Zyhryt Opublikowano 8 Grudnia 2014 Zgłoś Udostępnij Opublikowano 8 Grudnia 2014 Witam. dziś mój pendrive spotkał się z komputerami w szkole (więcej zajmują tam wirusy niż Windows).Gdy wróciłem do domu podłączyłem pendrive do komputera (uruchomiło się autoskanowanie nowych nośników) Arcavir wykrył 3 wirusy co nie było dla mnie zaskoczeniem (tylko jakieś addsy więc je usunołem). "Wchodze" na pendriva a tu skrót do pendriva (2 screen) troche mnie to zdziwiło ale kontynuowałem, wtedy wyskoczył błąd (1 screen). Zapytałem wujka google a on zaprowadził mnie do kilku podobnych tematów z których dowiedziałem się że to prawdopodobnie uszkodzony plik uruchamiający wirus w temacie znajdowała się także rada aby włączyć pokazywanie się ukrytych plików więc ponownie to zrobiłem (wcześniej byłem przekonany że jest to już włączone) przeskanowałem i przeniosłem czyste pliki z folderu ukrytego do "oficjalnego" nie wiem co zrobić z pozostałymi po wirusie plikami (po prostu usunąć czy są na to jakies bezpieczniejsze czary ; )Prawie Edit: do tego troche muli mi się komputer więc może chcecie jakieś skany ?2 Prawie Edit: spoglądnąłem do kwarantanny i znalazłem tam identycznie nazwany plik ( jakiego na screenie nr 1 brakuje)Prawie Edity oznaczają że nie opublikowałem jeszcze postu ale nie chciało mi się wciskać między tekst tych informacjiDzięki za przeczytanie, odpowiedzi i pomoc Odnośnik do komentarza
picasso Opublikowano 8 Grudnia 2014 Zgłoś Udostępnij Opublikowano 8 Grudnia 2014 To infekcja Gamarue. Dodaj precyzyjne dane: - Zestaw obowiązkowych logów, by sprawdzić czy pendrive nie zainfekował przypadkiem systemu. W tym przypadku wystarczą mi raporty z FRST. - Spis obiektów na urządzeniu, czyli log USBFix z opcji Listing. Odnośnik do komentarza
Zyhryt Opublikowano 8 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 8 Grudnia 2014 Wstawiam raporty o które prosiłaś UsbFix Listing 2 DAWIDA.txt FRST.txt Shortcut.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2014 Zgłoś Udostępnij Opublikowano 10 Grudnia 2014 1. Jeśli chodzi o urządzenie: w temacie znajdowała się także rada aby włączyć pokazywanie się ukrytych plików więc ponownie to zrobiłem (wcześniej byłem przekonany że jest to już włączone) przeskanowałem i przeniosłem czyste pliki z folderu ukrytego do "oficjalnego" nie wiem co zrobić z pozostałymi po wirusie plikami (po prostu usunąć czy są na to jakies bezpieczniejsze czary ; ) Obecnie na urządzeniu wszystkie składniki to obiekty infekcji: ################## | I:\ - Removable drive (FAT32) |[/b] [08/12/2014 - 11:45:14 | A | 2 Ko] - I:\Removable Disk (8GB).lnk [08/12/2014 - 11:45:14 | RASH | 3 Ko] - I:\desktop.ini [08/12/2014 - 11:45:14 | RASH | 248 Ko] - I:\Thumbs.db [05/12/2014 - 08:09:58 | SHD] - I:\ Ta ostatnia pozycja, czyli folder "bez nazwy": jak rozumiem dane już stamtąd wyłowiłeś, w związku z tym można usunąć wszystko z urządzenia przez SHIFT+DEL (omija Kosz). 2. Jeśli chodzi o system: do tego troche muli mi się komputer Brak oznak infekcji. Przyczyna opisywanego zachowania jest więc inna, może ArcaBit (antywirusy zawsze są podejrzane), może inne procesy pracujące w tle. Widzę że sporo już wyłączyłeś ze startu via Menedżer zadań Windows 8 oraz msconfig: MSCONFIG\Services: IAStorDataMgrSvc => 2 MSCONFIG\Services: Intel® Capability Licensing Service Interface => 2 MSCONFIG\Services: Intel® Capability Licensing Service TCP IP Interface => 3 MSCONFIG\Services: Intel® ME Service => 2 MSCONFIG\Services: ISCTAgent => 2 MSCONFIG\Services: jhi_service => 2 MSCONFIG\Services: LMS => 2 MSCONFIG\Services: MozillaMaintenance => 3 MSCONFIG\Services: NvNetworkService => 2 MSCONFIG\Services: NvStreamSvc => 2 MSCONFIG\Services: nvsvc => 2 MSCONFIG\Services: SkypeUpdate => 2 MSCONFIG\Services: Steam Client Service => 3 HKLM\...\StartupApproved\StartupFolder: => "iSCTsysTray.lnk" HKLM\...\StartupApproved\Run: => "RTHDVCPL" HKLM\...\StartupApproved\Run: => "ShadowPlay" HKLM\...\StartupApproved\Run: => "IAStorIcon" HKLM\...\StartupApproved\Run: => "ARCACLEAN" HKLM\...\StartupApproved\Run32: => "SunJavaUpdateSched" HKLM\...\StartupApproved\Run32: => "NvBackend" HKLM\...\StartupApproved\Run32: => "IAStorIcon" HKLM\...\StartupApproved\Run32: => "Adobe Reader Speed Launcher" HKLM\...\StartupApproved\Run32: => "LogMeIn GUI" HKLM\...\StartupApproved\Run32: => "LogMeIn Hamachi Ui" HKLM\...\StartupApproved\Run32: => "Gameiki" HKLM\...\StartupApproved\Run32: => "Adobe ARM" HKU\S-1-5-21-3637111744-2562166582-151774440-1001\...\StartupApproved\StartupFolder: => "fabulous_08181036.lnk" HKU\S-1-5-21-3637111744-2562166582-151774440-1001\...\StartupApproved\Run: => "THPanel" HKU\S-1-5-21-3637111744-2562166582-151774440-1001\...\StartupApproved\Run: => "Skype" HKU\S-1-5-21-3637111744-2562166582-151774440-1001\...\StartupApproved\Run: => "RGSC" HKU\S-1-5-21-3637111744-2562166582-151774440-1001\...\StartupApproved\Run: => "DAEMON Tools Lite" HKU\S-1-5-21-3637111744-2562166582-151774440-1001\...\StartupApproved\Run: => "Facebook Update" HKU\S-1-5-21-3637111744-2562166582-151774440-1001\...\StartupApproved\Run: => "Steam" HKU\S-1-5-21-3637111744-2562166582-151774440-1001\...\StartupApproved\Run: => "fabulous_08181036" HKU\S-1-5-21-3637111744-2562166582-151774440-1001\...\StartupApproved\Run: => "Spotify Web Helper" HKU\S-1-5-21-3637111744-2562166582-151774440-1001\...\StartupApproved\Run: => "Advanced SystemCare 7" HKU\S-1-5-21-3637111744-2562166582-151774440-1001\...\StartupApproved\Run: => "REPORT" HKU\S-1-5-21-3637111744-2562166582-151774440-1001\...\StartupApproved\Run: => "Advanced SystemCare 8" W msconfig mógłbyś jeszcze odznaczyć usługi LiveUpdateSvc, NvNetworkService, NvStreamSvc (te pozycje od nVidia niby były już wyłączane, ale obecnie znów są w stanie "Uruchomiono"). I podejrzewam tu głównie ArcaBit, w Dzienniku zdarzeń są błędy zawieszenia jednej z usług i inne: System errors: ============= Error: (12/08/2014 07:35:54 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi ABMainSV. Application errors: ================== Error: (12/07/2014 07:23:39 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: arcamainsv.exe, wersja: 1.0.5441.25867, sygnatura czasowa: 0x5473311b Nazwa modułu powodującego błąd: ns.dll, wersja: 2014.0.0.255, sygnatura czasowa: 0x545b3878 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000000000002889a Identyfikator procesu powodującego błąd: 0x60 Godzina uruchomienia aplikacji powodującej błąd: 0xarcamainsv.exe0 Ścieżka aplikacji powodującej błąd: arcamainsv.exe1 Ścieżka modułu powodującego błąd: arcamainsv.exe2 Identyfikator raportu: arcamainsv.exe3 Pełna nazwa pakietu powodującego błąd: arcamainsv.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: arcamainsv.exe5 PS. I jeszcze wykonaj kosmetykę (czyszczenie wpisów pustych i Tempów). Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF Plugin: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelogx64.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.4.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.4.0\npbattlelog.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelog.dll No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe R3 cpuz137; \??\C:\Users\Dawid\AppData\Local\Temp\cpuz137\cpuz137_x64.sys [X] S2 LMIInfo; \??\C:\Program Files (x86)\LogMeIn\x64\RaInfo.sys [X] S4 LMIRfsClientNP; No ImagePath S3 MBfilt; \SystemRoot\system32\drivers\MBfilt64.sys [X] Task: {B50B1E51-83E1-4BDF-B403-62E44A1CD2D0} - System32\Tasks\Driver Booster Beta SkipUAC (Dawid) => C:\Program Files (x86)\IObit\Driver Booster Beta\DriverBooster.exe C:\Program Files (x86)\Klip Pal C:\Users\Dawid\AppData\Local\CrashRpt C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox\Profiles\y7mfx2lg.default\extensions.ini C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox\Profiles\y7mfx2lg.default\user.js Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Reader Speed Launcher" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "LogMeIn GUI" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "LogMeIn Hamachi Ui" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v Gameiki /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v fabulous_08181036.lnk /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v RGSC /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Facebook Update" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v fabulous_08181036 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Advanced SystemCare 7" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v REPORT /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt - przedstaw go. Odnośnik do komentarza
Zyhryt Opublikowano 10 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2014 Plik wygenerowany po naprawie: Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 11 Grudnia 2014 Zgłoś Udostępnij Opublikowano 11 Grudnia 2014 Zakładam, że urządzenie wyczyściłeś już. Fix wykonany. W zakresie czyszczenia systemu już skończyliśmy. 1. Odinstaluj USBFix, zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Dodatkowo można również zaktualizować niektóre programy (są nowsze wersje): ==================== Installed Programs ====================== Adobe Flash Player 15 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 15.0.0.239 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Adobe Reader XI (11.0.08) - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.08 - Adobe Systems Incorporated) Mozilla Firefox 33.1 (x86 pl) (HKLM-x32\...\Mozilla Firefox 33.1 (x86 pl)) (Version: 33.1 - Mozilla) Surfing Protection (HKLM-x32\...\IObit Surfing Protection_is1) (Version: 1.2 - IObit) ----> odpadek do deinstalacji Odnośnik do komentarza
Zyhryt Opublikowano 11 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 11 Grudnia 2014 Zaktualizowałem programy, usunąłem narzędzia, wyczyściłem folder przywracania.Mam jeszcze pewien problem (dotyczący prawdopodobnie BIOSu). Napisać tutaj czy w innym temacie (jeśli tak to w jakim dziale) Odnośnik do komentarza
picasso Opublikowano 11 Grudnia 2014 Zgłoś Udostępnij Opublikowano 11 Grudnia 2014 Jeśli sprawa się kręci wokół BIOS, to załóż nowy temat w dziale Hardware. Odnośnik do komentarza
Rekomendowane odpowiedzi