Podobne tematy do wirus robiący skróty na przenośnych dyskach i telefonie. Sponsorowany: Alta Labs - rewolucyjna technologia sieciowa W dzisiejszych czasach wprowadzenie nowej linii produktowej jest nie lada wyzwaniem, ale Alta Labs śmiało wychodzi na przeciw oczekiwań klientów i prezentuje nowe, rewolucyjne produkty sieciowe. Wirus - Wirus tworzy skróty na pendrive. Witam, Słyszałem że jest możliwość sformatowania komputera za pomocą LINUKSA w wersji mobilnej (czyli posiadając Linuxa zainstalowanego na pendrive) Otóż sprawa jest taka ze posiadam komputer z systemem Win 7, jest na nim wirus który działa następująco: Gdy wkładam Pendrive do USB Na moich pendrivach chyba wirus tworzy skrót do katalogów w który należy kliknąć aby wejść do katalogów (np removabl (1) Zainfekowany pendrive tworzący skrót z nazwą pendriva w sobie wirus tworzy skróty na pendrivie. Przesyłam logi z OLT. Wykonałem Twoje instrukcje i czekam na dalsze. Dziękuje za dotychczasową pomoc. Download file - link to post. OTL logfile created on: 2014-02-18 14:40:17 - Run 5 OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\Dawid\Downloads . Najlepsza odpowiedź Elanor odpowiedział(a) o 20:14: Jak podłączysz do komputera, to wejdź w Mój Komputer i prawym przyciskiem myszy kliknij na wyświetlonym pendrivie i wybierz skanuj za pomocą... (tutaj zależy jaki masz program antywirusowy). Ja mam taką opcję przy Eset Smart Security. Wcześniej nie otwieraj i nie przenoś plików na dysk. Odpowiedzi 12ola03 odpowiedział(a) o 20:12 Przeskanuj programem antywirusowym (kasperskym albo esetem). u mnie z moim antywirusem wyskakuje automatycznie informacja . Uważasz, że znasz lepszą odpowiedź? lub Logi OTL nie są tu obowiązkowe - usuwam Extras. Brak za to trzeciego pliku FRST Shortcut. Wg raportu FRST infekcja USB nie jest czynna po stronie systemu - są tylko puste odpadki, ale są za to różne aktywne obiekty adware (w tym aktywny sterownik). Urządzenia USB trzeba będzie sprawdzić z osobna. Akcje wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 wafd_1_10_0_19; C:\Windows\System32\drivers\ [61312 2015-06-16] (WA) S2 "C:\Program Files (x86)\ [X] HKLM\...\Run: [] => [X] Startup: C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ [2015-06-07] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\ [2015-06-13] Task: {85176E1D-EFA0-4099-ABA4-3038072167AC} - System32\Tasks\Opera N Sunday => C:\Program Files (x86)\Opera\ Task: {FA4755F3-56EE-40D9-9F16-FCB829A23697} - System32\Tasks\Opera N Saturday => C:\Program Files (x86)\Opera\ C:\Program Files (x86)\Opera C:\ProgramData\f08cac26-e74f-49b4-9ff1-f081aa55e1b3 C:\Users\Gosia\AppData\Local\Opera Software C:\Users\Gosia\AppData\Roaming\Opera Software C:\Users\Gosia\AppData\Roaming\GoldenGate C:\Users\Gosia\AppData\Roaming\Shortcut C:\Windows\System32\drivers\ Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj sponsora Avast SafePrice. 4. Zrób nowy log FRST z opcji Scan (bez Addition, ale zaznacz pole Shortcut) oraz USBFix z opcji Listing przy podpiętych zainfekowanych urządzeniach USB. Dołącz też plik zapytał(a) o 14:10 Czy przez pendrive można przenieść wirusa? bo chyba mam na pendrive a chce jutro pokazać pani od kółka fotograficznego zdjęcia jakie na nim mam i nie chcę aby był jakiś wirus przezemnie tam został i pani tylko chce pooglądać te zdjęcia to czy może się mimo to zarazić komputer tym wirusem ? Odpowiedzi Muszelkα odpowiedział(a) o 14:10 oczywiście że jest to możliwe blocked odpowiedział(a) o 14:12 Tak sama raz miałam taka sytuację . :) lu$ka098 odpowiedział(a) o 14:18 niestety może być wirus... ja kiedyś na pendrivie pożyczyłam film od koleżanki i mi wirusa przeniosło...mam małą prośbę.. [LINK] <-- mój bloguś... wbijesz i skomentujesz? zależy mi... Uważasz, że znasz lepszą odpowiedź? lub W systemie działa infekcja Gamarue - wpis startowy kierujący do pliku Infekcja ta utworzyła na pendrive folder o nazwie "spacji" do którego przesunęła wszystkie dane, a następnie folder ukryła. Więcej na ten temat tu: KLIK. Czyli do wykonania będzie usunięcie wpis infekcji oraz odkrycie danych na pendrive. Przy okazji będą prowadzone akcje dodatkowe, takie jak usuwanie wpisów odpadkowych i pustych skrótów. Akcje do przeprowadzenia: 1. Deinstalacje: ----> Odinstaluj stare wersje i zbędniki: Adobe Flash Player 15 Plugin, Akamai NetSession Interface, Google Talk Plugin (już nie działa), Java 7 Update 51 (64-bit), Java 7 Update 60, Java 8 Update 45 (64-bit), Java 8 Update 45, Java SE Development Kit 7 Update 51 (64-bit), Mozilla Firefox (x86 pl), Opera Stable Secure Download Manager. Przy deinstalacji Firefox zaznacz usuwanie profilu. ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowe wpisy po odinstalowanym RealPlayer: RealDownloader, RealNetworks - Microsoft Visual C++ 2008 Runtime, RealNetworks - Microsoft Visual C++ 2010 Runtime, RealNetworks - Microsoft Visual C++ 2010 Runtime, RealUpgrade UpdateService, Video Downloader > Dalej. Narzędzie nie umożliwia akcji hurtowej, należy je uruchomić tyle razy ile wpisów. 2. FRST jest uruchomiony z niepoprawnej lokalizacji, czyli katalogu Temp. Pobierz go ponownie i zapisz na Pulpicie. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer\Run: [1071341723] => C:\ProgramData\ [83999872 2010-11-21] () HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3341007479-885208892-836665845-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3341007479-885208892-836665845-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp:// Toolbar: HKU\S-1-5-21-3341007479-885208892-836665845-1000 -> Brak nazwy - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - Brak pliku FF Plugin-x32: @ -> C:\Program Files (x86)\Real\RealPlayer\Netscape6\ [brak pliku] FF Plugin-x32: @ -> C:\Program Files (x86)\Real\RealPlayer\Netscape6\ [brak pliku] S2 PanService; C:\Program Files (x86)\ [X] S3 catchme; \??\C:\ComboFix\ [X] S3 cpuz136; \??\C:\Users\Szelma\AppData\Local\Temp\cpuz136\ [X] S3 EagleX64; \??\C:\Windows\system32\drivers\ [X] S4 nvvad_WaveExtensible; system32\drivers\ [X] Task: {0138F2B6-291F-4D0C-A9B8-E302400240CB} - System32\Tasks\Microsoft\Windows\TabletPC\InputPersonalization => C:\Program Files\Common Files\Microsoft Shared\Ink\ Task: {24A2F5B5-EF3C-4AB2-B226-C3359A346C43} - System32\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-3341007479-885208892-836665845-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\ Task: {33487B79-A38E-4794-AD73-7D31CF3AD29C} - System32\Tasks\RealDownloader Update Check => C:\Program Files (x86)\RealNetworks\RealDownloader\ Task: {37A04020-E950-4DDF-A3F8-8FBC6D252275} - System32\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-3341007479-885208892-836665845-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\ C:\ProgramData\ C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\GameExplorer\{DC1521F1-D081-473F-B0E6-0DEFCB6BF881} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Borderlands The C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes of the Storm C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mirillis C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RealNetworks C:\Users\Szelma\AppData\Local\{34CCC3B6-8D74-4CCA-8E76-A4D56E10857E} C:\Users\Szelma\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\ Borderlands The C:\Users\Szelma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Audiosurf 2 C:\Users\Szelma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft AppLocale\ C:\Users\Szelma\Desktop\studia\Razer Game C:\Users\Szelma\Desktop\Wszystko (2)\Audiosurf C:\Users\Szelma\Desktop\Wszystko (2)\Mount&Blade C:\Users\Szelma\Favorites\GG C:\Windows\pss\Stardock C:\Windows\SysWOW64\ H:\Removable Drive (4GB).lnk CMD: attrib /d /s -s -h H:\* Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Szelma^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Stardock /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Andy" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\InstallerLauncher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Privatefirewall" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RazerGameBooster" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SlimCleaner Plus" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uTorrent" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. [Zakładam, że pendrive jest nadal podpięty i widziany pod literą H] Plik zapisz pod nazwą na Pulpicie. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Na Pulpicie powstanie plik 3. Jeśli wszystko pójdzie dobrze w punkcie 2, na pendrive uwidoczni się folder o nazwie "spacji". Przenieś z niego wszystkie pożyteczne dane poziom wyżej (omijając obiekty nieznane / śmieci), a następnie ten folder skasuj przez SHIFT+DEL (omija Kosz). 4. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz USBFix z opcji Listing. Dołącz też plik

wirus który tworzy skróty na pendrivie