kuchar756 Opublikowano 31 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2016 Od jakiegoś czasu zaczął mi się pojawiać problem związany z plikiem run.vbs wyskakuje tabliczka..:Skrypt: C:\Windows\run.vbsWiersz: 39Znak: 1 Błąd: Nie można odnaleźć określonego pliku.Kod: 80070002Żródło: (null)Załączam logi txt, może coś pomoże. Addition.txt FRST.txt Odnośnik do komentarza
jessica Opublikowano 31 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2016 1) Użyj USBFix z opcji CLEAN https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/#entry172738Daj raport z tego usuwania. ja w tym czasie przejrzę logi FRST jessi Odnośnik do komentarza
kuchar756 Opublikowano 31 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2016 log Rem-VBS.TXT Odnośnik do komentarza
jessica Opublikowano 31 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2016 Miał być użyty USBFix - ten mój link najwyraźniej źle kieruje. 1) Otwórz Notatnik i wklej w nim: Task: {19AB634D-9EE2-4C99-9EBE-57A21166691D} - System32\Tasks\{FA2D0FBE-1135-4386-AD93-13AB1FA35457} => pcalua.exe -a "E:\Heroes III WoG 3.58f\Heroes III\UPDATE\Install.exe" -d "E:\Heroes III WoG 3.58f\Heroes III\UPDATE"Task: {1ED1E91B-00E0-4C87-9F19-657C9EF775D1} - \Dravsynlether Core -> Brak pliku <==== UWAGATask: {22234298-3663-4C96-A7E5-1548309DEC41} - System32\Tasks\{ADA4143F-288B-4552-BED2-945ED9D2FDA5} => pcalua.exe -a C:\Users\Patryk\AppData\Local\Temp\Temp1_atheros_ar813x_ar815x_ar816x_v2.1.0.21_whql.zip\setup.exe <==== UWAGATask: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku <==== UWAGATask: {457E2F79-AFFD-4F16-B126-527946B5C622} - System32\Tasks\{34C2F77C-A590-44F5-A148-5AC398C535B4} => pcalua.exe -a "C:\Program Files (x86)\mobilepcstarterkit\uninstaller.exe"Task: {4FBFD79B-5574-4F5E-97AB-15FD418EAB7A} - \Origin -> Brak pliku <==== UWAGATask: {567A8448-AD2A-41E2-8A42-19EFF60EC1FF} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku <==== UWAGATask: {62D6CE21-F604-4BF3-8978-B4D0FD1D1EF0} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku <==== UWAGATask: {6C41444A-9F0B-4F44-940A-2AE2BCF7445B} - System32\Tasks\{3DB8B885-5289-44D6-B929-F1EB8264A006} => pcalua.exe -a "C:\Program Files (x86)\ContentPush\uninstall.exe" -d "C:\Program Files (x86)\ContentPush"Task: {7A58726B-7A02-4D7B-B298-CB41EEB00213} - System32\Tasks\Booking_helper => C:\PROGRA~2\Booking.com\BOOKIN~2.EXETask: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku <==== UWAGATask: {C817B609-A844-46BE-AB8A-663FEA6AACB1} - System32\Tasks\{472A440D-86BD-DAFE-7E9D-78789BB31890} => C:\Users\Patryk\AppData\Roaming\PRICEF~1\Updater.exe <==== UWAGATask: {C8BBE56B-A7CC-452A-961A-E26523427CCF} - System32\Tasks\{05541A6B-7C11-4CF7-98D5-0B0C31158B7F} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Ozer-Eco\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Ozer-Eco\uninstall.dat" -a uninstallme 3562AC01-908E-4CF4-A1E6-09F0F1ACE859 DeviceId=292f60f1-7f33-8131-0069-d2a5e116d567 BarcodeId=51162100 ChannelId=100 DistributerName=APSFIscFFIERemoveDirectory: C:\Users\Patryk\AppData\Roaming\PRICEF~1RemoveDirectory: C:\Program Files (x86)\ContentPushTask: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> Brak pliku <==== UWAGATask: {D520752F-4DDE-4B31-9F64-A74D435AFC7C} - System32\Tasks\{C5BCCC97-ECC1-4358-B516-A70258297467} => pcalua.exe -a I:\setup.exe -d I:\Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> Brak pliku <==== UWAGAShortcutWithArgument: C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465599340&a=1024132&src=sh&uuid=0865d09c-dd2e-4894-b49b-ec3949f58488"ShortcutWithArgument: C:\Users\Patryk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://safebrowsing.biz/?ssid=1465599340&a=1024132&src=sh&uuid=0865d09c-dd2e-4894-b49b-ec3949f58488"ShortcutWithArgument: C:\Users\Patryk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=821637"HKLM\...\Run: [gplyra] => C:\Users\Patryk\AppData\Roaming\gplyra\gplyra\start.cmdRemoveDirectory: C:\Users\Patryk\AppData\Roaming\gplyraHKLM\...\Winlogon: [userinit] wscript C:\Windows\run.vbs,HKLM-x32\...\Winlogon: [userinit] wscript C:\Windows\run.vbs, [X]C:\Windows\run.vbs,HKU\S-1-5-21-2521607336-1062970685-3731827339-1000\...\Winlogon: [shell] C:\Windows\Explorer.exe [3231232 2016-04-09] (Microsoft Corporation) <==== UWAGAShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak plikuShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak plikuShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak plikuShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak plikuShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak plikuShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak plikuAutoConfigURL: [s-1-5-21-2521607336-1062970685-3731827339-1000] => hxxp://un-stop.info/wpad.dat?07b1a36483014172b1a3faa7ae3b173c11313300Tcpip\..\Interfaces\{3070012E-50B7-49A6-8A42-349D8DEE0752}: [NameServer] 104.197.191.4Tcpip\..\Interfaces\{5A125D31-7E0F-4A63-A8BF-04CBD889751F}: [NameServer] 104.197.191.4Tcpip\..\Interfaces\{899CA386-7B92-4558-956F-5FD66616772D}: [NameServer] 104.197.191.4Tcpip\..\Interfaces\{B013A25F-EE78-495D-8ADD-C797B52714BA}: [NameServer] 104.197.191.4Tcpip\..\Interfaces\{C8997195-C0A8-4878-9362-01AB2375EE2E}: [NameServer] 104.197.191.4ManualProxies: 0hxxp://un-stop.info/wpad.dat?07b1a36483014172b1a3faa7ae3b173c11313300BHO: Brak nazwy -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Brak plikuToolbar: HKLM - Brak nazwy - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - Brak plikuToolbar: HKLM-x32 - Brak nazwy - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - Brak plikuFF DefaultSearchEngine: hohosearchFF DefaultSearchEngine.US: data:text/plain,browser.search.defaultenginename.US=hohosearchFF Homepage: search.mpc.amFF Keyword.URL: hxxp://www.hohosearch.com/chrome.php?uid=FF974593EEB1DA02C0CA2EF01F90CCCF&ptid=isr&ts=AHEqAHUlBX4sAU..&v=20160425&mode=ffexttoolbar&q=FF Plugin HKU\S-1-5-21-2521607336-1062970685-3731827339-1000: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\Patryk\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [brak pliku]FF Plugin HKU\S-1-5-21-2521607336-1062970685-3731827339-1000: electronicarts.com/GameFacePlugin -> C:\Users\Patryk\AppData\Roaming\Electronic Arts\Game Face\npGameFacePlugin.dll [brak pliku]FF user.js: detected! => C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\ni0fkg53.default\user.js [2016-08-14]FF user.js: detected! => C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\user.js [2016-08-14]CHR HomePage: Default -> mail.ru/cnt/20595300?rciguc__PARAM__S4 Noije; C:\Users\Patryk\AppData\Roaming\Geunfy\Geunfy.exe [170496 2016-08-11] () [brak podpisu cyfrowego]RemoveDirectory: C:\Users\Patryk\AppData\Roaming\GeunfyRemoveDirectory:R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [82240 2016-08-14] (Cherimoya Ltd) <==== UWAGAC:\Windows\System32\drivers\cherimoya.sysS3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [X]S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X]S3 AthBTPort; system32\DRIVERS\btath_flt.sys [X]S3 b06bdrv; \SystemRoot\system32\drivers\bxvbda.sys [X]S3 BT; system32\DRIVERS\btnetdrv.sys [X]S3 BTATH_A2DP; system32\drivers\btath_a2dp.sys [X]S3 btath_avdt; system32\drivers\btath_avdt.sys [X]S3 BTATH_BUS; system32\DRIVERS\btath_bus.sys [X]S3 BTATH_HCRP; system32\DRIVERS\btath_hcrp.sys [X]S3 BTATH_LWFLT; system32\DRIVERS\btath_lwflt.sys [X]S3 BTATH_RCP; system32\DRIVERS\btath_rcp.sys [X]S3 BTCOM; system32\DRIVERS\btcomport.sys [X]S3 BTCOMBUS; System32\Drivers\btcombus.sys [X]S3 Btcsrusb; System32\Drivers\btcusb.sys [X]S3 DxkgFilter; \??\C:\Program Files (x86)\iDisplay\idisplay.sys [X]S0 ignis; system32\DRIVERS\ignis.sys [X]S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] <==== UWAGA2016-08-14 12:43 - 2016-08-16 23:23 - 00000000 ____D C:\Users\Patryk\AppData\Roaming\Geunfy2016-08-14 12:43 - 2016-08-16 23:23 - 00000000 ____D C:\Users\Patryk\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A}2016-08-14 12:43 - 2016-08-14 12:43 - 00000000 ____D C:\Users\Patryk\AppData\LocalLow\Company2016-08-14 12:43 - 2016-08-14 12:43 - 00000000 ____D C:\Users\Patryk\AppData\Local\Tempfolder2016-08-14 12:43 - 2016-08-14 12:43 - 00000000 ____D C:\uninst2016-08-14 12:14 - 2016-08-14 12:14 - 00003190 _____ C:\Windows\System32\Tasks\{3DB8B885-5289-44D6-B929-F1EB8264A006}2016-08-14 12:13 - 2016-08-14 12:13 - 00000000 _____ C:\Users\Patryk\AppData\Roaming\1.txt2016-08-14 12:12 - 2016-08-14 12:10 - 00001370 _____ C:\Windows\system32\Drivers\etc\hp.bak2016-08-14 12:11 - 2016-08-16 23:23 - 00000000 ____D C:\Program Files (x86)\038D0240-1471169515-0514-E506-7607000800092016-08-14 12:10 - 2016-08-14 12:10 - 00000000 ____D C:\Program Files (x86)\WeatherChickn2016-04-06 01:53 - 2016-04-06 01:53 - 6504960 _____ () C:\Users\Patryk\AppData\Roaming\agent.dat2016-04-06 01:53 - 2016-04-06 01:53 - 0109084 _____ () C:\Users\Patryk\AppData\Roaming\inst.lat2016-04-06 01:53 - 2016-04-06 01:53 - 0127488 _____ () C:\Users\Patryk\AppData\Roaming\Installer.dat2016-04-06 01:53 - 2016-04-06 01:53 - 0018432 _____ () C:\Users\Patryk\AppData\Roaming\Main.dat2016-03-19 04:12 - 2016-03-19 04:38 - 0000009 _____ () C:\Users\Patryk\AppData\Roaming\update.dat2016-04-06 01:53 - 2016-04-06 01:53 - 1626416 _____ () C:\Users\Patryk\AppData\Roaming\VentoZumis.tstHOSTS:EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix (NAPRAW). 2) Zrób nowe logi FRST. Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt" jessi Odnośnik do komentarza
kuchar756 Opublikowano 31 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2016 Gdy już było po naprawie i wyskoczyło restart komputera, po włączeniu wyskoczył mi notatnik z nazwą "errorlog.txt"i jeden plik Fixlog Fixlog.txt Odnośnik do komentarza
jessica Opublikowano 31 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2016 To tak wygląda, jakby "fixlist" był użyty dwukrotnie. rób następne kroki jessi Odnośnik do komentarza
kuchar756 Opublikowano 31 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2016 Następne kroki? Można wiedzieć jakie bo naprawdę ja zielony w tym jestem... :/ Odnośnik do komentarza
jessica Opublikowano 31 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2016 2) Zrób nowe logi FRST. Przed skanem zaznacz "Addition.txt" oraz "Shortcut.txt" jessi Odnośnik do komentarza
kuchar756 Opublikowano 31 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2016 Okey I znów skopiować to co powyżej i zrobić to samo? Odnośnik do komentarza
jessica Opublikowano 31 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2016 nie - dać tu te logi, ja obejrzę, i zadecyduję, co dalej jessi Odnośnik do komentarza
