Skrót na pendrive

[wooki91]

Witam, mam chyba dość znany problem użytkownikom kser - mam najprawdopodobniej wirusa, który tworzy skrót na pendrive Removable drive, szukałem rozwiązania ale nic nie znalazłem, co bym mógł sam analogicznie zastosować więc załączam potrzebne loga i proszę o pomoc.

OTL:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

FRST:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1.

• Ściągnij => Dostępne tylko dla zarejestrowanych użytkowników i go uruchom.
• Kliknij Accept
• Podłącz wszystkie pamięcie przenośne / pendrive / mp3 itp. wszystko to co posiadasz.
• Kliknij w opcje Clean w USBFix
• Kliknij OK
• Wyskoczy okienko - kliknij No
• Rozpocznie się skanowanie i czyszczenie
• Wyskoczy okienko, kliknij Ok
• Po skanowaniu wyskoczy trzecie okienko - klik na Nie i wyskoczy raport, daj mi go.

2. Wykonaj i wklej nowe logi z FRST.

[wooki91]

Zrobiłem wszystko, w trakcie avast troche wariował i w sumie nie wiem czy nie zablokował tego programu

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Infekcja pendrivowa usunieta, pendrivy czyste i zabezpieczone.

1. Otwórz notatnik i wklej:

CloseProcesses:
S2 Update Faster Light; "C:\Program Files (x86)\Faster Light\updateFasterLight.exe" [X]
StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe Dostępne tylko dla zarejestrowanych użytkowników
CHR HKLM-x32\...\Chrome\Extension: [bildoibdboopgomcbiplincneeicgipj] - C:\Program Files (x86)\StartSearch plugin\startsplg.crx [Not Found]
C:\Program Files (x86)\StartSearch plugin
CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hp& ... 2513725137
CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1418409136&from=cor&uid=WDCXWD5000BPVT-80HXZT3_WD-WXH1A912513725137"
CHR DefaultSearchKeyword: Default -> omiga-plus
HKU\S-1-5-21-3869542989-794618111-2887124671-1001\...\Policies\Explorer: []
HKLM-x32\...\RunOnce: [] => [X]
C:\Users\Łukasz\AppData\Roaming\GHISLER
C:\ProgramData\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log
C:\ProgramData\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log
CustomCLSID: HKU\S-1-5-21-3869542989-794618111-2887124671-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Łukasz\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-3869542989-794618111-2887124671-1001_Classes\CLSID\{C92FB640-AD4D-498A-9979-A51A2540C977}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2011\acad.exe /Automation No File
CustomCLSID: HKU\S-1-5-21-3869542989-794618111-2887124671-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Łukasz\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-3869542989-794618111-2887124671-1001_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2011\acad.exe No File
CustomCLSID: HKU\S-1-5-21-3869542989-794618111-2887124671-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Łukasz\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-3869542989-794618111-2887124671-1001_Classes\CLSID\{B77E471C-FBF3-4CB5-880F-D7528AD4B349}\localserver32 -> C:\Program Files\Autodesk\AutoCAD Structural Detailing 2012 - English\acad.exe /Automation No File
CustomCLSID: HKU\S-1-5-21-3869542989-794618111-2887124671-1001_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2011\acad.exe /Automation No File
CustomCLSID: HKU\S-1-5-21-3869542989-794618111-2887124671-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Łukasz\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File
Task: {1072B5C4-C1C2-4278-9833-E910DCA95BFA} - System32\Tasks\ACMON => C:\Program Files (x86)\ASUS\Splendid\ACMON.exe [2010-08-02] (ASUS)
Task: {13838616-5F75-4E50-862B-3ED0DDA7AB70} - System32\Tasks\Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B => schtasks
Task: {27689255-CAF8-4C29-8031-F5E6FBEC3FC3} - System32\Tasks\ASUS Live Update => C:\Program Files (x86)\ASUS\ASUS Live Update\LiveUpdate.exe [2011-08-31] (ASUSTeK Computer Inc.)
Task: {2FC5FDA9-F37D-4365-BAFA-90C34876235F} - System32\Tasks\Microsoft\Windows\Windows Activation Technologies\ValidationTask => C:\Windows\system32\Wat\WatAdminSvc.exe [2012-01-20] (Microsoft Corporation)
Task: {3ED263F8-37EF-4CED-848D-7B8B5B228454} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2014-12-19] (Adobe Systems Incorporated)
Task: {402E6628-C30B-4167-A23A-33FA759204A4} - System32\Tasks\Microsoft\Windows\Setup\GWXTriggers\OutOfIdle => C:\Windows\system32\GWX\GWX.exe [2015-05-07] (Microsoft Corporation)
Task: {46B9A5F2-1F12-4519-98EC-3D5D72575061} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3869542989-794618111-2887124671-1001UA => C:\Users\Łukasz\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-07-12] (Facebook Inc.)
Task: {5FEF9A95-9E0F-435A-8970-EC9D18F163EB} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-3869542989-794618111-2887124671-1001Core => C:\Users\Łukasz\AppData\Local\Google\Update\GoogleUpdate.exe [2014-10-15] (Google Inc.)
Task: {70122978-1D87-470D-B8AC-576C2DE86506} - System32\Tasks\{4E7DB01E-91E7-4A07-AE5C-F6356E8BE35B} => pcalua.exe -a "C:\Program Files (x86)\Steam\steam.exe" -c steam://uninstall/72850
Task: {70A0EF09-4F01-499C-89B9-CFB9A2E8FD60} - System32\Tasks\Microsoft\Windows\Setup\gwx\launchtrayprocess => C:\Windows\system32\GWX\GWX.exe [2015-05-07] (Microsoft Corporation)
Task: {736B4C16-82AF-4F57-8C2B-0882618BD4F8} - System32\Tasks\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser => C:\Windows\system32\compattel\DiagTrackRunner.exe [2015-03-16] (Microsoft Corporation)
Task: {7F5C2394-70B5-4A48-AE91-5A84E8E01941} - System32\Tasks\ASUS SmartLogon Console Sensor => C:\Program Files (x86)\ASUS\SmartLogon\sensorsrv.exe [2010-11-15] (ASUS)
Task: {8D9B725A-C8F6-4182-942D-45995EE101A5} - System32\Tasks\ATKOSD2 => C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe [2010-08-17] (ASUS)
Task: {B56C08BE-EB60-42A5-8898-129DA8F4834C} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-3869542989-794618111-2887124671-1001Core => C:\Users\Łukasz\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-07-12] (Facebook Inc.)
Task: {D2C66205-53C8-45B0-AA7D-7BC5DA26F679} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-3869542989-794618111-2887124671-1001UA => C:\Users\Łukasz\AppData\Local\Google\Update\GoogleUpdate.exe [2014-10-15] (Google Inc.)
Task: {D48959D4-9309-47A9-8D7F-544C004368FF} - System32\Tasks\Microsoft\Windows\Setup\gwx\refreshgwxconfig => C:\Windows\system32\GWX\GWXConfigManager.exe [2015-05-07] (Microsoft Corporation)
Task: {DD78E30E-F29D-4736-92D1-855F3840671A} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe [2015-06-11] (Avast Software s.r.o.)
Task: {E577F95F-9CE5-4E9F-ABF3-47568747A862} - System32\Tasks\Microsoft\Windows\Setup\GWXTriggers\Logon => C:\Windows\system32\GWX\GWX.exe [2015-05-07] (Microsoft Corporation)
Task: {F2D516D7-534F-4456-8EE9-68843654DD49} - System32\Tasks\ASUS P4G => C:\Program Files\P4G\BatteryLife.exe [2010-12-02] (ASUS)
Task: {F71C079A-C883-45CF-B787-CC5A67BE9E40} - System32\Tasks\{D2BE9E28-7B81-4861-985B-5714CD1BF1FC} => pcalua.exe -a C:\Users\Łukasz\Desktop\Soldis_PROJEKTANT_8_311_win32_64_setup.exe -d C:\Users\Łukasz\Desktop
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3869542989-794618111-2887124671-1001Core.job => C:\Users\A
ukasz\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-3869542989-794618111-2887124671-1001UA.job => C:\Users\A
ukasz\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3869542989-794618111-2887124671-1001Core.job => C:\Users\A
ukasz\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3869542989-794618111-2887124671-1001UA.job => C:\Users\A
ukasz\AppData\Local\Google\Update\GoogleUpdate.exe
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

Czy już wszystko jest OK?

[wooki91]

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Wydaje mi się, że już wszystko jest dobrze, bardzo dziękuję za pomoc I pytanie na koniec: czy da się jakoś zabezpieczyć pendrive'a przed takimi infekcjami?

[djarta]

Zostaly juz zabezpieczone i nie powinno byc juz takich problemow w przyszlosci. :
1. Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix. Skanowania Malwarebytes nie musisz wykonywać - robiłeś go przecież.

2. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

[wooki91]

Coś jeszcze znalazł

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Te dwa pliki sa OK, usun jedynie te klucze w rejestrze.

[wooki91]

Usunąłem, wygląda na to, że wszystko już jest ok, jeszcze raz dziękuję za pomoc