Wirus z pendrive'a

[kryzac1]

Witam,

Zauważyłem dzisiaj, że na pendrivie tworzą się skróty. Prawdopodobnie zainfekowany jest również komputer. Użyłem opcji Clean w UsbFixie jednak nie pomogło. Poniżej wstawiam logi i z góry bardzo dziękuję za pomoc .

[ordynat]

F:\WindowsServices

znasz ten folder?
.

[kryzac1]

Właśnie nie znam ale cały czas pojawia się po jego usunięciu

[ordynat]

Otwórz Notatnik i wklej w nim:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\STATISTICA 12 Trial 64-bit\Podręcznik elektroniczny STATISTICA.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\STATISTICA 12 Trial 64-bit\Wersja testowa STATISTICA.lnk
C:\Users\Kryzac\Desktop\studia\II Rok\Elektrotechnika\Nowy folder (2)\Pobrane — skrót.lnk
C:\Users\Kryzac\AppData\Roaming\Microsoft\Word\projekt%20przeciągacza305257733097423367\projekt%20przeciągacza.doc.lnk
C:\Users\Kryzac\AppData\Roaming\Microsoft\Word\projekt%20przeciągacza305256301392736645\projekt%20przeciągacza.doc.lnk
C:\Users\Kryzac\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk
C:\Users\Kryzac\AppData\Roaming\WindowsServices\helper.vbs
C:\Users\Kryzac\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Ace Player.lnk
HKU\S-1-5-21-3692589925-2062225798-887492315-1000\...\Run: [AdobeBridge] => [X]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2016-06-21] ()
Startup: C:\Users\Kryzac\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2016-06-21] ()
Startup: C:\Users\Kryzac\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\helper.lnk [2016-06-16]
ShortcutTarget: helper.lnk -> C:\Users\Kryzac\AppData\Roaming\WindowsServices\helper.vbs ()
FF Plugin HKU\S-1-5-21-3692589925-2062225798-887492315-1000: @acestream.net/acestreamplugin,version=3.1.6 -> C:\Users\Kryzac\AppData\Roaming\ACEStream\player\npace_plugin.dll [Brak pliku]
S4 HWDeviceService64.exe; C:\ProgramData\DatacardService\HWDeviceService64.exe -/service [X]
S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
CMD: attrib /d /s -s -h F:\*
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\Services\SpyHunter 4 Service
RemoveDirectory: C:\Users\Kryzac\AppData\Roaming\WindowsServices
RemoveDirectory: F:\WindowsServices
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
Powstanie plik fixlog.txt.
Daj ten log.

Wejdź na "F". Na nim jest folder "bez nazwy" (a właściwie z nazwą "_" do którego infekcja przesunęła wszystkie dane.
Przenieś z tego folderu pliki poziom wyżej.

Zrób nowy log z USBFix z opcji LISTING.

Zrób nowy log z FRST, już bez Shortcut, i bez Addition.
.

[kryzac1]

Dziękuję za odpowiedź. Poniżej wklejam logi:

[ordynat]

F:\ -> Removable disk # 4 Gb (4 Gb free - 100%) [] # FAT32

Czyżby pendrive został sformatowany?

Otwórz Notatnik i wklej w nim:

ShortcutTarget: helper.lnk -> C:\Users\Kryzac\AppData\Roaming\WindowsServices\helper.vbs (Brak pliku)
C:\Users\Kryzac\AppData\Roaming\WindowsServices
DeleteKey: HKcu\software\microsoft\windows\currentversion\explorer\mountpoints2
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

HKU\S-1-5-21-3692589925-2062225798-887492315-1000\...\MountPoints2: {67744ebf-cfdf-11e5-904d-9cb70dcf67f0} - G:\

Czy masz jeszcze drugi pendrive?
.

[kryzac1]

Z tego co wiem to pendrive był formatowany jeszcze przed użyciem UsbFixa. Teraz usunąłem tylko te pliki, które się non stop pojawiały i na razie wszystko jest okej.
Jeżeli chodzi o drugi pendrive to nie mam.

[ordynat]

Kończymy:
W USBFix kliknij na przycisk UNINSTALL.

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST

Autor postu otrzymał pochwałę