Wirus tworzący skróty na pendrive

soszmen · 19 Sierpnia 2017

Witam, temat dosyć znany na tym forum i nie tylko. Mi już pomogliście, teraz piszę z komputera brata, bo u niego wystąpił ten sam problem. Nie chciałem robić nowego tematu, ale tamten został zamknięty. Mam wirusa, który tworzy mi skróty na pendrive zamiast normalnych plików. Załączam logi.

FRST.txt

Addition.txt

Shortcut.txt

Miszel03 · 19 Sierpnia 2017

System nie został zainfekowany, więc winny jest sam pendrive i poszerzam w jego stronę diagnostykę. Po za tym: sprzątanie systemu z resztek (głównie po przeglądarce Mozilla FireFox) oraz kasacja adware.

P.S: Martwi mnie brak jakiegokolwiek zewnętrznego oprogramowania zabezpieczającego, same zabezpieczenia systemu Windows 7 nie są wystarczające. Przejrzyj - KLIK.

1. Deinstalacje.

Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji.
Jak wyżej sugeruję również odinstalować program Ace Stream Media 3.1.16.1, bo program ze zintegrowanym modułem reklamotwórczym preaktywowanym po pewnym czasie.
Przez panel sterowania odinstaluj program adware / PUP: PremierOpinion.

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
GroupPolicyScripts: Ograniczenia 
GroupPolicyScripts\User: Ograniczenia 
CHR StartupUrls: Default -> "hxxp://www.mystartsearch.com/?type=hp&ts=1441544129&z=2b9e91457be18cf42f22bddgcz2zcgewezdc1tftcq&from=cor&uid=ST9500325AS_5VEPTTSRXXXX5VEPTTSR","hxxp://www.gazeta.pl/0,0.html?p=190"
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Settlers IV - Złota Edycja\Dokumentacja\Instrukcja użytkownika.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Settlers IV - Złota Edycja\Dokumentacja\Poradnik do gry.lnk
CHR HKLM-x32\...\Chrome\Extension: [mkndcbhcgphcfkkddanakjiepeknbgle] - C:\Program Files (x86)\PremierOpinion\pmcm.crx [2017-07-16]
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\RAFAL\AppData\Local\Mozilla
C:\Users\RAFAL\AppData\Roaming\Mozilla
C:\Users\RAFAL\AppData\Roaming\Profiles
CMD: netsh advfirewall reset
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Otwórz Google Chrome, a następnie Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.4. Wykonaj raport USBFix z opcji Listing oraz Research zrobiony przy wszystkich podpiętych problematycznych pendrivach.

5. Dostarcz plik Fixlog oraz nowe raporty FRST, ale już bez Shortcut, czyli tylko FRST i Addition.

soszmen · 19 Sierpnia 2017

Skasowałem ten PremierOption. Reszty mu nie ruszałem bo on ogląda meczyki przez tego Acestreama a z utorrenta korzystam ja również i nie narzekam. Chrome też nie ruszałem bo by się sapał tutaj mu wszystko działa to wole nie dotykać.

Skróty już się nie robią, wrzucam logi z USB FIX + FRST