wirus na pendrive autorun.inf

[weelsner]

Witam, proszę o pomoc, chodzi o wirusa, po podłączeniu pendrive do komputera na uczelni zaczęły dziać się dziwne rzeczy, mianowicie utworzył się skrót do katalogów na nim, lecz po podłączeniu w domu do kompa katalogi były nie widoczne ale znajdowały się na pendrivie tylko jako pliki systemowe i pozatym pamięć byłą zajęta. Przeskanowałem pendriva programem Malwarebytes Anti-Malware, znalazł wirusy i usunął je, sformatowałem pena, lecz następnego dnia znów to samo. przeskanowałem kompa combofix-em i  nie wiem co dalej, doczytałem się że należało by przesłać log i prosić o poradę w celu analizy logu i  upewnienia się czy wszystko zostało usunięte. 

log combofix.txt

[jessica]

Źle trafiłeś, bo @Picasso nie ma teraz możliwości pomaganiana Forum (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

 

Nie widzę w tym logu infekcji.

Masz USBFix, więc daj z niego log LISTING.

 

Odinstaluj c:\program files (x86)\Mobogenie

 

Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt

 

Zrób logi z OTL/FRST https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/

 

jessi

[weelsner]

za chwile wstawie

[weelsner]

załączam log z USBFiix i inne

FRST.txt

OTL.Txt

UsbFix Listing 2 KOMPUTER.txt

[jessica]

W logu USBFix nie ma ani żadnych skrótów, ani żadnej infekcji.

 

Otwórz Notatnik i wklej w nim:

 

HKCU\...\Run: [Facebook Update] - C:\Users\Marta\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2013-11-18] (Facebook Inc.)
HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
C:\Program Files (x86)\Mobogenie
SearchScopes: HKCU - {BC2A20AF-53F9-4C2C-85D1-C40E10091EF0} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=DCDC1650-4A5E-48F6-A8FA-6C8A0EA14623&apn_sauid=FA763EE8-2DA8-4355-B8DF-CC0102EDACE7
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
CHR RestoreOnStartup: "hxxp://www.google.pl/", "hxxp://home.sweetim.com/?crg=3.1010000&st=10&barid={2C5ACA6A-580F-4CBF-B9C4-1F9CBEE5C544}", "hxxp://www.google.com"
CHR DefaultSearchURL: (SweetIM Search) - http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}&barid={2C5ACA6A-580F-4CBF-B9C4-1F9CBEE5C544}
CHR DefaultSuggestURL: (SweetIM Search) -       "suggest_url": "",
CHR HKLM-x32\...\Chrome\Extension: [bejbohlohkkgompgecdcbbglkpjfjgdj] - C:\Users\Marta\AppData\Local\Temp\ccex.crx
C:\Users\Marta\AppData\Local\Temp\ccex.crx
CHR HKLM-x32\...\Chrome\Extension: [jhjjdgbhohaallcimgcmakfiobacimkm] - C:\Program Files (x86)\BuzzSearch\jhjjdgbhohaallcimgcmakfiobacimkm.crx
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [x]
2013-11-21 19:44 - 2013-11-22 21:02 - 00000000 ____D C:\Users\Marta\AppData\Local\Mobogenie
2013-11-21 19:44 - 2013-11-22 20:57 - 00001033 _____ C:\Users\Marta\daemonprocess.txt
2013-11-21 19:44 - 2013-11-22 00:30 - 00000000 ____D C:\Users\Marta\AppData\Local\cache
2013-11-21 19:44 - 2013-11-21 19:44 - 00000000 ____D C:\Users\Marta\Documents\Mobogenie
C:\Users\Marta\AppData\Local\Temp\rtdrvmon.exe

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

Daj go.

 

Zrób nowe logi FRST

 

jessi

[weelsner]

ok zrobiłem według poleceń

Fixlog.txt

FRST.txt

[jessica]

CHR RestoreOnStartup: "hxxp://www.google.pl/", "hxxp://home.sweetim.com/?crg=3.1010000&st=10&barid={2C5ACA6A-580F-4CBF-B9C4-1F9CBEE5C544}", "hxxp://www.google.com" ==> The Chrome "Settings" can be used to fix the entry.

CHR DefaultSearchURL: (SweetIM Search) - http://search.sweeti...4-1F9CBEE5C544} ==> The Chrome "Settings" can be used to fix the entry.

CHR DefaultSuggestURL: (SweetIM Search) -       "suggest_url": "", ==> The Chrome "Settings" can be used to fix the entry.

To trzeba usuwać w Ustawieniach Chrome.

 

W nowym logu nie widzę nic więcej do usuwania.

 

Na penie nie będzie infekcji dopóki nie podepniesz go do jakiegoś zarażonego komputera.

 

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)

 

Teraz już możesz spokojnie czekać, aż @Picasso wyzdrowieje.(nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).

Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

 

jessi

[weelsner]

ok, dzięki za pomoc:) pozdrawiam