Zainfekowany pendrive


(Adam Suga) #1

Witam,

Piszę tu swój pierwszy post więc proszę o wyrozumiałość. Nie znam się zbyt dobrze, ale postaram się opisać wszystko jak najdokładniej.

 

Po podpięciu pendrive'a do komputera kolegi, w domu okazało się, że nie mogę dostać się do plików które się na nim znajdują. Po otwarciu pendrive'a pojawia się jedynie ikona wyglądająca jak skrót. Wygląda to tak:

Postanowiłem przeskanować dysk za pomocą avast'a. Pojawiła się informacja o wykrytym Malware. Wirus został niby usunięty ale nadal nie mogę dostać się do zawartości pendrive'a. Co więcej po kliknięciu na ww. skrót pojawia się okno które wygląda tak:

Przeczytałem temat z informacją o wymaganych logachi w celu odpowiedniego zajęcia się problemem wykonałem raport OTL i Extras:

http://www.wklej.org/id/1417972/

http://www.wklej.org/id/1417973/

Bardzo zależałoby mi na danych. Wygląda na to że znajdują się na dysku ( http://gyazo.com/cb29255cf8592c2a3edd4efe7cdfcfbf) gdyż jest częściowo zajęty.

Co robić? Proszę o pomoc! 

 


(Acorus) #2

Odinstaluj IB Updater 2.0.0.575,AVG Security Toolbar,Defaulttab,Free Lunch Design Toolbar,Incredibar Toolbar on IE,V9 HomeTool,Winamp Toolbar.Pobierz i uruchom AdwCleaner https://toolslib.net/downloads/finish/1/ Kliknij Szukaj i później Usuń.

Podepnij pendriva.

Użyj USBFix z funkcji Deletion Pokaż z niego log.http://www.usbfix.net/

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.


(Adam Suga) #3

Ok, w takim razie zrobiłem chyba wszystko co poleciłeś mi zrobić.

USBFix: http://www.wklej.org/id/1418056/

FRST: http://www.wklej.org/id/1418058/

Addition: http://www.wklej.org/id/1418059/

 

Wszedłem do pendrive'a. Znajduje się w nim bezimienny folder a w nim wszystkie moje pliki. Chyba wszystko jest ok. Bardzo dziękuję za pomoc i poświęcony czas!   


(Acorus) #4

Otwórz Notatnik i wklej:

Task: {151FFD3C-A736-468E-BB9D-EB6A548E42CD} - \Searchya No Task File ==== ATTENTION
Task: {A3421368-CC9B-47FC-85B3-6FF2AC0E46DF} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv = C:\Windows\TEMP\{74C16760-84A9-4038-B1EC-4E66B17FE3B8}.exe
Task: {FBFF1F4A-E9EE-4317-A19C-F80C990D1F2B} - \Your File Updater No Task File ==== ATTENTION
Task: {FCCD7A15-2F21-4602-B234-359DF85222D1} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv = C:\Windows\TEMP\{4EFBCFF4-A2B3-4E33-87A6-7214C8C39D0A}.exe
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job = C:\Windows\TEMP\{4EFBCFF4-A2B3-4E33-87A6-7214C8C39D0A}.exe
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job = C:\Windows\TEMP\{74C16760-84A9-4038-B1EC-4E66B17FE3B8}.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1024050366-3983927014-989430760-1000Core.job = C:\Users\Pierwszy\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1024050366-3983927014-989430760-1000UA.job = C:\Users\Pierwszy\AppData\Local\Facebook\Update\FacebookUpdate.exe
HKLM-x32\...\Runonce: [] - [X]
HKU\S-1-5-21-1024050366-3983927014-989430760-1000\...\Run: [Facebook Update] = C:\Users\Pierwszy\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2013-09-10] (Facebook Inc.)
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM-x32 - DefaultScope value is missing.
SearchScopes: HKLM-x32 - {2ACB8B78-DB57-74D9-449A-03A8FEB6C6B5} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}SearchSource=4ctid=CT1708250
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {2ACB8B78-DB57-74D9-449A-03A8FEB6C6B5} URL =
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
CHR HKCU\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Pierwszy\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2013-07-27]
CHR HKLM-x32\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Pierwszy\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2013-07-27]
S3 EagleX64; \\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 gdrv; \\C:\Windows\gdrv.sys [X]
S3 wacommousefilter; system32\DRIVERS\wacommousefilter.sys [X]
S3 wacomvhid; system32\DRIVERS\wacomvhid.sys [X]
2014-07-15 22:05 - 2014-07-15 22:07 - 00000000 ____ D () C:\AdwCleaner

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Skasuj folder C:\FRST

W USBFix Uninstall.


(Adam Suga) #5

Zrobione! Jeszcze raz bardzo dziękuję za pomoc.