Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus tworzący skróty na plikach/folderach. drive.bat

madzzka_27 12 Gru 2017 12:17 267 3
  • #1 12 Gru 2017 12:17
    madzzka_27
    Poziom 2  

    Witam, zwracam się do Was po raz pierwszy, więc proszę o wyrozumiałość.

    Postaram się opisać swój problem w możliwie zrozumiały sposób. Dałam chłopakowi pendriva, aby wrzucił mi zdjęcia które miał na dysku. Po uruchomieniu pendriva na moim komputerze, okazało się, że każdy plik/folder znajdujący się na nim widnieje jako skrót. W ustawieniach folderu odznaczając opcję "pokaż ukryte foldery" mogę znaleźć te, które wcześniej miałam na pendrivie, jednak wszytkie pliki wyglądają jakoś inaczej. Plik ze zdjęciami, które otrzymałam był wcześniej skompresowany do win.rar, po jego otworzył się rejestr a na nim był komunikat "nie można odnaleźć drive.bat". Z kolei gdy chcę usunąć ten plik, wyskakuje mi powiadomienie "lokalizacja:cmd (C:WINDOWS\system32) czy na pewno usunąć" nie potwierdziłam usunięcia, ponieważ plik znajduje się na pendrivie, a źródło pokazuje na dysku, więc nie chciałam czegoś usunąć. Jestem kompletnym laikiem jeśli chodzi o sprawy systemowe, dlatego zwracam się do Was z prośbą o pomoc. Wiem, że taki problem już na forum się pojawił, jednak nie do końca rozumiałam wszystkich skrótowych zaleceń i stwierdzeń. Na ten czas przeskanowałam komputer AdwCleaner'em i Spybotem. Ikony skrótu nadal się pojawiają, nawet na plikach znajdujących się na dysku.

    Trochę poczytałam w Internecie na temat tego problemu, najprawdopodobniej jest to wirus "DRIVE.BAT".

    0 3
  • #2 12 Gru 2017 12:35
    Kolobos
    Spec od komputerów

    Nie uwazasz, ze komputery hardware to troche zly dzial? Pogotiwie Antywirusowe to wlasciwy dzial dla tego watku.

    Odinstaluj SpyBot.

    Uzyj USBFix (z podlaczonym pendrivem), opcja Clean i zamiesc w zalaczniku log, ktory sie utworzy po wykonaniu.

    Wykonaj skanowanie przy pomocy FRST, po zakonczeniu zamiesc w zalaczniku addition.txt oraz frst.txt, ktore sie utworza.

    0
  • #4 12 Gru 2017 15:05
    Kolobos
    Spec od komputerów

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Traffic Exchange (HKLM-x32\...\{92C1F287-B8A1-415C-B872-4000F57C055A}) (Version: 2.0.0 - Microleaves) Hidden <==== UWAGA

    W FRST wybierz Napraw.

    Po wykonaniu odinstaluj:
    Intel Security True Key
    McAfee Security Scan Plus
    Traffic Exchange

    Utworz nowy Fixlist.txt z taka zawartoscia:
    CloseProcesses:
    Task: {104DBA60-D415-4D9E-BF28-3C4044A0CB4E} - System32\Tasks\UserWilfulnessToastV2 => rundll32.exe PromotesElectrostatics.dll,main 7 1 <==== UWAGA
    C:\Program Files (x86)\UCBrowser\
    C:\Program Files (x86)\Microleaves\Traffic Exchange\
    Task: {1C99BEA9-C9C8-4100-9941-2625361E1BC9} - System32\Tasks\Traffic Exchange v2 - 1 => C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe <==== UWAGA
    Task: {21462A13-00CC-4BE6-81D3-78A532300807} - System32\Tasks\{B331A912-6654-4473-BD56-6E6E5F03F241} => C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files (x86)\Common Files\ZathLattech\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\ZathLattech\uninstall.dat" -a uninstallme 288BD1D5-50BE-4746-BC5D-695D4DB08099 DeviceId=39eb7cb2-7e65-ee24-e9d1-b56861965ebd BarcodeId=51198003 ChannelId=3 DistributerName=APSFWakeNet
    Task: {2984C4EF-D4E8-4C83-81E2-6E332A5A7998} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-03-08] (UC Web Inc.) <==== UWAGA
    Task: {3C198C16-22E6-4596-A312-9254B04BFD9B} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-09-23] (UCWeb Inc) <==== UWAGA
    Task: {56A8E4BA-64E9-40FD-9953-2D272B3B485A} - System32\Tasks\{FC53A374-98C7-4470-B8C9-01E8B26A8D82} => C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files (x86)\Microsoft SQL Server\110\Setup Bootstrap\SQLServer2012\x86\SetupARP.exe" -c /X86
    Task: {608F248D-CA41-4391-A200-856A9DBCF3E2} - System32\Tasks\Traffic Exchange v2 - 3 => C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe <==== UWAGA
    Task: {7F619724-AA2C-42BF-88ED-F57FCAA65320} - System32\Tasks\{58B9A90F-1C77-48C3-9C3C-465A70A529FC} => C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files (x86)\TabletPlugins\fbWTPUninstall.exe"
    Task: {A366D1A9-B233-4366-80A2-577781A91F88} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-09-23] (UCWeb Inc) <==== UWAGA
    Task: {C8C8EA4F-263E-43D0-A733-7A00F8BB2A5D} - System32\Tasks\Traffic Exchange v2 - 2 => C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe <==== UWAGA
    Task: {F69CFD03-B107-48BA-B515-1CBC6043D9FC} - System32\Tasks\UserTreasuringClitoridectomiesV2 => rundll32.exe SynergisticalDeceive.dll,main 7 1 <==== UWAGA
    Task: C:\WINDOWS\Tasks\Traffic Exchange v2 - 1.job => C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe <==== UWAGA




