Skocz do zawartości

Tworzą się skróty na każdym nośniku podłączanym do komputera


Rekomendowane odpowiedzi

Cześć, 

po wizycie w studenckim punkcie ksero pojawił się na moim pendrive'ie skrót o nazwie "My videos 18". Niestety otworzyłem go. Od tej pory na każdym nośniku podłączanym do komputera pojawia się ten skrót. We właściwościach skrótu w polu element docelowy jest napisane:

 

C:\Windows\system32\cmd.exe /c start home.vbe&explorer /root,"%CD%My" "videos" "18" & exit

 

Proszę o pomoc, pozdrawiam.

GMER.txt

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

System został zainfekowany robakiem VBS/Jenxcus - w starcie uruchamia się skrypt home.vbe, stąd każde podpinane urządzenie zostaje zarażone. Usuwanie obejmie dwa etapy: usunięcie infekcji z systemu oraz usunięcie jej z urządzeń przenośnych.

 

1. Odinstaluj Hotspot Shield 4.15.3 (zintegrowane reklamy), Java 8 Update 45 (stara wersja), Search App by Ask (niepożądany program typu adware/PUP).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Startup: C:\Users\Benedykt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe [2015-09-08] ()
HKU\S-1-5-21-2484522157-3572153485-187122026-1000\...\Run: [home] => wscript.exe //B "C:\Users\Benedykt\AppData\Roaming\home.vbe"
HKU\S-1-5-21-2484522157-3572153485-187122026-1000\...\Run: [CyberGhost] => "C:\Program Files\CyberGhost 5\CyberGhost.exe" /autostart /min
HKU\S-1-5-21-2484522157-3572153485-187122026-1000\...\Run: [bingSvc] => C:\Users\Benedykt\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation)
Task: {31B35F76-6CCA-46B3-805C-8F320061952F} - System32\Tasks\{A2362858-9A57-4169-ACC7-47B16D1B09E5} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.0.0.100&LastError=404
Task: {B0B4801C-D078-44F6-A6FD-F0EBB917CB41} - System32\Tasks\{EB46F74E-DB82-483D-BE74-3E9720EAA1F1} => Chrome.exe hxxp://ui.skype.com/ui/0/7.5.0.101/pl/abandoninstall?page=tsMain
Task: {DE1B5D91-198D-4ABC-A1A0-03C7B0B7F934} - System32\Tasks\{3C58274C-BE88-4E21-87C0-E8F5478AAE6E} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.5.0.101&LastError=12002
C:\ProgramData\AskPartnerNetwork
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Cleaner Pro
C:\Users\Benedykt\AppData\Local\Microsoft\BingSvc
C:\Users\Benedykt\AppData\Roaming\home.vbe
Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths" /s
Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths" /s
Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths" /s
Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowe logi: FRST z opcji Skanuj (Scan) - bez Addition i Shortcut - oraz USBFix z opcji Listing przy podpiętych zainfekowanych nośnikach. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Wszystko zrobione. Ale log z USBFix nieprzydatny: pendrive był wprawdzie podpięty, lecz USBFix nie wykrywa go i nie wiadomo jaka jest zawartość. Spróbuję pobrać te dane via FRST.

 

Poprawki. Otwórz Notatnik i wklej w nim:

 

S3 taphss6; C:\Windows\System32\DRIVERS\taphss6.sys [42088 2015-06-04] (Anchorfree Inc.)
C:\Program Files\TAP-Windows
C:\ProgramData\FreeHideIP
C:\Users\Benedykt\AppData\Roaming\FreeHideIP
C:\Windows\System32\DRIVERS\taphss6.sys
Folder: F:\

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...