Usuniecie wirusa z pendriva

Witam

 

Zainfekowalem swojego kompa przez pendriva, który podpinam do słuzbowego laptopa, na którym jest wirus. Laptom jest niemożliwy do wyleczenia (brak hasła administratora).

 

Lecz chciałbym wyleczyć pendriva jak i stascjonarny komp.

 

Podaje scany OTL

 

http://www.wklej.org/id/1367220/

 

Extras

 

http://www.wklej.org/id/1367223/

 

oraz USB fix

 

http://www.wklej.org/id/1367222/

 

Jak zabezpieczyc pendriva przed nastepnym zainfekowaniem abym mógł przenosić pliki pomiedzy laptopem a stacjonarnym bez obawy na infekcje.

 

Nie znasz się na tym, ale musiałeś zmienić ustawienia w OTL?

Wszystkie opcje mają być ustawione na Użyj filtrowania:

http://forum.dobreprogramy.pl/temat/402063-analiza-i-dezynfekcja-zestaw-narzędzi-nieingerencyjnych/?p=2608679

Witam

 

Niezauwazylam przestawionej opcji w pozycji REJESTR ale teraz nowe scany.

 

OTL

 

http://www.wklej.org/id/1368001/

 

EXTRAS

http://www.wklej.org/id/1368002/

 

USB Fix Listing

http://www.wklej.org/id/1368003/

 

Pozdrawiam

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\Installer\{122186A8-F907-AA0D-F87A-0C4ED8639BAD}\syshost.exe /service -- (syshost32)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\vltbripi.sys -- (vltbripi)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\vctuamef.sys -- (vctuamef)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\pgnjzlby.sys -- (pgnjzlby)
IE - HKLM\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = http://search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm073^YYA^pl&si=pconvIE&ptb=FFA63C9C-97FD-4BAE-B7A0-304C44EBE954&ind=2014012809&n=780b6589&psa=&st=sb&searchfor={searchTerms}
IE - HKU\S-1-5-21-682003330-2111687655-725345543-1003\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = http://search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm073^YYA^pl&si=pconvIE&ptb=FFA63C9C-97FD-4BAE-B7A0-304C44EBE954&ind=2014012809&n=780b6589&psa=&st=sb&searchfor={searchTerms}
O4 - HKU\S-1-5-21-682003330-2111687655-725345543-1003..\Run: [b1e11pr00] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-118210146\b121pr100.exe File not found
O4 - HKU\S-1-5-21-682003330-2111687655-725345543-1003..\Run: [b1e1pr00] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-11820146\b12pr100.exe File not found
O4 - HKU\S-1-5-21-682003330-2111687655-725345543-1003..\Run: [b88901] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-118099896\b88901.exe File not found
O4 - HKU\S-1-5-21-682003330-2111687655-725345543-1003..\Run: [CreativeAudio] "C:\Program Files\Common Files\CreativeAudio\qffhpzbyf.exe" File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 3573439137 = C:\DOCUME~1\ALLUSE~1\mswpa.exe (Jetico, Inc.)
O27 - HKLM IFEO\AVENGINE.exe: Debugger - pbjfzxetp.exe File not found
O27 - HKLM IFEO\mbam.exe: Debugger - bfnujsnjd.exe File not found
O27 - HKLM IFEO\mbamgui.exe: Debugger - bcrucldky.exe File not found
O27 - HKLM IFEO\pavjobs.exe: Debugger - veghmbttua.exe File not found
O27 - HKLM IFEO\rstrui.exe: Debugger - zjiuj.exe File not found
O27 - HKLM IFEO\Upgrader.exe: Debugger - zyevttorm.exe File not found
O27 - HKLM IFEO\usrreq.exe: Debugger - hlptoer.exeund File not found
[2014-05-18 12:24:07 | 000,000,000 | -HSD | C] -- C:\Program Files\Common Files\CreativeAudio
:Files
C:\Documents and Settings\RODZINKA\Dane aplikacji\*.exe
C:\WINDOWS\Installer\{122186A8-F907-AA0D-F87A-0C4ED8639BAD}
rd /s /q C:\RECYCLER /c
:Commands
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pokaż nowy raport UsbFix z opcji Listing.

Pobierz Farbar Recovery Scan Tool 32-Bit Version

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

Przeprowadzilem scany

 

Po wykonaniu skryptu podalo że wszystkie zadania wykonane.

 

Podaje nowe scany OTL, EXTRAS, USBFix

 

OTL:   http://www.wklej.org/id/1369002/

 

EXTRAS: http://www.wklej.org/id/1369003/

 

USBFix: http://www.wklej.org/id/1369004/

 

Wykonałem FRST

 

Raporty

 

FRST: http://www.wklej.org/id/1369005/

 

ADDITION: http://www.wklej.org/id/1369008/

 

Jak teraz zabezpieczyc PENDRIVa aby nie przerzucały się na niego wirusy z laptopa.