kuchar756 Opublikowano 31 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2016 Proszę. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 31 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2016 1) Uruchom Google Chrome> Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia >> Sekcja: Po uruchomieniu > wybierz: Otwórz konkretną stronę lub zestaw stron >> Kliknij: Wybierz strony >> Usuń: mail.ru, wpisz nowy adres strony głównej i kliknij przycisk OK. 2) Otwórz Notatnik i wklej w nim: Task: C:\Windows\Tasks\{472A440D-86BD-DAFE-7E9D-78789BB31890}.job => C:\Users\Patryk\AppData\Roaming\PRICEF~1\Updater.exe <==== UWAGACHR Extension: (Домашняя страница Mail.Ru) - C:\Users\Patryk\AppData\Local\Google\Chrome\User Data\Default\Extensions\fbkdlibjhnblcbjjecnlpkldhbkedfhj [2016-08-31]RemoveDirectory: C:\Users\Patryk\AppData\Roaming\PRICEF~1Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2016-08-31] ()C:\ProgramData\Microsoft\Windows\Start Menu.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Email Uploader\GoogleEmailUploader.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Email Uploader\Uninstall.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Email Uploader\Website.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 15\FIFA 15.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 15\Plik Przeczytaj.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 15\Pomoc techniczna.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 15\Umowa użytkownika FIFA 15.lnkEmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix (NAPRAW). 3) Zrób nowe logi FRST - już bez Shortcut. jessi Odnośnik do komentarza
kuchar756 Opublikowano 31 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2016 1) Uruchom Google Chrome > Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia > > Sekcja: Po uruchomieniu > wybierz: Otwórz konkretną stronę lub zestaw stron > > Kliknij: Wybierz strony > > Usuń: mail.ru, wpisz nowy adres strony głównej i kliknij przycisk OK. 2) i co dalej? bo tam 2 punkt chyba niedokończony Odnośnik do komentarza
jessica Opublikowano 31 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2016 i co dalej? bo tam 2 punkt chyba niedokończony za szybko działasz, jak na moje możliwości. wróć do mojego poprzedniego postu. jessi Odnośnik do komentarza
kuchar756 Opublikowano 31 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2016 za szybko działasz, jak na moje możliwości. wróć do mojego poprzedniego postu. jessi Wybacz ale wcześniej po prostu Twój post mi się cały nie załadował :3 Addition.txt FRST.txt Odnośnik do komentarza
jessica Opublikowano 31 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2016 Twój post mi się cały nie załadował :3 załadował się, ale ja potem edytowałam, by dopisać ten drugi punkt. CHR HomePage: Default -> mail.ru/cnt/20595300?rciguc__PARAM__ Ta strona jest dalej ustawiona jako startowa. Jeszcze raz spróbuj zmienić. Otwórz Notatnik i wklej w nim: Task: C:\Windows\Tasks\Booking_helper.job => C:\PROGRA~2\Booking.com\BOOKIN~2.EXECHR HomePage: Default -> mail.ru/cnt/20595300?rciguc__PARAM__ C:\PROGRA~2\Booking.com EmptyTemp: >>Menu Notatnika >> Plik >> >>Zapisz jako >> Nazwa pliku: fixlist Zapisz jako typ: Dokumenty tekstowe Kodowanie: Unicode >>Zapisz Plik umieść w folderze C:\Users\Patryk\Desktop\Nowy folder Uruchom FRST i kliknij przycisk Fix (NAPRAW). Jeśli będzie OK, to będziemy kończyć: Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW). przez SHIFT+DEL usuń pozostały folder C:\FRST. Remediate VBS Worm - usuń poprzez SHIFT+DEL jessi Odnośnik do komentarza
kuchar756 Opublikowano 31 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2016 chyba git? Fixlog.txt Odnośnik do komentarza
jessica Opublikowano 31 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2016 Tak, OK. jessi Odnośnik do komentarza
kuchar756 Opublikowano 31 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2016 Wielkie Dzięki! Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się