skrót do pendriv'e na pendriv'e zmiany w plikach systemowych w trakcie ponownego uruchamiania

[bobmat]

witam. niestety stałem się ofiarą infekcji z punktu ksero, na pendriv'e został utworzony skrót do pendriv'a. przeskanowałem, go programem AVAST, ale nie wykazał, żadnych infekcji, więc nieświadom zagrożenia otworzyłem skrót, żeby odczytać pliki zgromadzone na urządzeniu. Dopiero w innym punkcie ksero uświadomiono mnie, że nie mogę korzystać z mojego pendriv'a bo jest zainfekowany. Poza tym, przy ponownym uruchomieniu systemu zostały wykonane jakieś dziwne operacje w BIOSie, które prawdopodobnie sprawdzały coś w plikach systemowych, niestety nie jestem w stanie dokładnie opisać co to było z góry dzięki za pomoc

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

[jessica]

1) Zrób log z USBFix z opcji LISTING https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=74

 

2) Odinstaluj niepotrzebny do niczego Akamai NetSession Interface

 

3) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego

 

4) Zrób nowe logi FRST.

 

jessi

[bobmat]

1) LISTING z USBFix zrobiony
2) Akamai NetSession Interface odinstalowany z panelu sterowania, czy coś jeszcze zrobić, żeby go całkowicie usunąć?

3) Adw-cleaner; zeskanowane i kliknąłem usuń (chociaż na liście nic się nie pokazało)

4) zrobione nowe logi FRST

FRST.txt

Addition.txt

Shortcut.txt

UsbFix Listing 1 DELL.txt

AdwCleanerC1.txt

AdwCleanerS1.txt

[jessica]

G:\ \k qFnOtUzX2dwQvWjKsW1W1T1yEOu4Mk.eoEuCyGYak24MGYEWG

 

znasz to?

 

Jeśli nie znasz, to zrobisz to:

Otwórz Notatnik i wklej w nim:

 

 

G:\KINGSTON (16GB).lnk

G:\ \k qFnOtUzX2dwQvWjKsW1W1T1yEOu4Mk.eoEuCyGYak24MGYEWG

HKLM-x32\...\Run: [] => [X]

GroupPolicy: Ograniczenia - Chrome <======= UWAGA

CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA

SearchScopes: HKU\S-1-5-21-3843443650-318763625-2371681870-1001 -> {2F1E335A-858A-4BE9-8F6B-D0AF1D018B53} URL =

BHO: Brak nazwy -> {DBC80044-A445-435b-BC74-9C25C1C588A9} ->  Brak pliku

CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=1433973284&z=c0c63d2d9df3bf6b6f38974g9z3c6c3t2mfcco5b5z&from=cor&uid=WDCXWD6400BPVT-75HXZT1_WD-WXF1A51P3881P3881

C:\Users\Mateusz\Desktop\STUDIA INZYNIERSKIE\Semestr II\Geologia\Geologia_\GEOLOGIA\Skrót do Wincmd32.lnk

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

-------

Jeśli natomiast znasz ten obiekt, to zrobisz to:

Otwórz Notatnik i wklej w nim:

 

 

G:\KINGSTON (16GB).lnk

HKLM-x32\...\Run: [] => [X]

GroupPolicy: Ograniczenia - Chrome <======= UWAGA

CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA

SearchScopes: HKU\S-1-5-21-3843443650-318763625-2371681870-1001 -> {2F1E335A-858A-4BE9-8F6B-D0AF1D018B53} URL =

BHO: Brak nazwy -> {DBC80044-A445-435b-BC74-9C25C1C588A9} ->  Brak pliku

CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=1433973284&z=c0c63d2d9df3bf6b6f38974g9z3c6c3t2mfcco5b5z&from=cor&uid=WDCXWD6400BPVT-75HXZT1_WD-WXF1A51P3881P3881

C:\Users\Mateusz\Desktop\STUDIA INZYNIERSKIE\Semestr II\Geologia\Geologia_\GEOLOGIA\Skrót do Wincmd32.lnk

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

==========================

Niezależnie od tego, czy znasz ten obiekt, czy nie:

Wejdź na dysk G. Na nim jest folder "bez nazwy" do którego infekcja przesunęła wszystkie dane.

Przenieś z tego folderu pliki poziom wyżej, a folder "bez nazwy" przez SHIFT+DEL skasuj.

 

Użyj USBFix z opcji VACCINATE.

 

Napisz, jak oceniasz sytuację po tych zabiegach?

 

jessi

[bobmat]

kiedy chcę przenieść pliki poziom wyżej pyta mnie, czy chcę przenieść pliki systemowe: desktop; IndexerVolumeGuid; oraz ten dziwny G:\ \k qFnOtUzX2dwQvWjKsW1W1T1yEOu4Mk.eoEuCyGYak24MGYEWG; zagalopowałem się chyba i usunąłem już plik desktop. co mam z tym zrobić?

[bobmat]

usunąłem pliki. o których pisałem wcześniej, ponieważ data i godzina zgadzały się z momentem zainfekowania. wydaje się, że na pendrive wszytko ok. utworzył się folder autorun.inf z plikiem od usbfix, rozumiem, że to zabezpieczenie jakieś? na pulpicie jak ukryte mam dwa pliki systemowe desktop, czy to mogą być jeszcze jakieś "resztki"? zrobiłem nowe skanowanie FRST.

FRST.txt

Addition.txt

Shortcut.txt

[jessica]

CHR HomePage: Default -> hxxp://www.istartsurf.com/?type=hp&ts=1433973284&z=c0c63d2d9df3bf6b6f38974g9z3c6c3t2mfcco5b5z&from=cor&uid=WDCXWD6400BPVT-75HXZT1_WD-WXF1A51P3881P3881

 

Spróbuj zmienić ręcznie tę stronę startową w Google Chrome.

 

utworzył się folder autorun.inf z plikiem od usbfix, rozumiem, że to zabezpieczenie jakieś?

 

tak, to ma zabezpieczać przed automatycznym działaniem infekcji pendrivowych.

 

 

a pulpicie jak ukryte mam dwa pliki systemowe desktop, czy to mogą być jeszcze jakieś "resztki"?

 

nie sądzę, by to były resztki infekcji, to raczej skutek działania narzędzi skanujących.

 

Chyba możemy kończyć:W USBFix kliknij na przycisk UNINSTALL.

Otwórz Notatnik i wklej w nim:

 

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).

przez SHIFT+DEL usuń pozostały folder C:\FRST

 

jessi

[bobmat]

zmieniłem stronę startową w ustawieniach, ale nadal jako pierwsza po uruchomieniu chroma wyskakuje nowa karta google. resztę wykonałem wg zaleceń. czy coś z folderem System Volume Information zarówno na C jak i na pendrive trzeba robić?

[jessica]

nadal jako pierwsza po uruchomieniu chroma wyskakuje nowa karta google

Uruchom Google Chrome

> Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia >

> Sekcja: Po uruchomieniu > wybierz: Otwórz konkretną stronę lub zestaw stron >

>usuń zaznaczeniu przy "Otwórz stronę nowej karty".

 

Czy coś z folderem System Volume Information zarówno na C jak i na pendrive trzeba robić?

 

Nie musisz - to folder w którym przechowywane są kopie plików potrzebnych do "Przywracania Systemu".

 

jessi

[bobmat]

udało się zmienić stronę startową.
bardzo dziękuję za pomoc.