Dzonyaka Opublikowano 5 Grudnia 2015 Zgłoś Udostępnij Opublikowano 5 Grudnia 2015 Witam, mój problem przedstawia się tak jak w tytule tematu - po podłączeniu pendrive'a nie mogę odczytać jego zawartości. Zauważyłem, że po kliknięciu ikonki TOSHIBA (F:) , ukazuje mi się kolejna ikonka (skrót) TOSHIBA (8GB) / Po kliknięciu owego skrótu, pokazuje się błąd o następującej treści: http://scr.hu/0z5l/xkjqx Nie mam pojęcia co dalej, proszę o jakąkolwiek pomoc. Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2015 Zgłoś Udostępnij Opublikowano 5 Grudnia 2015 Właściwe logi zostały uzupełnione. Dodaj jeszcze log z USBFix z opcji Listing zrobiony przy podpiętym pendrive. Log ten dostarcz już w nowym poście, nie edytuj pierwszego. Odnośnik do komentarza
Dzonyaka Opublikowano 5 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 5 Grudnia 2015 Dodaje log z UsbFixa o który mnie prosiłeś. UsbFix_Report.txt Odnośnik do komentarza
Dzonyaka Opublikowano 6 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 6 Grudnia 2015 Proszę o jak najszybszą pomoc, ponieważ na pendrive'a mam pliki potrzebne do pracy. Z góry dziękuje Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Pendrive został zainfekowany robakiem Gamarue: KLIK. Natomiast sam system też nie jest czysty, są różne odpadki adware. Akcje do przeprowadzenia: 1. Odinstaluj zbędnik i starą wersję: HP Deskjet 1050 J410 series — badanie mające na celu poprawę produktów, Java 8 Update 4. 2. Zakładam że pendrive jest nadal widoczny pod literą F. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR StartupUrls: Default -> "","hxxp://www.sweet-page.com/?type=hppp&ts=1396342427&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z","hxxp://www.sweet-page.com/?type=hppp&ts=1396343895&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z","hxxp://www.sweet-page.com/?type=hppp&ts=1396362261&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z","hxxp://www.sweet-page.com/?type=hppp&ts=1396370667&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z","hxxp://www.sweet-page.com/?type=hppp&ts=1396374311&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z","hxxp://do-search.com/?type=hp&ts=1431545918&z=1fb82a1a7206ef7863cecfbg2zccdg5w2z6w9t8gez&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z","hxxp://do-search.com/?type=hppp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z" CHR DefaultSearchURL: Default -> hxxp://do-search.com/web/?type=dspp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://do-search.com/?type=hppp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://do-search.com/?type=hppp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1431545918&z=1fb82a1a7206ef7863cecfbg2zccdg5w2z6w9t8gez&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1431545918&z=1fb82a1a7206ef7863cecfbg2zccdg5w2z6w9t8gez&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hppp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hppp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1431545918&z=1fb82a1a7206ef7863cecfbg2zccdg5w2z6w9t8gez&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1431545918&z=1fb82a1a7206ef7863cecfbg2zccdg5w2z6w9t8gez&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z&q={searchTerms} HKU\S-1-5-21-1463829551-4197206163-683052512-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=dspp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z&q={searchTerms} HKU\S-1-5-21-1463829551-4197206163-683052512-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=170 HKU\S-1-5-21-1463829551-4197206163-683052512-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hppp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z HKU\S-1-5-21-1463829551-4197206163-683052512-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=dspp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z&q={searchTerms} SearchScopes: HKU\S-1-5-21-1463829551-4197206163-683052512-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=dspp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z&q={searchTerms} SearchScopes: HKU\S-1-5-21-1463829551-4197206163-683052512-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=dspp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z&q={searchTerms} BHO-x32: Crazy Score -> {f439aa7e-a2a0-4635-99a2-164180e848ca} -> C:\Program Files (x86)\Crazy Score\Extensions\f439aa7e-a2a0-4635-99a2-164180e848ca.dll => Brak pliku FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\Pawel\AppData\Roaming\Mozilla\Firefox\Profiles\yidiuu52.default\extensions\sweetsearch@gmail.com => nie znaleziono HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1463829551-4197206163-683052512-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-1463829551-4197206163-683052512-1000\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe HKU\S-1-5-21-1463829551-4197206163-683052512-1000\...\Run: [Codec Pack Update Checker] => "C:\Windows\system32\Codecs\UpdateChecker.exe" ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku CustomCLSID: HKU\S-1-5-21-1463829551-4197206163-683052512-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Pawel\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku Task: {0FBBDC61-3529-4F54-B5EB-8BC8E9358DF1} - System32\Tasks\{04937F48-895F-4584-998D-A7A7A5E3B639} => pcalua.exe -a F:\mb_driver_lan_realtek_rtltool.exe -d F:\ Task: {1C05F6AB-D8C0-4951-B71D-96FEB6B9CD97} - System32\Tasks\{0BB60A0B-B418-4403-AE88-772C8885845B} => pcalua.exe -a E:\Network\RTL8111\NonVista\setup.exe -d E:\Network\RTL8111\NonVista Task: {275AEAA3-26F6-428C-8246-647C3BC3EFC3} - System32\Tasks\{B3EB59F7-6050-49B7-955C-175D9AB7D2FD} => pcalua.exe -a C:\Users\Pawel\AppData\Roaming\do-search\UninstallManager.exe -c -ptid=cor Task: {2B65C6CD-7671-4517-8AE9-77F7D6E5A693} - System32\Tasks\{A5DD03EA-4C07-4841-BC12-D136EC808D71} => pcalua.exe -a E:\SETUP.EXE -d E:\ Task: {5B83997E-B01F-4AC8-95BA-A2348517B701} - System32\Tasks\{588DC8FE-A2DE-4698-8792-68F9938E3157} => pcalua.exe -a E:\NVsetup.exe -d E:\ Task: {5F673D7E-8ED7-40F7-9E00-7B5A290C8110} - System32\Tasks\{61F500CF-7AA1-4EF1-979C-434C3B17D5A9} => pcalua.exe -a E:\Network\RTL8111\Vista\Setup.exe -d E:\Network\RTL8111\Vista Task: {6FDDC361-C36A-4731-BE40-3D0F8E9B2BA7} - System32\Tasks\{DD645CAE-7A86-497A-89AD-1FED8B67830B} => pcalua.exe -a C:\LIVE!C~1\VISTA_~1\CtDrvStp.exe -d C:\LIVE!C~1\VISTA_~1 -c -wait Task: {91A29AC9-41E4-4A9C-AC1A-0EE80EEA2F8E} - System32\Tasks\{8A4B47EF-54AB-4E34-A710-20C694664934} => pcalua.exe -a E:\Audio\Realtek\HD_Audio\Setup.exe -d E:\Audio\Realtek\HD_Audio Task: {DBFF4EF7-9B19-4366-8B19-A4297C347B15} - System32\Tasks\{8FE7F61E-FEBC-4498-9F77-C2EAA2D845BB} => pcalua.exe -a E:\Network\RTL8111\Vista\setup1.exe -d E:\Network\RTL8111\Vista S3 GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS [X] S3 Origin Client Service; "C:\Users\Pawel\Desktop\OriginClientService.exe" [X] S1 wafd_1_10_0_19; system32\drivers\wafd_1_10_0_19.sys [X] C:\Windows\SysWOW64\rundll32.rar F:\TOSHIBA (8GB).lnk RemoveDirectory: F:\System Volume Information CMD: attrib /d /s -s -h F:\* Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Jeśli komenda odkrywania danych na pendrive się wykonana poprawnie, na urządzeniu ujawni się folder "bez nazwy", do którego infekcja przesunęła wqszystkie dane. Wejdź do niego i przenieś dane poziom wyżej, a folder "bez nazwy" przez SHIFT+DEL skasuj. 4. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz USBFix z opcji Listing przy podpiętym pendrive. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Dzonyaka Opublikowano 7 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Nie rozumiem jednej kwesti: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Jak mam umiescic obok narzedzia FRST, bo nie rozumiem? Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Chodzi o to, by ten plik był zapisany w tym samym folderze skąd uruchamiasz FRST, czyli w tym przypadku w C:\Users\Pawel\Downloads. Odnośnik do komentarza
