Witam
Mam następujący problem. Dzisiaj włączając pendriva pojawił się tam skrót: Removable Drive. Od razu pomyślałem, że coś jest nie tak, więc po odpaleniu skrótu na wszelki wypadek skopiowałem dane z pendriva na komputer (zdziwiło mnie to, że ten skrót dał się włączyć, bo poczytałem trochę o tym w Internecie i zazwyczaj było to także niemożliwe).
Przeskanowałem system za pomocą Malwarebytes Anti-Malware, wykrył mi 12 świństw, usunął, lecz to nie pomogło, problem z tym skrótem pozostał.
Tutaj zamieszczam log OTL http://www.wklej.org/hash/69901cee831/
A tu extras http://wklej.org/hash/203b70af64e/
Proszę o poradę.
Atis
(Atis)
7 Maj 2015 14:40
#2
Atis
(Atis)
7 Maj 2015 15:45
#4
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR StartupUrls: Default -> "hxxp://www.key-find.com/?type=hp&ts=1424355371&from=cor&uid=WDCXWD10JPVX-75JC3T0_WX81E73LEJW7E73LEJW7"
CHR Extension: (Bookmark Manager) - C:\Users\dell\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-16]
CHR Extension: (iLivid) - C:\Users\dell\AppData\Local\Google\Chrome\User Data\Default\Extensions\nafaimnnclfjfedmmabolbppcngeolgf [2015-02-20]
S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X]
S3 BT; system32\DRIVERS\btnetdrv.sys [X]
S3 BTCOM; system32\DRIVERS\btcomport.sys [X]
S3 BTCOMBUS; System32\Drivers\btcombus.sys [X]
S3 Btcsrusb; System32\Drivers\btcusb.sys [X]
S3 IvtComBusSrv; System32\Drivers\btcombus.sys [X]
e:\*.lnk
CMD: attrib /d /s -s -h e:\*
Folder: e:
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.
http://wklej.org/hash/f28fa2d7d4d/ to jest FRST
Niestety z usuwania Fixlog żadnego raportu nie dostałem, tylko laptop się zrestartował natychmiast po wciśnięciu Fix.
Dodam, że na pendrive aktualnie mam tylko jakiś pusty folder.
Atis
(Atis)
7 Maj 2015 17:15
#6
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
Folder: e:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Mała pomyłka z mojej strony, znalazłem jednak tamten fixlog:
http://wklej.org/hash/498e45a865c/
Tak jak wyżej napisałem, nie mam już na pendrivie tej ikonki: Removable Drive, tylko folder bez nazwy z datą modyfikacji, kiedy najprawdopodobniej to się schrzaniło
Atis
(Atis)
8 Maj 2015 07:05
#8
Ten trojan przenosi pliki do folderu bez nazwy.
Jeżeli są tam jakieś pliki to przenieś do innej lokalizacji i później skasuj ten folder.
Skasuj folder C:\FRST
Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania
Zrobione. Folder skasowany i aktualnie pendrive jest pusty, żadnych dziwnych folderów nie widzę. Resztę też zrobiłem.
Czy problem można już uznać za rozwiązany?
Jeśli tak, to bardzo dziękuję za pomoc.