Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Pendrive - wirus tworzy skrót do pendrive

Majnert 24 Lis 2015 18:20 1083 8
  • #1 24 Lis 2015 18:20
    Majnert
    Poziom 8  

    Witam Was wszystkich serdecznie.
    Wczoraj przyciągnąłem z uczelnianego kompa jakiegoś wirusa, który stworzył mi na pendrive skrót do tego pendrive. Szukałem w google, szukałem także na tym forum, wszędzie każdemu doradzają na podstawie logów, z których ja nic nie jestem w stanie zrozumieć :/ Jak dotąd wszelkie problemy z komputerem udawało mi się rozwiązywać poprzez szukanie podobnych problemów w google i stosowanie się do zaleceń, jednak tu jestem bezradny.

    dodatkowo co jakieś pół minuty avast zaczął wyrzucać mi takie oto powiadomienie:
    Pendrive - wirus tworzy skrót do pendrive
    wszelkie informacje nt. disorderstatus. ru, które znalazłem, to poradniki jak to usunąć, pisane bardzo łamaną polszczyzną, więc nie robiłem nic w obawie, że może to być zwykła translacja z rosyjskiego na polski, mająca na celu tylko pogorszenie sytuacji u zarażonego

    Moglibyście chociaż rzucić okiem i spróbować pomóc? już naprawdę nie wiem co zrobić, myślałem o formatowaniu pendrive, ale potrzebne mi są dane z niego :/

    był użyty combofix,skanowanie malwarebytes, skanowanie avastem nic nie wykryło, skanowanie adwcleanerem wykryło parę plików, wszystkie zostały usunięte, jednak problem nadal pozostaje

    Log z OTL:
    http://wklej.to/e9xGK

    /EDIT
    dodaję logi z FRST

    0 8
  • Pomocny post
    #2 24 Lis 2015 19:18
    Acorus 20
    Spec od komputerów

    Podepnij pendriva. Użyj USBFix z funkcji Usuń(Clean).Pokaż z niego log.
    USBFix -Download UsbFix Windows Installer: http://www.fosshub.com/UsbFix.htmlW
    Pokaż nowe logi z FRST.

    0
  • Pomocny post
    #4 24 Lis 2015 19:44
    Acorus 20
    Spec od komputerów

    Odinstaluj Akamai NetSession Interface. Otwórz notatnik systemowy i wklej:

    Cytat:
    HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe [7214696 2011-05-25] (Realtek Semiconductor)
    HKLM-x32\...\Run: [GrooveMonitor] => C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
    HKLM-x32\...\RunOnce: [] => [X]
    HKU\S-1-5-21-3379113888-2757365818-899787692-1000\...\Run: [Akamai NetSession Interface] => C:\Users\Piotrek\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-29] (Akamai Technologies, Inc.)
    HKU\S-1-5-21-3379113888-2757365818-899787692-1000\...\Policies\Explorer: []
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-3379113888-2757365818-899787692-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKU\S-1-5-21-3379113888-2757365818-899787692-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    S3 catchme; \??\C:\ComboFix\catchme.sys [X]
    S3 WinPhLdrNT; \??\C:\Users\Piotrek\AppData\Local\Temp\PhLdrX64.SYS [X]
    2015-11-24 17:40 - 2015-11-24 17:40 - 00025883 _____ C:\ComboFix.txt
    2015-11-24 17:25 - 2011-06-26 07:45 - 00256000 _____ C:\Windows\PEV.exe
    2015-11-24 17:25 - 2010-11-07 18:20 - 00208896 _____ C:\Windows\MBR.exe
    2015-11-24 17:25 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
    2015-11-24 17:25 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
    2015-11-24 17:25 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
    2015-11-24 17:25 - 2000-08-31 01:00 - 00098816 _____ C:\Windows\sed.exe
    2015-11-24 17:25 - 2000-08-31 01:00 - 00080412 _____ C:\Windows\grep.exe
    2015-11-24 17:25 - 2000-08-31 01:00 - 00068096 _____ C:\Windows\zip.exe
    2015-11-24 17:24 - 2015-11-24 17:40 - 00000000 ____D C:\Qoobox
    2015-11-24 17:57 - 2015-07-18 12:58 - 00000000 ____D C:\AdwCleaner
    C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #5 24 Lis 2015 20:06
    Majnert
    Poziom 8  

    Bardzo Ci dziękuję dobry człowieku, wszystko śmiga, dane uratowane :)

    Nie wiem jak mogę Ci się odwdzięczyć, nie wiem też co to są te punkty, ale dałem Ci wszystkie jakie tylko miałem :)

    0
  • #6 24 Lis 2015 20:20
    Acorus 20
    Spec od komputerów

    Skasuj folder C:\FRST.

    0
  • #7 24 Lis 2015 20:26
    Majnert
    Poziom 8  

    wyskakuje mi powiadomienie "aby usunąć ten folder musisz mieć uprawnienia administratora" mimo, że na komputerze istnieje jedno konto, właśnie administratora. jak temu zaradzić?

    0
  • Pomocny post
    #8 24 Lis 2015 20:37
    Acorus 20
    Spec od komputerów

    Otwórz notatnik systemowy i wklej:

    DeleteQuarantine:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
    Skasuj folder C:\FRST.

    0
  • #9 24 Lis 2015 20:41
    Majnert
    Poziom 8  

    pomogło :) dziękuję jeszcze raz

    0