trolu9991 Opublikowano 11 Grudnia 2015 Zgłoś Udostępnij Opublikowano 11 Grudnia 2015 Witam mam problem z otworzeniem plików na pendrivie po kliknieciu Dysk wymienny G: pojawia sie skrót Removable Drive (8Gb) po dwukliku na skrót wyskakuje komunikat: Wystąpił problem podczas uruchamiania pliku \{426446E1-76F9-4F14-9F5A-DCD9290FB753}.{D7322D5F-184C-4974-A1DF-155E9114DF5C} Nie można odnaleźć określonego modułu. Addition.txt FRST.txt Shortcut.txt Gmer.txt Odnośnik do komentarza
picasso Opublikowano 11 Grudnia 2015 Zgłoś Udostępnij Opublikowano 11 Grudnia 2015 Dodaj jeszcze log USBFix z opcji Listing zrobiony przy podpiętym pendrive. Odnośnik do komentarza
trolu9991 Opublikowano 11 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 11 Grudnia 2015 Prosze, oczywiscie nie chce tracic tego co jest na pendrive UsbFix_Report.txt Odnośnik do komentarza
picasso Opublikowano 11 Grudnia 2015 Zgłoś Udostępnij Opublikowano 11 Grudnia 2015 Są tu dwie sprawy: - Na pendrive grasowała infekcja Gamarue, więcej na jej temat: KLIK. Wszystkie dane są, tylko w ukrytym folderze "bez nazwy", nie widzisz go, bo nie masz skonfigurowanej opcji Ukryj chronione pliki systemu operacyjnego. Moim zadaniem będzie uwidocznienie danych. - System nie jest zainfekowany powyższym robakiem, ale za to są instalacje adware. Nabyte m.in. z dobrychproramów: KLIK. Działania do wykonania: 1. Odinstaluj adware/PUP: AVG SafeGuard by Ask, DarkEra (to fałszywka udająca grę o podobnej nazwie), McAfee Security Scan Plus. 2. Zakładam, że pendrive jest nadal zmapowany pod literą G, w przeciwnym wypadku skrypt nie zadziała. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdsManPro; C:\ProgramData\UWMiniProU\WMiniPro.exe [301704 2015-11-06] (DTools LIMITED) S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] U3 kxddrfow; \??\C:\Users\Grzesiek\AppData\Local\Temp\kxddrfow.sys [X] Task: {EEDC56E2-F112-4D51-AA4E-A5B1BEB1769D} - System32\Tasks\{D226DD92-96AF-4342-A7BC-45C73A45E931} => pcalua.exe -a C:\Users\Grzesiek\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor CHR HomePage: Default -> search.ask.com/?gct=hp CHR DefaultSearchURL: Default -> hxxp://www.istartsurf.com/web/?type=ds&ts=1446807618&z=c5da6eb25f35d2a9ea696ccg5z4z9q6beeam3cacfw&from=cor&uid=WDCXWD5000AAKX-00ERMA0_WD-WMC2E309661796617&q={searchTerms} CHR HKLM\...\Chrome\Extension: [aaaacnnimempmlomnnhdkimkfahjplfp] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaacnnimempmlomnnhdkimkfahjplfp.crx [2015-11-12] CHR HKLM\...\Chrome\Extension: [aaaadbkccgigjdmfmdhgikcckicldhjb] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaadbkccgigjdmfmdhgikcckicldhjb.crx [2015-11-12] CHR HKLM-x32\...\Chrome\Extension: [aaaacnnimempmlomnnhdkimkfahjplfp] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaacnnimempmlomnnhdkimkfahjplfp.crx [2015-11-12] CHR HKLM-x32\...\Chrome\Extension: [aaaadbkccgigjdmfmdhgikcckicldhjb] - C:\ProgramData\AskPartnerNetwork\Toolbar\Shared\CRX\aaaadbkccgigjdmfmdhgikcckicldhjb.crx [2015-11-12] FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Grzesiek\AppData\Roaming\Mozilla\Firefox\Profiles\8cpzhtq8.default\extensions\defsearchp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Grzesiek\AppData\Roaming\Mozilla\Firefox\Profiles\8cpzhtq8.default\extensions\deskCutv2@gmail.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446807618&z=c5da6eb25f35d2a9ea696ccg5z4z9q6beeam3cacfw&from=cor&uid=WDCXWD5000AAKX-00ERMA0_WD-WMC2E309661796617 SearchScopes: HKU\S-1-5-21-542395769-2740874246-3797253982-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\istartsurf uninstall C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\mntemp C:\ProgramData\Trend Micro C:\ProgramData\UWMiniProU C:\Users\Default User\AppData\Roaming\TuneUp Software C:\Users\Grzesiek\AppData\Roaming\DarkEra C:\Users\Grzesiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DarkEra.lnk C:\Users\Grzesiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\DarkEra.lnk C:\Users\Grzesiek\Downloads\*-dp*.exe G:\Removable Drive (8GB).lnk CMD: attrib /d /s -s -h G:\* Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Jeśli skrypt pomyślnie wykona komendy na pendrive, zobaczysz folder "bez nazwy". Wejdź do niego i przenieś poziom wyżej wszystkie swoje dane. Następnie pusty już folder "bez nazwy" skasuj przez SHIFT+DEL (omija Kosz). 4. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 5. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, log USBFix z opcji Listing - nie zaznaczaj rekursywnego skanu jak to wcześniej zrobiłeś, nie potrzebuję tak obszaernego skanu. Dołącz też plik fixlog.txt. Odnośnik do komentarza
trolu9991 Opublikowano 11 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 11 Grudnia 2015 Prosze Fixlog.txt FRST.txt UsbFix_Report.txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2015 Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Wszystko zrobione, adware usunięte, dane na pendrive przywrócone do pożądanej postaci. Teraz na wszelki wypadek jeszcze: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
trolu9991 Opublikowano 12 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Log AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2015 Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Poprawk: 1. Powtórz tę akcję w Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\APN PIP DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Sparta W2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Sparta W1 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Sparta N DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Sparta D1 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder sun DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder sat DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WarThunder24 DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKU\S-1-5-18\Software\AskPartnerNetwork RemoveDirectory: C:\Adwcleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\apn RemoveDirectory: C:\Users\Grzesiek\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\Grzesiek\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Grzesiek\Desktop\y2xjljpv.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
trolu9991 Opublikowano 12 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Log Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2015 Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Wszystko zrobione. Kończymy: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
trolu9991 Opublikowano 12 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Jest problem po próbie dodania Loga w załaczniku wyskakuje błąd DelFix.txt Wysyłanie ominięte (Nie wybrano pliku do importu) Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2015 Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Log krótki, wklej jego zawartość bezpośrednio do posta. Odnośnik do komentarza
trolu9991 Opublikowano 12 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 # DelFix v1.011 - Logfile created 12/12/2015 at 21:30:02 # Updated 18/08/2015 by Xplode # Username : Grzesiek - GRZESIEKPC # Operating System : Windows 7 Home Premium Service Pack 1 (64 bits) ~ Removing disinfection tools ... Deleted : C:\USBFix Deleted : C:\FRST Deleted : C:\Users\Grzesiek\Desktop\FRST-OlderVersion Deleted : C:\Users\Grzesiek\Desktop\Fixlog.txt Deleted : C:\Users\Grzesiek\Desktop\FRST64.exe Deleted : C:\Users\Grzesiek\Desktop\UsbFix.lnk Deleted : C:\Users\Grzesiek\Downloads\adwcleaner_5.024.exe Deleted : C:\Users\Grzesiek\Downloads\UsbFix_2016_8.164.exe Deleted : HKCU\Software\USBFix Deleted : HKLM\SOFTWARE\AdwCleaner Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix ########## - EOF - ########## Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2015 Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. To tyle. Odnośnik do komentarza
trolu9991 Opublikowano 12 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Dziękuję za pomoc jak będę czegoś potrzebował na pewno się zgłoszę Odnośnik do komentarza
Rekomendowane odpowiedzi