Skocz do zawartości

wirus tworzący skróty na pendrive'ach


Rekomendowane odpowiedzi

hey!

 

Mój pendrive złapał wirusa w punkcie ksero, nie pomogło jego formatowanie ani skanowanie w Comodo. Nie pomogło również skanowanie komputera w Comodo ani programy SUPERAntiSpyware Professional, AdwCleaner i Malwarebytes Anti-Malware. 

 

Załączam potrzebne logi, w przypadku GMER tylko preskan, ponieważ w czasie skanowania pełnego wyskakiwało zawiadomienie o tym, że nie ma dysku w stacji dysków.

OTL.Txt

Extras.Txt

Addition.txt

FRST.txt

Shortcut.txt

preskan.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
nie pomogło jego formatowanie ani skanowanie w Comodo

 

Musisz wstawić log z USBfix opcja listing i zrobić go na podpietym pendrivie.

 

Na teraz skrypt usuwający

 

Otwórz notatnik i wklej

 

HKU\S-1-5-21-2062141077-4176764487-1335583184-1001\...\Run: [sergeLeLama] => wscript.exe //B "C:\Users\Ania\AppData\Local\Temp\SergeLeLama.vbs" <===== ATTENTION

Startup: C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SergeLeLama.vbs ()

S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]

S3 tsusbhub; system32\drivers\tsusbhub.sys [X]

S3 VGPU; System32\drivers\rdvgkmd.sys [X]

Task: {03FB9C0E-B657-4256-8CEA-F0F7C866BCD9} - \SUPERAntiSpyware Scheduled Task c206fab8-6103-467d-9e36-4172eb79da40 No Task File <==== ATTENTION

Task: {E5A8ED18-47F6-48C4-B231-307EDB4AA020} - \SUPERAntiSpyware Scheduled Task 69d4e2ff-2a68-4a10-9bbb-a27a3b6c7d70 No Task File <==== ATTENTION

Reboot:

 

plik zapisz jako fixlist.txt i umieść w C:\Users\Ania\Desktop\Downloads. Uruchom FRST i kliknij w Fix.

 

 

2. Podaj raport z USBfix o który proszę

 

https://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/?do=findComment&comment=74

Odnośnik do komentarza

na pendraku jest tylko to

 

[b]################## | J:\ - Removable drive (FAT32) |[/b]

[09/06/2014 - 20:05:34 | SH | 38948 Ko | SHA1: D911CE72FE1E15E40A65000DD9AC2320E17E164A] - J:\SergeLeLama.vbs
[11/03/2014 - 18:45:58 | SH | 282 Ko] - J:\[47] PA - Wpływ warunków przechowywania na barwę dżemów z owoców kolorowych.pdf
[23/07/2014 - 21:37:04 | A | 2 Ko] - J:\[47] PA - Wpływ warunków przechowywania na barwę dżemów z owoców kolorowych.lnk

 

1. Otwórz notatnik i wklej

 

J:\SergeLeLama.vbs

 

plik zapisz jako fixlist.txt i umieść w C:\Users\Ania\Desktop\Downloads. Uruchom FRST i kliknij w Fix. Daj raport z usuwania fixlog.txt

 

 

 

2. zrób nowy skan FRST. Opcji Adition i shorcut nie zaznaczaj. Wracam na forum za pół godziny

Edytowane przez Zappa
Odnośnik do komentarza
A Serge LeLama to jest program antywirusowy pana od ksero.

 

To jest wirus pana od ksero a nie program antywirusowy.

 

nie wiem czemu ale ten skrypt vbs się odradza. Przypuszczam że genialne Comodo blokuje wykonanie usuwania. Wejdź w tryb awaryjny i wykonaj polecenia

 

HKU\S-1-5-21-2062141077-4176764487-1335583184-1001\...\Run: [sergeLeLama] => wscript.exe //B "C:\Users\Ania\AppData\Local\Temp\SergeLeLama.vbs" <===== ATTENTION

Startup: C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SergeLeLama.vbs ()

ShellExecuteHooks: SABShellExecuteHook Class - {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Program Files\SUPERAntiSpyware\SASSEH.DLL No File [ ]

 

Plik zapisz jako fixlist.txt i umieść w C:\Users\Ania\Desktop\Downloads. Uruchom FRST i kliknij w Fix. Daj raport z usuwania fixlog.txt.

Odnośnik do komentarza

Otwórz notatnik i wklej

 

HKU\S-1-5-21-2062141077-4176764487-1335583184-1001\...\Run: [sergeLeLama] => wscript.exe //B "C:\Users\Ania\AppData\Local\Temp\SergeLeLama.vbs" <===== ATTENTION
C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SergeLeLama.vbs
C:\Users\Ania\AppData\Local\Temp\*.exe
C:\Users\Ania\AppData\Local\Temp\*.dll
Reboot:

plik zapisz jako fixlist.txt i umieść w w C:\Users\Ania\Desktop\Downloads. Uruchom FRST i kliknij w Fix. Daj raport z usuwania fixlog.txt.

 

i po restrcie sprawdź czy nadal tam siedzi

Odnośnik do komentarza

Otwórz notatnik i wklej

 

DeleteKey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"SergeLeLama"="wscript.exe //B "C:\Users\Ania\AppData\Local\Temp\SergeLeLama.vbs""
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SergeLeLama"="wscript.exe //B "C:\Users\Ania\AppData\Local\Temp\SergeLeLama.vbs""
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\SergeLeLama
DeleteKey: HKEY_USERS\S-1-5-21-2062141077-4176764487-1335583184-1001\Software\Microsoft\Windows\CurrentVersion\Run
"SergeLeLama"="wscript.exe //B "C:\Users\Ania\AppData\Local\Temp\SergeLeLama.vbs"
C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SergeLeLama.vbs

 

plik zapisz jako fixlist.txt i umieść w w C:\Users\Ania\Desktop\Downloads. Uruchom FRST i kliknij w Fix. Daj raport z usuwania fixlog.txt.

 

Uruchom ponownie system i sprawdx czy to cholerstwo dalej jest w C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SergeLeLama.vbs

Odnośnik do komentarza

Powtórz skrypt, tym razem bez cudzysłowu. Nie pisze dalej bo juz wiesz co robic. Podaj tylko fixlog.

 

DeleteKey: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
SergeLeLama"="wscript.exe //B "C:\Users\Ania\AppData\Local\Temp\SergeLeLama.vbs
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SergeLeLama"="wscript.exe //B "C:\Users\Ania\AppData\Local\Temp\SergeLeLama.vbs
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\SergeLeLama
DeleteKey: HKEY_USERS\S-1-5-21-2062141077-4176764487-1335583184-1001\Software\Microsoft\Windows\CurrentVersion\Run
SergeLeLama"="wscript.exe //B "C:\Users\Ania\AppData\Local\Temp\SergeLeLama.vbs
C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SergeLeLama.vbs
Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...