Wirus, który tworzy skróty

**Posty:** 6 · przez **Strenght** 02 Cze 2015, 20:16

Witam, otóż od pewnego czasu na każdym urządzeniu, które podłącze do komputera tworzą się skróty do plików. przeskanowałem komputer adw cleanerem ale nic nie wykrywa, avast to samo, lecz jak podłącze pendrive i zacznę coś na niego kopiować to tworzą się skróty do folderów na tym urządzeniu i avast wysyła powiadomienia o zagrożeniu i przenosi do kwarantanny. Nic to nie zmienia, gdyż po każdym razie jak plik przeniesiony jest do kwarantanny tworzy się kolejny skrót tego pliku itd... Wirus ten siedzi mi na komputerze i nie wiem czy nie siedzi też na 2 penach i karcie pamięci, które podłączałem do komputera. Próbowałem to jakoś usunąć na własną rękę ale nie za bardzo daje rade, mógłby mi ktoś pomóc i wytłumaczyć krok po kroku co robić, aby się pozbyć tego?

**Posty:** 4765 · przez **ordynat** 02 Cze 2015, 20:48

O4 - HKCU..\Run: [home] wscript.exe //B "C:\Users\Arek\AppData\Roaming\home.vbe" File not found
[2015-04-15 19:44:01 | 000,238,264 | -HS- | C] () -- C:\Users\Arek\AppData\Roaming\home.vbe

Owszem, infekcja skrótowa jest na dysku twardym (na penach pewnie też)

1) Użyj USBFix z opcji CLEAN http://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/#entry74
Daj raport z tego usuwania.

2) Zrób logi z FRST > http://forum.programosy.pl/frst-otl-zoek-vt139692.html
Przed skanem zaznacz "Additional"
.

**Posty:** 6 · przez **Strenght** 02 Cze 2015, 21:21

Podczas skanowania USBfixem pod koniec wyskakuje mi jakiś error, więc nie wiem, czy logi są kompletne.

**Posty:** 4765 · przez **ordynat** 02 Cze 2015, 21:31

Hmm, USBFix niczego nie usuwał, a mimo to na dysku twardym nie ma pliku infekcji.
Nie wiem, jak na penach, bo log z USBFix'a wygląda na niecały, brak dolnej części.

Otwórz Notatnik i wklej w nim:

HKLM-x32\...\RunOnce: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-2753749944-520641005-954057360-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
C:\Program Files\Enigma Software Group
C:\ProgramData\boost_interprocess
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.

Zrób log z USBFix, z opcji LISTING.
.

**Posty:** 6 · przez **Strenght** 02 Cze 2015, 22:42

Hmm, skrypt wkleiłem i wykonałem polecenie dotyczące go. USBfix dalej wywala error podczas próby skanowania usb. W załączniku prtsc tego błędu. Teraz po podłączeniu pena avast już nie wywala żadnych alertów i jak próbowałem coś skopiować na pena to jak narazie nie utworzyły się żadne skróty, co było wcześniej automatyczne.

**Posty:** 4765 · przez **ordynat** 02 Cze 2015, 23:05

Taki błąd pojawia się, gdy podczas ściągania i używania USBFix'a nie był wyłączony Antywirus.

Skoro nie tworzą się już skróty, to chyba infekcji już nie ma.

.W USBFix kliknij na przycisk UNINSTALL.

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST
.

**Posty:** 6 · przez **Strenght** 02 Cze 2015, 23:15

Wyłączyłem antywirusa i utworzyłem logi z USBfix. Jeszcze pozostaje kwestia karty pamięci, na której mam zdjęcia i nie chce jej formatować, niestety dostęp do niej będę miał dopiero jutro. Nie wiem tylko, czy jak ją podłącze to znowu nie zawirusuje komputera.

**Posty:** 4765 · przez **ordynat** 03 Cze 2015, 07:35

Na "F" i "G" wszystko wygląda OK.

Nie wiem tylko, czy jak ją podłącze to znowu nie zawirusuje komputera.

Niestety, widzę, że USBFix, podczas użycia z opcji CLEAN, nie zdążył postawić obiektów zaporowych "autorun.inf", więc możliwość zainfekowania jest bardzo realna.
Ale przecież i tak kiedyś podepniesz tę kartę, więc lepiej to zrobić od razu.
Po podpięciu spróbujesz użyć USBFix z opcji CLEAN.
Zrobisz też, na wszelki wypadek, log z OTL, by sprawdzić, czy na dysku twardym nie pojawił się plik infekcji.
.

**Posty:** 6 · przez **Strenght** 05 Cze 2015, 10:32

Podłączyłem kartę pamięci i użyłem USBfix. Zrobiłem też log z OTL.

**Posty:** 4765 · przez **ordynat** 05 Cze 2015, 14:19

Jest czysto.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
FF - prefs.js..browser.search.order.1: "V9"
FF - prefs.js..browser.search.selectedEngine: "V9"
O4 - HKLM..\RunOnce: [] File not found

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt.

Kończymy:
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
W USBFix kliknij na przycisk UNINSTALL.
.

Autor postu otrzymał pochwałę

**Posty:** 6 · przez **Strenght** 05 Cze 2015, 17:11

Gotowe. Wielkie dzięki za pomoc, wszystko jest ok.

**Posty:** 6 · przez **KPRR** 23 Cze 2015, 16:14

Witam

Mam bardzo podobny problem jak kolega który utworzył wątek. znajomy przyniósł do mnie pendrive na którym był skrót i od tego czasu zaczęły się problem z pendrivi-ami na których zawsze tworzy się skrót do niego. Czytając przypadek kolegi zeskanowałem wszystko OTL , USBFix i FRST ale nie jestem pewny czy to pomogło jeśli mógłbym prosić kolegów bardziej doświadczonych o analizę Log i ewentualne wytłumaczenie jak to naprawić to byłbym wdzięczny.
Pozdrawiam

**Posty:** 4765 · przez **ordynat** 23 Cze 2015, 16:24

@KPRR
załóż swój własny temat

Kto jest na forum