Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus tworzący skróty na pendrive

Tomaszbyk 24 Cze 2015 15:04 753 9
  • #1 24 Cze 2015 15:04
    Tomaszbyk
    Poziom 2  

    Witam. Proszę o pomoc przy usunięciu robaka robiącego skróty na Pendrive. Z góry dziękuję.

    Dodano:

    Po uruchomieniu programu USBFix i kliknięciu funkcji clean pojawia się BlueSreen i komputer uruchamia się ponownie. Proszę o pomoc.

    Moderowany przez swiercm:

    Posty scaliłem. Proszę, byś w przypadku aktualizacji informacji używał opcji "Zmień".

    0 9
  • CControls
  • Pomocny post
    #2 24 Cze 2015 17:43
    Acorus 20
    Spec od komputerów

    Spróbuj w trybie awaryjnym.

    1
  • CControls
  • #4 24 Cze 2015 22:13
    Mexit
    Poziom 25  

    Sprawdź czy nie ma na USB pliku autorun.inf
    Jest on ukryty, skasuj go.

    0
  • #5 24 Cze 2015 23:08
    jan288
    Poziom 19  

    Odistaluj: Do-search uninstall. Użyj AdwCleaner, opcja Scan i Clean (Szukaj i Usuń):
    https://toolslib.net/downloads/viewdownload/1-adwcleaner/
    Wykonaj pełny skan za pomocą MBAM, po aktualizacji bazy wirusów i usuń wykryte zagrożenia:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
    Wstaw w załączniku logi z FRST (FRST.txt i Addition.txt):
    http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ http://www.arcabit.pl/skaner_online

    0
  • #6 25 Cze 2015 09:35
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    HKLM\...\Run: [RtHDVCpl] => C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe [11786344 2011-03-28] (Realtek Semiconductor)
    HKLM\...\Run: [RtHDVBg] => C:\Program Files\Realtek\Audio\HDA\RAVBg64.exe [2207848 2011-03-21] (Realtek Semiconductor)
    HKLM-x32\...\RunOnce: [] => [X]
    HKU\S-1-5-21-2446142602-2322439835-156324277-1000\...\Policies\Explorer: []
    GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=14331497...mp;uid=TOSHIBAXMK1059GSM_71AAP0F4TXX71AAP0F4T
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://do-search.com/?type=hp&ts=14331497...mp;uid=TOSHIBAXMK1059GSM_71AAP0F4TXX71AAP0F4T
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1433...TOSHIBAXMK1059GSM_71AAP0F4TXX71AAP0F4T&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1433...TOSHIBAXMK1059GSM_71AAP0F4TXX71AAP0F4T&q={searchTerms}
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=14331497...mp;uid=TOSHIBAXMK1059GSM_71AAP0F4TXX71AAP0F4T
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=14331497...mp;uid=TOSHIBAXMK1059GSM_71AAP0F4TXX71AAP0F4T
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1433...TOSHIBAXMK1059GSM_71AAP0F4TXX71AAP0F4T&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1433...TOSHIBAXMK1059GSM_71AAP0F4TXX71AAP0F4T&q={searchTerms}
    HKU\S-1-5-21-2446142602-2322439835-156324277-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://do-search.com/?type=hp&ts=14331497...mp;uid=TOSHIBAXMK1059GSM_71AAP0F4TXX71AAP0F4T
    SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?type=ds&ts=1433...TOSHIBAXMK1059GSM_71AAP0F4TXX71AAP0F4T&q={searchTerms}
    SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?type=ds&ts=1433...TOSHIBAXMK1059GSM_71AAP0F4TXX71AAP0F4T&q={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?type=ds&ts=1433...TOSHIBAXMK1059GSM_71AAP0F4TXX71AAP0F4T&q={searchTerms}
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?type=ds&ts=1433...TOSHIBAXMK1059GSM_71AAP0F4TXX71AAP0F4T&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2446142602-2322439835-156324277-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?type=ds&ts=1433...TOSHIBAXMK1059GSM_71AAP0F4TXX71AAP0F4T&q={searchTerms}
    FF SearchPlugin: C:\Users\Tomasz\AppData\Roaming\Mozilla\Firefox\Profiles\vug0hm5f.default\searchplugins\do-search.xml [2015-06-16]
    FF HKLM-x32\...\Firefox\Extensions: [searchffv2@gmail.com] - C:\Users\Tomasz\AppData\Roaming\Mozilla\Firefox\Profiles\vug0hm5f.default\extensions\searchffv2@gmail.com
    FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\Tomasz\AppData\Roaming\Mozilla\Firefox\Profiles\vug0hm5f.default\extensions\sweetsearch@gmail.com
    S2 MaintainerSvc1.20.7247763; C:\ProgramData\d2446020-ddff-402b-b064-199d2ce66b2b\maintainer.exe [128232 2015-06-24] ()
    S2 MaintainerSvc6.89.573444; C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321\maintainer.exe [128240 2015-06-24] ()
    S2 avast! Firewall; "C:\Program Files\AVAST Software\Avast\afwServ.exe" [X]
    S3 AvastVBoxSvc; "C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe" [X]
    S2 Update AdvanceElite; "C:\Program Files (x86)\AdvanceElite\updateAdvanceElite.exe" [X]
    S2 Update PodoWeb; "C:\Program Files (x86)\PodoWeb\updatePodoWeb.exe" [X]
    S2 Util PodoWeb; "C:\Program Files (x86)\PodoWeb\bin\utilPodoWeb.exe" [X]
    S1 {00c97d86-accb-4288-9972-6d929c1fe93a}Gw64; C:\Windows\System32\drivers\{00c97d86-accb-4288-9972-6d929c1fe93a}Gw64.sys [48776 2014-10-13] (StdLib)
    S1 {10e3e2da-8f7b-42cc-9f00-90007ce494b8}Gw64; C:\Windows\System32\drivers\{10e3e2da-8f7b-42cc-9f00-90007ce494b8}Gw64.sys [48832 2014-11-08] (StdLib)
    S1 {19b94dbb-e67e-43ec-827b-c943f0fc9c16}Gw64; C:\Windows\System32\drivers\{19b94dbb-e67e-43ec-827b-c943f0fc9c16}Gw64.sys [48776 2014-10-26] (StdLib)
    S1 {255a824a-3cde-4dee-9785-284605606456}Gw64; C:\Windows\System32\drivers\{255a824a-3cde-4dee-9785-284605606456}Gw64.sys [48832 2014-10-28] (StdLib)