 

Pozatym czesto pokazuje się wiadomość (przypodłaczonym PENDRAVie

 

System Windows - Brak dysku

Exception Processing Message c0000013 Parameters 75b3bf7c 4 75b3bf7c 75b3bf7c

 

Kilkakrotne naciśniecie anuluj zamyka to okno

W UsbFix kliknij Vaccinate.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Runonce: [] - [X]
HKLM\...\Policies\Explorer\Run: [3573439137] => C:\Documents and Settings\All Users\mswpa.exe [135168 2010-12-09] ( ())
HKU\S-1-5-21-682003330-2111687655-725345543-1003\...\Run: [Adobe System Incorporated] => C:\Documents and Settings\RODZINKA\Ustawienia lokalne\Temp\Adobe\Reader_sl.exe [206848 2014-05-22] () <===== ATTENTION
HKU\S-1-5-21-682003330-2111687655-725345543-1003\...\Run: [Windows Security Firewall Manager] => C:\RECYCLER\mscinet.exe
HKU\S-1-5-21-682003330-2111687655-725345543-1003\...\Run: [CreativeAudio] => C:\Program Files\Common Files\CreativeAudio\vvhweqgtk.exe [305152 2014-05-22] ()
HKU\S-1-5-21-682003330-2111687655-725345543-1003\...\Policies\Explorer\Run: [Windows Update] => "C:\Documents and Settings\RODZINKA\Dane aplikacji\Identities\ckohv\ckohv.exe" -shell
HKU\S-1-5-21-682003330-2111687655-725345543-1003\...\Winlogon: [Shell] C:\RECYCLER\mscinet.exe,explorer.exe <==== ATTENTION 
IFEO\AVENGINE.exe: [Debugger] wekohezoez.exe
IFEO\mbam.exe: [Debugger] vokibpydem.exe
IFEO\mbamgui.exe: [Debugger] vottvbgqef.exe
IFEO\pavjobs.exe: [Debugger] vfwhxmacnb.exe
IFEO\rstrui.exe: [Debugger] spdwz.exe
IFEO\Upgrader.exe: [Debugger] vlljanphja.exe
SearchScopes: HKLM - DefaultScope {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = 
S4 IntelIde; No ImagePath
C:\Program Files\Common Files\CreativeAudio
C:\Documents and Settings\RODZINKA\Dane aplikacji\Identities\ckohv
C:\Documents and Settings\RODZINKA\Ustawienia lokalne\Temp\Adobe
C:\Documents and Settings\RODZINKA\Dane aplikacji\c731200
C:\Documents and Settings\All Users\*.exe
I:\EFqaTiz.exe
CMD: rd /s /q C:\RECYCLER
Reboot:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

Wykonałem jak nakazano

 

Raport z usuwania:

 

fixlog: http://www.wklej.org/id/1369240/

 

Scan

 

Frst: http://www.wklej.org/id/1369242/

 

Pozdrawiam

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Run: [CreativeAudio] => "C:\Program Files\Common Files\CreativeAudio\vvhweqgtk.exe"
HKLM\...\Runonce: [] - [X]
HKU\S-1-5-21-682003330-2111687655-725345543-1003\...\Run: [CreativeAudio] => "C:\Program Files\Common Files\CreativeAudio\vvhweqgtk.exe"
HKU\S-1-5-21-682003330-2111687655-725345543-1003\...\Policies\Explorer\Run: [Windows Update] => "C:\Documents and Settings\RODZINKA\Dane aplikacji\Identities\ckohv\ckohv.exe" -shell
S1 adhbyamp; C:\WINDOWS\system32\drivers\adhbyamp.sys [49088 2014-05-22] (Microsoft Corporation)
C:\WINDOWS\system32\Drivers\adhbyamp.sys
C:\Program Files\Common Files\CreativeAudio
C:\Documents and Settings\RODZINKA\Dane aplikacji\Identities\ckohv

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

wykonano scany podaje rapoty

 

FIX LOG: http://www.wklej.org/id/1369487/

 

FRST:http://www.wklej.org/id/1369488/

Pokaż jeszcze nowy log z OTL bez Extras.

Pokaż raport z opcji Listing.

OTL: http://www.wklej.org/id/1369611/

 

USBFix: http://www.wklej.org/id/1369612/

Wklej do OTL i kliknij Wykonaj skrypt:

:OTL
O7 - HKU\S-1-5-21-682003330-2111687655-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Windows Update = "C:\Documents and Settings\RODZINKA\Dane aplikacji\Identities\ckohv\ckohv.exe" -shell
[2014-05-22 08:50:19 | 000,000,000 | ---D | C] -- C:\FRST
[2014-05-20 13:37:43 | 000,000,000 | ---D | C] -- C:\UsbFix
[2014-05-22 14:21:40 | 000,000,424 | -H-- | M] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job
[2013-12-17 23:19:05 | 000,000,000 | ---D | M] -- C:\Documents and Settings\RODZINKA\Dane aplikacji\EurekaLog
:Files
C:\Documents and Settings\RODZINKA\Dane aplikacji\*.exe
C:\Documents and Settings\RODZINKA\Dane aplikacji\Identities\ckohv
I:\*.lnk
:Reg
[-HKEY_USERS\S-1-5-21-682003330-2111687655-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

LOGI:

 

OTL po skrypcie: http://www.wklej.org/id/1370083/

 

Security check: http://www.wklej.org/id/1370079/

 

Malvare: http://www.wklej.org/id/1370080/

 

I na koniec nowe scany OTL i USB Fix

 

OTL: http://www.wklej.org/id/1370081/

 

USBFix: http://www.wklej.org/id/1370082/

Odinstaluj Adobe Reader 8.1.0 i Adobe Flash Player 11 ActiveX.

Zainstaluj Adobe Reader i Flash Player 13.0.0.214 Internet Explorer.

Odinstalowane i zainstalowane jak wskazano

 

LOGI

 

OTL:http://www.wklej.org/id/1371322/

 

USBFix:http://www.wklej.org/id/1371326/

 

Czy teraz zabezpieczyc pendriva przed virusem w USBFix Vacinate?

Nie widać infekcji, a dyski już masz zabezpieczone przed szkodliwymi plikami autorun.inf.

Dziekuje za pomoc oznaczam jako rozwiazany