Wirus tworzy skróty na pendrivie


(Michal9609) #1

Witam, wczoraj zauważyłem że na pendrivie po skopiowaniu pliku z komputera utworzył się skrót. Sformatowałem go, ale po ponownym skopiowaniu pliku znowu pojawił się skrót. Żeby tego było mało, mój brat podłączył zainfekowanego pendriva do laptopa, przez co robak pojawił się również na laptopie. Proszę o pomoc i wyrozumiałość, ponieważ jestem zielony w kwestiach programowania.

 

 

Logi FRST z komputera:

   FRST    http://www.wklej.org/id/1741188/

   Addition    http://www.wklej.org/id/1741189/

   Shortcut    http://www.wklej.org/id/1741191/

 

Logi z laptopa:

   FRST    http://www.wklej.org/id/1741193/

   Addition    http://www.wklej.org/id/1741195/

   Shortcut    http://www.wklej.org/id/1741199/

 

Mam jeszcze pytanie, czy wystarczy sformatować pendrivy czy trzeba będzie je przeskanować jakimś specjalnym programem?


(Acorus) #2

Nie trzeba formatować.Podepnij pendrivy.Użyj USBFix z funkcji Usuń(Clean).Pokaż z niego log.http://www.en.usbfix.net/download/usbfix/

Pokaż nowe logi z FRST.


(Michal9609) #3

Logi z kompa:

   FRST    http://www.wklej.org/id/1741365/

   USBFix    http://www.wklej.org/id/1741366/

 

Logi z laptopa:

   FRST    http://www.wklej.org/id/1741367/

   USBFix    http://www.wklej.org/id/1741370/


(Acorus) #4

Komp.Otwórz notatnik systemowy i wklej:

CloseProcesses:
HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [11776104 2011-02-11] (Realtek Semiconductor)
HKLM-x32\...\RunOnce: [] => [X]
HKU\S-1-5-21-767132995-3120186203-1508069129-1002\...\Run: [AdobeBridge] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
HKU\S-1-5-21-767132995-3120186203-1508069129-1002\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com?cid={CF758E01-8680-4C0E-947E-F53C4E16C67B}&mid=857b48ab7dd047d3ae1981ac0f0d6830-cfc53109ddf20375eb539efd148293701aae717d&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-11-13 12:05:47&v=4.1.0.411&pid=wtu&sg=&sap=hp
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
S3 gdrv; \\C:\Windows\gdrv.sys [X]
2015-06-18 00:47 - 2015-06-18 00:47 - 00000000 ____ D C:\Windows\B83FC356B7C0441F8A4DD71E088E7974.TMP
2015-06-17 19:37 - 2015-06-17 19:50 - 00000000 ____ D C:\AdwCleaner
2015-06-17 15:45 - 2015-06-17 16:05 - 00000000 ____ D C:\Users\Malkowscy\Doctor Web

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Laptop

Otwórz notatnik systemowy i wklej:

CloseProcesses:
HKLM-x32\...\Run: [WebStorage] = C:\Program Files (x86)\ASUS\WebStorage\2.0.3.226\ASUSWSLoader.exe [63296 2013-08-16] ()
HKLM-x32\...\Run: [RemoteControl10] = C:\Program Files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe [95192 2013-03-08] (CyberLink Corp.)
HKLM-x32\...\RunOnce: [] = [X]
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKLM\...\Policies\Explorer: [NOFOLDEROPTIONS] 0
HKU\S-1-5-21-3806560088-2187097566-3201578302-1002\...\Run: [GalaxyClient] = [X]
AppInit_DLLs-x32: 퀀ȥ䝀㉍ᔡ䠷ॸ퀀 = "퀀ȥ䝀㉍ᔡ䠷ॸ퀀" File not found
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader Speed Launch.lnk [2014-08-07]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-3806560088-2187097566-3201578302-1002\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKU\S-1-5-21-3806560088-2187097566-3201578302-1002 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3806560088-2187097566-3201578302-1002 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3806560088-2187097566-3201578302-1002 - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = https://mysearch.avg.com/search?cid={745CDCDD-4095-4927-9156-2249808D6A2A}mid=1e046f68440147d2a1ccc18a3dfbf084-736b0a573cd779061a3162e33b29fd0b1715142flang=plds=AVGcoid=avgtbavgcmpid=pr=frd=2014-11-07 19:14:25v=4.0.0.19pid=wtusg=sap=dspq={searchTerms}
BHO-x32: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Program Files\AVG
\AVG8\avgssie.dll No File
S2 vToolbarUpdater18.1.10; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\18.1.10\ToolbarUpdater.exe [1849368 2014-11-07] (AVG Secure Search)
R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [50976 2014-11-07] (AVG Technologies)
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
C:\ProgramData\SetStretch.exe
C:\ProgramData\SetStretch.VBS

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.


(Michal9609) #5

Zrobione. Sprawdziłem pendrivami, czy pojawiają się skróty i na razie zarówno na PC jak i na laptopie jest czysto.  :)


(Acorus) #6

Pendrivy też są wyczyszczone i zabezpieczone.


(Michal9609) #7

Więc to chyba wszystko, dziękuję bardzo za pomoc