Dzonyaka Opublikowano 7 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Wykonałem wszystko tak jak mnie pokierowano, lecz przy USBFix wyskakuje następujący błąd : http://scr.hu/0z5l/6pmk1 FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Fixlog wskazuje, że wszystkie akcje pomślnie się wykonały na pendrive. Skoro USBFix nie potrafi się teraz uruchomić, to skrypt FRST może pokazać jak wygląda stan obecny na urządzeniu. Otwórz Notatnik i wklej w nim: Folder: F:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
Dzonyaka Opublikowano 7 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Wykonane. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 FRST pokazuje, że pendrive jest ... kompletnie pusty. Czy na pewno przed usunięciem tego folderu "bez nazwy" skopiowałeś z niego osobiste pliki (o ile tam były)? Odnośnik do komentarza
Dzonyaka Opublikowano 7 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Skopiowałem wszystkie potrzebne pliki na komputer i wszystko z niego usunąłem. Według mnie wszystko teraz jest w porządku. Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Tylko się upewniałam. Czyli sprawa z urządzeniem rozwiązana. Teraz pod kątem usuwanych wcześniej odpadków adware: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
Dzonyaka Opublikowano 7 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Już wykonuje, mam jeszcze jedno malutkie pytanie, być może nie na temat - z jakiego zakresu programów uzywać żeby komputer nie był za bardzo "zawalony"? Skan z AdwCleaner - wykonany. AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 1. AdwCleaner czepia się programu Media Player Codec Pack 4.3.7. Na wszelki wypadek odinstaluj ten program. 2. Następnie otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\XTab RemoveDirectory: C:\ProgramData\IHProtectUpDate RemoveDirectory: C:\ProgramData\MailUpdate RemoveDirectory: C:\ProgramData\WindowsMangerProtect RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Player - Codec Pack RemoveDirectory: C:\Users\Pawel\AppData\Local\FileViewPro RemoveDirectory: C:\Users\Pawel\AppData\Roaming\MailUpdate RemoveDirectory: C:\Windows\SysWOW64\Codecs DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\Classes\Interface\{B81A3063-CE6C-4F9A-AEBD-5DDD0EA805A0} DeleteKey: HKLM\SOFTWARE\Wow6432Node\do-searchSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\IHProtect DeleteKey: HKLM\SOFTWARE\Wow6432Node\SupDp DeleteKey: HKLM\SOFTWARE\Wow6432Node\supWindowsMangerProtect DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{B81A3063-CE6C-4F9A-AEBD-5DDD0EA805A0} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{31D48CAD-F6D9-411A-A0C9-C1F051511A86} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. mam jeszcze jedno malutkie pytanie, być może nie na temat - z jakiego zakresu programów uzywać żeby komputer nie był za bardzo "zawalony"? Uściślij pytanie, do czego konkretnie zmierzasz, o jakich programach mowa? Odnośnik do komentarza
Dzonyaka Opublikowano 7 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Log wykonany. Chodzi mi o program, który oczyszczałby komputer z niepotrzebnych plików, które tworzą jakieś tam błędy (nie znam się za bardzo). Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 W zakresie czyszczenia systemu kończymy. Odinstaluj USBFix. Skasuj FRST i jego logi z folderu C:\Users\Pawel\Desktop\Nowy folder. Następnie jeszcze popraw za pomocą DelFix. Chodzi mi o program, który oczyszczałby komputer z niepotrzebnych plików, które tworzą jakieś tam błędy (nie znam się za bardzo). Przykładowa propozycja: CCleaner Portable. Odnośnik do komentarza
Dzonyaka Opublikowano 7 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Log z programu DelFix. Dobrze, wypróbuje ten program, dziękuje za polecenie. Jeżeli to wszystko, to w takim razie dziękuje za bardzo szybką i konkretną pomoc - jestem naprawdę zadowolony. Wkrótce na pewno zdecyduje się na przekazanie dotacji. Pozdrawiam DelFix.txt Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 DelFix wykonał co należy. Skasuj z dysku plik C:\delfix.txt. To wszystko. Temat rozwiązany. Zamykam. I wielkie dzięki za ewentualną dotację! Odnośnik do komentarza
Rekomendowane odpowiedzi