amaru Opublikowano 15 Marca 2016 Zgłoś Udostępnij Opublikowano 15 Marca 2016 Witam, mam problem z pamięcią flash - po podłączeniu do kiosku multimedialnego na uczelni wszystkie pliki zniknęły i pozostał tylko skrót (po kliknięciu można było się do nich dostać). Chyba wyskakiwał błąd z nazwą pliku o rozszerzeniu ".ini", ale głowy nie dam. Przy próbie otworzenia plików w komputerze, z którego przesyłam raporty - nie widać żadnych plików (1,74GB z 7,44GB jest zajęta). Widzę, że Avast przeniósł do kwarantanny "Win32:Malware-gen". Skanowanie pamięci nie przynosi efektów. Pozdrawiam, Adam Shortcut.txt Addition.txt FRST.txt gmer.txt Odnośnik do komentarza
Groszexxx Opublikowano 15 Marca 2016 Zgłoś Udostępnij Opublikowano 15 Marca 2016 Dodaj proszę raport z USBFix - opcja listing Odnośnik do komentarza
amaru Opublikowano 15 Marca 2016 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2016 Proszę bardzo. UsbFix Listing 1 HP-LAPTOP.txt Odnośnik do komentarza
picasso Opublikowano 8 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 8 Kwietnia 2016 W systemie per se widoczne drobne odpadki adware. Natomiast infekcja Gamarue jest tylko na urządzeniu. Infekcja utworzyła folder "bez nazwy" (znak ASCI), do którego przesunęła wszystkie dane. Folder został ukryty za pomocą atrybutów HS (ukryty systemowy), czyli jest widoczny po odznaczeniu w opcjach folderów Ukryj chronione pliki systemu operacyjnego. Naprawa będzie polegać na zdjęciu atrybutów HS i ręcznym przekopiowaniu danych. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: FF Plugin-x32: @videolan.org/vlc,version=2.0.3 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\0wsq8knk.default\extensions\fftoolbar2014@etech.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\0wsq8knk.default\extensions\quick_searchff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\0wsq8knk.default\extensions\sweetsearch@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-544182260-2193072089-3567993724-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130849302545963512&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130849302545983514&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421618720&from=cor&uid=WDCXWD3200BEKT-60PVMT0_WD-WXH1A518438584385&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421618720&from=cor&uid=WDCXWD3200BEKT-60PVMT0_WD-WXH1A518438584385&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://isearch.omiga-plus.com/?type=hppp&ts=1421618779&from=cor&uid=WDCXWD3200BEKT-60PVMT0_WD-WXH1A518438584385 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://isearch.omiga-plus.com/?type=hppp&ts=1421618779&from=cor&uid=WDCXWD3200BEKT-60PVMT0_WD-WXH1A518438584385 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421618720&from=cor&uid=WDCXWD3200BEKT-60PVMT0_WD-WXH1A518438584385&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://isearch.omiga-plus.com/web/?type=ds&ts=1421618720&from=cor&uid=WDCXWD3200BEKT-60PVMT0_WD-WXH1A518438584385&q={searchTerms} HKU\S-1-5-21-544182260-2193072089-3567993724-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.delta-homes.com/web/?type=ds&ts=1432152437&z=b849ed68b350184ff39f59bg5zbc8oag9w1o1z5zbe&from=wpm05203&uid=WDCXWD3200BEKT-60PVMT0_WD-WXH1A518438584385&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-544182260-2193072089-3567993724-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-544182260-2193072089-3567993724-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-544182260-2193072089-3567993724-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-544182260-2193072089-3567993724-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=&utm_campaign=install_ie&utm_content=ds&from=&uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6A&ts=1420373293&type=default&q={searchTerms} BHO-x32: Brak nazwy -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> Brak pliku BHO-x32: Brak nazwy -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> Brak pliku DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Task: {17EB63DA-27F9-4D14-B585-3478C7EDA1C1} - System32\Tasks\{C1DC5E42-4922-4F51-9AAF-914B0543325D} => pcalua.exe -a C:\Users\HP\Desktop\POBRANE\irfanview_plugins_440_setup.exe -d C:\Users\HP\Desktop\POBRANE Task: {20A4FDF9-D3FA-4153-A700-CCD52B4EEEAF} - System32\Tasks\{8952C0CC-09C9-48D0-B75C-DC9D5D200DE5} => pcalua.exe -a C:\Users\HP\Desktop\sp52145.exe -d C:\Users\HP\Desktop Task: {38DB2182-F7D1-47C5-AAC6-0C5641A22234} - System32\Tasks\{6C7ABBAB-6821-428E-A0F5-902E28F43E29} => pcalua.exe -a C:\Users\HP\Desktop\Uaktualnienie2000e.exe -d C:\Users\HP\Desktop Task: {45585F4D-C220-455C-BD55-4FFEE407B84B} - System32\Tasks\{E766F266-A8BB-468D-9D2E-254CB0A47B0B} => pcalua.exe -a C:\Users\HP\Desktop\POBRANE\irfanview_plugins_440_setup.exe -d C:\Users\HP\Desktop\POBRANE Task: {489EB306-4FD3-4DEE-8569-D0290C13EFB8} - System32\Tasks\{FC8A6F19-CA17-4F7A-B871-862C685776E3} => pcalua.exe -a C:\Users\HP\Desktop\POBRANE\irfanview_lang_polski.exe -d C:\Users\HP\Desktop\POBRANE Task: {4AD39E4C-52E1-42F3-9305-64C3BEE305FB} - System32\Tasks\{5C38FBAC-CB4B-499F-B39F-2A54E52B7E9B} => pcalua.exe -a E:\autorun.exe -d E:\ Task: {7B10828B-14AE-4CBD-85C0-3D5CEE083393} - System32\Tasks\{5EAFDCC8-E6F0-4B3A-8726-6E5B4CFBA090} => pcalua.exe -a C:\Users\HP\Desktop\POBRANE\USMoneyDlxSunset.exe -d C:\Users\HP\Desktop\POBRANE Task: {87F3797B-FB14-49AD-AE94-D48169594B6B} - System32\Tasks\{AF747099-D52A-4578-A743-B639BF87DD31} => pcalua.exe -a C:\Users\HP\Desktop\sp52143.exe -d C:\Users\HP\Desktop Task: {8C0DCD49-DF5A-414F-AB2A-C9C79AE5853F} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {D7E2C4A0-45CB-4BB7-BA66-E4E1F54E32C1} - System32\Tasks\{D30D9DAC-0A19-4453-8EE6-6F1F4EDFF428} => pcalua.exe -a C:\Users\HP\AppData\Local\Temp\Shortcut_SweetIMSetup.exe -d C:\Users\HP\Desktop -c -Shortcut Task: {DFF81848-46F0-4BFC-B97A-9D7F32B97A59} - System32\Tasks\ScanSoft Background Update => C:\Program Files (x86)\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-544182260-2193072089-3567993724-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Spacekace RemoveDirectory: C:\Program Files (x86)\ESET RemoveDirectory: F:\System Volume Information CMD: attrib /d /s -s -h F:\* CMD: attrib /d /s -r -s -h C:\FOUND.* CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" CMD: for /d %f in (C:\Users\HP\AppData\Local\{*}) do rd /s /q "%f" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Zakładam, że urządzenie jest zmapowane pod literą F:, w przeciwnym wypadku w linii CMD: attrib /d /s -s -h F:\* zmień literę na bieżącą. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. 2. Jeśli powyższy skrypt wykona się poprawnie, na urządzeniu zostanie odkryty folder "bez nazwy". Wejdź do niego i przenieś wszystkie dane poziom wyżej. Następnie folder przez SHIFT+DEL (omija Kosz) skasuj. Odnośnik do komentarza
amaru Opublikowano 9 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 9 Kwietnia 2016 Wygląda na to, że zadanie wykonane. Dziękuję kolejny raz (wiem co zrobić ). Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 9 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 9 Kwietnia 2016 Skrypt FRST został wykonany poprawnie. Rozumiem, że nie było żadnych trudności z organizacją danych na urządzeniu. W związku z tym kończymy: 1. Odinstaluj USBFix. Skasuj FRST i jego logi z folderu POBRANE na Pulpicie. 2. Zastosuj DelFix, a następnie wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
amaru Opublikowano 11 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Rozumiem, że pozostałych kroków "nie dotykam" (czyszcz. lok. tymcz, aktualizacja Windows, itp.)? DelFix.txt Odnośnik do komentarza
picasso Opublikowano 11 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Czyszczenie lokalizacji tymczasowych już tu było prowadzone (komenda EmptyTemp: w skrypcie FRST). Windows ma zainstalowany SP1 i IE11. W pierwszym raporcie Addition była owszem ciut starsza wersja Adobe Reader i Java, ale to stan sprzed miesiąca - jeśli nadal są te same wersje, to oczywiście możesz je zaktualizować. DelFix przeprowadził operacje. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi