Wirus tworzący skróty na pendriv'ie

Witam.

 

Otóż mam problem z pewnym wrednym robakiem/wirusem. Po włożeniu pendriva do komputera, tworzy się skrót na owym pendrivie, wszystkie dane zostają zamienione w skróty… skanowanie jakimkolwiek programem antywirusowym / antymalware nie przynosi skutku, Robak siedzi w systemie, a aktywuje się tylko i wyłącznie po włożeniu pena, kiedy włożymy go do komputera drugiego, robak automatycznie wskakuje do nowego legowiska w którym czuje się bardzo dobrze…

oto logi z programu OTL.

Podepnij pendrivy.Użyj USBFix z funkcji Usuń(Clean).Pokaż z niego log.

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.

Log z USBFix  ------> http://wklej.org/id/1702513/

 

log addition z FRST ------> http://wklej.org/id/1702516/

 

Log FRST ------>   http://wklej.org/id/1702517/

Przecież nie ma żadnych skrótów i aktywnej infekcji.

Jeżeli miałeś jakieś pliki na pendrive to są w folderze bez nazwy na I:\

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM-x32\...\RunOnce: [] => [X]
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKU\S-1-5-21-1371945331-912623287-267063051-1000\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com/?cid={38B5C752-440F-42BF-AAEA-8D029DD5040A}&mid=a2ecde0320c747cdaba7e5975ce56f9b-44c64f2c034c4d1469613c491d171056e0dfbbfb&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0215pit&pr=fr&d=2015-05-01 07:51:57&v=4.1.0.411&pid=wtu&sg=&sap=hp
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FF Extension: No Name - C:\Users\Majkel\AppData\Roaming\Mozilla\Firefox\Profiles\cbsjjsd2.default\Extensions\1430323437_xpi [2015-04-29]
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
S2 vToolbarUpdater18.4.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\18.4.0\ToolbarUpdater.exe [X]
S3 andnetadb; System32\Drivers\lgandnetadb.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2015-05-03 17:17 - 2015-05-03 17:19 - 00000000 ____ D () C:\AdwCleaner
2015-05-02 16:09 - 2015-05-02 16:09 - 00001051 _____ () C:\Users\Majkel\Desktop\SpyHunter4.lnk
2015-05-02 16:09 - 2015-05-02 16:09 - 00000000 ____ D () C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpyHunter4
2015-05-02 16:09 - 2015-05-02 16:09 - 00000000 ____ D () C:\Program Files\Enigma Software Group
2015-05-02 16:09 - 2015-01-30 17:12 - 00019984 _____ () C:\Windows\system32\Drivers\EsgScanner.sys
2015-05-02 16:08 - 2015-05-02 16:08 - 44053568 _____ () C:\Users\Majkel\Downloads\SpyHunter 4.18.9.4384 Full Zarejestrowany 32-64 Bit.7z
2015-05-02 16:08 - 2015-05-02 16:08 - 00000000 ____ D () C:\Users\Majkel\Downloads\SpyHunter 4.18.9.4384 Full Zarejestrowany 32-64 Bit
2015-04-29 18:01 - 2015-04-29 18:01 - 00741672 _____ (Web software ) C:\Users\Majkel\Downloads\Recuva(13044)-dp.exe
Task: {FFDE7DBB-F6C9-421A-8AAC-56FD75945B1E} - System32\Tasks\{331FF6C8-25F1-477C-9005-6AE2347FFBD9} => C:\Users\Majkel\Downloads\Hitman Pro 3.7.3 32bit\Hitman Pro 3.7.3 Build 193 - 32bit\HitmanPro.exe
I:\~$cgkbecdd.bak
I:\desktop.ini
Folder: I:
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.