Wirus tworzący skróty - potrzebna szybka pomoc

Szpiku · 21 Kwiecień 2017 17:42

Witam,
Dostałem dzisiaj pendrive od znajomego na którym są bardzo ważne dane, niestety ma on na tym pendrive wirusa tworzącego skróty z folderów. Chyba wszyscy wiemy o co chodzi gdyż były już takie tematy tutaj, lecz z tego co wiem za każdym razem trzeba coś inaczej zrobić żeby to naprawić (z góry przepraszam za określenia, nie znam się w temacie). Kiedyś już miałem podobny problem, lecz było to 4 lata temu i kompletnie nie pamiętam jak to naprawić więc proszę Was o szybką pomoc!

Drugie moje pytanie, czy odzyskam te dane które są schowane w tych skrótach folderów?

Atis · 21 Kwiecień 2017 17:53

Pobierz i uruchom UsbFix. Download UsbFix Windows Installer: KLIK
Podłącz pendrive i w UsbFix kliknij Clean. Pokaż raport z czyszczenia.
Pokaż raport UsbFix z opcji Listing.
Farbar Recovery Scan Tool - Raport obowiązkowy

Szpiku · 21 Kwiecień 2017 18:04

UsbFix [Clean 1] DESKTOP-MEVBE79.txt (9,0 KB)
UsbFix [Listing 1] DESKTOP-MEVBE79.txt (5,6 KB)

Zrobione, co dalej?

Atis · 21 Kwiecień 2017 18:16

.[quote=“Szpiku, post:3, topic:525163”]
Zrobione, co dalej?
[/quote]
Przeczytaj całą poprzednią odpowiedź

Szpiku · 21 Kwiecień 2017 18:21

Addition.txt (46,3 KB)
FRST.txt (88,1 KB)
Shortcut.txt (64,8 KB)

Sorka, nie zauważyłem

Atis · 21 Kwiecień 2017 18:35

Czy instalowałeś Foxit Reader?
Odinstaluj McAfee Security Scan Plus.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

