Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus Removable Drive i pamięć przenośna.

cthxyz 17 Wrz 2016 10:36 747 23
  • #1 17 Wrz 2016 10:36
    cthxyz
    Poziom 5  

    Witam! Na samym początku zaznaczam, że jestem dziewczyną, która wie o komputerach tyle, co nic, więc miło byłoby gdybym dostała odpowiedź w jak najprostszym i zrozumiałym języku. Otóż mam problem z zainfekowanym pendrive'em. Chodzi o skrót "removable drive", który ukrywa wszystkie foldery i pliki i nie umiem się go pozbyć. Formatowanie i zwykłe programy antywirusowe nie działają. Bardzo zależy mi na jak najszybszym rozwiązaniu problemu. Wyjeżdżam we wtorek i pamięć przenośna jest niezbędna. I pytanie kolejne: Czy jeśli wykonałam ogólny skan komputera i oczyściłam go ze wszystkich możliwych śmieci to teraz po podłączeniu kolejnego, świeżo kupionego pendrive'a zostanie on również zainfekowany jak ten poprzedni?
    P.S. Proszę o rozwiązanie bez użycia programu USBFix, ponieważ mam problem z pobraniem go.

    0 23
  • CControls
  • CControls
  • #3 17 Wrz 2016 10:58
    cthxyz
    Poziom 5  

    Nie. Jak to zrobić?

    0
  • #5 17 Wrz 2016 11:02
    jdubowski
    Specjalista - urządzenia lampowe

    cthxyz napisał:
    Nie. Jak to zrobić?

    1. Znaleźć komputer z Linuxem jako systemem operacyjnym, albo na twoim odpalić jakiegos Knoppixa z CD
    2. Sformatować, alternatywnie po prostu usunąć szkodliwe pliki (powinny być widoczne).

    0
  • #6 17 Wrz 2016 11:08
    Kolobos
    Spec od komputerów

    @jdubowski swietna rada. Szkoda tylko, ze nie bierzesz pod uwage, ze to komputer jest zainfekowany i infekuje pendrive.

    @cthxyz niczego nie formatuj, to i tak nie pomoze.

    Odinstaluj:
    Movies Toolbar for Chrome
    YAC(Yet Another Cleaner!) (Pomin, jezeli sie nie uda)

    Uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    CloseProcesses:
    CustomCLSID: HKU\S-1-5-21-1115324672-683725379-276214280-1000_Classes\CLSID\{1FD1FE74-9E3C-4C1C-AEEB-AAB592AD770F}\localserver32 -> "C:\Users\Karolina\AppData\Local\Facebook\Update\FacebookUpdate.exe" => Brak pliku
    CustomCLSID: HKU\S-1-5-21-1115324672-683725379-276214280-1000_Classes\CLSID\{5E71E4F3-E8C7-4906-9626-973E418762B6}\InprocServer32 -> C:\Users\Karolina\AppData\Local\Facebook\Update\1.2.205.0\goopdate.dll => Brak pliku
    CustomCLSID: HKU\S-1-5-21-1115324672-683725379-276214280-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Karolina\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku
    Task: {AC0D9079-0DB6-42C7-BE6C-B6FD34DE9A2E} - System32\Tasks\{A518DF95-5179-4251-97BA-780052958EBD} => pcalua.exe -a C:\Users\Karolina\Documents\Downloads\Flash_Disinfector_www.INSTALKI.pl.exe -d C:\Users\Karolina\Documents\Downloads
    ShortcutWithArgument: C:\Users\Karolina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=14...&uid=ST320LM001XHN-M320MBB_S2TJJ9AC430657
    ShortcutWithArgument: C:\Users\Karolina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.piesearch.com/?type=sc&ts=1443...f256-7115-45d2-893a-55daf641e5dc&pid=etc1
    2015-06-11 13:42 - 2016-05-23 04:37 - 00065696 ____N () C:\Program Files\Elex-tech\YAC\zlib1.dll
    2015-06-11 13:42 - 2016-05-23 04:37 - 00179200 ____N () C:\Program Files\Elex-tech\YAC\libpng.dll
    (Elex do Brasil Participações Ltda) C:\Program Files\Elex-tech\YAC\iSafeSvc.exe
    (Elex do Brasil Participações Ltda) C:\Program Files\Elex-tech\YAC\iSafeSvc2.exe
    (Elex do Brasil Participações Ltda) C:\Program Files\Elex-tech\YAC\iSafeTray.exe




