Wirus tworzący skróty na pendrive


(Gamroth Eldar) #1

Witam! 


(Acorus) #2

Podepnij pendriva.Użyj USBFix z funkcji Usuń(Clean).Pokaż z niego log.

Pokaż nowe logi z FRST.


(Gamroth Eldar) #3

Sytuacja się trochę pogmatwała: pendrive został źle sformatowany, każda próba ponownego formatowania obecnie kończy się komunikatem że dysk jest chroniony przed zapisem. 


(Atis) #4

http://www.fixitpc.pl/topic/16394-naprawa-pendrivea/

http://www.instalki.pl/demonstracje/systemowe/10425-naprawa-pendrive-dysk-jest-zabezpieczony-przed-zapisem.html

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKU\S-1-5-21-3747776596-2488222732-3321977366-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\msqoitrkm.exe <===== ATTENTION
HKU\S-1-5-21-3747776596-2488222732-3321977366-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\...\CurrentVersion\Windows: [Load] C:\ProgramData\msqoitrkm.exe <===== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
HKU\S-1-5-21-3747776596-2488222732-3321977366-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
HKU\S-1-5-21-3747776596-2488222732-3321977366-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
CHR HomePage: Default -> www.wp.pl/?src01=dp1
CHR StartupUrls: Default -> "www.wp.pl/?src01=dp1"
CHR Extension: (Bookmark Manager) - C:\Users\Kasia\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-21]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\ProgramData\msqoitrkm.exe
Task: {5625353D-8A02-4C9C-82D6-65C94D767F7B} - System32\Tasks\{6F074442-4510-4BAF-9A33-2A90CE9449A2} => pcalua.exe -a D:\Programy\CB\CodeBlocks\codeblocks.exe -d "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CodeBlocks"
Task: {AE087A61-BAA1-4CDB-9A50-094AF7EA6691} - System32\Tasks\{E729D78C-521A-4776-9C73-4A11258A6CEA} => pcalua.exe -a G:\setup.exe -d G:\
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.


(Gamroth Eldar) #5

Logi po uruchomieniu Fix’a: 


(Atis) #6

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CHR Extension: (Bookmark Manager) - C:\Users\Kasia\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-05-22]
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST

Odinstaluj:

Adobe Flash Player 11 ActiveX

Adobe Reader 9.5.0

Java 7 Update 45

Zainstaluj:

Flash Player 17.0.0.188 ActiveX

Adobe Reader XI 11.0.11

Java 8 Update 45


(Gamroth Eldar) #7

Ogromne dzięki za pomoc!