Wirus na usb tworzy skrot "my videos 18+"

**Posty:** 5 · przez **raczek22** 28 Sty 2016, 03:42

Witam
Tak jak w temacie mam problem z wirusem ktory przez usb zainfekowal moj komputer. Wiem ze byly juz takie tematy ale nie znam sie na logach itp wiec sam sobie z tym nie poradze.

OTL.Txt: (167.12 KiB) Ściągnięto 40 razy

UsbFix_Report.txt: (119.29 KiB) Ściągnięto 34 razy

Zamieszczam te skany. Jestem zielony wiec bylbym wdzieczny gdyby ktos wytlumaczyl mi krok po kroku jak pozbyc sie tego wirusa.

Pozdrawiam

**Posty:** 4765 · przez **ordynat** 28 Sty 2016, 09:42

Sądząc po logu z USBFixa, to sprawa jest już załatwiona, infekcja usunięta.

[28/01/2016 - 00:57:36 | D] - D:\My videos 18

Jeśli to nie Twój folder, to usuń go ręcznie.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {ielnksrch}
IE - HKLM\..\SearchScopes\ielnksrch: "URL" = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csucVbd-blD4vtRNBjKUPZNIMcVtxEBFwCkkY4U_ui43CIFffh_PdfuEswrPOo2P-U6Afu-zphOwIhRGilGbW0stWApXx5TyqET9IT1_WZTjTuBcDXaTn5-tHtxjp_F3WED8AAZQ2GVxoQ,,&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csucVbd-blD4vtRNBjKUPZNIMcVtxEBFwCkkY4U_ui43CIFffh_PdfuEswrPOo2P-U6Afu-zphOwIhRGilGbW0stWApXx5TyqET9IT1_WZTjTuBcDXaTn5-tHtxjp_F3WED8AAZQ2GVxoQ,,&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csucVbd-blD4vtRNBjKUPZNIMcVtxEBFwCkkY4U_ui43CIFffh_PdfuEswrPOo2P-U6Afu-zphOwIhRGilGbW0stWApXx5TyqET9IT1_WZTjTuBcDXaTn5-tHtxjp_F3WED8AAZQ2GVxoQ,,&q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csucVbd-blD4vtRNBjKUPZNIMcVtxEBFwCkkY4U_ui43CIFffh_PdfuEswrPOo2P-U6Afu-zphOwIhRGilGbW0stWApXx5TyqET9IT1_WZTjTuBcDXaTn5-tHtxjp_F3WED8AAZQ2GVxoQ,,&q={searchTerms}
IE - HKCU\..\SearchScopes,DefaultScope = {1A95DC8F-4A6D-4938-B715-50B59B516306}
IE - HKCU\..\SearchScopes\{ielnksrch}: "URL" = http://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csucVbd-blD4vtRNBjKUPZNIMcVtxEBFwCkkY4U_ui43CIFffh_PdfuEswrPOo2P-U6Afu-zphOwIhRGilGbW0stWApXx5TyqET9IT1_WZTjTuBcDXaTn5-tHtxjp_F3WED8AAZQ2GVxoQ,,&q={searchTerms}
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt.
.

**Posty:** 5 · przez **raczek22** 28 Sty 2016, 11:50

Co prawda skrót na pen drive juz sie nie pojawia, lecz komputer nadal jest zainfekowany. Od kiedy mam tego wirusa nie moge np otworzyc powiadomien lub funkcji "wyszukaj w systemie windows" i komputer pracuje powoli.

**Posty:** 4765 · przez **ordynat** 28 Sty 2016, 12:54

Od kiedy mam tego wirusa nie moge np otworzyc powiadomien lub funkcji "wyszukaj w systemie windows" i komputer pracuje powoli.

Nie sądzę, by to był efekt infekcji.
Ale, na wszelki wypadek, zrób logi z FRST > http://forum.programosy.pl/frst-otl-zoek-vt139692.html
Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt".
.

**Posty:** 5 · przez **raczek22** 28 Sty 2016, 13:05

Addition.txt: (35.2 KiB) Ściągnięto 21 razy

FRST.txt: (37.46 KiB) Ściągnięto 29 razy

Shortcut.txt: (27 KiB) Ściągnięto 17 razy

Wydaje mi sie ze to jednak jest wina wirusa bo system zaczal "odmawiac posluszenstwa" dokladnie po tym kiedy wlozylem do komputera zainfekowanego pen drive'a

**Posty:** 4765 · przez **ordynat** 28 Sty 2016, 14:11

1) Odinstaluj ten program:
SafeFinder (HKLM-x32\...\{DA215102-C6B1-4A91-B05F-9746264ADA36}) (Version: 1.0.0.0 - Linkury) <==== UWAGA

2) Użyj Adw-Cleaner http://www.programosy.pl/program,adwcleaner.html
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego "C"

3) Otwórz Notatnik i wklej w nim:

Task: {0587A57A-09BF-455F-B6E4-0C84713EB671} - \PCDoctorBackgroundMonitorTask -> Brak pliku <==== UWAGA
Task: {1552AA8A-5EA1-46BE-846A-6871BD970D90} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {15860E3C-BFB1-4667-8081-055799BF1F4C} - System32\Tasks\snf => C:\ProgramData\Tristip\f3j2aq4g.exe
Task: {1A60BEDD-262E-4328-9731-8D026B204F0A} - System32\Tasks\{ED65F358-1250-41D8-B9E5-CAC11FDA4695} => pcalua.exe -a "C:\Riot Games\League of Legends\lol.launcher.admin.exe" -d "C:\Riot Games\League of Legends"
Task: {31A73348-B2D6-4252-A4F9-00C14A39DB24} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {3D774766-0957-403D-8DD2-26902427466E} - \PCDEventLauncherTask -> Brak pliku <==== UWAGA
Task: {411DE420-4EDC-495D-A4DC-D3E99A9C765A} - System32\Tasks\snp => C:\ProgramData\Tristip\f3j2aq4g.exe
Task: {4290BA38-8188-4304-9F97-69CB218962DC} - \SystemToolsDailyTest -> Brak pliku <==== UWAGA
Task: {48FE96C6-0A96-4C8A-8BC7-70D1B66D79D9} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {6D5EBCDF-54A2-412C-A1D2-A8A7E764FD2B} - System32\Tasks\{6CB65991-763E-4DFA-BA83-9A19B11D0720} => pcalua.exe -a "C:\Riot Games\League of Legends\lol.launcher.admin.exe" -d "C:\Riot Games\League of Legends"
Task: {724CECC4-E392-427D-BCD1-4DAFFB578A9C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {863C134E-6B05-4F78-A64E-A02D79BD4D2F} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
Task: {9DD58BDB-8694-4848-AB9B-1701D0657111} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {B203FA02-944A-41CD-AAD0-E3539E09E125} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
Task: {BCED9918-56FA-4197-9F60-E9A28629FF12} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {C95BF466-AEE5-4067-BD21-FC800A885267} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {D1E06734-5E6A-4282-ADFD-9C066D86D960} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: {D62921A4-E6A8-453E-92E0-529DEB0FC4B6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {FFF7F024-DAE2-4548-921F-54944C2DD7E3} - System32\Tasks\{EB7D1570-8456-4007-A1B4-3D19B851D33D} => pcalua.exe -a "C:\Riot Games\League of Legends\lol.launcher.admin.exe" -d "C:\Riot Games\League of Legends"
C:\ProgramData\Tristip
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1444726606&z=2740892e1429f0043448e36g6zdzbzemeo5qdqfeft&from=wpm07163&uid=LITEONITXL8T-128L9G-11XMX2X2280X128GB_TW0FJX63550854AE1715
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1444726606&z=2740892e1429f0043448e36g6zdzbzemeo5qdqfeft&from=wpm07163&uid=LITEONITXL8T-128L9G-11XMX2X2280X128GB_TW0FJX63550854AE1715
HKU\S-1-5-21-1500129461-305390939-3651764780-1004\...\Run: [GoogleChromeAutoLaunch_4742D82E4941B6BD25A4DE6FD1B56A3B] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [748360 2016-01-12] (Google Inc.)
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKU\S-1-5-21-1500129461-305390939-3651764780-1004\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csucVbd-blD4vtRNBjKUPZNIMcVtxEBFwCkkY4U_ui43CIFffh_PdfuEswrPOo2P-U6Afu-zphOwIhRGilGbW0stWApXx5TyqET9IT1_WZTjTuBcDXaTn5-tHtxjp_F3WED8AAZQ2GVxoQ,,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csucVbd-blD4vtRNBjKUPZNIMcVtxEBFwCkkY4U_ui43CIFffh_PdfuEswrPOo2P-U6Afu-zphOwIhRGilGbW0stWApXx5TyqET9IT1_WZTjTuBcDXaTn5-tHtxjp_F3WED8AAZQ2GVxoQ,,&q={searchTerms}
Edge HomeButtonPage: HKU\S-1-5-21-1500129461-305390939-3651764780-1004 -> hxxp://www.delta-homes.com/?type=hp&ts=1444726606&z=2740892e1429f0043448e36g6zdzbzemeo5qdqfeft&from=wpm07163&uid=LITEONITXL8T-128L9G-11XMX2X2280X128GB_TW0FJX63550854AE1715
CHR StartupUrls: Default -> "hxxp://google.com/","hxxp://www.delta-homes.com/?type=hp&ts=1444726606&z=2740892e1429f0043448e36g6zdzbzemeo5qdqfeft&from=wpm07163&uid=LITEONITXL8T-128L9G-11XMX2X2280X128GB_TW0FJX63550854AE1715"
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\Users\Public\GROUP.dat
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
Powstanie plik fixlog.txt.
Daj ten log.

