Tworzą się skróty na każdym nośniku podłączanym do komputera

[Atretnar]

Cześć, 

po wizycie w studenckim punkcie ksero pojawił się na moim pendrive'ie skrót o nazwie "My videos 18". Niestety otworzyłem go. Od tej pory na każdym nośniku podłączanym do komputera pojawia się ten skrót. We właściwościach skrótu w polu element docelowy jest napisane:

 

C:\Windows\system32\cmd.exe /c start home.vbe&explorer /root,"%CD%My" "videos" "18" & exit

 

Proszę o pomoc, pozdrawiam.

GMER.txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

System został zainfekowany robakiem VBS/Jenxcus - w starcie uruchamia się skrypt home.vbe, stąd każde podpinane urządzenie zostaje zarażone. Usuwanie obejmie dwa etapy: usunięcie infekcji z systemu oraz usunięcie jej z urządzeń przenośnych.

 

1. Odinstaluj Hotspot Shield 4.15.3 (zintegrowane reklamy), Java 8 Update 45 (stara wersja), Search App by Ask (niepożądany program typu adware/PUP).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Startup: C:\Users\Benedykt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe [2015-09-08] ()
HKU\S-1-5-21-2484522157-3572153485-187122026-1000\...\Run: [home] => wscript.exe //B "C:\Users\Benedykt\AppData\Roaming\home.vbe"
HKU\S-1-5-21-2484522157-3572153485-187122026-1000\...\Run: [CyberGhost] => "C:\Program Files\CyberGhost 5\CyberGhost.exe" /autostart /min
HKU\S-1-5-21-2484522157-3572153485-187122026-1000\...\Run: [bingSvc] => C:\Users\Benedykt\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation)
Task: {31B35F76-6CCA-46B3-805C-8F320061952F} - System32\Tasks\{A2362858-9A57-4169-ACC7-47B16D1B09E5} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.0.0.100&LastError=404
Task: {B0B4801C-D078-44F6-A6FD-F0EBB917CB41} - System32\Tasks\{EB46F74E-DB82-483D-BE74-3E9720EAA1F1} => Chrome.exe hxxp://ui.skype.com/ui/0/7.5.0.101/pl/abandoninstall?page=tsMain
Task: {DE1B5D91-198D-4ABC-A1A0-03C7B0B7F934} - System32\Tasks\{3C58274C-BE88-4E21-87C0-E8F5478AAE6E} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.5.0.101&LastError=12002
C:\ProgramData\AskPartnerNetwork
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Cleaner Pro
C:\Users\Benedykt\AppData\Local\Microsoft\BingSvc
C:\Users\Benedykt\AppData\Roaming\home.vbe
Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths" /s
Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths" /s
Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths" /s
Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowe logi: FRST z opcji Skanuj (Scan) - bez Addition i Shortcut - oraz USBFix z opcji Listing przy podpiętych zainfekowanych nośnikach. Dołącz też plik fixlog.txt.

[Atretnar]

przesyłam logi

Fixlog.txt

FRST.txt

UsbFix Listing 1 BENEDYKT001.txt

[picasso]

Wszystko zrobione. Ale log z USBFix nieprzydatny: pendrive był wprawdzie podpięty, lecz USBFix nie wykrywa go i nie wiadomo jaka jest zawartość. Spróbuję pobrać te dane via FRST.

 

Poprawki. Otwórz Notatnik i wklej w nim:

 

S3 taphss6; C:\Windows\System32\DRIVERS\taphss6.sys [42088 2015-06-04] (Anchorfree Inc.)
C:\Program Files\TAP-Windows
C:\ProgramData\FreeHideIP
C:\Users\Benedykt\AppData\Roaming\FreeHideIP
C:\Windows\System32\DRIVERS\taphss6.sys
Folder: F:\

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

[Atretnar]

Zrobić to z podłączonym pendrive'em? Jak robiłem loga USBfix to nie wyłączałem antywirusa, tak miało być?

[picasso]

Oczywiście, że skrypt ma być wykonany przy podpiętym pendrive. W skrypcie użyłam literę "F", bo pod taką był podmontowany w momencie skanu USBFix. W razie zmiany mapowania zamień literę w ostatniej komendzie. Tak, tymczasowo wyłącz antywirusa na czas tej operacji, ale nie wchodź ręcznie na to urządzenie.

[Atretnar]

zrobione

Fixlog.txt

[picasso]

FRST pobrał dane co jest na urządzeniu. Teraz usuwanie infekcji z pendrive. Otwórz Notatnik i wklej w nim:

 

F:\home.vbe
F:\My videos 18.lnk
CMD: attrib -s -h "F:\My videos 18"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[Atretnar]

przesyłam

Fixlog.txt

[picasso]

FRST pomyślnie wykonał zadanie. Na pendrive odkryłam folder F:\My videos 18. Sprawdź czy niczego w nim nie brakuje. Na zakończenie:

 

Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[Atretnar]

Takiego folderu nie miałem wcześniej. Przyszedł razem z infekcją. 

Zastosowałem Delfix i wyczyściłem foldery przywracania systemu.

DelFix.txt

[picasso]

Skasuj więc ten folder przez SHIFT+DEL (omija Kosz urządzenia). DelFix wykonał zadanie, również jego log C:\delfix.txt do usunięcia.

[Atretnar]

Bardzo dziękuję za pomoc