    S1 {324e1577-96d7-407f-b1ce-1c9f8b33dad4}Gw64; C:\Windows\System32\drivers\{324e1577-96d7-407f-b1ce-1c9f8b33dad4}Gw64.sys [48784 2014-10-16] (StdLib)
    S1 {51d6aaf3-0bd7-47b0-8963-1c6f4d58b8fd}Gw64; C:\Windows\System32\drivers\{51d6aaf3-0bd7-47b0-8963-1c6f4d58b8fd}Gw64.sys [48776 2014-11-01] (StdLib)
    S1 {67f29abb-07b3-41f5-94cd-f819d7c1fc76}Gw64; C:\Windows\System32\drivers\{67f29abb-07b3-41f5-94cd-f819d7c1fc76}Gw64.sys [48784 2014-10-20] (StdLib)
    S1 {6c84eb28-66c4-4e3d-8a5a-46ab94f0575a}Gw64; C:\Windows\System32\drivers\{6c84eb28-66c4-4e3d-8a5a-46ab94f0575a}Gw64.sys [48784 2014-10-19] (StdLib)
    S1 {733fb217-c049-41ba-9504-3f2045e61977}Gw64; C:\Windows\System32\drivers\{733fb217-c049-41ba-9504-3f2045e61977}Gw64.sys [48784 2014-10-21] (StdLib)
    S1 {949aba83-1d7f-4d0b-b0ba-203450825231}Gw64; C:\Windows\System32\drivers\{949aba83-1d7f-4d0b-b0ba-203450825231}Gw64.sys [48784 2014-10-16] (StdLib)
    S1 {972b8ad0-9d6f-4688-9227-759df6914df4}Gw64; C:\Windows\System32\drivers\{972b8ad0-9d6f-4688-9227-759df6914df4}Gw64.sys [48776 2014-10-23] (StdLib)
    S1 {b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw64; C:\Windows\System32\drivers\{b0c7827f-c845-429a-833b-c2a798fc4fc3}Gw64.sys [48784 2014-10-26] (StdLib)
    S1 {d04f5c84-12ff-4486-8e31-240e7ca6e6d3}Gw64; C:\Windows\System32\drivers\{d04f5c84-12ff-4486-8e31-240e7ca6e6d3}Gw64.sys [48776 2014-10-28] (StdLib)
    S1 {dc592624-f532-4311-9fc7-6920126fc404}Gw64; C:\Windows\System32\drivers\{dc592624-f532-4311-9fc7-6920126fc404}Gw64.sys [48784 2014-10-22] (StdLib)
    S1 {f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw64; C:\Windows\System32\drivers\{f5d136d7-adc2-4c84-85b2-e564334ab0bc}Gw64.sys [48784 2014-10-23] (StdLib)
    S1 {f63e4e62-e47d-4415-9bb4-c9b1dfe161b9}Gw64; C:\Windows\System32\drivers\{f63e4e62-e47d-4415-9bb4-c9b1dfe161b9}Gw64.sys [48832 2014-11-03] (StdLib)
    S1 {fc7329ef-e953-454c-8e78-ed2cf0acb2ef}Gw64; C:\Windows\System32\drivers\{fc7329ef-e953-454c-8e78-ed2cf0acb2ef}Gw64.sys [48832 2014-10-31] (StdLib)
    S1 {fce396ae-d8d1-4789-946e-2106fbe4292b}Gw64; C:\Windows\System32\drivers\{fce396ae-d8d1-4789-946e-2106fbe4292b}Gw64.sys [48784 2014-10-18] (StdLib)
    S3 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X]
    S2 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X]
    2015-06-24 19:27 - 2015-06-24 19:27 - 01415680 _____ (wj32) C:\Program Files\PVW567BH.exe
    2015-06-24 19:26 - 2015-06-24 19:26 - 01415680 _____ (wj32) C:\Program Files\7RFZJ3RJ.exe
    2015-06-24 17:03 - 2015-06-24 17:03 - 01415680 _____ (wj32) C:\Program Files\TX04JMKJ.exe
    2015-06-24 17:02 - 2015-06-24 17:02 - 01415680 _____ (wj32) C:\Program Files\RVY259OR.exe
    2015-06-24 16:05 - 2015-06-24 16:05 - 01415680 _____ (wj32) C:\Program Files\WBFUX14S.exe
    2015-06-24 12:58 - 2015-06-24 12:58 - 01415680 _____ (wj32) C:\Program Files\EO8I2GKC.exe
    2015-06-24 12:57 - 2015-06-24 12:57 - 01415680 _____ (wj32) C:\Program Files\TXCFJY1V.exe
    2015-06-24 12:57 - 2015-06-24 12:57 - 01415680 _____ (wj32) C:\Program Files\9DSVZ2H5.exe
    2015-06-24 09:10 - 2015-06-24 09:10 - 01415680 _____ (wj32) C:\Program Files\AETW03IM.exe
    2015-06-24 09:10 - 2015-06-24 09:10 - 01415680 _____ (wj32) C:\Program Files\84843ZYA.exe
    2015-06-23 20:00 - 2015-06-23 20:00 - 01415680 _____ (wj32) C:\Program Files\KU4HR1BO.exe
    2015-06-23 12:21 - 2015-06-23 12:21 - 01415680 _____ (wj32) C:\Program Files\X047MKT6.exe
    2015-06-23 12:21 - 2015-06-23 12:21 - 01415680 _____ (wj32) C:\Program Files\R69DGVZN.exe
    2015-06-01 12:52 - 2015-02-17 11:20 - 00021040 _____ (Dll-Files.com) C:\Windows\system32\roboot64.exe
    2015-06-01 12:51 - 2015-06-01 12:51 - 05400184 _____ (Dll-Files.com ) C:\Users\Tomasz\Downloads\dffsetup-mfc110u.exe
    2015-06-01 11:08 - 2015-06-01 11:08 - 00000000 ____D C:\Users\Tomasz\AppData\Roaming\do-search
    2015-06-01 11:07 - 2015-06-01 11:07 - 00709248 _____ (Installer ) C:\Users\Tomasz\Downloads\Microsoft-Office-2013-Service-Pack-1(52554)-dp.exe


