Wirus/Trojan tworzy skrót pendrive

dr.kreaven · 21 Wrzesień 2015 06:37

Witam, złapałem coś na swojego lapka dzięki komputerom szkolnym mojej żony. Coś przywlekła na swoim pendrivie i teraz każdy nośnik flash jest infekowany również przez mój komputer. Przejrzałem forum, był podobne infekcje i wiem, że jesteście mi w stanie pomóc. Mam logi z OTL, prosiłbym o analizę i podpowiedź co dalej z tym fantem

http://www.wklej.org/id/1800773/ - OTL

http://www.wklej.org/id/1800771/ - OTL Extra

IPSEN · 21 Wrzesień 2015 06:39

Pokaż te logi-http://forum.dobreprogramy.pl/farbar-recovery-scan-tool-raport-obowi%C4%85zkowy-t478727/

dr.kreaven · 21 Wrzesień 2015 06:47

http://www.wklej.org/id/1800776/ - FRST

http://www.wklej.org/id/1800774/ - Shortcut

http://www.wklej.org/id/1800775/ - Addition

Acorus · 21 Wrzesień 2015 06:59

Podepnij pendrivy.Użyj USBFix z funkcji Usuń(Clean).Pokaż z niego log. http://www.en.usbfix.net/download/usbfix/?wpdmdl=75

Pokaż nowe logi z FRST.

dr.kreaven · 21 Wrzesień 2015 07:57

http://www.wklej.org/id/1800796/ - Shortcut

http://www.wklej.org/id/1800797/ - Addition

http://www.wklej.org/id/1800798/ - FRCT

http://www.wklej.org/id/1800801/ - USBFix

Acorus · 21 Wrzesień 2015 11:57

Odinstaluj Adobe Reader 8.1.2.Otwórz notatnik systemowy i wklej:

HKLM\...\Run: [RtHDVCpl] = C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [12558440 2011-07-12] (Realtek Semiconductor)
HKLM-x32\...\Run: [RemoteControl10] = C:\Program Files (x86)\CyberLink\Media+Player10\Media+Player10Serv.exe [87336 2010-09-20] (CyberLink Corp.)
HKLM-x32\...\Run: [CLMLServer] = C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe [103720 2009-11-02] (CyberLink)
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] = C:\Program Files (x86)\Adobe\Reader 8.0\Reader\Reader_sl.exe [39792 2008-01-11] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [GrooveMonitor] = C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [31016 2006-10-27] (Microsoft Corporation)
HKLM-x32\...\RunOnce: [] = [X]
URLSearchHook: [S-1-5-21-1771593470-3012635902-189330645-1000] UWAGA = Brak domyślnego URLSearchHook
URLSearchHook: [S-1-5-21-1771593470-3012635902-189330645-1001] UWAGA = Brak domyślnego URLSearchHook
Toolbar: HKU\S-1-5-21-1771593470-3012635902-189330645-1002 - Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
FF Extension: Brak nazwy - C:\Users\Edek\AppData\Roaming\Mozilla\Firefox\Profiles\apipc4b9.default\Extensions\trash [2015-09-18]
C:\ProgramData\mszlhe.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

dr.kreaven · 21 Wrzesień 2015 12:39

Acorus:

Odinstaluj Adobe Reader 8.1.2.Otwórz notatnik systemowy i wklej: HKLM…\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [12558440 2011-07-12] (Realtek Semiconductor) HKLM-x32…\Run: [RemoteControl10] => C:\Program Files (x86)\CyberLink\Media+Player10\Media+Player10Serv.exe [87336 2010-09-20] (CyberLink Corp.) HKLM-x32…\Run: [CLMLServer] => C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe [103720 2009-11-02] (CyberLink) HKLM-x32…\Run: [Adobe Reader Speed Launcher] => C:\Program Files (x86)\Adobe\Reader 8.0\Reader\Reader_sl.exe [39792 2008-01-11] (Adobe Systems Incorporated) HKLM-x32…\Run: [GrooveMonitor] => C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [31016 2006-10-27] (Microsoft Corporation) HKLM-x32…\RunOnce: [] => [X] URLSearchHook: [S-1-5-21-1771593470-3012635902-189330645-1000] UWAGA => Brak domyślnego URLSearchHook URLSearchHook: [S-1-5-21-1771593470-3012635902-189330645-1001] UWAGA => Brak domyślnego URLSearchHook Toolbar: HKU\S-1-5-21-1771593470-3012635902-189330645-1002 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku FF Extension: Brak nazwy - C:\Users\Edek\AppData\Roaming\Mozilla\Firefox\Profiles\apipc4b9.default\Extensions\trash [2015-09-18] C:\ProgramData\mszlhe.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze. Uruchom jako administrator FRST i kliknij w Fix/Napraw.

Dzięki, wszystko naprawione

Jesteście wielcy. Może to dla Was i proste, ale pomagacie i to jest godne pochwały

pozdro