Wirusy z pendrive Windows 7


(Karasdawid3) #1

Witam, 

 

Link do loga z otel:

http://wklej.org/id/1750189/


(Dimatheus) #2

Hej,

Wykonaj logi programem Farbar Recovery Scan Tool - informacje o tym, jak dokładnie ustawić program i gdzie zamieścić logi znajdziesz w temacie: http://forum.dobreprogramy.pl/farbar-recovery-scan-tool-raport-obowi%C4%85zkowy-t478727/.

Pozdrawiam,

Dimatheus


(Karasdawid3) #3

Dzięki za odpowiedź, a oto logi z Farbar Recovery Scan Tool, wyskoczyły mi niestety tylko 2:

  1. FRST: http://www.wklej.org/id/1750315/

(Atis) #4

W panelu sterowania odinstaluj:

a2zLyrics-16

AVG Web TuneUp

Akamai NetSession Interface

UpdateChecker

Pobierz i uruchom AdwCleaner Kliknij Skanuj i później Usuń.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-3473379228-2857131229-1751697950-1000\...\Run: [UpdateChecker] => C:\Users\Admin\AppData\Local\Popajar\UpdateChecker\UpdateCheckerApp.exe [7168 2014-01-16] (Popajar, inc)
HKU\S-1-5-21-3473379228-2857131229-1751697950-1000\...\Run: [Akamai NetSession Interface] => C:\Users\Admin\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-30] (Akamai Technologies, Inc.)
Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\v.lnk [2015-06-26]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3473379228-2857131229-1751697950-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3473379228-2857131229-1751697950-1000\Software\Microsoft\Internet Explorer\Main,Start Page = https://mysearch.avg.com/?cid={5177F4DC-C4B6-47AB-A6F1-F8B5AFA98E8F}&mid=eb2454691a8b47d3beb7edde48a19fa9-ff1cc3d388838fabc8dd872fc4ce8a04e6f966cf&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-12-29 10:56:29&v=4.1.0.411&pid=wtu&sg=&sap=hp
FF SearchPlugin: C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\bgfb5mco.default\searchplugins\avg-secure-search.xml [2015-06-03]
FF Extension: Apps Hat - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\bgfb5mco.default\Extensions\{97A78363-B868-4B48-AC91-A783A31215AF} [2013-10-17]
FF Extension: SmileysWeLove: Smileys for use with Facebook, GMail, and more - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\bgfb5mco.default\Extensions\jid1-vW9nopuIAJiRHw@jetpack.xpi [2014-01-29]
CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\Admin\AppData\Roaming\BabSolution\CR\Delta.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [fjbbjfdilbioabojmcplalojlmdngbjl] - C:\Users\Admin\AppData\Local\Temp\swlfiles\smileyswelovetoolbar.crx [Not Found]
R2 vToolbarUpdater18.4.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\18.4.0\ToolbarUpdater.exe [1875480 2015-03-03] (AVG Secure Search)
R2 VSSS; C:\Users\Admin\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [100843264 2015-06-26] (Microsoft Corporation) [File not signed] <==== ATTENTION
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\Users\Admin\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe
C:\Program Files\*.exe
C:\Users\Admin\AppData\Roaming\*.exe
C:\Program Files (x86)\Common Files\AVG Secure Search
Task: {58BD494A-D716-4AEF-9585-F230E804993C} - System32\Tasks\{8D61AE13-F4F9-4E45-BFA2-BDD5E3437E92} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Nero\Nero ProductInstaller 4\SetupX.exe" -c REMOVESERIALNUMBER="XM02-508X-MHAT-19WU-9Z3Z-0CH0-3U6E-85W5-MMHH-6647-1Z5L-7M8C-0U45-758P-0000"
Task: {930764B2-D961-4968-B2AC-6FE0709934EC} - System32\Tasks\BitGuard => Sc.exe start BitGuard <==== ATTENTION
Task: {9F094CA3-B9D9-435E-A915-7376781929CD} - System32\Tasks\{17667719-973C-4747-AF64-D7BC00227C17} => pcalua.exe -a C:\Users\Admin\Desktop\IN1CAM59WW5.exe -d C:\Users\Admin\Desktop
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
I:\*.lnk
CMD: attrib /d /s -s -h I:\*
CMD: dir /a I:\
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.


(Karasdawid3) #5

usunąłem programy, następnie ściągnąłem AdwCleaner. Przeskanowałem nim komputer, następnie kliknąłem usuń-pojawił się blue screen. Stworzyłem fixlist zgodnie z zalecaniami. A oto raporty(dalej nie utworzył mi się shortcut):

  1. FRST: http://wklej.org/id/1750338/

(Atis) #6

Spróbuj czy teraz po usunięciu wirusa będzie problem z AdwCleaner.

Trojan przeniósł pliki do folderu bez nazwy.

Skopiuj pliki do innej lokalizacji i skasuj folder bez nazwy.


(Karasdawid3) #7

Mógłbyś to bardziej wyjaśnić? Mam przeskanować adwcleanerem komputer i usunąć pliki, następnie znaleźć folder bez nazwy, skopiować go do innej lokalizacji i usunąć? tylko jak znaleźć ten folder? 


(Atis) #8

Folder jest tam gdzie zostały ukryte pliki czyli na pendrive I.

Masz skasować ten folder, a jeśli są tam jakieś pliki to najpierw je przenieść do innej lokalizacji.

W AdwCleaner masz użyć opcji Usuń i później utworzyć nowy log z FRST.


(Karasdawid3) #9

a co z tymi plikami przeniesionymi z pendrive? również je usunąć? 


(Atis) #10

Przecież to są Twoje pliki, więc skąd mam wiedzieć co masz nimi zrobić?

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
2015-07-02 10:38 - 2015-07-02 13:32 - 00000000 ____ D C:\AdwCleaner
2015-07-01 20:24 - 2015-07-01 20:24 - 00000000 ____ D C:\Program Files (x86)\AVG
DeleteQuarantine:
CMD: C:\Users\Admin\Desktop\ComboFix.exe /uninstall

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.


(Karasdawid3) #11

fixlog: http://wklej.org/id/1750443/

 


(Atis) #12

Skasuj folder C:\FRST

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK - KLIK

Odinstaluj:

Adobe Flash Player 17 ActiveX

Adobe Flash Player 17 NPAPI

Adobe Shockwave Player 12.1

Java 7 Update 55

Zainstaluj:

Flash Player 18.0.0.194 NPAPI

Flash Player 18.0.0.194 ActiveX

Java 8 Update 45

Internet Explorer 11

Włącz przywracanie dla dysku systemowego C:

http://windows.microsoft.com/pl-pl/windows/turn-system-restore-on-off#1TC=windows-7


(Karasdawid3) #13

Ok, zrobione :slight_smile: mam rozumieć problem już jest rozwiązany? 


(Atis) #14

Tak.


(Karasdawid3) #15

Dzięki śliczne! bez Twojej pomocy szybko bym tego nie załatwił  :mrgreen: