Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Problem z pendrive - błąd 4#EVXRWIGUCSMAGT.ini

Miklonos

Przez Miklonos
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Są tu dwie sprawy:

- Na urządzeniu infekcja wykonała manipulację: właściwe dane zostały przeniesione do folderu "bez nazwy", folder został ukryty przez atrybuty HS (ukryty systemowy) i jest widzialny tylko po odznaczeniu opcji Ukryj chronione pliki systemu operacyjnego, a jako widoczny element infekcja utworzyła skrót o nazwie urządzenia, który jest pułapką i uruchamia infekcję. Niestety nabrałeś się na to, nie mając odznaczonej opcji "Ukryj chronione pliki systemu operacyjnego" i myśląc że skrót otwiera dane zaraziłeś system:

- System jest zainfekowany i każdy podpinany dysk będzie przerabiany na taką postać:

 

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 8462 = C:\ProgramData\LOCALS~1\Temp\ccawaazvz.pif

 

Poza tym, jeszcze śmietnisko adware. Przeprowadź następujące działania:

 

1. Odinstaluj adware i zbędne aplikacje:

- Przez Panel sterowania odinstaluj: BrowserDefender, Hoolapp For Android, IObit Apps Toolbar v7.2, MixiDJ Toolbar, MixiDJ chrome Toolbar. Proponuję też od razu pozbyć się takiego sobie IObit Malware Fighter.

- Google Chrome: ma uszkodzone preferencje. Wejdź do ustawień. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, a z listy skasuj podejrzane. W Rozszerzeniach odinstaluj to co się powtarza z w/w listy i to czego nie znasz. Wyczyść Historię.

 

2. Pobierz FRST. Otwórz Notatnik i wklej w nim:

 

Unlock: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Infinite_Screen /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0D778FDC-FAD7-4B1D-AB88-7A76A562D65C}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{5C37612D-B6FD-4987-9263-DECCB7540B19}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "bProtector Start Page" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v bProtectorDefaultScope /f
Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f
C:\ProgramData\LOCALS~1\Temp\ccawaazvz.pif
C:\Program Files\Instair
C:\Program Files\Mozilla Firefox
C:\Users\Admin\AppData\Roaming\mozilla
C:\MSI
C:\search.sqlite
C:\prefs.js
F:\desktop.ini
F:\autorun.inf
F:\4#EVXRWIGUCSMAGT.ini
F:\Thumbs.db
F:\KINGSTON (4GB).lnk
CMD: attrib /d /s -s -h F:\*

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Wejdź na urządzenie F. Powinien być widoczny folder "bez nazwy". Przenieś z niego wszystkie dane poziom wyżej, a folder przez SHIFT+DEL skasuj.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + logi z FRST + USBFix z opcji Listing. Dołącz fixlog.txt oraz log utworzony przez AdwCleaner.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Akcje wykonane pomyślnie. Drobne poprawki. Zrób nowy fixlist.txt o zawartości:

 

C:\Users\Admin\AppData\Roaming\HoolappForAndroid
C:\Users\Admin\Downloads\xmsy7tw0.reg
C:\Users\Admin\Downloads\xmsy7tw0.bat
C:\Users\Admin\Downloads\xmsy7tw0.exe
C:\Windows\system32\bdaDB9.tmp
C:\Windows\system32\bdaEAFD.tmp
F:\desktop.ini
Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Uruchom w taki sam sposób jak poprzednio i pokaż wynikowy plik fixlog.txt.

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Akcja wykonana. Kończymy:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj wyliczone poniżej programy: KLIK.

 

==================== Installed Programs =======================
 

Adobe Flash Player 11 ActiveX (Version: 11.7.700.224)

Adobe Flash Player 11 Plugin (Version: 11.7.700.224)

Adobe Reader XI (11.0.02) (Version: 11.0.02)

Gadu-Gadu 7.7

Microsoft Office Enterprise 2007 (Version: 12.0.4518.1014)

Skype™ 4.2 (Version: 4.2.169)

 

A stare niesprawne Gadu proponuję zamienić np. WTW: KLIK.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...