FA6020A93D} = Firefox.exe http://ui.skype.com/ui/0/7.0.59.100/pl/go/help.faq.installer?LastError=1603
Task: {AD3FBE66-9CCF-4DBC-8C8C-FB00CC4248D4} - \6d63f4df-3cff-40c7-9307-58e556d789d4-5 No Task File ==== ATTENTION
Task: {BB39D968-BBEE-4AD9-9FC7-E528797D376E} - System32\Tasks\{EC4ED265-0D8E-48D9-9F6B-6E6A5C73F408} = Firefox.exe http://ui.skype.com/ui/0/7.0.59.102/pl/go/help.faq.installer?LastError=1603
Task: {E31855AD-696E-4977-A5D8-3EBD53CB1D21} - \Re-Markable_wd No Task File ==== ATTENTION
Task: {F4233AF6-77F2-4FDC-8BC2-362F483E8CDF} - System32\Tasks\{271B6B16-A531-462D-8A2C-1A8F0B2A1B29} = Firefox.exe http://ui.skype.com/ui/0/7.0.59.100/pl/go/help.faq.installer?LastError=1603
Task: {F51D4612-49D6-459B-B702-22C0C9D5C395} - \globalUpdateUpdateTaskMachineUA No Task File ==== ATTENTION
Task: {F67BD8A9-61DE-48A1-9F72-877546179E31} - System32\Tasks\{130DF3AA-54C0-48E5-8FC4-87B8D6D3B231} = Firefox.exe http://ui.skype.com/ui/0/7.0.59.100/pl/abandoninstall?page=tsProgressBar
Task: {FE74052A-3F76-4F9A-B669-9DD3DD798AF5} - \globalUpdateUpdateTaskMachineCore No Task File ==== ATTENTION
HKLM-x32\...\Run: [iTunesHelper] = C:\Program Files (x86)\iTunes\iTunesHelper.exe [421776 2012-09-10] (Apple Inc.)
HKLM-x32\...\Run: [] = [X]
Startup: C:\Users\AEROCOOL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dr web cureit 2014 t10101312.lnk [2015-04-25]
ShortcutTarget: dr web cureit 2014 t10101312.lnk - C:\ProgramData\{29436967-39d7-bf47-2943-3696739da59c}\dr web cureit 2014 t10101312.exe ()
GroupPolicy: Group Policy on Chrome detected ======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
ProxyServer: [S-1-5-21-949024782-248474530-2547697880-1001] = http=127.0.0.1:14135;https=127.0.0.1:14135
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKU\S-1-5-21-949024782-248474530-2547697880-1001 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
FF SelectedSearchEngine: mystartsearch
FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi [2015-04-25]
FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\AEROCOOL\AppData\Roaming\Mozilla\Firefox\Profiles\vg9rkl9t.default-1408735632796\extensions\sweetsearch@gmail.com
CHR Extension: (Scroll Bar 1 Blue) - C:\Users\AEROCOOL\AppData\Local\Google\Chrome\User Data\Default\Extensions\affmlfjaccgajlhglnhfhfaiohelbmec [2015-04-20]
CHR HKLM-x32\...\Chrome\Extension: [ohenffmfbnoidogjgebadealdkecjdal] - C:\Users\AEROCOOL\AppData\Roaming\IDMSQ\IDMSQ.crx [Not Found]
S3 esgiguard; \\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X]
2015-04-25 19:56 - 2015-04-25 20:26 - 00000000 ____ D () C:\Users\AEROCOOL\Doctor Web
2015-04-25 19:50 - 2015-04-25 19:50 - 00388464 _____ () C:\Users\AEROCOOL\Downloads\dr web cureit 2014 t10101312.exe
2015-04-24 21:15 - 2015-04-24 21:15 - 00000000 ____ D () C:\Users\AEROCOOL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter
2015-04-24 21:15 - 2015-04-24 21:15 - 00000000 ____ D () C:\sh4ldr
2015-04-24 21:15 - 2015-04-24 21:15 - 00000000 ____ D () C:\Program Files (x86)\Enigma Software Group
2015-04-24 21:14 - 2015-04-25 19:10 - 00000000 ____ D () C:\Users\AEROCOOL\Desktop\SpyHunter v4.15.1.4270
2015-04-24 21:02 - 2015-04-24 21:03 - 44409924 _____ () C:\Users\AEROCOOL\Downloads\SpyHunter 4.17.6.4336 (FULL + Patch).zip
2015-04-24 21:00 - 2015-04-24 21:15 - 00000000 ____ D () C:\WINDOWS\DB847E94446B49E0AC5DC5627EC8B0C0.TMP
2015-04-24 20:08 - 2015-04-24 20:09 - 57714118 _____ () C:\Users\AEROCOOL\Downloads\SpyHunter v4.15.1.4270 + Crack.rar
C:\Windows\SysWOW64\mswinup.exe
C:\Windows\SysWOW64\winsvcup.exe
C:\Windows\SysWOW64\winupsvc.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Odinstaluj Chrome zaznaczając usunięcie danych przeglądania.

KillerPL312 · 26 Kwiecień 2015 15:13

Dzięki,

w międzyczasie poszukałem w sieci i razem z tym co napisałeŚ udało mi się rozwiązać problem, wielkie dzięki!