Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus pakuje pliki z pamięci USB do folderów i tworzy skrót.

florcio 19 Mar 2016 10:05 885 9
  • #1 19 Mar 2016 10:05
    florcio
    Poziom 3  

    Witam, mam problem, ponieważ za każdym razem gdy podłączam do mojego laptopa pamięci flash USB, to wszystkie pliki z USB zostają tak jakby spakowane do folderu i tworzy się skrót do tego folderu.
    Przepraszam, że tak niejasno napisałem, ale nie wiem jak to wytłumaczyć.

    Jak na zdjęciu:
    Wirus pakuje pliki z pamięci USB do folderów i tworzy skrót.

    Z plikami ukrytymi:
    Wirus pakuje pliki z pamięci USB do folderów i tworzy skrót.

    Dzieje się tak z każdą pamięcią podłączoną do laptopa. Wirus przeszedł z laptopa siostry poprzez pendrive.

    Antywirus co chwilę wyświetla takie powiadomienia:
    Wirus pakuje pliki z pamięci USB do folderów i tworzy skrót.

    Lecz skanowanie nic nie daje.
    System to 32 bitowy Windows 7.
    Proszę o pomoc.

    0 9
  • CControls
  • #2 19 Mar 2016 10:08
    Kolobos
    Spec od komputerów

    Uzyj USBFix opcja Clean. Zamiesc w zalaczniku logi z FRST.

    0
  • CControls
  • #4 19 Mar 2016 11:59
    Kolobos
    Spec od komputerów

    > Zamiesc w zalaczniku logi z FRST.

    0
  • Pomocny post
    #6 19 Mar 2016 12:16
    Kolobos
    Spec od komputerów

    Obok frst.exe utworz plik fixlist.txt:
    F:\desktop.ini
    Task: {BE096818-7753-4840-B73B-6D6233798B0E} - System32\Tasks\{323B53AE-E49B-48B9-960C-3290C6AC964C} => pcalua.exe -a C:\Users\W7\Desktop\flash-disinfector-.exe -d C:\Users\W7\Desktop
    HKLM\...\RunOnce: [] => [X]
    HKU\S-1-5-21-3368165669-56568214-2788993576-1000\...\MountPoints2: {087f3d1b-bc64-11e5-b0f6-74de2b7dd835} - G:\SETUP.EXE
    CHR StartupUrls: Default -> "hxxp://rts.dsrlte.com?affID=pr_f047897c-4bd4-4445-bf7c-2a7ed169fe81"
    CHR DefaultSearchURL: Default -> hxxp://rts.dsrlte.com?affID=pr_f047897c-4bd4-4445-bf7c-2a7ed169fe81&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> dsrlte.com
    CHR DefaultNewTabURL: Default -> hxxp://rts.dsrlte.com?affID=pr_f047897c-4bd4-4445-bf7c-2a7ed169fe81
    EmptyTemp:

    W FRST wybierz Napraw.

    W USBFix wybierz Vaccinate.


    Usun katalog C:\FRST i to wszystko.

    Po ponownym zainfekowaniu nosnika nie uruchamiaj zainfekowanego skrotu tylko uzyj USBFix.

    0
  • Pomocny post
    #8 19 Mar 2016 14:09
    Acorus 20
    Spec od komputerów

    Odinstaluj GeekBuddy. Otwórz notatnik systemowy i wklej:

    Cytat:
    Task: {117087D0-D770-4760-97ED-001471A04588} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-03-16] ()
    Task: {752B1697-6EC5-4C27-BDCC-A1E5CC6D901F} - System32\Tasks\ShopperPro => C:\Program Files (x86)\ShopperPro\ShopperPro.exe <==== UWAGA
    ShortcutWithArgument: C:\Users\Kamila\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://mmotraffic.com/catalog/goplay/1000932/...k_id=7f4c53f47143bbc9551607c6fa83fb5298f6f482
    HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [1085656 2016-01-14] (Adobe Systems Incorporated)
    HKLM-x32\...\Run: [] => [X]
    HKLM-x32\...\Run: [tvncontrol] => C:\Program Files (x86)\Common Files\COMODO\GeekBuddyRSP.exe [2473472 2016-03-03] (Comodo Security Solutions, Inc.)
    HKLM-x32\...\RunOnce: [] => [X]
    HKU\S-1-5-21-4285328691-1066967411-3889393835-1000\...\Run: [Akamai NetSession Interface] => C:\Users\Kamila\AppData\Local\Akamai\netsession_win.exe [4673432 2014-12-05] (Akamai Technologies, Inc.)
    HKU\S-1-5-21-4285328691-1066967411-3889393835-1000\...\Policies\Explorer: []
    HKU\S-1-5-21-4285328691-1066967411-3889393835-1000\...\MountPoints2: {475c2124-eb87-11e5-8c32-645a04bf08c2} - E:\setup.exe
    HKU\S-1-5-21-4285328691-1066967411-3889393835-1000\...\MountPoints2: {da2de3ce-30fc-11e5-bf58-645a04bf08c2} - F:\setup.exe
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.sweet-page.com/?type=hp&ts=143...om=cor&uid=PLEXTORXPX-128M6S_P02443108418
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.sweet-page.com/?type=hp&ts=143...om=cor&uid=PLEXTORXPX-128M6S_P02443108418
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts...amp;uid=PLEXTORXPX-128M6S_P02443108418&q={searchTerms}




    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts...amp;uid=PLEXTORXPX-128M6S_P02443108418&q={searchTerms}
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=143...om=cor&uid=PLEXTORXPX-128M6S_P02443108418
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=143...om=cor&uid=PLEXTORXPX-128M6S_P02443108418
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts...amp;uid=PLEXTORXPX-128M6S_P02443108418&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts...amp;uid=PLEXTORXPX-128M6S_P02443108418&q={searchTerms}
    HKU\S-1-5-21-4285328691-1066967411-3889393835-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...cfomItH5L38xaxxzCtb2GkamhDrEVRQCOlm2mZ&q={searchTerms}
    HKU\S-1-5-21-4285328691-1066967411-3889393835-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...ceWAyFKGVwwvhu6pMEq2zkrgtlw6pl63i0O0rjTeps38C
    HKU\S-1-5-21-4285328691-1066967411-3889393835-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.sweet-page.com/?type=hp&ts=143...om=cor&uid=PLEXTORXPX-128M6S_P02443108418
    HKU\S-1-5-21-4285328691-1066967411-3889393835-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...cfomItH5L38xaxxzCtb2GkamhDrEVRQCOlm2mZ&q={searchTerms}
    HKU\S-1-5-21-4285328691-1066967411-3889393835-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...cfomItH5L38xaxxzCtb2GkamhDrEVRQCOlm2mZ&q={searchTerms}
    SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts...amp;uid=PLEXTORXPX-128M6S_P02443108418&q={searchTerms}
    SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts...amp;uid=PLEXTORXPX-128M6S_P02443108418&q={searchTerms}
    SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
    SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...cfomItH5L38xaxxzCtb2GkamhDrEVRQCOlm2mZ&q={searchTerms}
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts...amp;uid=PLEXTORXPX-128M6S_P02443108418&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-4285328691-1066967411-3889393835-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.sweet-page.com/web/?type=ds&ts...amp;uid=PLEXTORXPX-128M6S_P02443108418&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-4285328691-1066967411-3889393835-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%...cfomItH5L38xaxxzCtb2GkamhDrEVRQCOlm2mZ&q={searchTerms}
    BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro64.dll [2014-12-15] (Goobzo Ltd.)
    BHO-x32: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro.dll => Brak pliku
    FF NewTab: C:\\ProgramData\\Quotenamrons\\ff.NT
    FF DefaultSearchEngine: findit
    FF SelectedSearchEngine: sweet-page
    FF Extension: Search Enginer - C:\Users\Kamila\AppData\Roaming\Mozilla\Firefox\Profiles\y2mlguc1.default\Extensions\1431467058_xpi [2015-05-12] [Brak podpisu cyfrowego]
    FF Extension: deskCut - C:\Users\Kamila\AppData\Roaming\Mozilla\Firefox\Profiles\y2mlguc1.default\Extensions\1438079557_xpi [2015-07-28] [Brak podpisu cyfrowego]
    CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx
    S2 Winsere; C:\Program Files (x86)\Winsere\Winsere\Winsere.exe [306736 2016-03-16] ()
    S3 Origin Client Service; "E:\Dawid\ORIGIN\OriginClientService.exe" [X]
    R1 {0263559b-b988-4803-b082-70c1d2b89830}Gw64; C:\Windows\System32\drivers\{0263559b-b988-4803-b082-70c1d2b89830}Gw64.sys [48784 2014-12-05] (StdLib)
    R1 {46b9091e-deda-48d8-b979-0464193d69d5}Gw64; C:\Windows\System32\drivers\{46b9091e-deda-48d8-b979-0464193d69d5}Gw64.sys [48784 2014-12-09] (StdLib)
    R1 {8ebaa931-88d7-49c0-80c5-891f3623134f}Gw64; C:\Windows\System32\drivers\{8ebaa931-88d7-49c0-80c5-891f3623134f}Gw64.sys [48784 2014-12-07] (StdLib)
    R1 {a41197ef-0b95-4642-a2a8-7ab88e13264c}Gw64; C:\Windows\System32\drivers\{a41197ef-0b95-4642-a2a8-7ab88e13264c}Gw64.sys [48784 2014-12-13] (StdLib)
    S3 GENERICDRV; \??\E:\aaaaaaaaa\amifldrv64.sys [X]
    S2 SPDRIVER_1.38.0.1425; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1.38.0.1425\jsdrv.sys [X]
    2016-03-16 23:17 - 2016-03-17 14:47 - 00000000 ____D C:\Program Files (x86)\SearchesToYesbnd
    2016-03-16 23:17 - 2016-03-16 23:17 - 00000000 ____D C:\Users\Kamila\AppData\Roaming\Mathsoft
    2016-03-16 23:17 - 2016-03-16 23:17 - 00000000 ____D C:\Program Files (x86)\WinTaske
    2016-03-16 23:17 - 2016-03-16 23:17 - 00000000 ____D C:\Program Files (x86)\Winsere
    2016-03-16 23:16 - 2016-03-16 23:16 - 06493696 _____ C:\Users\Kamila\AppData\Roaming\agent.dat
    2016-03-16 23:16 - 2016-03-16 23:16 - 01621967 _____ C:\Users\Kamila\AppData\Roaming\Stim-Cof.tst
    2016-03-16 23:16 - 2016-03-16 23:16 - 00761856 _____ C:\Users\Kamila\AppData\Roaming\Stim-Cof.exe
    2016-03-16 23:16 - 2016-03-16 23:16 - 00400445 _____ C:\Users\Kamila\AppData\Roaming\Zootax.bin
    2016-03-16 23:16 - 2016-03-16 23:16 - 00127488 _____ C:\Users\Kamila\AppData\Roaming\Installer.dat
    2016-03-16 23:16 - 2016-03-16 23:16 - 00126464 _____ C:\Users\Kamila\AppData\Roaming\noah.dat
    2016-03-16 23:16 - 2016-03-16 23:16 - 00064848 _____ C:\Users\Kamila\AppData\Roaming\Config.xml
    2016-03-16 23:16 - 2016-03-16 23:16 - 00018432 _____ C:\Users\Kamila\AppData\Roaming\Main.dat
    2016-03-16 23:16 - 2016-03-16 23:16 - 00014256 _____ C:\Users\Kamila\AppData\Roaming\InstallationConfiguration.xml
    2016-03-16 23:16 - 2016-03-16 23:16 - 00005568 _____ C:\Users\Kamila\AppData\Roaming\md.xml
    2016-03-16 23:16 - 2016-03-16 23:16 - 00000000 ____D C:\ProgramData\Quotenamrons
    2016-03-16 23:15 - 2016-03-16 23:15 - 01012630 _____ (Rohetag ) C:\Users\Kamila\Downloads\DAEMON-Tools-Lite-12708-dp.exe
    C:\ProgramData\msvjsbro.exe


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
    Pobierz i uruchom jako administrator AdwCleaner https://toolslib.net/downloads/finish/1/ Kliknij Scan i później Cleaning.

    0
  • Pomocny post
    #9 19 Mar 2016 15:56
    Kolobos
    Spec od komputerów

    @florcio nie mozna.

    0
  • #10 19 Mar 2016 16:24
    florcio
    Poziom 3  

    Ok dzięki wszystkim temat do zamknięcia :)

    0