hhome.vbs

[Madzialena]

Cześć!
Zdaje się, że mam zainfekowany pendrive, nie jestem pewna czy wirus jest też na kompie. Po próbie otworzenia plików z pena - tworzą się skróty.

Do ochrony komputera mam avast! i w chwili gdy próbowałam kopiować pliki z pendriva avast wykrył konia trojańskiego - usunął go, ale mimo to pliki istnieją jako skróty. Przy próbie otworzenia któregoś (choć otwierają się prawidłowo) otwiera się przeglądarka szukając strony ''home.vbs''. Ponowne skanowanie komputera avastem nie wykryło żadnych infekcji.

Czy ten wirus automatycznie przenosi się na każdy komp, do którego podłącza się pena (bez otwierania plików z pena), czy tylko w chwili otwarcia jakiegoś pliku? martwię się czy nie zainfekowałam komputera w pracy...

No i najważniejsze - pomożecie się tego pozbyć? Załączam pliki z OTL i FRST. Nie wiem czy to ważne, ale skanowałam komputer gdy pen nie był do niego podłączony. Jak usunąć to dziadostwo z pendriva?

OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

EXTRAS:

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

ADDITION:

[Aby zobaczyć linki, zarejestruj się tutaj]

[KaMiL]

Pobierz USBFix

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom, wybierz opcję "Deletion" i podłącz zainfekowanego pendrive''a. Po zakończeniu skanowania daj raport z niego.
Jeśli jakiś folder na dysku lub pendrivie nazwałaś "muza" lub "muzyka", to zmień nazwę na inną przed użyciem USBFix.

[Madzialena]

Zrobione, tu log:

USBFix-

[Aby zobaczyć linki, zarejestruj się tutaj]

@Edit
Czy to już koniec? Teraz pen otwiera się bez problemowo. Jeśli tak to dziękuję za pomoc

[tachion]

Avast się pozbył tej infekcji i jako czynnej już jej nie ma,ale za to są czynne obiekty adware w przeglądarce.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

HKLM-x32\...\Run: [] - [x]
HKLM-x32\...\Run: [ApnUpdater] - "C:\Program Files (x86)\Ask.com\Updater\Updater.exe"
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ask.com/?l=dis&o=101702
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
URLSearchHook: HKCU - UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=FEC000225FD3917A
SearchScopes: HKCU - {89B6BA18-660B-467B-8AD5-B37D2371D141} URL = http://websearch.ask.com/redirect?client=ie&tb=FXTV5&o=101699&src=kw&q={searchTerms}&locale=&apn_ptnrs=^F4&apn_dtid=^YYYYYY^YY^PL&apn_uid=55c66160-b99c-4470-a041-9b77b8e661da&apn_sauid=61ED06E1-8DDB-457D-BD9B-A1E9216586C4
SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/mb201/?search={searchTerms}&loc=IB_DS&a=6R8PKUNP7R&i=26
BHO-x32: Foxit PDF Creator Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
Toolbar: HKLM-x32 - Foxit PDF Creator Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -No File
CHR HKLM\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx
CHR HKLM-x32\...\Chrome\Extension: [aaaaoiagmlcohkmjodefppbmpjdiocmh] - C:\Users\piotr\AppData\Local\APN\GoogleCRXs\aaaaoiagmlcohkmjodefppbmpjdiocmh_7.17.6.0.crx
CHR HKLM-x32\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx
CHR HKLM-x32\...\Chrome\Extension: [gjajpkikblccgefaibcafkfbanllpefi] - C:\Users\piotr\AppData\Roaming\7go\7go.crx
C:\Users\piotr\AppData\Local\Temp\bitool.dll
C:\Users\piotr\AppData\Local\Temp\Checkupdate.exe
C:\Users\piotr\AppData\Local\Temp\DataCard_Setup64.exe
C:\Users\piotr\AppData\Local\Temp\Foxit Reader Updater.exe
C:\Users\piotr\AppData\Local\Temp\gcapi_dll.dll
C:\Users\piotr\AppData\Local\Temp\gtapi_signed.dll
C:\Users\piotr\AppData\Local\Temp\ResetDevice.exe
C:\Users\piotr\AppData\Local\Temp\_isCF4F.exe
Task: {6493297A-E79D-4F7C-B949-19D336A5FE86} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{0FED4A27-7147-4F52-BC5A-0D2FD54A7EC1}.exe
Task: {712C6861-2B14-4E72-92BA-22B6921FE2B7} - System32\Tasks\Microsoft\Windows\Wired\GatherWiredInfo => C:\Windows\system32\gatherWiredInfo.vbs
Task: {7E0E7DFC-FF48-4585-9A99-0E5ADD680702} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{0FED4A27-7147-4F52-BC5A-0D2FD54A7EC1}.exe

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Odinstaluj:

Ask Toolbar

W Google Chrome pasku adresu wpisz chrome//settings/,następnie na dole klik pokaż ustawienia zaawansowane,zjedź ponownie na sam dół i klik zresetuj ustawienia przeglądarki.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaji następnie Usuń
pokaż raport

[Madzialena]

Zrobione.
FRST -

[Aby zobaczyć linki, zarejestruj się tutaj]

Adw:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

@Edit - w Panelu sterowania nie ma Ask Toolbara, gdzie mogę go jeszcze znaleźć, żeby usunąć?

[tachion]

Zrób skany ponownie FRST+Addition.txt i OTL bez extras.

[Madzialena]

OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition -

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST -

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
C:\accutype
C:\Obrazy
C:\ProgramData\0D988F80A1.sys
C:\Windows\system32\Drivers\etc\hosts.ics
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-21-2062063078-379655503-83050938-1000\Software\Microsoft\Internet Explorer\SearchScopes" /f

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport z tego działania.

Ask został wykorzeniony

Odinstaluj Usbfix.
W adwcleaner klik odinstaluj.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools ,następnie kliknij Run

Usunie wszelkie pozostałości po FRST,Adw i OTL

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i kliknij Start.

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

[Madzialena]

Ehh, trochę zmaściłam - wyrzuciłam Fixlog, zamiast go zostawić i Ci pokazać...
Spróbowałam go przywrócić za pomocą programu Recuva i pokazało się tyle -

[Aby zobaczyć linki, zarejestruj się tutaj]

A tu SecurityCheck -

[Aby zobaczyć linki, zarejestruj się tutaj]

Co dalej?

[tachion]

Results of screen317''s Security Check version 0.99.79
Windows 7 Service Pack 1 x64 (UAC is enabled)
Internet Explorer 11
``````````````Antivirus/Firewall Check:``````````````
avast! Antivirus
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Java 7 Update 45
Java version out of Date!
Google Chrome 31.0.1650.63
Google Chrome 32.0.1700.76
````````Process Check: objlist.exe by Laurent````````
AVAST Software Avast AvastSvc.exe
AVAST Software Avast AvastUI.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C:
````````````````````End of Log``````````````````````

Jave odinstaluj i zainstaluj najnowszą

[Aby zobaczyć linki, zarejestruj się tutaj]

[Madzialena]

Ok, dziękuję za pomoc.