Windows tworzy skróty na pamięciach przenośnych

[Qubczyk]

Witajcie ponownie i ponownie z problemem.

Zauważyłem, że po podpięciu jakiejkolwiek zewnętrznej pamięci (pendrive, karta pamięci itp itd) do kompa pojawiają się na niej skróty, o takie o:

 

AdwCleaner i CCleaner niczego nie wykazał więc zwracam się z prośbą o pomoc tutaj.

 

Logi:

Addition.txtFRST.txtShortcut.txt

 

 

Pozdrawiam i liczę, że po raz kolejny Wam się uda... :D

[Miszel03]

AdwCleaner i CCleaner niczego nie wykazał więc zwracam się z prośbą o pomoc tutaj.

 

AdwCleaner to stosunkowo nie do tej infekcji, to narzędzie zaprojektowane do usuwania ustrojstwa typu adware / PUP.

CCleaner zaś to "czyściciel systemu", brak skanera antywirusowego, nic więc dziwnego, że nie pomógł. Po za tym proszę uważać na tego typu programy, wiąże się z nimi możliwość uszkodzenia systemu. 

 

---

 

Raporty wykazują oznaki infekcji potocznie zwanej "skrótową".

Scenariusz pomocy jest złożony: najpierw dezynfekcja systemu, a dopiero po niej dezynfekcja mediów przenośnych. 

 

Akcja:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
Task: {C40E93BC-D9D0-4750-9FD8-1BA75B089335} - \QubczykMadEpiphenomenaV2 -> Brak pliku 
Task: {EFCF0038-2CCD-4037-A99C-3AEDF07BC0FC} - System32\Tasks\{F0BD03AE-ABD3-4787-9D06-39433E720985} => C:\Windows\system32\pcalua.exe -a "C:\Users\Qubczyk\Desktop\foobar2000\install\vcredist install\vcredist_x64.exe" -d "C:\Users\Qubczyk\Desktop\foobar2000\install\vcredist install"
MSCONFIG\startupreg: kapef => C:\Users\Qubczyk\kapef.exe
HKU\S-1-5-21-817834129-3643686830-2580109843-1000\...\Run: [kapef] => C:\Users\Qubczyk\kapef.exe [49152 2017-12-12] ()
C:\Users\Qubczyk\kapef.exe
C:\Users\Madziara\mgqih.exe
HKU\S-1-5-21-817834129-3643686830-2580109843-1000\...\Policies\system: [LogonHoursAction] 2
HKU\S-1-5-21-817834129-3643686830-2580109843-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
GroupPolicy\User: Ograniczenia 
GroupPolicyUsers\S-1-5-21-817834129-3643686830-2580109843-1002\User: Ograniczenia 
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Toolbar: HKU\S-1-5-21-817834129-3643686830-2580109843-1000 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  Brak pliku
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft\Programs\Free Coub Download.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft\Programs\Free YouTube Uploader.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft\Programs\SoundCloud Download.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD\OverDrive\OverDrive Users Guide.lnk
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp: 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Na koncie Qubczyk i Madziara zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[Qubczyk]

Zrobiłem jak napisałeś. Malwarebytes wykrył jakieś dwa syfy.

Poniżej logi:

log z malwarebytes.txt

qubczyk Addition.txtqubczyk FRST.txtqubczyk Shortcut.txt

madziara Addition.txtmadziara FRST.txtmadziara Shortcut.txt