paczeko Opublikowano 8 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 8 Kwietnia 2015 Dzień dobry. Mam następujący problem: po włożeniu pendriva i przeskanowaniu Avast znalazł na nim wirusa win32crumpache w ukrytym katalogu BUBAVII. Katalog znalazłem w Total Comanderze no i w swojej doskonałości kliknąłem. Otworzyło mi się okno eksploratora z tym katalogiem jako koszem. Avastem usunąłem plugastwo. Zastanawiam się tylko czy to coś nie wpadło na mi na laptopa no i jak jest z uleczonym usb penem. Niby tam już nic nie ma, ale... A komputer i pendrive planuje wykorzystać przy naprawianiu dysku z innego laptopa (znikła tam partycja systemowa z niego, może odzysk się da zrobić - ale to już inny temat) a nie chcę by w razie czego coś tam ewentualnie przeskoczyło wrednego. Załączam logi no i może jpg z działania avasta. Aha, no i jeszcze jedno mi sie przypomniało (chociaż nie wiem czy ma to znaczenie) IE nie używam właściwie tylko FF i Chrome, ale jak już coś mi się w nim otworzy to nie mogę zamknąć inaczej jak przez zabicie procesu, ewentualnie przy wpisywaniu adresu do paska IE znika. Pozdrawiam P. Addition.txt log_gmer.txt Shortcut.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 16 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 Nie widać tu żadnych oznak infekcji z pendrive, do korekty będą tylko: adware FF Toolbar w Firefox oraz wpisy puste. Zawartość pendrive nieznana. Dodaj raport USBFix z opcji Listing zrobiony przy podpiętym pendrive. Aha, no i jeszcze jedno mi sie przypomniało (chociaż nie wiem czy ma to znaczenie) IE nie używam właściwie tylko FF i Chrome, ale jak już coś mi się w nim otworzy to nie mogę zamknąć inaczej jak przez zabicie procesu, ewentualnie przy wpisywaniu adresu do paska IE znika. Mogą być różne przyczyny, trudno powiedzieć. Ale zacznij od aktualizacji, w systemie strasznie stara wersja IE7. Zainstaluj IE8 (też bardzo stary, ale dla XP nie ma innych możliwości): KLIK. Platform: Microsoft Windows XP Home Edition Dodatek Service Pack 3 (X86) OS Language: Polski Internet Explorer Version 7 (Default browser: IE) Przy okazji odinstaluj też stare wersje: Adobe AIR, Adobe Flash Player 16 NPAPI, J2SE Runtime Environment 5.0, Java 6 Update 19. Ta Java tragiczna, same dziury. Po wszystkich robotach (de)instalacyjnych zrób nowe raporty FRST (wącznie z Addition). Odnośnik do komentarza
paczeko Opublikowano 1 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 1 Maja 2015 Picasso Dziękuję za odpowiedź. Postaram się w ten "długi łykend" coś zadziałać i przedstawić na forum. Praca niestety i zajęcia domowe... Miłego świętowania wszystkim czytającym. ************************************* No więc tak: IE8 zainstalowany, aktualizacje też. Stare wersje powyższych odinstalowane. Na razie nic nowego nie wrzucałem. Raporty dołączam i w niecierpliwym oczekiwaniu idę na grilla... Pozdrawiam Addition.txt Shortcut.txt FRST.txt UsbFix Listing 2 TOMASZ-2E83A091.txt Odnośnik do komentarza
picasso Opublikowano 5 Maja 2015 Zgłoś Udostępnij Opublikowano 5 Maja 2015 Na pendrive są ślady infekcji - ukryty folder F:\BUBAVII. Drobnostki do wykonania: 1. Pendrive ma być podpięty, zakładam, że nadal pod literą F: widziany, w przeciwnym wypadku w poniższym skrypcie wymień literę F: bieżącą. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X] S3 BlueletSCOAudio; system32\DRIVERS\BlueletSCOAudio.sys [X] S3 BT; system32\DRIVERS\btnetdrv.sys [X] S3 Btcsrusb; System32\Drivers\btcusb.sys [X] S0 BTHidEnum; System32\Drivers\vbtenum.sys [X] S0 BTHidMgr; System32\Drivers\BTHidMgr.sys [X] S3 GPU-Z; \??\C:\DOCUME~1\Admin\USTAWI~1\Temp\GPU-Z.sys [X] S1 mailKmd; No ImagePath S3 massfilter; system32\drivers\massfilter.sys [X] S3 VComm; system32\DRIVERS\VComm.sys [X] S3 VcommMgr; System32\Drivers\VcommMgr.sys [X] S1 Wbutton; \SystemRoot\system32\drivers\Wbutton.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] HKLM\...\RunOnce: [] => [X] BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\Admin\Pulpit\Continue DAEMON Tools Lite installation.lnk C:\Documents and Settings\Admin\Pulpit\Recovery-Info.lnk C:\Documents and Settings\Default User\Pulpit\Recovery-Info.lnk C:\Documents and Settings\użytkownik\Pulpit\Recovery-Info.lnk C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Common Files\*.DLL C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup C:\WINDOWS\pss\Symantec Fax Starter Edition Port.lnkCommon Startup F:\AUTORUN.INF RemoveDirectory: F:\BUBAVII RemoveDirectory: F:\FOUND.000 Folder: C:\AddOn CMD: del /q C:\REMOVE_THIS_FILE.livecd.swap CMD: netsh firewall reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Symantec Fax Starter Edition Port.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CanonMyPrinter" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CanonSolutionMenu" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PKTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
paczeko Opublikowano 5 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 5 Maja 2015 (edytowane) Skrypt przekopiowany do notatnika. FRST na pulpicie. Po wlaczeniu zawiesił się (zresztą cały komp) na "Creting restore point. This can take a faw minutes, please wait...". I tak już 2 godziny... ***************** Jest juz prawie 19-ta i nic nie ruszyło. Mam nadzieję, że nic źle nie zrobiłem ***************** 21-a a system "wisi" nadal. Czy winny moze byc tu włączony Avast? Edytowane 5 Maja 2015 przez paczeko Odnośnik do komentarza
picasso Opublikowano 5 Maja 2015 Zgłoś Udostępnij Opublikowano 5 Maja 2015 To nie jest normalne. Zakończ pracę FRST, wytnij ze skryptu linię CreateRestorePoint: i ponów próbę. Odnośnik do komentarza
paczeko Opublikowano 6 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 6 Maja 2015 No więc sytuacja wygląda następująco: Zrobiłem twardy restart (mogłem poruszać tylko wskaźnikiem myszki a alt+ctr+del nie zadziałał by wyłączyć FRST z menadżera). Wyjąłem pamięć z usb. Po wgraniu się XP-ka i zalogowaniu okazało się, że na pulpicie pojawił się plik fixlog.txt więc działam wg pierwotnej wskazówki. FF wg pkt 2. Podłączyłem pamięć pod USB Scan w FRST. Dołączam frst.txt i fixlog.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 6 Maja 2015 Zgłoś Udostępnij Opublikowano 6 Maja 2015 To co powiedziałam post wyżej nadal aktualne. Fixlog wprawdzie powstał, ale on przedstawia opisywany defekt, czyli zawieszenie na CreateRestorePoint:. Nic nie wykonało się. Tak więc wytnij tę komendę i powtórz zadanie. Odnośnik do komentarza
paczeko Opublikowano 6 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 6 Maja 2015 Picasso chyba coś "spartoiłem" Przeczytałem post rano i na szybko zamiast pomyśleć zadziałałem. W skrócie: zapuściłem FRST Fix z usuniętą linijką CreateRestorePoint: ... ale bez podpiętego pena... Na dodatek jak to zauważyłem to zaraz wyłączyłem komputer. Nie wiem co myślałem - pewnie nic - ewentualnie, że wybuchnie. Po powtórnym włączeniu Fix z już podpiętym pendrivem ale niestety laptop się zawiesił jak poprzednio. Na tą chwilę nie wiem czy dalej próbować opcji Fix bo może coś namieszałem. Proszę się nie śmiać. I tak mi jest głupio. Odnośnik do komentarza
picasso Opublikowano 7 Maja 2015 Zgłoś Udostępnij Opublikowano 7 Maja 2015 Skoro FRST się wiesza, powtórz ten Fix z poziomu Trybu awaryjnego Windows. Jeśli pendrive nie będzie widoczny w awaryjnym, doczyścimy go potem w inny sposób. Odnośnik do komentarza
paczeko Opublikowano 7 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2015 Tak zrobiłem. Fix bez createrestore point. Wszystko przebiegło pomyślnie. Skan zrobiłem już zalogowany jako użytkownik. Troszkę się przestraszyłem bo po wszystkim znikł plik fixlist.txt ale znalazłem, że po zakończeniu przetwarzania FRST go usuwa Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 7 Maja 2015 Zgłoś Udostępnij Opublikowano 7 Maja 2015 Plik Fixlist.txt jest automatycznie usuwany przez FRST, to jest normalne zaplanowane zadanie i ma na celu zapobiec omyłkowemu uruchomieniu starego niepasującego skryptu. Wszystko wykonane, dziady z pendrive też usunięte: F:\AUTORUN.INF => Moved successfully. "F:\BUBAVII" => removed successfully. Kończymy. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Aha, no i jeszcze jedno mi sie przypomniało (chociaż nie wiem czy ma to znaczenie) IE nie używam właściwie tylko FF i Chrome, ale jak już coś mi się w nim otworzy to nie mogę zamknąć inaczej jak przez zabicie procesu, ewentualnie przy wpisywaniu adresu do paska IE znika. vs. No więc tak: IE8 zainstalowany, aktualizacje też. Stare wersje powyższych odinstalowane. Czy po aktualizacji nadal występują opisywane objawy? Odnośnik do komentarza
paczeko Opublikowano 7 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 7 Maja 2015 DelFix zastosowany. Txt w załączniku. Przywracanie wyłącz/włącz też. Jeśli chodzi o IE8 to na tą chwilę nie zauważyłem powyższych objawów. DelFix.txt Odnośnik do komentarza
Rekomendowane odpowiedzi