    Task: C:\WINDOWS\Tasks\Traffic Exchange v2 - 2.job => C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe <==== UWAGA
    Task: C:\WINDOWS\Tasks\Traffic Exchange v2 - 3.job => C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe <==== UWAGA
    Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
    Task: C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
    2017-02-13 10:31 - 2017-09-23 03:34 - 000626064 _____ () C:\Program Files (x86)\UCBrowser\Application\UCService.exe
    2015-12-18 06:04 - 2015-12-18 06:04 - 000226216 _____ () C:\Program Files\update\UpdateAgent.exe
    2017-09-29 17:25 - 2017-09-29 17:24 - 002230672 _____ () C:\Program Files (x86)\UCBrowser\Application\6.2.3637.220\UCAgent.exe
    AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444]
    AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914]
    AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458]
    Hosts:
    (McAfee, Inc.) C:\Program Files\TrueKey\McAfee.TrueKey.Service.exe
    (McAfee, Inc.) C:\Program Files\TrueKey\McTkSchedulerService.exe
    () C:\Program Files (x86)\UCBrowser\Application\UCService.exe
    () C:\Program Files\update\UpdateAgent.exe
    (McAfee, Inc.) C:\Program Files\TrueKey\McAfee.TrueKey.SmartMonitor.exe
    (© 2015 Microsoft Corporation) C:\Users\User\AppData\Local\Microsoft\BingSvc\BingSvc.exe
    () C:\Program Files (x86)\UCBrowser\Application\6.2.3637.220\UCAgent.exe
    HKLM-x32\...\RunOnce: [] => [X]
    HKU\S-1-5-21-4083925930-719653950-1869715506-1001\...\Run: [BingSvc] => C:\Users\User\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-05] (© 2015 Microsoft Corporation)
    Lsa: [Notification Packages] scecli C:\Program Files\TrueKey\McAfeeTrueKeyPasswordFilter "C:\Program Files\TrueKey\McAfeeTrueKeyPasswordFilter"
    BootExecute: autocheck autochk * sdnclean64.exe
    HKU\S-1-5-21-4083925930-719653950-1869715506-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%6...osLrAavXDQoGIU96FkggQZwU3sjvqiC4BTGQ,,&q={searchTerms}
    HKU\S-1-5-21-4083925930-719653950-1869715506-1001\Software\Microsoft\Internet Explorer\Main,Start Page =
    HKU\S-1-5-21-4083925930-719653950-1869715506-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://lenovo15.msn.com/?pc=LCTE
    HKU\S-1-5-21-4083925930-719653950-1869715506-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://mystart.lenovo.com
    BHO: True Key Helper -> {0F4B8786-5502-4803-8EBC-F652A1153BB6} -> C:\Program Files\Intel Security\True Key\MSIE\truekey_ie64.dll [2017-06-26] (Intel Security)
    BHO-x32: True Key Helper -> {0F4B8786-5502-4803-8EBC-F652A1153BB6} -> C:\Program Files\Intel Security\True Key\MSIE\truekey_ie.dll [2017-06-26] (Intel Security)
    Toolbar: HKLM - True Key - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} - C:\Program Files\Intel Security\True Key\MSIE\truekey_ie64.dll [2017-06-26] (Intel Security)
    Toolbar: HKLM-x32 - True Key - {4BAAC1B8-0800-42C9-8FA6-08B211F356B8} - C:\Program Files\Intel Security\True Key\MSIE\truekey_ie.dll [2017-06-26] (Intel Security)
    FF user.js: detected! => C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\ttqxn2yw.default\user.js [2017-02-27]
    FF Extension: (Browser Security) - C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\ttqxn2yw.default\Extensions\firefox@browser-security.de.xpi [2017-10-20]
    CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx <nie znaleziono>
    R2 TrueKey; C:\Program Files\TrueKey\McAfee.TrueKey.Service.exe [1001920 2017-06-26] (McAfee, Inc.)
    R2 TrueKeyScheduler; C:\Program Files\TrueKey\McTkSchedulerService.exe [16928 2017-06-26] (McAfee, Inc.)
    S3 TrueKeyServiceHelper; C:\Program Files\TrueKey\McAfee.TrueKey.ServiceHelper.exe [87760 2017-06-26] (McAfee, Inc.)
    R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [626064 2017-09-23] () <==== UWAGA
    R2 UpdateAgentService; C:\Program Files\update\UpdateAgent.exe [226216 2015-12-18] ()
    S2 0154991511259739mcinstcleanup; C:\WINDOWS\TEMP\015499~1.EXE -cleanup -nolog [X]
    R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) <==== UWAGA
    2017-12-11 20:39 - 2017-12-11 20:39 - 000003476 _____ C:\WINDOWS\System32\Tasks\UCBrowserSecureUpdater
    2017-12-11 20:36 - 2017-12-12 12:53 - 000000334 _____ C:\WINDOWS\Tasks\UCBrowserUpdaterCore.job
    2017-12-11 20:36 - 2017-12-11 20:36 - 000002688 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdaterCore
    2017-12-06 22:44 - 2017-12-06 22:44 - 005659763 _____ (Swearware) C:\Users\User\Downloads\ComboFix.exe
    2017-12-05 20:13 - 2017-12-12 12:46 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
    2017-12-05 20:13 - 2017-12-12 12:45 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
    2017-12-05 20:13 - 2017-12-05 20:13 - 000000000 ____D C:\WINDOWS\System32\Tasks\Safer-Networking
    2017-12-05 20:00 - 2017-12-05 20:00 - 051725936 _____ (Safer-Networking Ltd. ) C:\Users\User\Downloads\spybotsd-2.6.46.exe
    2017-11-21 11:22 - 2017-02-15 23:41 - 000000000 ____D C:\Program Files (x86)\McAfee
    2017-11-12 14:40 - 2017-07-24 22:25 - 000003526 _____ C:\WINDOWS\System32\Tasks\UCBrowserUpdater
    2017-02-13 10:29 - 2017-02-13 10:29 - 000054272 _____ () C:\Users\User\AppData\Roaming\ApplicationHosting.dat
    2017-02-13 10:29 - 2017-02-13 10:29 - 000072787 _____ () C:\Users\User\AppData\Roaming\KonHold.tst
    2017-02-13 10:29 - 2017-02-13 10:29 - 000126464 _____ () C:\Users\User\AppData\Roaming\lobby.dat
    2017-02-13 10:29 - 2017-02-13 10:29 - 001907604 _____ () C:\Users\User\AppData\Roaming\Scot-Lam.tst
    2017-02-13 10:29 - 2017-02-13 10:29 - 001938531 _____ () C:\Users\User\AppData\Roaming\Tanlex.bin
    2017-02-13 10:29 - 2017-02-13 10:29 - 000032038 _____ () C:\Users\User\AppData\Roaming\uninstall_temp.ico

    W FRST wybierz Napraw.

    Uzyj AdwCleaner, opcja Scan/Szukaj i Clean/Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    Zamiesc nowe logi z FRST, ze skanowania.

    0