Wirus problem od pendrive

[walus002]

Złapałem wirusa po punkcie ksero.

Podpinam pendrive, widzę jego pojemność i ilość wolnego miejsca ale po kliknięciu wyświetlał się tylko jeden plik, który był skrótem do tego pendrive.

Myślałem że to awaria pendrive ale podpiąłem drugi było ok i dotarło do mnie, że kilka dni temu byłem w punkcie ksero. 

Pierwszy pendrive udało mi się naprawić tym:

hxxp://www.hotfix.pl/uzytkowanie-programu-usbfix-a310.htm

Odzyskałem dane przekopiowałem pc i myślałem, że koniec. Po godzinie chrome samo się zamknęło i coś dodało mi dodatek do przeglądarki Edge i Chrome mimo usuwania dodatek powracał.

dr web cos znalazł i usunął poprawiłem Eset Smart Security i znów coś wykryte i usunięte. Jedyny ślad jaki pozostał to przeglądarka google chrome za każdy razem wywala komunikat przy uruchamianiu:

Błąd podczas ładowania rozszerzenia

c:\Programdata\Njkpj\Hmuho\B2A61390. Brak pliku manifest lub nie można go odnaleźć

 

W załączniku logi jeśli to istotne to w trakcie działania FRST działał również Eset i skanował system

 

Addition.txt FRST.txt Shortcut.txt

[Krzesimierz]

W logu brak oznak infekcji.

 

Takie objawy pendrive to faktycznie uszkodzenie. Natomiast usbfix-a310, który linkujesz jest zainfekowany, oto skan https://www.virustotal.com/gui/file/5f5120b3a271d6187bfec64504e57389de7a9aa827414214880f340f8b64861e

Dobrą praktyką jest skanowanie antywirusowe nowych programów przed ich uruchomieniem, Polecam online virustotal.com

 

To infekcja usbfix była usuwana przez antywirusy.

 

Posprzątamy, Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA

HKU\S-1-5-21-2599279804-1540406406-2801817942-1001\...\Run: [GalaxyClient] => [X]
S3 DirMngr; "F:\GnuPG\dirmngr.exe" --service [X]

HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files (x86)\Google\Chrome\Application\94.0.4606.81\Installer\chrmstp.exe [2021-10-15] (Google LLC -> Google LLC)
ShortcutTarget: PUSH Wallpaper.lnk -> C:\Users\Patryk\AppData\Local\Programs\PUSH Entertainment\Video Wallpaper\pushvideowallpaper.exe (Brak pliku)

SearchScopes: HKU\S-1-5-21-2599279804-1540406406-2801817942-1001 -> ${searchCLSID} URL = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

ContextMenuHandlers1: [GpgEX] -> {CCD955E4-5C16-4A33-AFDA-A8947A94946B} => F:\GnuPG\bin\gpgex.dll -> Brak pliku
ContextMenuHandlers1: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => D:\IObit Uninstaller\IUMenuRight.dll -> Brak pliku
ContextMenuHandlers4: [GpgEX] -> {CCD955E4-5C16-4A33-AFDA-A8947A94946B} => F:\GnuPG\bin\gpgex.dll -> Brak pliku
ContextMenuHandlers4: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => D:\IObit Uninstaller\IUMenuRight.dll -> Brak pliku
ContextMenuHandlers6: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => D:\IObit Uninstaller\IUMenuRight.dll -> Brak pliku

Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono]
Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono]
Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono]
Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono]

