Infekcja z pendrive - wirus tworzy skrót na pendrive

[superfunktor]

Witam,

 

Mam następujący problem - ostatnio po podłączeniu pendrive'a (którego parę dni wcześniej pożyczyłem znajomemu) do komputera zauważyłem, iż zamiast faktycznej zawartości jest tylko skrót do pendrive'a. Niestety, zamiast od razu nabrać podejrzeń, uruchomiłem skrót - otworzyło się nowe okno z plikami, które faktycznie przechowywałem na penie. 

 

Na wszelki wypadek sformatowałem pendrive'a, żeby się upewnić czy podobna sytuacja zaistnieje przy ponownej próbie użycia. Jak łatwo się domyślić scenariusz się powtórzył - po wrzuceniu plików na pena oraz ponownym podłączenia, moim oczom znów ukazał się skrót - w tym momencie wiedziałem już, że coś nie gra. Poza nietypowym zachowaniem pendrive'a nie doświadczyłem żadnych rzeczy, które mogłyby wskazywać na infekcję komputera.

 

Przeskanowałem komputer przy pomocy ESETOnline Scanner (tymczasowo nie korzystam z żadnego "stałego" antywirusa, ale ta "przygoda" przyczyni się do rychłej zmiany tego stanu rzeczy) - skan wykrył jeden zainfekowany plik, jednak bez możliwości naprawienia:

 

Obiekt: Pamięć operacyjna; Zagrożenie: odmiana zagrożenia Win32/Bundpil.CS robak; Czynność: nie można wyleczyć

 

Nie jestem pewien czy ten plik/wirus jest bezpośrednio związany z opisywaną przeze mnie infekcją. 

 

Widziałem, iż na forum były już opisywane podobne problemy, w związku z czym zdecydowałem się poprosić o pomoc.

 

Załączam obowiązkowe logi oraz z góry dziękuję za pomoc.

 

 

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

[jessica]

HKU\S-1-5-21-352955893-3744871428-3861659463-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\msvtdrjz.exe <===== UWAGA

 

Na dysku twardym jest infekcja - zakładam, że to są aktualne logi, wykonane już po skanowaniu ESETEM.

 

Otwórz Notatnik i wklej w nim:

 

 

HKU\S-1-5-21-352955893-3744871428-3861659463-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\msvtdrjz.exe <===== UWAGA

C:\ProgramData\msvtdrjz.exe

Task: {6D8F29D4-CD63-4760-A960-379C25E41C5C} - System32\Tasks\{0FF5D997-A47C-4B15-8DCC-51BF614FF68F} => pcalua.exe -a C:\Users\Sokół\Downloads\Hentor-130728-Lilith\Hentor-130728-Lilith\Hentor-130728-Lilith\setup.exe -d C:\Users\Sokół\Downloads\Hentor-130728-Lilith\Hentor-130728-Lilith\Hentor-130728-Lilith

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1426544080&from=cor&uid=ST1000DM003-1CH162_Z1D71V9XXXXXZ1D71V9X&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1426544080&from=cor&uid=ST1000DM003-1CH162_Z1D71V9XXXXXZ1D71V9X&q={searchTerms}

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hppp&ts=1426544092&from=cor&uid=ST1000DM003-1CH162_Z1D71V9XXXXXZ1D71V9X

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hppp&ts=1426544092&from=cor&uid=ST1000DM003-1CH162_Z1D71V9XXXXXZ1D71V9X

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1426544080&from=cor&uid=ST1000DM003-1CH162_Z1D71V9XXXXXZ1D71V9X&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1426544080&from=cor&uid=ST1000DM003-1CH162_Z1D71V9XXXXXZ1D71V9X&q={searchTerms}

HKU\S-1-5-21-352955893-3744871428-3861659463-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=dspp&ts=1426544092&from=cor&uid=ST1000DM003-1CH162_Z1D71V9XXXXXZ1D71V9X&q={searchTerms}

HKU\S-1-5-21-352955893-3744871428-3861659463-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hppp&ts=1426544092&from=cor&uid=ST1000DM003-1CH162_Z1D71V9XXXXXZ1D71V9X

HKU\S-1-5-21-352955893-3744871428-3861659463-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=dspp&ts=1426544092&from=cor&uid=ST1000DM003-1CH162_Z1D71V9XXXXXZ1D71V9X&q={searchTerms}

SearchScopes: HKU\S-1-5-21-352955893-3744871428-3861659463-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-352955893-3744871428-3861659463-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-352955893-3744871428-3861659463-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

SearchScopes: HKU\S-1-5-21-352955893-3744871428-3861659463-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}

BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll => Brak pliku

StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://do-search.com/?type=sc&ts=1426544080&from=cor&uid=ST1000DM003-1CH162_Z1D71V9XXXXXZ1D71V9X

S3 AxtuDrv; \??\C:\Windows\SysWOW64\Drivers\AxtuDrv.sys [X]

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe

Uruchom FRST i kliknij przycisk Fix (NAPRAW).

Daj ten log.

 

Jeśli pen nie jest w tej chwili znów sformatowany, to podepnij go i zrób log z USBFix z opcji LISTING https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=172738

 

Zrób też log z Adw-cleaner

 

jessi

[superfunktor]

Dzięki za pomoc.

 

Zrobiłem wszystko zgodnie z Twoimi poleceniami - załączam logi.

 

Przy okazji mam podejrzenie, że poza pendrive'm, od którego wszystko się zaczęło mam też dwa inne zainfekowane urządzenia (których używałem w międzyczasie, zanim zorientowałem się, że najprawdopodobniej mam wirusa na komputerze) - drugiego pena i odtwarzacz mp3. Wspominam o tym, gdyż domyślam się, że będę musiał w jakiś sposób również się nimi zająć.

Fixlog.txt

AdwCleanerS1.txt

UsbFix Listing 1 SOKÓŁ1.txt

[jessica]

1) Adw-Cleaner:

najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.

 

2) USBFix: (jeśli masz możliwość, to podepnij też pozostałe pamięci przenośne)

Kliknij w nim na: CLEAN.
Daj raport z tego usuwania.

 

3) Jeśli nie było możliwości jednoczesnego podpięcia pozostałych pamięci przenośnych, to podpinaj je oddzielnie.

 

jessi

[superfunktor]

Wykonałem zalecone czynności - załączam logi.

 

Jeszcze raz dzięki za pomoc.

UsbFix Clean 1 SOKÓŁ1.txt

AdwCleanerC1.txt

[jessica]

[13/01/2016 - 00:30:14 | D] - I:\

[13/01/2016 - 18:38:00 | D] - F:\

 

Sprawdź, czy odzyskałeś\widzisz wszystkie swoje pliki.

Jeśli tak, to te powyższe foldery "bez nazwy" usuń poprzez SHIFT+DEL

 

Potem chyba możemy kończyć:

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

 

W USBFix kliknij na przycisk UNINSTALL.

 

Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).

przez SHIFT+DEL usuń pozostały folder C:\FRST

 

jessi

[superfunktor]

Wszystko wróciło do normy. 

 

Wielkie dzięki za pomoc!