Witam,

jakiś miesiąc temu na zajęciach w pracowni komputerowej mieliśmy sobie zgrać jakiś plik.

Wszyscy wpięliśmy swoje pendrive’y i po kliknięciu 2x LPMem (dwa razy Lewym Przyciskiem Myszy) na ikonkę pendrive’a w folderze “Komputer”, ukazała się ikonka skrótu, który nazywał się tak samo, jak folder, w którym się znajdował.

(Tzn. W folderze “Komputer” -> ikonka pendrive’a nazywa się - przykładowo - “Mój pendrive” -> Po kliknięciu 2x LPMem na tą ikonkę, nie ma nic, tylko skrót o nazwie też “Mój pendrive”.)

Wtedy nieświadomie kliknęliśmy 2x LPMem na tym skrócie, przez co wpuściliśmy wirusa na komputery - potem te pendrivy wetknęliśmy na swoje komputery, i po otwarciu pendrive’ów na swoich komputerach, kliknęliśmy 2x LPMem na skrót o nazwie (przykładowo) “Mój pendrive”.

Teraz, gdy trochę o tym poczytałem, wiem, że na pendrivie był wirus, który pliki znajdujące się na pendrivie przeniósł do folderu i go ukrył, a wyświetlił skrót o nazwie takiej samej, jak nazwa pendrive’a, by w ten skró wejść i tym samym wpuścić wirusa na komputer.

Niestety, udało mu się to. Dzisiaj zauważyłem, że na dysku w jednym folderze mam skrót nazywający się tak samo, jak ten folder. Natychmiast usunąłem ten skrót za pomocą Shift + Delete (Usuń trwale).

Ale boję się pomyśleć, że takich skrótów mogę mieć dużo i mogę ich nie znaleźć. Trzykrotnie przeskanowałem komputer programem Eset Nod 32 wersja 8, który jest aktualizowany na bieżąco, ale nie zdołał on wykryć żadnego zagrożenia. 

Proszę o pomoc, pokierowanie mną tak, bym pozbył się tego wirusa z komputera.

Załączam raport z programu FRST:

FRST.txt

http://www.wklej.org/id/1735309/

Shortcut.txt

http://www.wklej.org/id/1735313/

Addition.txt

http://www.wklej.org/id/1735315/

Za wszelkie wskazówki będę wdzięczny.

P.S.

To mój pierwszy post na tym forum. Przeczytałem regulamin forum oraz zasady zakładania nowego tematu, lecz jeśli mimo tego popełniłem jakiś błąd, bardzo serdecznie przepraszam.

Proszę w takim wypadku zwrócić mi uwagę, abym wiedział, jakich zachowań mam się wystrzegać.

Podepnij pendrivy. Użyj USBFix z funkcji Usuń(Clean).Pokaż z niego log.http://www.en.usbfix.net/download/usbfix/

Pokaż nowe logi z FRST.

Gdy otworzyłem UsbFix, pojawiłą się informacja, że nowa wersja jest do ściągnięcia i przekierowało mnie automatycznie na stronę

http://www.en.usbfix.net/

Na samej górze tej strony pojawiła się informacja z przyciskiem “Install”, po czym przeniosło mnie na stronę

http://free.internetspeedtracker.com/index.jhtml?partner=^BBQ^xdm007&gclid=CLC39vPQh8YCFSgGwwodX44AGg

Czy ta strona jest bezpieczna? Co to za oprogramowanie można pobrać?

Myślałem, że z niej pobiorę aktualną wersję UsbFix, ale na niej jest napisane, że to program Internet Speed Tracker.

Ale na stronie

http://www.en.usbfix.net/download/usbfix/

rzeczywiście jest napisane, że:

“Updated on June 11, 2015”

, czyli informacja o możliwości pobrania aktualnej wersji była prawdziwa.

Wczoraj z tego, co pamiętam, to chyba najpierw zrobiłem “Clean” w UsbFix, a potem wykonałem Skan w FRST.