FirewallRules: [UDP Query User{231D1CFE-2E1E-4218-A96B-78924F552A3A}D:\vlc\vlc.exe] => (Block) D:\vlc\vlc.exe => Brak pliku
FirewallRules: [TCP Query User{B88CA0DB-E08D-4602-8965-FB9359858D1A}D:\vlc\vlc.exe] => (Block) D:\vlc\vlc.exe => Brak pliku
FirewallRules: [TCP Query User{AAE57416-96B2-4FEC-9F42-A14465F24DC1}C:\program files\videolan\vlc\vlc.exe] => (Block) C:\program files\videolan\vlc\vlc.exe (VideoLAN -> VideoLAN)
FirewallRules: [UDP Query User{CE9E068F-FF1C-45EC-B9E0-633BAE8AA2BE}C:\program files\videolan\vlc\vlc.exe] => (Block) C:\program files\videolan\vlc\vlc.exe (VideoLAN -> VideoLAN)
FirewallRules: [{A23B51EA-C74E-4E07-9C1C-F4F5D357353B}] => (Allow) D:\Steam\Steam.exe => Brak pliku
FirewallRules: [{815F83BD-9998-4925-9F28-3F5FC826E113}] => (Allow) D:\Steam\Steam.exe => Brak pliku
FirewallRules: [{4044D889-9EC1-4ADE-8166-E53A0BBF5BEB}] => (Allow) D:\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Brak pliku
FirewallRules: [{0DBCC48E-9869-4A44-8C55-DC80F7AC99CA}] => (Allow) D:\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Brak pliku
FirewallRules: [{D5DCC061-5EA9-47E5-96C9-DCDCAECFE12B}] => (Allow) D:\Steam\steamapps\common\Sniper Elite V2\Launcher\SniperV2Launcher.exe => Brak pliku
FirewallRules: [{C7E6BA7C-23F9-4630-B15C-22CE43C33647}] => (Allow) D:\Steam\steamapps\common\Sniper Elite V2\Launcher\SniperV2Launcher.exe => Brak pliku
FirewallRules: [{A50C2887-FA1F-41CB-97ED-D822C2DD7A80}] => (Allow) C:\Users\Patryk\AppData\Roaming\uTorrent\uTorrent.exe => Brak pliku
FirewallRules: [{BDF3839D-58AF-4E36-BD13-ADAD6E7777B9}] => (Allow) C:\Users\Patryk\AppData\Roaming\uTorrent\uTorrent.exe => Brak pliku
FirewallRules: [{381F2E75-8ABC-4892-9046-998DA82C9263}] => (Allow) D:\Prince of Persia The Forgotten Sands\Prince of Persia.exe => Brak pliku
FirewallRules: [{BF172C9F-9778-4BC2-9F92-39AC2CF135D4}] => (Allow) D:\Prince of Persia The Forgotten Sands\Prince of Persia.exe => Brak pliku
FirewallRules: [{74AEB83F-5632-4510-A752-18A0EA2F731F}] => (Allow) D:\Prince of Persia The Forgotten Sands\GameSettings.exe => Brak pliku
FirewallRules: [{89075F68-1AF1-45FC-89D9-6CD5B0D9BE08}] => (Allow) D:\Prince of Persia The Forgotten Sands\GameSettings.exe => Brak pliku
FirewallRules: [{F88EC456-2E24-4D3F-8378-92CB5990C084}] => (Allow) D:\Prince of Persia The Forgotten Sands\gu.exe => Brak pliku
FirewallRules: [{123AED13-0B2A-4594-BA3D-D1B5A4E0338E}] => (Allow) D:\Prince of Persia The Forgotten Sands\gu.exe => Brak pliku
FirewallRules: [{E50F1496-832E-47EA-A798-89607C8703F2}] => (Allow) D:\Prince of Persia The Forgotten Sands\UPlayBrowser.exe => Brak pliku
FirewallRules: [{A8F51F19-6180-4008-B1E6-31298B9FA397}] => (Allow) D:\Prince of Persia The Forgotten Sands\UPlayBrowser.exe => Brak pliku
FirewallRules: [{94153C7E-5F5D-42C5-AA51-CE99D465E195}] => (Allow) D:\Bad company 2\Battlefield Bad Company 2\BFBC2Game.exe => Brak pliku
FirewallRules: [{1200DE67-AA0B-4CA2-BDFD-DDABDE767DAB}] => (Allow) D:\Bad company 2\Battlefield Bad Company 2\BFBC2Game.exe => Brak pliku
FirewallRules: [TCP Query User{51498B06-4EE4-4597-B16B-916B6D5F4ED2}D:\steam\steamapps\common\world war 3\ww3\binaries\win64\ww3-win64-shipping.exe] => (Allow) D:\steam\steamapps\common\world war 3\ww3\binaries\win64\ww3-win64-shipping.exe => Brak pliku
FirewallRules: [UDP Query User{17D24588-69B5-4D66-BD8B-571F9DF6DAB6}D:\steam\steamapps\common\world war 3\ww3\binaries\win64\ww3-win64-shipping.exe] => (Allow) D:\steam\steamapps\common\world war 3\ww3\binaries\win64\ww3-win64-shipping.exe => Brak pliku
FirewallRules: [TCP Query User{E1E835AB-4E12-48E4-A3C5-C319462A8154}C:\program files (x86)\gog galaxy\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\program files (x86)\gog galaxy\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Brak pliku
FirewallRules: [UDP Query User{34BB091A-EB11-4C1E-AD66-BA68FC0BC4D2}C:\program files (x86)\gog galaxy\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe] => (Allow) C:\program files (x86)\gog galaxy\games\cyberpunk 2077\bin\x64\cyberpunk2077.exe => Brak pliku
FirewallRules: [TCP Query User{1658C8A6-8FDE-4597-BCED-8A6216737B97}E:\steamlibrary\steamapps\common\world war 3\ww3\binaries\win64\ww3-win64-shipping.exe] => (Allow) E:\steamlibrary\steamapps\common\world war 3\ww3\binaries\win64\ww3-win64-shipping.exe => Brak pliku
FirewallRules: [UDP Query User{E3E7734E-CAF0-4EBE-82DF-7C89ACE6E2F9}E:\steamlibrary\steamapps\common\world war 3\ww3\binaries\win64\ww3-win64-shipping.exe] => (Allow) E:\steamlibrary\steamapps\common\world war 3\ww3\binaries\win64\ww3-win64-shipping.exe => Brak pliku
FirewallRules: [TCP Query User{CA3F5246-66D3-4E9A-A737-498C457CAB95}E:\battlefield 1\battlefield 2042 open beta\bf.exe] => (Allow) E:\battlefield 1\battlefield 2042 open beta\bf.exe => Brak pliku
FirewallRules: [UDP Query User{D1B470ED-57AB-4FD1-8B5B-191ED3C70AA0}E:\battlefield 1\battlefield 2042 open beta\bf.exe] => (Allow) E:\battlefield 1\battlefield 2042 open beta\bf.exe => Brak pliku

