Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

- Wirus tworzący skróty na pendrive

rfael 02 Mar 2017 17:05 297 5
  • #1 02 Mar 2017 17:05
    rfael
    Poziom 2  

    Po podłączeniu do komputera pendrive, tworzy się na nim skrót do katalogu "all new files" usuwanie go czy formatowanie pendriva nie pomaga, dzieje się to niezależnie jaki pendrive podłączam. Podejrzewam że przyniosłem to z jakiegoś punktu ksero i nie mogę się tego pozbyć, skanowanie i wyszukiwanie problemów Avastem nie pomogło. W załączniku przesyłam logo i proszę o pomoc.

    0 5
  • Pomocny post
    #2 02 Mar 2017 18:21
    Kolobos
    Spec od komputerów

    Podlacz zainfekowane nosniki i uzyj USBFix, opcja Clean:
    https://www.usb-antivirus.com/download/usbfix/



    Wykonaj Fixlist.txt dla FRST:
    Task: {0D604DFD-86E1-4A3D-914C-80F132DFC50D} - System32\Tasks\{FCCFE3E8-30A6-4EA5-9095-9723E0CF5265} => pcalua.exe -a G:\demo32.exe -d G:\
    Task: {3CA56CAE-D68E-4405-9FD2-BAA8B1527F57} - System32\Tasks\{432124C1-2CF0-45E0-AEEA-49E232168FB5} => C:\Users\rafal\Downloads\bmp2c\bmp2c\bmp2c\bmp2c.exe [2007-09-10] (nimp software)
    Task: {4B3E73AA-5D8A-4C5F-A00A-B6DC7D513901} - System32\Tasks\{04063FFE-2A7A-404B-AD28-336805978070} => C:\Users\rafal\Downloads\Propox_USB_Drivers_CDM_2.04.06_Setup.exe
    Task: {5FC55E2B-62CA-423C-A844-9FC11F7B3C86} - System32\Tasks\{5F0F3175-23E7-438E-ACCB-95B332BBA2BC} => C:\Users\rafal\Downloads\bmp2c\bmp2c\bmp2c\bmp2c.exe [2007-09-10] (nimp software)
    Task: {7D20FF2E-F82A-4414-AD0A-8B613701EA2D} - System32\Tasks\{E78D6ABB-D263-429E-9337-E549615ECDD2} => pcalua.exe -a G:\dsp_builder\dsp_builder.exe -d G:\dsp_builder
    Task: {85C2C0F3-FFCE-4FF1-BA8D-487A8A410654} - System32\Tasks\{28E28923-C606-4478-8A24-05E8167E3E25} => pcalua.exe -a F:\Altera_Debug_Client\setup.exe -d F:\Altera_Debug_Client
    Task: {8B81B0FD-40ED-492B-BAD4-4863D5982A60} - System32\Tasks\{0D001621-A1B8-4316-81BE-0E87E798E84D} => pcalua.exe -a "C:\Users\rafal\Downloads\Nowy folder\10.0sp1_quartus_free_windows\setup.exe" -d "C:\Users\rafal\Downloads\Nowy folder\10.0sp1_quartus_free_windows"
    Task: {CBE77D45-E250-4B55-B0BA-458DB95EEB78} - System32\Tasks\{2C0A0436-CADB-4190-B192-D4F6EFED2F7E} => pcalua.exe -a G:\ip\setup.exe -d G:\ip
    Task: {CC13EAA9-F2B3-4CAB-BB41-B2E75DA14FAA} - System32\Tasks\WindowsUpda2ta => C:\Users\rafal\AppData\Roaming\MICROSOFT\home.vbe [2016-08-01] () <==== UWAGA
    Task: {CC2B981E-9C56-44C6-9BAC-29DC03E630ED} - System32\Tasks\{042FAFFB-8903-4B9B-B381-1445D532CFC8} => C:\Users\rafal\Downloads\flip-2_4_6\flip-2_4_6\SETUP.EXE
    Task: {F19D5342-185E-4DCD-B9B9-7052697952B9} - System32\Tasks\Opera scheduled Autoupdate 1448921119 => C:\Program Files (x86)\Opera\launcher.exe [2017-02-27] (Opera Software)
    2017-03-02 16:20 - 2017-03-02 16:23 - 148437944 _____ () C:\Users\rafal\AppData\Local\Temp\scoped_dir3752_1798\launch.exe
    2017-03-02 16:26 - 2017-03-02 16:26 - 02365528 _____ () C:\Users\rafal\AppData\Local\Temp\F5F963A-C4BBFA00-F07C9202-80BECF8B\scu71PoWhNki4.exe
    2017-03-02 16:26 - 2017-03-02 16:26 - 07495400 _____ () C:\Users\rafal\AppData\Local\Temp\F5F963A-C4BBFA00-F07C9202-80BECF8B\fuyj162Klnso.exe
    2017-03-02 16:26 - 2017-03-02 16:26 - 00705808 _____ () C:\Users\rafal\AppData\Local\Temp\F5F963A-C4BBFA00-F07C9202-80BECF8B\MyZ2TeFUylRNqM.exe
    Hosts:
    HKLM-x32\...\Run: [DLLSuite2016] => D:\Program Files (x86)\DLL Suite\DLLSuite.exe
    HKU\S-1-5-21-2895266005-2930816900-184583717-1000\...\MountPoints2: {0b73832d-d76b-11e5-90f3-201a069b2698} - F:\AutoRun.exe




