Removable drive - wirus na pendrive

Mazi · 29 Maja 2016

Witam wszystkich serdecznie.

Mam problem z zawirusowanym pendrive, bardzo proszę o pomoc w rozwiązaniu mojego problemu.

Na dysku wewn. znikły wszystkie pliki ( a otworzył się skrót o nazwie removable drive ). Aktualnie znajduje się drugi plik, który został przeze mnie skopiowany już po zainfekowaniu pendrive, jednak nie usunął się.

Zdarzyło mi się kliknąć w dany skrót, jednak po dłuższej chwili wyskoczył komunikat z błędem. Nie otwierałem już go więcej, gdyż wyczytałem, iż kliknięcie w skrót powoduje uruchomienie wirusa.

Zgodnie z regulaminem forum, wstawiam logi z FRST i GMER. Ponadto, z racji iż problem jest z pendrive, wstawiam logi z UsbFix.

Chciałbym jeszcze wspomnieć, iż w danych dziedzinach jestem początkujący - z racji tego bardzo proszę o w miarę prosty język.

Z góry dziękuję za pomoc !

Addition.txt

FRST.txt

Shortcut.txt

UsbFix Listing 1 WINDOWS-JUU6T5R.txt

GMER.txt

picasso · 31 Maja 2016

Na pendrive jest infekcja typu Gamarue: KLIK. System nie jest zainfekowany tym robakiem, ale są działania dodatkowe które należy podjąć w systemie: szczątki adware, za dużo pakietów zabezpieczających oraz jakieś błędy WMI. Wstępnie:

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj starszy McAfee LiveSafe – Internet Security.

2. W tej fazie pendrive ma być podpięty, zakładam że nadal widać go pod literą F:, w przeciwnym wypadku podmień w końcowych komendach literę F bieżącą. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://istart.webssearches.com/?type=hp&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://istart.webssearches.com/?type=hp&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKU\S-1-5-21-1972188415-2893025811-970642349-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://istart.webssearches.com/?type=hp&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102
HKU\S-1-5-21-1972188415-2893025811-970642349-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://istart.webssearches.com/?type=hp&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102
HKU\S-1-5-21-1972188415-2893025811-970642349-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1421849551&from=zbd1&uid=st1000lm024xhn-m101mbb_s314ja0dc13102c13102&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://istart.webssearches.com/web/?type=ds&ts=1412628315&from=irs&uid=ST1000LM024XHN-M101MBB_S314JA0DC13102C13102&q={searchTerms}
SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1421849551&from=zbd1&uid=st1000lm024xhn-m101mbb_s314ja0dc13102c13102&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> {1A95DC8F-4A6D-4938-B715-50B59B516306} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1972188415-2893025811-970642349-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms}
FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-11-17]
CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-1972188415-2893025811-970642349-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\mmazu_000\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => No File
HKU\S-1-5-21-1972188415-2893025811-970642349-1001\...\Policies\Explorer: []
HKU\S-1-5-18\...\Run: [KSS] => "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan\kss.exe" autorun
S1 mkzmwgce; \??\C:\WINDOWS\system32\drivers\mkzmwgce.sys [X]
S3 OSFMount; \??\C:\Program Files\OSFMount\OSFMount.sys [X]
S3 PCDSRVC{67F2314B-25F2B3C0-06020200}_0; \??\c:\gencotst\pcdsrvc_x64.pkms [X]
R3 PCDSRVC{D3412D80-CF3B4A27-06020200}_0; \??\c:\program files\my dell\pcdsrvc_x64.pkms [X]
DisableService: Mobile Partner. RunOuc
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
C:\WINDOWS\*.tmp
RemoveDirectory: C:\Kaspersky Rescue Disk 10.0
RemoveDirectory: C:\Spacekace
RemoveDirectory: F:\System Volume Information
F:\Removable Drive (4GB).lnk
CMD: attrib /d /s -s -h F:\*
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Jeśli wszystko pójdzie dobrze w punkcie 2, na pendrive odkryje się folder "bez nazwy". To w nim infekcja umieściła wszystkie dane użytkownika. Wejdź do tego folderu, przenieś wszystkie dane poziom wyżej, a sam folder przez SHIFT+DEL (omija Kosz) skasuj.

4. Wyczyść Firefox z adware:

Odłącz synchronizację (o ile włączona): KLIK.
Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
Menu Historia > Wyczyść całą historię przeglądania.

5. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, USBFix z opcji Listing. Dołącz też plik fixlog.txt. Edytowane 11 Lipca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso

Zaloguj się

Removable drive - wirus na pendrive

Rekomendowane odpowiedzi

Mazi

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność