Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Skrót na pendrive do pendrive i jakieś trojany

sebek1516 16 Maj 2016 01:18 522 8
  • #1 16 Maj 2016 01:18
    sebek1516
    Poziom 7  

    Wirus przywleczony z uczelni. Tworzy na pendrive skrót do tego właśnie pendrive i dopiero po wejściu w skrót można przeglądać zawartość. AVG nic nie znajduje. Avast usunął ale tylko z pendrive a utrzymuje, że komputer czysty. ADWcleaner nie widzi nic.
    Ponadto: czy wirusy przenoszą się w plikach zip, rar, iso?

    0 8
  • CControls
  • Pomocny post
    #2 16 Maj 2016 01:32
    humbel
    Poziom 23  

    Avast bardziej szkodzi niż naprawia, polecam zmienić na NOD32. Co do usuwania takiego ustrojstwa polecam Anti Malware Byte albo Ad-aware professional.

    0
  • CControls
  • #3 16 Maj 2016 01:34
    sebek1516
    Poziom 7  

    Anti-Malware znalazło 11 zagrożeń, usunąłem. Obecnie nic nie odnajduje, ale wirus jest. Sprawdzę Ad-aware prof

    0
  • Pomocny post
    #4 16 Maj 2016 07:55
    Kolobos
    Spec od komputerów

    Uzyj USBFix opcja Clean, po uzyciu zamiesc log.