F:\xeayel.exe F:\*.lnk HKLM-x32\...\RunOnce: [] => [X] HKU\S-1-5-21-2165032805-4069141945-752260811-1001\...\Run: [AdobeBridge] => [X] CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx S2 InstallerService; C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe [X] S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NAVENG; \??\C:\Program Files (x86)\Norton Security\NortonData\22.8.0.50\Definitions\SDSDefs\20161104.001\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton Security\NortonData\22.8.0.50\Definitions\SDSDefs\20161104.001\EX64.SYS [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] 2017-04-21 14:51 - 2017-04-21 14:51 - 00000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign49399e16f0ccc8ba 2017-04-21 14:51 - 2017-04-21 14:51 - 00000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign3830e990945cb624 2017-04-21 14:49 - 2017-04-21 14:49 - 00000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign8c592b44fbb4e2f2 2017-04-21 14:49 - 2017-04-21 14:49 - 00000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign748912fd08a3d1f8 2017-04-19 18:29 - 2017-04-19 18:29 - 00000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign0aca225009afcd15 2017-04-19 18:20 - 2017-04-19 18:20 - 00000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsigne37f4f9dea2abb37 2017-04-19 18:19 - 2017-04-19 18:19 - 00000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsignbdb3dc618f10a9ac 2017-04-19 18:19 - 2017-04-19 18:19 - 00000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign80f3fcd03df668ec 2017-04-19 18:19 - 2017-04-19 18:19 - 00000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign23447246f52fc66b 2017-04-18 17:09 - 2017-04-18 17:09 - 00000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsigne8e03df6286d462e 2017-04-18 17:08 - 2017-04-18 17:08 - 00000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsignab101237f7e8f641 2017-04-18 17:08 - 2017-04-18 17:08 - 00000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign7dab7a6c35bace12 2017-04-18 17:08 - 2017-04-18 17:08 - 00000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign0aa91f97f0dda7e5 2017-03-25 21:51 - 2017-03-25 21:51 - 00000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign951f88344fa00bbd 2017-03-25 21:51 - 2017-03-25 21:51 - 00000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign7330f206bf77ae63 2017-03-25 21:51 - 2017-03-25 21:51 - 00000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign6e3fc227985f201b 2017-03-25 21:51 - 2017-03-25 21:51 - 00000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign2ea59d7382ca1126 2017-03-25 21:51 - 2017-03-25 21:51 - 00000000 ____D C:\Users\Admin\AppData\Local\Tempzxpsign21129f6c5f0ce4c5 2017-03-12 17:39 - 2017-03-12 22:19 - 0000081 _____ () C:\Users\Admin\AppData\Local\FILM_AE_LogFile.txt Task: {60559715-977B-4579-AF5E-F9C6240561E1} - System32\Tasks\doggo => C:\Users\Admin\AppData\Roaming\VvYg\wSZJ.exe C:\Users\Admin\AppData\Roaming\VvYg Task: {A1E9C973-08C6-4FEA-99AD-2A3062D75CAF} - System32\Tasks\Red Giant Link => C:\Program Files\Red Giant Link\Red Giant Link.exe AlternateDataStreams: C:\Users\Admin\Ustawienia lokalne:3ITgGJuqzRbn8s8sxhFsCK1COg [2208] AlternateDataStreams: C:\Users\Admin\Ustawienia lokalne:C5iDJPu5tSsszxHbk4ce [2206] AlternateDataStreams: C:\Users\Admin\AppData\Local:3ITgGJuqzRbn8s8sxhFsCK1COg [2208] AlternateDataStreams: C:\Users\Admin\AppData\Local:C5iDJPu5tSsszxHbk4ce [2206] AlternateDataStreams: C:\Users\Admin\AppData\Local\Dane aplikacji:3ITgGJuqzRbn8s8sxhFsCK1COg [2208] AlternateDataStreams: C:\Users\Admin\AppData\Local\Dane aplikacji:C5iDJPu5tSsszxHbk4ce [2206] AlternateDataStreams: C:\Users\Admin\AppData\Local\Temporary Internet Files:whvpX6gXLcIcLncsANkP [2244] Folder: F: Hosts: EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

Szpiku · 21 Kwiecień 2017 18:43

Fixlog1.txt (10,3 KB)
FRST1.txt (88,5 KB)

Prosze. Nie instalowałem nigdy Foxit Readera

Szpiku · 21 Kwiecień 2017 18:45

Tylko jeszcze dodam, że po kliknięciu Napraw w FRST wyłączyło mi przeglądarkę i usunęło mi całą historię przeglądania. Zostały tylko zakładki i hasła zapisane.

Atis · 21 Kwiecień 2017 19:18

To normalne, że kasuje historię w przeglądarkach.

Szpiku · 21 Kwiecień 2017 19:42

Aaa ok a czy wiesz może już co dalej zrobić z tym wirusem?

Atis · 21 Kwiecień 2017 20:00

Skasuj ten szkodliwy plik z pendrive F:\xeayel.exe

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

C:\Users\Admin\AppData\Local\Tempzxpsignc5a827e72f23a528 C:\Users\Admin\AppData\Local\Tempzxpsign1fe81b5ede3dd22 C:\Users\Admin\VCl193vBJqbSTCnr C:\Users\Admin\AppData\Roaming\Monitor C:\Users\Admin\AppData\LocalLow\Temp C:\Program Files (x86)\FoxitReader F:\xeayel.exe DeleteQuarantine:
Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST
Czyszczenie folderów Przywracania systemu
Odinstaluj Java 8 Update 111 i zainstaluj Java 8 Update 131

Na tym pendrive są tylko takie pliki:

[quote]F:.cm0013
F:\3A.mp4
F:~$dsdsds.pptx
F:\dsdsds.aep
F:\POMIĘDZY 2.prproj[/quote]