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix. Pobierz i uruchom jako administrator AdwCleaner https://toolslib.net/downloads/finish/1/ Kliknij Scan i później Cleaning.

    0
  • #7 25 Cze 2015 10:41
    Tomaszbyk
    Poziom 2  

    Zapisałem plik i w FRST uruchomiłem Fix , następnie uruchomiłem adwcleaner zrobiłem skan i następnie clean i w trakcie tego pojawiło sie znowu BlueScreen. Poniżej opis problem który pojawił się po restarcie systemu.

    Podpis problemu:
    Nazwa zdarzenia problemu: BlueScreen
    Wersja systemu operacyjnego: 6.1.7601.2.1.0.768.3
    Identyfikator ustawień regionalnych: 1045

    Dodatkowe informacje o problemie:
    BCCode: f4
    BCP1: 0000000000000003
    BCP2: FFFFFA8009C133E0
    BCP3: FFFFFA8009C136C0
    BCP4: FFFFF800035D4940
    OS Version: 6_1_7601
    Service Pack: 1_0
    Product: 768_1

    Pliki pomagające opisać problem:
    C:\Windows\Minidump\062515-32682-01.dmp
    C:\Users\Tomasz\AppData\Local\Temp\WER-126563-0.sysdata.xml

    Przeczytaj w trybie online nasze zasady zachowania poufności informacji:
    http://go.microsoft.com/fwlink/?linkid=104288&clcid=0x0415

    Jeśli zasady zachowania poufności informacji w trybie online nie są dostępne, przeczytaj nasze zasady zachowania poufności informacji w trybie offline:
    C:\Windows\system32\pl-PL\erofflps.txt

    0
  • #8 25 Cze 2015 11:14
    Acorus 20
    Spec od komputerów

    Przeskanuj programem Malwarebytes Anti-Malware http://www.malwarebytes.org/8/
    Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.
    Pokaż nowe logi z FRST.

    0
  • #10 25 Cze 2015 14:18
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    Cytat:
    CloseProcesses:
    HKU\S-1-5-21-2446142602-2322439835-156324277-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    U2 avast! Firewall; "C:\Program Files\AVAST Software\Avast\afwServ.exe" [X]
    S3 AvastVBoxSvc; "C:\Program Files\AVAST Software\Avast\ng\vbox\AvastVBoxSVC.exe" [X]
    R3 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X]
    S2 VBoxAswDrv; \??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys [X]
    2015-06-25 10:31 - 2015-06-25 10:33 - 00000000 ____D C:\AdwCleaner
    2015-06-25 10:29 - 2015-06-25 10:29 - 1415680 _____ (wj32) C:\Program Files\03IMPT8B.exe
    2015-06-24 22:05 - 2015-06-24 22:05 - 1415680 _____ (wj32) C:\Program Files\3DN0AKU1.exe
    2015-06-25 11:48 - 2015-06-25 11:48 - 1415680 _____ (wj32) C:\Program Files\EG2X8UMO.exe
    2015-06-25 10:00 - 2015-06-25 10:00 - 1415680 _____ (wj32) C:\Program Files\IMTX1U1K.exe
    2015-06-25 00:59 - 2015-06-25 00:59 - 1415680 _____ (wj32) C:\Program Files\TWBFIM1D.exe
    2015-06-25 10:00 - 2015-06-25 10:00 - 1415680 _____ (wj32) C:\Program Files\VZ26LOSR.exe
    2015-06-25 10:29 - 2015-06-25 10:29 - 1415680 _____ (wj32) C:\Program Files\Z2HLOS7J.exe
    2015-06-25 00:58 - 2015-06-25 00:58 - 1415680 _____ (wj32) C:\Program Files\Z36LPSWP.exe


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix.

    0