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    Task: {2448E9E4-FA35-466B-BFFF-AA0DDBF57C17} - System32\Tasks\{68D20E8A-E3D8-476F-8B5A-CAD8F5E2D91C} => C:\NCSEXPER\BIN\NCSEXPER.EXE [2002-10-04] ()
    Task: {39B826D4-B11B-4B8C-A0AC-5B678C844647} - System32\Tasks\{A563F115-09C2-4E20-8416-3D502EB3802C} => C:\Users\Samsung\Downloads\RegCleaner4.3.0.780_www.INSTALKI.pl.exe [2016-05-15] ()
    Task: {5DEBD8BD-8A15-4015-851D-E52A077F0CEC} - System32\Tasks\{037F3222-F837-4E43-8AC2-9F5C4B831348} => pcalua.exe -a D:\inpa1002\Programminstallation\setup.exe -d D:\inpa1002\Programminstallation
    Task: {702B29C0-A7C4-4D67-B4AF-26B1F9125B1A} - System32\Tasks\{93E8DEC1-9E2A-4930-AA07-59DF682772ED} => C:\NCSEXPER\BIN\NCSEXPER.EXE [2002-10-04] ()
    Task: {A0D75DE6-1055-4C24-BCA9-1E56D00D0BE9} - System32\Tasks\{EAC7C48A-E6EB-4D75-B892-70202B98AE0E} => C:\NCSEXPER\BIN\NCSEXPER.EXE [2002-10-04] ()
    Task: {A753CAE8-4D32-4D36-8FE7-3B46FDD190BB} - System32\Tasks\{DE4381F9-3081-44C9-85CE-8B55AA00C097} => C:\NCSEXPER\BIN\NCSEXPER.EXE [2002-10-04] ()
    HKU\S-1-5-21-2203863714-758779379-3867393093-1000\...\Run: [{CB7B35E4-6768-48C1-A9A7-6E5561AF5EE8}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\IFPYUYPIMWNC').eLYpo)));
    HKU\S-1-5-21-2203863714-758779379-3867393093-1000\...\MountPoints2: {026ad940-3529-11e5-b5be-001bb1d4dda3} - H:\AutoRun.exe
    HKU\S-1-5-21-2203863714-758779379-3867393093-1000\...\MountPoints2: {026ad955-3529-11e5-b5be-001bb1d4dda3} - H:\AutoRun.exe
    HKU\S-1-5-21-2203863714-758779379-3867393093-1000\...\MountPoints2: {6adb2575-7db4-11e5-aaa8-001bb1d4dda3} - H:\Launch.exe
    HKU\S-1-5-21-2203863714-758779379-3867393093-1000\...\MountPoints2: {8c4d9b40-83d0-11e5-9950-001bb1d4dda3} - I:\Launch.exe
    HKU\S-1-5-21-2203863714-758779379-3867393093-1000\...\MountPoints2: {8c4d9b4a-83d0-11e5-9950-001bb1d4dda3} - J:\Launch.exe
    HKU\S-1-5-21-2203863714-758779379-3867393093-1000\...\MountPoints2: {bb8bbd40-f8f9-11e4-9e6d-806e6f6e6963} - F:\Launch.exe
    HKU\S-1-5-21-2203863714-758779379-3867393093-1000\...\MountPoints2: {bb8bbd41-f8f9-11e4-9e6d-806e6f6e6963} - G:\Launch.exe
    CHR StartupUrls: Default -> "hxxp://www.yoursearching.com/?type=hp&ts=1456250928&z=0332cd603dcde790dd5575bgfzdw6q2odw0edt2cdg&from=free&uid=ST3500418AS_9VMRB48GXXXX9VMRB48G","hxxp://www.yessearches.com/?mode=nnnb&ptid=sqr1&uid=F522B6E288981E1413007DFEE959836B&v=20160202&ts=AHEpBX8qB30kAk.."
    CHR DefaultSearchURL: Default -> hxxp://yoursearching.com/web?type=ds&ts=1...p;uid=ST3500418AS_9VMRB48GXXXX9VMRB48G&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> yoursearching
    CHR HKU\S-1-5-21-2203863714-758779379-3867393093-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
    U3 afm0nbt6; C:\Windows\System32\Drivers\afm0nbt6.sys [0 ] (Microsoft Corporation) <==== UWAGA (zerobajtowy plik/folder)
    R4 AVGIDSHA; system32\DRIVERS\avgidsha.sys [X]
    R4 Avgrkx64; system32\DRIVERS\avgrkx64.sys [X]
    R4 Avgtdia; system32\DRIVERS\avgtdia.sys [X]
    R4 avguniva; system32\DRIVERS\avguniva.sys [X]
    2016-05-16 00:02 - 2016-05-16 00:11 - 00000000 ____D C:\Program Files (x86)\RegCleaner
    2016-05-16 00:01 - 2016-05-16 00:01 - 00002996 _____ C:\Windows\System32\Tasks\{A563F115-09C2-4E20-8416-3D502EB3802C}
    2016-05-15 23:57 - 2016-05-15 23:57 - 00553687 _____ C:\Users\Samsung\Downloads\RegCleaner4.3.0.780_www.INSTALKI.pl.exe
    2016-05-15 23:49 - 2016-05-16 00:02 - 00000958 _____ C:\Users\Samsung\Desktop\RegCleaner.lnk
    2016-05-15 23:48 - 2016-05-15 23:48 - 00553687 _____ C:\Users\Samsung\Downloads\RegCleaner(dobreprogramy.pl).exe
    2016-04-21 09:58 - 2016-05-16 00:08 - 00000000 ____D C:\AdwCleaner
    2016-05-16 00:28 - 2015-05-13 01:01 - 00000000 ____D C:\Program Files (x86)\Smart File Advisor
    2015-05-08 00:49 - 2010-11-20 14:17 - 80363520 ___SH (Kyriba) C:\ProgramData\msqbvkti.exe
    EmptyTemp:

    W FRST wybierz Napraw.

    Usun katalog C:\FRST.

    0
  • #6 16 Maj 2016 13:27
    Kolobos
    Spec od komputerów

    Wszystko wygalada ok. Oczywiscie po ponownym podlaczeniu pendrive'a do zainfekowanego komputera bedziesz musial uzyc USBFix.

    0
  • #7 16 Maj 2016 15:27
    sebek1516
    Poziom 7  

    Dziękuję za pomoc.
    Czy na formatowanym pendrive mógł się zachować wirus?

    0
  • #8 16 Maj 2016 17:31
    Kolobos
    Spec od komputerów

    Nie, o ile oczywiscie formatowales na komputerze, ktory nie byl zainfekowany.

    0
  • #9 17 Maj 2016 22:47
    sebek1516
    Poziom 7  

    Problem zażegnany.
    Skrót na pendrive do pendrive i jakieś trojany

    0