svchost.exe problem

[avaldazar]

Witam.

Mój problem polegam na tym, że za każdym razem kiedy podłączam jaką kolwiek pamięć zewnętrzną to pojawia mi się komunikat widoczny na screenie. Czasami komunikat się pojawia bez podłączonej pamięci zewnętrznej, jest uciążliwy ponieważ nie da się wyłączyć.

Drugi problem to jak w pamięci zewnętrznej (mp3, dyski zewnętrzne) zmiast plików lub folderów pojawiają się skróty.

edit: zapomniałem jeszcze napisać: przy każdym uruchomieniu komputera pajawia się otwarty dokument tekstowy ScreenSaverPro.txt

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

[jessica]

Źle trafiłeś, bo @Picasso nie ma teraz możliwości pomaganiana Forum (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

 

Użyj >USBFix
Kliknij w nim na: DELETION.
Daj raport z tego usuwania.

 

Odinststaluj:

"bi_uninstaller" = Bundled software uninstaller

 

Otwórz Notatnik i wklej w nim:

 

HKCU\...\Run: [Mntktw] - C:\Users\Ja\AppData\Roaming\Microsoft\Mntktw.exe
HKCU\...\Run: [t4q] - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe
HKCU\...\Run: [ca40229dd] - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe
HKCU\...\Run: [screen Saver Pro 3.1] - C:\Users\Ja\AppData\Roaming\ScreenSaverPro.scr
HKCU\...\Run: [Dntktn] - C:\Users\Ja\AppData\Roaming\Microsoft\Dntktn.exe
HKCU\...\Run: [intkts] - C:\Users\Ja\AppData\Roaming\Microsoft\Intkts.exe
HKCU\...\Run: [fjpdqz] - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-11609\fjpdqz.exe
HKCU\...\Run: [Tntktd] - C:\Users\Ja\AppData\Roaming\Microsoft\Tntktd.exe
HKCU\...\Winlogon: [shell] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-11609\fjpdqz.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-15555590\cafef9.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-46689\24naq.exe,explorer.exe <==== ATTENTION
Winsock: Catalog5 01 %SystemRoot%\System32\mswsock.dll [223232] (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [x]

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.

 

Zrób nowe logi z FRST.

 

jessi

[avaldazar]

USB fix wyskakuje error screen poniżej

załączam nowe logi frst

Addition.txt

Fixlog.txt

FRST.txt

[jessica]

USB fix wyskakuje error screen poniżej

Spróbuj przynajmniej zrobić log USBFix LISTING.

 

jessi

[avaldazar]

log z usb fix

UsbFix Clean 3 JA-PC.txt

[jessica]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:Files
J:\RjtdJxgdTGAHDeJ.exe
J:\*.lnk

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

Zrób nowy log USBFix, z opcji LISTING.

 

jessi

[asarttag]

nowe logi

[jessica]

nowe logi

@asarttag - czy to Twój temat od początku, tylko teraz zmieniony nick?

[asarttag]

sorry to konto mojego brata który się zalogował na swoim koncie za chwile się przeloguje

[avaldazar]

nowe logi

11222013_221201a.txt

UsbFix Listing 2 JA-PC.txt

[jessica]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:Files
M:\*.lnk

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

Zrób nowy log z USBFix LISTING.

 

jessi

[avaldazar]

nowy log z usbfix

UsbFix Listing 3 JA-PC.txt

[jessica]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:Files
J:\dFwCMctcGJgEkBp.exe
J:\*.lnk
attrib -s -h J:\* /C

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

Zrób nowy log z USBFix.

 

Napisz, jak oceniasz teraz sytuację na penach.

 

jessi

[avaldazar]

nowe logi

 

sytuacja na dysku (M:) - dysk zewnętrzny wygląda ok

na dysku (J:) - mp3 - nastąpiło autoformatowanie po restarcie systemu i zostały tylko skróty, screen poniżej

UsbFix Listing 4 JA-PC.txt

11222013_231024a.txt

[jessica]

Nie wiem dlaczego plik infekcji cały czas się odnawia po usunięciu go.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:Files
J:\dFwCMctcGJgEkBp.exe
dFwCMctcGJgEkBp.exe /alldrives
J:\*.lnk
attrib -s -h J:\DEVICON.FIL
attrib -s -h J:\PERSIST.BIN
attrib -s -h J:\SETSTOR.DAT
attrib -s -h J:\AUTORUN.INF
attrib -s -h J:\playqueue.dat

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

Zrób nowy log z USBFix.

Zrób log z OTL.

 

(ja idę już spać)

 

jessi

[avaldazar]

Nowe logi

 

Nie wiem czemu, ale mój dysk zewnętrzny w formacie NTFS pozbył się wirusa i już działał normalnie, natomiast maja mp3 w formacie FAT 32, nie mogła pozbyć się wirusa, kiedy jednak sformatowałem formatem długim w formacie NTFS o dziwo po formacie i po ponownym użyciu USBFix to po otwarciu dysku były widoczne pliki wirusa a przede wszystkim jeden o nazwie " _[$]_TESTFILE_[$]_ " i " LGFlfvWqanaPLpf.exe " Z jakiegoś powodu ten drugi plik modyfikował swoją nazwę, ale dopiero po usunięciu tego pierwszego, udało się pozbyć się infekcji.

 

Zmodyfikowałem twój wcześniejszy skrypt i za pomocą OTL usunąłem wirusa.

załączyłem log z tej operacji " 11232013_021651a.txt "

widać tam ---> J:\_[$]_TESTFILE_[$]_ moved successfully.

Widać musiał to być główny plik wirusa

Po formacie musiałem wgrać od nowa softa, i mp3 śmiga ponownie.

 

Tylko dziwi mnie jakim cudem pliki wirusa przetrwały formatowanie.

 

Wielkie Dzięki za Pomoc i pozdrawiam

OTL.Txt

UsbFix Listing 5 JA-PC.txt

11232013_021651a.txt

[jessica]

Infekcja się odnawia, bo jest na dysku twardym.

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:OTL
[2013-11-22 21:49:02 | 000,205,312 | -HS- | C] () -- C:\Users\Ja\AppData\Roaming\temp.bin
[2013-11-22 21:49:02 | 000,205,312 | -HS- | C] () -- C:\Users\Ja\AppData\Roaming\ScreenSaverPro.scr
O4 - HKU\S-1-5-21-70149214-1339082029-3386996294-1000..\Run: [Wntktg] C:\Users\Ja\AppData\Roaming\Microsoft\Wntktg.exe ()
O4 - HKU\S-1-5-21-70149214-1339082029-3386996294-1000..\Run: [screen Saver Pro 3.1] C:\Users\Ja\AppData\Roaming\ScreenSaverPro.scr ()
SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)

:Files
C:\RECYCLER
J:\*.lnk
J:\.Trashes
attrib -s -h J:\PERSIST.BIN
attrib -s -h J:\DEVICON.FIL
attrib -s -h J:\SETSTOR.DAT
attrib -s -h J:\AUTORUN.INF
attrib -s -h J:\playqueue.dat

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"TaskMan"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

2) Zrób log z USBFix

 

3) Zrób log z OTL. Ale oprócz normalnych ustawień, dodaj jeszcze jedno:
W pole Własne opcje skanowania/Scrypt wklej:

 

type J:\autorun.inf /C  

i dopiero wtedy kliknij Skanuj.

 

jessi

[avaldazar]

nowe logi

 

mam nowy problem tą samą infekcję mam też na telefonie karta sd ele usbfix wogóle nie wykrywa tej pamięci

OTL.Txt

UsbFix Listing 6 JA-PC.txt

[avaldazar]

Udało mi się przeskanować telefon usb fix poniżej log

UsbFix Clean 11 JA-PC.txt

[jessica]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

 

:Files
yFkxUdvuhMmdybJ.exe /alldrives

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

 

Zrób log USBFix LISTING.

 

F.