4) Zrób nowe logi FRST - już bez Shortcut.
.

**Posty:** 5 · przez **raczek22** 28 Sty 2016, 15:20

Addition.txt: (31.81 KiB) Ściągnięto 18 razy

FRST.txt: (36.45 KiB) Ściągnięto 26 razy

AdwCleaner[C1].txt: (6.64 KiB) Ściągnięto 14 razy

Fixlog.txt: (14.9 KiB) Ściągnięto 13 razy

Niestety pliku safefinder nie udalo mi sie usunac. Probowalem przez dodaj lub usun programy ale bez zadnych rezultatow. Jednak moj kolega ma ten sam problem a nie ma tego pliku safefinder wiec to raczej nie w tym programie tkwi problem.

**Posty:** 4765 · przez **ordynat** 28 Sty 2016, 16:26

Jednak moj kolega ma ten sam problem a nie ma tego pliku safefinder wiec to raczej nie w tym programie tkwi problem.

Ależ ja się z tym zgadzam - pisałem już wcześniej, że problem nie ma nic wspólnego z żadną infekcją.
Dałem usuwanie szkodliwych śmieci, bo i tak trzeba je było usunąć.

Tak z ciekawości: czy Twój kolega ma też C:\Program Files (x86)\XenoBot ?

Otwórz Notatnik i wklej w nim:

Task: {C1FBF7CF-116C-4B05-AC7C-C803C823CCA2} - System32\Tasks\{BD0EE6F6-0D35-4DBA-8A8B-A4FEB70C224F} => pcalua.exe -a "C:\Riot Games\League of Legends\lol.launcher.admin.exe" -d "C:\Riot Games\League of Legends"
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{DA215102-C6B1-4A91-B05F-9746264ADA36}
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SafeFinder
CHR StartupUrls: Default -> "hxxp://google.com/","hxxp://www.delta-homes.com/?type=hp&ts=1444726606&z=2740892e1429f0043448e36g6zdzbzemeo5qdqfeft&from=wpm07163&uid=LITEONITXL8T-128L9G-11XMX2X2280X128GB_TW0FJX63550854AE1715"
C:\Windows\SysWOW64\pl7.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

**Posty:** 5 · przez **raczek22** 28 Sty 2016, 16:44

Kolega nie ma programu "xenobot" ale zainstalowalem go jakis czas temu i wydaje mi sie ze jest czysty a problemy zaczely sie dopiero po wlozeniu u mnie i u niego tego samego zainfekowanego pendrive'a.

Dodano Dzisiaj, 16:51:
Zrobilem to co napisales ale niestety dalej system nie dziala poprawnie

. Nie wiem czy jestes w stanie mi cos jeszcze pomoc ale na wszelki wypadek wstawie fixloga

Fixlog.txt: (1.95 KiB) Ściągnięto 14 razy

Boje sie ze tylko format pomoze mi w tej sytuacji

.

**Posty:** 4765 · przez **ordynat** 28 Sty 2016, 16:52

Kolega nie ma programu "xenobot"

No to przynajmniej wiemy, że ten program nie ma nic wspólnego z problemem.

Ja tu już nic nie wymyślę - bo nie masz żadnej infekcji.
A infekcja "skrótowa" nigdy u nikogo nie powodowała takich problemów.
Podkreślam: NIGDY.
.

Kto jest na forum