Atretnar Opublikowano 26 Listopada 2015 Zgłoś Udostępnij Opublikowano 26 Listopada 2015 Cześć, po wizycie w studenckim punkcie ksero pojawił się na moim pendrive'ie skrót o nazwie "My videos 18". Niestety otworzyłem go. Od tej pory na każdym nośniku podłączanym do komputera pojawia się ten skrót. We właściwościach skrótu w polu element docelowy jest napisane: C:\Windows\system32\cmd.exe /c start home.vbe&explorer /root,"%CD%My" "videos" "18" & exit Proszę o pomoc, pozdrawiam. GMER.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 27 Listopada 2015 Zgłoś Udostępnij Opublikowano 27 Listopada 2015 System został zainfekowany robakiem VBS/Jenxcus - w starcie uruchamia się skrypt home.vbe, stąd każde podpinane urządzenie zostaje zarażone. Usuwanie obejmie dwa etapy: usunięcie infekcji z systemu oraz usunięcie jej z urządzeń przenośnych. 1. Odinstaluj Hotspot Shield 4.15.3 (zintegrowane reklamy), Java 8 Update 45 (stara wersja), Search App by Ask (niepożądany program typu adware/PUP). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Benedykt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe [2015-09-08] () HKU\S-1-5-21-2484522157-3572153485-187122026-1000\...\Run: [home] => wscript.exe //B "C:\Users\Benedykt\AppData\Roaming\home.vbe" HKU\S-1-5-21-2484522157-3572153485-187122026-1000\...\Run: [CyberGhost] => "C:\Program Files\CyberGhost 5\CyberGhost.exe" /autostart /min HKU\S-1-5-21-2484522157-3572153485-187122026-1000\...\Run: [bingSvc] => C:\Users\Benedykt\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) Task: {31B35F76-6CCA-46B3-805C-8F320061952F} - System32\Tasks\{A2362858-9A57-4169-ACC7-47B16D1B09E5} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.0.0.100&LastError=404 Task: {B0B4801C-D078-44F6-A6FD-F0EBB917CB41} - System32\Tasks\{EB46F74E-DB82-483D-BE74-3E9720EAA1F1} => Chrome.exe hxxp://ui.skype.com/ui/0/7.5.0.101/pl/abandoninstall?page=tsMain Task: {DE1B5D91-198D-4ABC-A1A0-03C7B0B7F934} - System32\Tasks\{3C58274C-BE88-4E21-87C0-E8F5478AAE6E} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.5.0.101&LastError=12002 C:\ProgramData\AskPartnerNetwork C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Cleaner Pro C:\Users\Benedykt\AppData\Local\Microsoft\BingSvc C:\Users\Benedykt\AppData\Roaming\home.vbe Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths" /s Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowe logi: FRST z opcji Skanuj (Scan) - bez Addition i Shortcut - oraz USBFix z opcji Listing przy podpiętych zainfekowanych nośnikach. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Atretnar Opublikowano 27 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 27 Listopada 2015 przesyłam logi Fixlog.txt FRST.txt UsbFix Listing 1 BENEDYKT001.txt Odnośnik do komentarza
picasso Opublikowano 27 Listopada 2015 Zgłoś Udostępnij Opublikowano 27 Listopada 2015 Wszystko zrobione. Ale log z USBFix nieprzydatny: pendrive był wprawdzie podpięty, lecz USBFix nie wykrywa go i nie wiadomo jaka jest zawartość. Spróbuję pobrać te dane via FRST. Poprawki. Otwórz Notatnik i wklej w nim: S3 taphss6; C:\Windows\System32\DRIVERS\taphss6.sys [42088 2015-06-04] (Anchorfree Inc.) C:\Program Files\TAP-Windows C:\ProgramData\FreeHideIP C:\Users\Benedykt\AppData\Roaming\FreeHideIP C:\Windows\System32\DRIVERS\taphss6.sys Folder: F:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
Atretnar Opublikowano 27 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 27 Listopada 2015 Zrobić to z podłączonym pendrive'em? Jak robiłem loga USBfix to nie wyłączałem antywirusa, tak miało być? Odnośnik do komentarza
picasso Opublikowano 27 Listopada 2015 Zgłoś Udostępnij Opublikowano 27 Listopada 2015 Oczywiście, że skrypt ma być wykonany przy podpiętym pendrive. W skrypcie użyłam literę "F", bo pod taką był podmontowany w momencie skanu USBFix. W razie zmiany mapowania zamień literę w ostatniej komendzie. Tak, tymczasowo wyłącz antywirusa na czas tej operacji, ale nie wchodź ręcznie na to urządzenie. Odnośnik do komentarza
Atretnar Opublikowano 27 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 27 Listopada 2015 zrobione Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 27 Listopada 2015 Zgłoś Udostępnij Opublikowano 27 Listopada 2015 FRST pobrał dane co jest na urządzeniu. Teraz usuwanie infekcji z pendrive. Otwórz Notatnik i wklej w nim: F:\home.vbe F:\My videos 18.lnk CMD: attrib -s -h "F:\My videos 18" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
Atretnar Opublikowano 27 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 27 Listopada 2015 przesyłam Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 27 Listopada 2015 Zgłoś Udostępnij Opublikowano 27 Listopada 2015 FRST pomyślnie wykonał zadanie. Na pendrive odkryłam folder F:\My videos 18. Sprawdź czy niczego w nim nie brakuje. Na zakończenie: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
Atretnar Opublikowano 27 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 27 Listopada 2015 Takiego folderu nie miałem wcześniej. Przyszedł razem z infekcją. Zastosowałem Delfix i wyczyściłem foldery przywracania systemu. DelFix.txt Odnośnik do komentarza
picasso Opublikowano 27 Listopada 2015 Zgłoś Udostępnij Opublikowano 27 Listopada 2015 Skasuj więc ten folder przez SHIFT+DEL (omija Kosz urządzenia). DelFix wykonał zadanie, również jego log C:\delfix.txt do usunięcia. Odnośnik do komentarza
Atretnar Opublikowano 27 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 27 Listopada 2015 Bardzo dziękuję za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi