robak - skrót pendrive

Post02 sie 2015, 20:23

Witam wszystkich. Już po tytule wiadomo o co chodzi

Dodam na wstępie, że jestem zielony i nigdy nie wykonywałem żadnych logów. Szukałem wiele informacji na temat uporczywego robaka, który tworzy skrót na nośniku USB. Przeczytałem kilka tematów z tego forum i wnioskuję, że dla każdego przypadku trzeba wykonać oddzielne logi i obrać drogę działania, więc postanowiłem założyć konto i zwrócić się do Was z ogromną prośbą o przeprowadzenie mnie przez trudy walki z robaczkiem

Tak więc proszę o pomoc w usunięciu zarazy, dziękuję i pozdrawiam.

Post02 sie 2015, 20:27

1.

Ściągnij => Dostępne tylko dla zarejestrowanych użytkowników i go uruchom.
Kliknij Accept
Podłącz wszystkie pamięcie przenośne / pendrive / mp3 itp. wszystko to co posiadasz.
Kliknij w opcje Clean w USBFix
Kliknij OK
Wyskoczy okienko - kliknij No
Rozpocznie się skanowanie i czyszczenie
Wyskoczy okienko, kliknij Ok
Po skanowaniu wyskoczy trzecie okienko - klik na Nie i wyskoczy raport, daj mi go.

2. Wykonaj i wklej nowe logi z FRST: bezpieczenstwo/korzystanie-z-frst-t28530.html

Post02 sie 2015, 21:21

USBFix - Dostępne tylko dla zarejestrowanych użytkowników
FRST - Dostępne tylko dla zarejestrowanych użytkowników
Addition - Dostępne tylko dla zarejestrowanych użytkowników
Shortcut - Dostępne tylko dla zarejestrowanych użytkowników

Post02 sie 2015, 21:30

1. Otwórz notatnik i wklej:

CloseProcesses:
S3 tswNT; \??\C:\Users\ADMINI~1\AppData\Local\Temp\TSTWRE~1\tswnt.sys [X]
S2 0156901437487177mcinstcleanup; C:\Windows\TEMP\015690~1.EXE -cleanup -nolog [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
HKLM-x32\...\RunOnce: [] => [X]
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKU\S-1-5-21-894996777-3227588287-3442119768-1001\...\Run: [Pokki] => C:\Windows\system32\rundll32.exe "%LOCALAPPDATA%\Pokki\Engine\Launcher.dll",RunLaunchPlatform
C:\ProgramData\msfnijnfu.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefire => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Driver"
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

Jak sprawa się ma?

Post02 sie 2015, 21:52

Adw-cleaner - Dostępne tylko dla zarejestrowanych użytkowników

Chyba już wszystko gra, dzięki bardzo, dla mnie jesteś wielki !

Post02 sie 2015, 21:55

Jeżeli w logach nie widzę żadnej infekcji to mini komentarz do logów:
- USBFix (partycja F:\ ):

[02/08/2015 - 20:01:10 | N | 25617 Ko] - F:\0Qa8.gCmC6iOq.CQwe.G2o.s6684q.Ee4i.8I0.Wkc
[15/09/2013 - 19:27:58 | N | 5006 Ko] - F:\1234aa.exe.exe

Plik na czerwono do skasowania SHIFT + DEL.
Plik na czarno do Twojej oceny (wygląda podejrzanie, ale nie na tyle, żeby go uznać za wirusa - znasz to?). Jeżeli nie - też do skasowania.
Pliki są ukryte więc musisz w opcjach ustawić wyświetlanie ukrytych plików.

I pendrivy są czyste.

- FRST (Dziennik zdarzeń):

Kod: Zaznacz cały

Error: (07/29/2015 04:55:57 PM) (Source: Bonjour Service) (EventID: 100) (User: )
Description: Task Scheduling Error: m->NextScheduledEvent 9259297

W aplikacjach sypie błędami Bonjour. Jeżeli nie korzystasz z tego - do deinstalacji.

---------------------------------------

I pozostaje pytanie co z McAfee? Na ile czasu masz na niego licencję? Na dzisiejsze czasy sam w sobie program mocno ,,zagnieżdzający" się w systemie, wiele usług / sterowników a jak widać po logach wykrycie = marne.
W przyszłości deinstalacja Dostępne tylko dla zarejestrowanych użytkowników i zastąpienie czymś lżejszym i myśle, że skuteczniejszym - Avast / Comodo.

========================================================================

Finito:

1. Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz pełny skan MalwareBytes.

2. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

Post02 sie 2015, 22:08

Plik na czarno 1234aa to jest chyba combofix. Mcafee odinstaluje. Jesli to nie problem to resztę czynności wykonam jutro z rana i napiszę bo troche za szybko komputer wyłączyłem z radości