    () C:\Program Files\InterHop\InterHop.exe
    HKU\S-1-5-21-1115324672-683725379-276214280-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\msiezq.exe <===== UWAGA
    HKU\S-1-5-21-1115324672-683725379-276214280-1000\...\MountPoints2: {a4780543-6ab6-11e3-a304-b8030594f9e8} - D:\LGAutoRun.exe
    IFEO\deltatb.exe: [Debugger] tasklist.exe
    ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=14...&uid=ST320LM001XHN-M320MBB_S2TJJ9AC430657
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKU\S-1-5-21-1115324672-683725379-276214280-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910...amp;GUID=00000000-0000-0000-0000-000000000000
    HKU\S-1-5-21-1115324672-683725379-276214280-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?type=hp&ts=14...&uid=ST320LM001XHN-M320MBB_S2TJJ9AC430657
    HKU\S-1-5-21-1115324672-683725379-276214280-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
    SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=SMSTDF&pc=MASM&src=IE-SearchBox
    SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
    SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=...ND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1115324672-683725379-276214280-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
    SearchScopes: HKU\S-1-5-21-1115324672-683725379-276214280-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&ut...G6A&ts=1420373293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1115324672-683725379-276214280-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
    SearchScopes: HKU\S-1-5-21-1115324672-683725379-276214280-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=14428385...5de2908fa7612fe87d7gfz1zdo1b9ceq3taq1z&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1115324672-683725379-276214280-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://do-search.com/web/?utm_source=b&ut...G6A&ts=1420373293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1115324672-683725379-276214280-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = hxxp://do-search.com/web/?utm_source=b&ut...G6A&ts=1420373293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1115324672-683725379-276214280-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&ut...G6A&ts=1420373293&type=default&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-1115324672-683725379-276214280-1000 -> {FE64D267-48EC-4C27-BB28-F97F692D08E2} URL = hxxp://do-search.com/web/?utm_source=b&ut...G6A&ts=1420373293&type=default&q={searchTerms}
    R2 InterHop; C:\Program Files\InterHop\InterHop.exe [325352 2016-09-12] ()
    R2 iSafeService; C:\Program Files\Elex-tech\YAC\iSafeSvc.exe [118048 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnl; C:\Program Files\Elex-tech\YAC\iSafeKrnl.sys [227776 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlKit; C:\Program Files\Elex-tech\YAC\iSafeKrnlKit.sys [97912 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlMon; C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys [45032 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeKrnlR3; C:\Program Files\Elex-tech\YAC\iSafeKrnlR3.sys [73232 2016-05-23] (Elex do Brasil Participações Ltda)
    R1 iSafeNetFilter; C:\windows\System32\DRIVERS\iSafeNetFilter.sys [59152 2016-05-19] (Elex do Brasil Participações Ltda)
    R1 {442ad619-2fad-4d96-9434-49e6d1c6e280}Gw; C:\windows\System32\drivers\{442ad619-2fad-4d96-9434-49e6d1c6e280}Gw.sys [43160 2014-12-20] (StdLib)
    R1 {8fb4e628-35c6-4275-89be-ce3462febcc4}Gw; C:\windows\System32\drivers\{8fb4e628-35c6-4275-89be-ce3462febcc4}Gw.sys [43160 2014-12-28] (StdLib)
    R1 {ca6b750a-d001-404b-be03-93ff7fa91d1b}Gw; C:\windows\System32\drivers\{ca6b750a-d001-404b-be03-93ff7fa91d1b}Gw.sys [43160 2014-12-17] (StdLib)
    R1 {db4225e9-90b8-4ca5-99da-da423e504d3d}Gw; C:\windows\System32\drivers\{db4225e9-90b8-4ca5-99da-da423e504d3d}Gw.sys [43160 2014-12-18] (StdLib)
    S1 F06DEFF2-5B9C-490D-910F-35D3A9119622; \??\C:\Program Files\Movies App\Datamngr\setmgrc3.cfg [X]
    S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X]
    2016-09-13 00:18 - 2016-05-19 08:42 - 00059152 _____ (Elex do Brasil Participações Ltda) C:\windows\system32\Drivers\iSafeNetFilter.sys
    2016-09-12 23:21 - 2016-09-12 23:21 - 00000000 ____D C:\_OTL
    2016-09-12 20:36 - 2016-09-13 00:11 - 00000000 ____D C:\AdwCleaner
    2016-09-12 16:18 - 2016-09-12 16:18 - 00000000 ____D C:\Program Files\InterHop
    2016-09-12 16:18 - 2016-09-12 16:18 - 00000000 _____ C:\Users\Public\Documents\temp.dat
    2016-08-23 17:43 - 2016-08-23 17:43 - 00000000 ____D C:\Users\Karolina\AppData\Local\{2DE45779-5CAC-450C-8768-0DC47BDE1789}
    2016-02-10 16:23 - 2015-06-15 23:42 - 98334336 ___SH () C:\ProgramData\msiezq.exe
    C:\Program Files\Elex-tech\
    EmptyTemp:

    W FRST wybierz Napraw.

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • #8 17 Wrz 2016 15:04
    jdubowski
    Specjalista - urządzenia lampowe

    Kolobos napisał:
    @jdubowski swietna rada. Szkoda tylko, ze nie bierzesz pod uwage, ze to komputer jest zainfekowany i infekuje pendrive.


    To jest zdeczka inny temat - rzecz jasna "zdrowego" pendrive'a nie można ładować do "chorego" peceta.
    BTW - jak oceniasz skuteczność użycia antywirów bootowanych z zewnętrznego nośnika? IMHO Kaspersky Rescue Disk (zaktualizowany) sprawdza się doskonale.

    0
  • #9 17 Wrz 2016 16:16
    Kolobos
    Spec od komputerów

    Nie uzywaj combofix (nigdy).

    Odinstaluj WinZip

    Nowy Fixlist.txt dla FRST:
    2016-09-12 22:16 - 2016-09-12 22:19 - 00000000 ___SD C:\32788R22FWJFW

    Usun katalog C:\FRST.

    Zamiesc log z USBFix, o czym pisalem juz wczesniej.


    @jdubowski nie uzywam antywirusow, ale jak juz musze to wole przeskanowac przy pomocy cureit, chociaz kaspersky tez jest ok.

    0
  • #10 17 Wrz 2016 16:18
    cthxyz
    Poziom 5  

    Nie mogę zainstalować USBFix :(

    0
  • #12 17 Wrz 2016 16:32
    cthxyz
    Poziom 5  

    Wyświetla się takie coś po uruchomieniu i obojętnie którą opcję wybiorę przekierowuje mnie na stronę, na której odlicza na pobierania i kiedy już to zrobi nie dzieje się kompletnie nic. Można to pobrać skądś indziej?

    0
  • #14 17 Wrz 2016 16:47
    cthxyz
    Poziom 5  

    Powinno, ale nie zaczyna. Nie wiem z jakiego powodu, ale odlicza tak jak powinien tylko, że po odliczeniu nic się nie dzieje. Próbowalam kilkakrotnie i nadal bez skutku.

    0
  • #16 17 Wrz 2016 17:24
    cthxyz
    Poziom 5  

    W Internet Explorer jest ta sama sytuacja. Starsza wersja pokazuje taki sam komunikat. Nie wiem co robić. Żaden sposób nie działa. Ten cholerny program za nic nie chce się uruchomić.

    0
  • #17 17 Wrz 2016 17:30
    Kolobos
    Spec od komputerów

    Program bez problemu pobiera sie z podanej strony. Tutaj jest bezposredni link:
    https://www.freeapp-store.net/anti-malware/sosvirus/UsbFix.exe
    Jednak u mnie tez wyswietla ten komunikat, a jeszcze rano dzialala.

    Starsza wersja nie wymaga aktualizacji i dziala, przed chwila pobralem i dziala bez problemu. W zalaczniku wersja, ktora u mnie dziala.

    0
  • #18 17 Wrz 2016 17:37
    cthxyz
    Poziom 5  

    O matko, działa. Dzięki wielkie za wytrwałość. Mam zeskanować i wysłać Ci powstałe logi, tak? Zainfekowane pendrive'y mają być w tym czasie "włożone"? Folder FRST usunąć trwale czy może być w koszu?

    0
  • #19 17 Wrz 2016 17:39
    Kolobos
    Spec od komputerów

    W USBFix wybierz opcje Clean i zamiesc log, ktory sie utworzy po wykonaniu. Pendrive'y maja byc podlaczone.

    FRST usun trwale, nie bedzie juz potrzebny.

    0
  • #21 17 Wrz 2016 18:32
    Kolobos
    Spec od komputerów

    Wszystko wyglada ok.

    0
  • #22 17 Wrz 2016 18:37
    cthxyz
    Poziom 5  

    Skróty "Removable Drive" już się nie wyświetlają, więc wszystko już jest w porządku? Mogę spokojnie działać na pendrive'ach?

    0
  • Pomocny post
    #23 17 Wrz 2016 21:16
    Kolobos
    Spec od komputerów

    Tak, oczywiscie do czasu az ponownie nie podlaczysz ich do innego zainfekowanwgo komputera. Gdyby tak sie stalo to uzyj ponownie USBFix zanim cos uruchomisz z nosnika na swoim komputerze.

    0
  • #24 17 Wrz 2016 21:20
    cthxyz
    Poziom 5  

    Nie wiem jak mam Ci dziękować. Uratowałeś mi życie, bo już zdążyłam kilkanaście razy zwątpić, że mi się uda samej to załatwić. Jeśli Ci jeszcze tutaj nie płacą to powinni zacząć hahah. Jeszcze raz ogromne dzięki. Pozdrawiam.
    Wirus Removable Drive i pamięć przenośna.

    0