_Matthew1
(_Matthew_)
28 Kwiecień 2015 20:06
#1
Po wejściu na jakikolwiek pendrive pokazuje mi się ten komunikat.
AVG wykryło zagrożenie trojan Agent5, które usunąłem programem AVG. Teraz po podłączeniu jakiegokoliwek pendrive mam tam skrót Removable Drive, po otwarciu lokalizacji skrótu wskazuje na plik rundll32 w folderze Windows/system32 ale nie wykrywa żadnego zagrożenia.
Skanowałem AVG oraz Emisoft Emergency Kit.
Raporty:
FRST: http://wklej.to/zktvf
Addition: http://wklej.to/xt3Wq
Shortcut: http://wklej.to/v5H1H
Atis
(Atis)
28 Kwiecień 2015 20:43
#2
Przecież nie podłączyłeś żadnego pendrive.
_Matthew1
(_Matthew_)
29 Kwiecień 2015 06:50
#3
Fakt, zapomniałem… Jeszcze raz logi z podłączonym pendrive.
FRST: http://wklej.to/OFqNH
Addition: http://wklej.to/0N2v9
Shortcut: http://wklej.to/3a6an
Atis
(Atis)
29 Kwiecień 2015 07:48
#4
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
CloseProcesses:
HKLM-x32\...\Run: [LManager] => [X]
Startup: C:\Users\Magda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\a.lnk [2015-04-24]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
SearchScopes: HKU\S-1-5-21-1181121390-3918945386-794392498-1001 -> DefaultScope {BC562E31-2A4D-4B3E-AA4E-E2D8917CA731} URL =
SearchScopes: HKU\S-1-5-21-1181121390-3918945386-794392498-1001 -> {BC562E31-2A4D-4B3E-AA4E-E2D8917CA731} URL =
BHO: No Name -> {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -> No File
BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK
S3 Disc Soft Lite Bus Service; "F:\DTL\DAEMON Tools Lite\DiscSoftBusService.exe" [X]
S3 pbfilter; \??\F:\PRB\PeerBlock\pbfilter.sys [X]
2015-04-26 21:13 - 2015-04-26 21:13 - 00002522 _____ () C:\EamClean.log
C:\Users\Magda\AppData\Roaming\*.exe
h:\*.lnk
CMD: attrib /d /s -s -h h:\*
CMD: dir /a h:\
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.
_Matthew1
(_Matthew_)
29 Kwiecień 2015 13:31
#5
Okazało się, że na drugim pendrive mam ten sam problem. Podłączyłem go i zrobiłem to co wcześniej. Podaję logi, czy mógłbyś jeszcze raz przygotować fixlist?
FRST: http://wklej.to/eqr5s
Addition: http://wklej.to/y0Les
Shortcut: http://wklej.to/d86Lb
Atis
(Atis)
29 Kwiecień 2015 14:42
#6
Ten temt nigdy się nie skończy, bo Ty masz problem z logicznym myśleniem
Odłączyłyłeś poprzedni pendrive i podłączyłeś nowy.
Podłączasz zainfekowany pendrive i zostawiasz do czasu ukończenia czyszcenia.
Poza tym w jakim celu klikasz w ten skrót Removable Drive?
Klikając w ten skrót uruchamiasz wirusa i powodujesz zainfekowanie systemu.
_Matthew1
(_Matthew_)
29 Kwiecień 2015 15:48
#7
Chodzi o to, że gdy podłączam drugi pendrive to pojawia się on pod “Dysk wymienny F” a nie “Dysk wymienny H:” jak w przypadku pierwszego. Dlatego dałem logi z drugim (F:) pendrive i poprosiłem o nowy fixlist, bo ten nie działa dla drugiego pendrive.
Atis
(Atis)
29 Kwiecień 2015 16:05
#8
Podłącz jednocześnie dwa pendrive.
_Matthew1
(_Matthew_)
30 Kwiecień 2015 06:10
#9
Podłączyłem jednocześnie dwa, przeprowadziłem fix, który zadziałał ponownie tylko w przypadki pendrive 1 (dysk H:), pendrive 2 (dysk F:) bez zmian. Nie klikałem w Removable Drive na tym dysku.
Atis
(Atis)
30 Kwiecień 2015 06:47
#10
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
CloseProcesses:
C:\Users\Magda\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.lnk
C:\Users\Magda\AppData\Roaming\*.exe
F:\*.lnk
H:\*.lnk
CMD: attrib /d /s -s -h F:\*
CMD: attrib /d /s -s -h H:\*
CMD: dir /a F:\
CMD: dir /a H:\
EmptyTemp:
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.
_Matthew1
(_Matthew_)
30 Kwiecień 2015 07:03
#11
Atis
(Atis)
30 Kwiecień 2015 08:04
#12
Skasuj folder C:\FRST
Usuń stare punkty przywracania: Przywracanie systemu i kopie w tle
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.
http://wstaw.org/m/2014/03/25/2014-03-25_123039.png
Język PL > Settings > General Settings > Language > Polish
Odinstaluj Java 7 Update 51 i zainstaluj Java 8 Update 45