Zapisz zawartość notatnika. (Na klawiaturze naciśnij jednocześnie CTRL + S.)
W FRST kliknij na Fix (NAPRAW).

 

Pobierz i uruchom Adw-cleaner, kliknij na szukaj, po zakończeniu skanowania kliknij usuń
 

Uruchom ponownie system.

 

Co do chrome,, wejdź w rozszerzenia i usuń te o nazwie z błędu, który wyskakuje.

[walus002]

33 minuty temu, Krzesimierz napisał:

Co do chrome,, wejdź w rozszerzenia i usuń te o nazwie z błędu, który wyskakuje.

Rozszerzenie które było dodawane do chrome i edge usunąłem dawno.
Aby przestał wyskakiwać błąd "Błąd podczas ładowania rozszerzenia..." wystarczy usunąć aktualny skrót z pulpitu i utworzyć nowy.

33 minuty temu, Krzesimierz napisał:

Takie objawy pendrive to faktycznie uszkodzenie. Natomiast usbfix-a310, który linkujesz jest zainfekowany

Program odzyskał dane z pendrive których niby tam nie było. Ciekawe czy to wirus pisany pod ten konkretny program? Dziwna sytuacja.

Zrobiłem resztę rzeczy o których pisałeś.

dziękuję za pomoc ?