Te logi, które podałem, właśnie pochodzą z tej operacji. 

Mimo to, pobrałem nową wersję UsbFix i użyłem “Clean”.

Potem użyłem Skanu w FRST.

Oto logi:

1. FRST

http://wklej.org/id/1735752/

2. Shortcut

http://wklej.org/id/1735754/

3. Addiction

http://wklej.org/id/1735755/

* Czytałem na forum, że log “Addiction” jest potrzebny przy pierwszym skanowaniu, a po kolejnych nie jest potrzebny.

Jednak nie mam pewności, że w tym przypadku tez nie będzie potrzebny - wszak robię skan po użyciu nowszej wersji UsbFix’a, niż poprzednio.

Zatem na wszelki wypadek teraz też wstawię log “Addiction”.

Odinstaluj ASUS WebStorage,YTD Video Downloader 4.8.1.Otwórz notatnik systemowy i wklej:

Task: {742A5EE1-957F-48CB-8CD2-DF0FB4AD7782} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2493522603-4207983736-1188765912-1000Core1d008d611c6e71f = C:\Users\ST\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-11-25] (Facebook Inc.)
Task: {A3714424-034F-403F-8F66-837FDD410DFF} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2493522603-4207983736-1188765912-1000UA1d008d6584bd886 = C:\Users\ST\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-11-25] (Facebook Inc.)
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2493522603-4207983736-1188765912-1000Core1d008d611c6e71f.job = C:\Users\ST\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-2493522603-4207983736-1188765912-1000UA1d008d6584bd886.job = C:\Users\ST\AppData\Local\Facebook\Update\FacebookUpdate.exe
HKLM-x32\...\RunOnce: [] = [X]
HKU\S-1-5-21-2493522603-4207983736-1188765912-1000\...\Run: [Facebook Update] = C:\Users\ST\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2014-11-25] (Facebook Inc.)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
HKU\S-1-5-21-2493522603-4207983736-1188765912-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp2
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp2
HKU\S-1-5-21-2493522603-4207983736-1188765912-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp2
SearchScopes: HKU\S-1-5-21-2493522603-4207983736-1188765912-1000 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2493522603-4207983736-1188765912-1000 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2493522603-4207983736-1188765912-1000 - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}AF=119998babsrc=SP_ssmntrId=fa015675000000000000bcaec5d45c44
BHO: TmIEPlugInBHO Class - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - No File
BHO: TmBpIeBHO Class - {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC} - No File
BHO-x32: TmIEPlugInBHO Class - {1CA1377B-DC1D-4A52-9585-6E06050FAC53} - No File
BHO-x32: No Name - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No File
BHO-x32: TmBpIeBHO Class - {BBACBAFD-FA5E-4079-8B33-00EB9F13D4AC} - No File
Toolbar: HKU\S-1-5-21-2493522603-4207983736-1188765912-1000 - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Handler: tmbp - {1A77E7DC-C9A0-4110-8A37-2F36BAE71ECF} - No File
Handler: tmpx - {0E526CB5-7446-41D1-A403-19BFE95E8C23} - No File
FF SearchEngineOrder.1: Search the web (Babylon)
CHR HKLM-x32\...\Chrome\Extension: [ieadcoanfjloocmfafkebdnfefmohngj] - C:\Program Files (x86)\BonanzaDeals\BonanzaDeals.crx [Not Found]
U4 cmdAgent; "D:\programy\Comodo AntiVirus\COMODO\COMODO Internet Security\cmdagent.exe" [X]
S2 sbapifs; system32\DRIVERS\sbapifs.sys [X]
U3 tmlwf; No ImagePath
U3 tmwfp; No ImagePath
2014-05-11 12:55 - 2014-05-11 12:55 - 0000000 _____ () C:\ProgramData\cis7A01.exe

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

W folderze, w którym mam FRST, po wykonaniu polecenia “Fix”, nie ma już pliku fixlist.txt. Pojawił się za to w tej lokalizacji plik fixlog.txt.

Powinienem teraz skopiować zawartość pliku fixlog.txt na wklej.org i umieścić tutaj linka do wklejki?

Możesz go pokazać.

Proszę bardzo:

http://wklej.org/id/1736552/

Jak wszystko gra to skasuj folder C:\FRST.

W USBFix użyj opcji Uninstall.

Przepraszam, a po czym poznać, że wszystko gra?

Przeskanować antywirusem?

Mam Eset’a 8, i gdy miałem problem z tym wirusem, Eset go nie wykrył.

Przeskanuj programem Malwarebytes Anti-Malware http://www.malwarebytes.org/8/

Na wszelki wypadek jeszcze raz przeskanowałem komputer programem Eset 8, ale znów nie wykrył żadnych zagrożeń.

Czytałem, że żeby mieć jednego antywirusa, należy najpierw usunąć całkowicie poprzedniego antywirusa. Czy to prawda i mam tak zrobić, tzn. czy przed zainstalowaniem Malwarebytes Anti-Malware mam odinstalować Eset’a 8?

Malwarebytes nie jest antywirusem.

Dziękuję, skoro tak, to nie usunąłem Eset’a.

Jestem zadowolony, ponieważ Malwarebytes znalazło mi 130 zagrożeń, prawie wszystkie z BonanzaDeals i Babylon.

BonanzaDeals już kiedyś miałem na tym laptopie - naśmieciło mi na dysku C tak, że jak standardowo miałem ponad 20 GB wolnego miejsca, tak wtedy (około rok - 2 lata temu) miałem niecałe 1 GB. Wtedy mi antywirus to wykrył - nie wiem, czy Eset, czy Avast.

Usunąłem wszystkie 130 zagrożeń.

Czy polecacie mi, abym pozostawił Malwarebytes, które jak widać w moim przypadku wykryło coś, czego Eset nie był w stanie wykryć?

Czy teraz mogę usunąć folder C:\FRST?

“W USBFix użyj opcji Uninstall” - to znaczy, że mam odinstalować program UsbFix?

Możesz zostawić.Skasuj folder C:\FRST.Tak

1. I dobrze.

2. Wymienione przez ciebie śmieci to PUP-y, a zagrożenie chyba wykrywał ESET chyba, że szperałeś w ustawieniach Avasta.

3. Zostaw.

4. Tak.

5. No a po co teraz będzie ci potrzebny?

Pozdrawiam,

SebaKomp

Przeczytałem na stronie

http://www.instalki.pl/programy/download/Windows/antywirusy/UsbFix.html

, że

" UsbFix  to darmowe i niezbędne narzędzie do wyszukiwania, usuwania i zabezpieczania nośników USB przed wirusami i innymi złośliwymi aplikacjami."

Więc jak mam mieć zabezpieczenie pendrivów to może go zostawić?

Jak tak chcesz to możesz go zostawić.

Pozdrawiam,

SebaKomp

Dziękuję Wam wszystkim za pomoc.

Mam nadzieję, że teraz nie będę odkrywał na swoim laptopie ikonek folderów ze strzałeczkami, czyli dzieł wirusa.

Czy mogę mieć co do tego stuprocentową pewność?

I co zrobić, aby nie “złapać” tego wirusa w przyszłości?

Zabezpieczenie masz a USBFix używamy zawsze najnowszej wersji.Usuń.

@Acorus

Zanim drugi raz przeskanowałem UsbFix’em, to po jego otworzeniu wyświetlił się komunikat, że jest aktualizacja i żebym ją pobrał. I pobrałem.

Gdybym go zostawił, dostawałbym takie powiadomienia i bym ściągał nowe wersje.

A Tobie chodzi o to, żebym usunął UsbFix’a, i potem go zainstalował tylko w razie ponownej infekcji?