    HKU\S-1-5-21-2895266005-2930816900-184583717-1000\...\MountPoints2: {0b73832f-d76b-11e5-90f3-201a069b2698} - G:\install.exe
    HKU\S-1-5-21-2895266005-2930816900-184583717-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-03022017162258092\...\MountPoints2: {0b73832d-d76b-11e5-90f3-201a069b2698} - F:\AutoRun.exe
    HKU\S-1-5-21-2895266005-2930816900-184583717-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-03022017162258092\...\MountPoints2: {0b73832f-d76b-11e5-90f3-201a069b2698} - G:\install.exe
    HKU\S-1-5-21-2895266005-2930816900-184583717-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-03022017162628192\...\MountPoints2: {0b73832d-d76b-11e5-90f3-201a069b2698} - F:\AutoRun.exe
    HKU\S-1-5-21-2895266005-2930816900-184583717-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-03022017162628192\...\MountPoints2: {0b73832f-d76b-11e5-90f3-201a069b2698} - G:\install.exe
    Startup: C:\Users\rafal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe [2016-08-01] ()
    C:\Users\rafal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe
    GroupPolicy: Ograniczenia <======= UWAGA
    S3 BTCFilterService; system32\DRIVERS\motfilt.sys [X]
    S3 dbx; system32\DRIVERS\dbx.sys [X]
    R4 kl1; system32\DRIVERS\kl1.sys [X]
    R4 KLIF; system32\DRIVERS\klif.sys [X]
    R4 kltdi; system32\DRIVERS\kltdi.sys [X]
    R4 kneps; system32\DRIVERS\kneps.sys [X]
    S3 motandroidusb; System32\Drivers\motoandroid.sys [X]
    S3 motccgp; system32\DRIVERS\motccgp.sys [X]
    S3 MotoSwitchService; system32\DRIVERS\motswch.sys [X]
    S3 Motousbnet; system32\DRIVERS\Motousbnet.sys [X]
    S3 motusbdevice; system32\DRIVERS\motusbdevice.sys [X]
    U2 V2iMount; Brak ImagePath
    2017-03-02 16:00 - 2017-03-02 16:01 - 21289424 _____ ( ) C:\Users\rafal\Downloads\DLLSuite.exe
    2017-03-02 14:36 - 2017-03-02 14:38 - 00000000 ____D C:\AdwCleaner
    2017-03-01 23:16 - 2017-03-01 23:16 - 00000000 ____D C:\Users\rafal\Downloads\SpyHunter 4.23.2.4686 Crack Lang PL
    2017-03-01 23:14 - 2017-03-01 23:15 - 61016440 _____ C:\Users\rafal\Downloads\SpyHunter 4.23.2.4686 Crack Lang PL.7z
    2017-03-01 22:06 - 2017-03-01 22:06 - 00000000 _____ C:\autoexec.bat
    2017-03-01 22:03 - 2017-03-01 22:03 - 04615856 _____ (Enigma Software Group USA, LLC.) C:\Users\rafal\Downloads\A601.tmp
    2017-03-01 17:07 - 2017-03-01 17:07 - 00003278 _____ C:\Windows\System32\Tasks\WindowsUpda2ta
    2017-03-01 17:07 - 2016-08-01 11:52 - 00114148 ___SH C:\Users\rafal\AppData\Roaming\home.vbe
    2017-03-01 17:07 - 2016-08-01 11:52 - 0114148 ___SH () C:\Users\rafal\AppData\Roaming\home.vbe
    2017-03-01 17:07 - 2016-08-01 11:52 - 0114148 ___SH () C:\Users\rafal\AppData\Roaming\Microsoft\home.vbe
    EmptyTemp:

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • #4 02 Mar 2017 22:53
    Kolobos
    Spec od komputerów

    Fixlog jest zbedny.

    Miales wykonac:
    > Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • Pomocny post
    #6 02 Mar 2017 23:10
    Kolobos
    Spec od komputerów

    Wyglada ok. Usun katalog C:\FRST i to wszystko.

    0