Powstaniec Opublikowano 1 Października 2016 Zgłoś Udostępnij Opublikowano 1 Października 2016 Witam Z tym problemem borykam się już 3 dzień. 2 pendrive; laptop z Windows 7 (ustaliłem że na tym urządzeniu jest źródło problemu), stacjonarny PC z Windows XP - pliki na pendrivie znikają (zamieniają się w ukryte) i zamiast nich pojawiają się skróty - pliki zgrane z pendriva na dysk znikają (też zamienią się w ukryte), z tym że nie pokazują się skróty - ustaliłem że proces związany z problemem to wscript.exe, zakończenie go wstrzymuje problem, ale nie rozwiązuje, tj nowe pliki wgrane na pendrive nie zostają ukryte, ale te stare ukryte pozostają Na początku puściłem Adw cleaner i Hitman pro, znalazły sporo śmiecia (trojany i inne), ale problem nie ustał; wypaliłem na płytce też Kaspersky Rescue Disk, odpaliłem, ale nie skanuje się bo wyskakuje problem "database corrupted" na obu komputerach (pobierałem go na laptopie, przerzucałem by nagrać na stacjonarny komputer- podejrzewam że mógł zostać uszkodzony w międzyczasie). Na koniec uruchomiłem też ComboFix, ale nic nie wykrył. Wczoraj formatowałem pendrivy za pomocą USBFormatToolSetup, na laptopie z Windows 7 format nie chciał ruszyć, udało się to zrobić na PC z Windows XP, po sformatowaniu przerzuciłem na nie jakieś pliki, wyjmuje, wkładam pendrive, wszystko ok, niby problem rozwiązany. Jednak gdy przełożyłem je do laptopa z Windows 7, problem wraca. Wczoraj opisałem swój problem tutaj. Dzięki poradom udało mi się ustalić że proces, który się aktywuje podczas kopiowania plików na pendrive to wscript.exe. Próbowłem usunąć plik zwiazany z procesem z Windows\system32 ale jest to ważny plik systemowy, więc postanowiłem się wstrzymać. Proces wscript.exe jest związany z ukrytym plikiem na pendrivie J:\Manuel.doc, z jakimiś dziwnymi znakami, które wyglądają na losowe. No i na samym początku próbowałem też rozwiązania stąd, ale oczywiście nie pomogło Proszę o porady, co mogę jeszcze zrobić Pozdrawiam FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2016 Zgłoś Udostępnij Opublikowano 1 Października 2016 Usuwam zawartość pliku DOC, to malware i Windows Defender natychmiast mi blokuje pobranie pliku. Logi z przestarzałego OTL nie są tu już w ogóle brane pod uwagę i też je usuwam. Obecnie nowoczesny skaner zastępujący w pełni OTL to FRST, posiada znacznie więcej możliwości niż OTL. Zabrakło za to trzeciego obowiązkowego raportu FRST Shortcut oraz GMER. Cytat dzięki poradom udało mi się ustalić że proces, który się aktywuje podczas kopiowania plików na pendrive to wscript.exe. Próbowłem usunąć plik zwiazany z procesem z Windows\system32 ale jest to ważny plik systemowy, więc postanowiłem się wstrzymać. Proces wscript.exe jest związany z ukrytym plikiem na pendrivie J:\Manuel.doc, z jakimiś dziwnymi znakami, które wyglądają na losowe. Owszem, tu jest problem, ale nie chodzi o sam wscript.exe - to jest poprawny systemowy silnik uruchamiania skryptów VBS. Problemem jest uruchamiany przez ten silnik docelowy szkodliwy skrypt VBS zlokalizowany w folderze temp użytkownika: HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\...\Run: [sysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db To infekcja WORM_FORBIX.A. Działania do przeprowadzenia: 1. Odinstaluj stare wersje Adobe Flash Player 20 ActiveX, Java SE Development Kit 8 Update 25 (zagrożenie infekcjami szyfrującymi dane) oraz lewy skaner-naciągacz SpyHunter 4. Następnie, niezależnie od tego czy deinstalacja SpyHunter się powiedzie zastosuj narzędzie SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\...\Policies\Explorer: [] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird Task: {25BBDA8D-C74D-486C-95B0-BDDE285CB0AA} - System32\Tasks\{E7EFB6B2-B613-4374-91A5-AE0F8DE7F5B0} => pcalua.exe -a "F:\Instalki do gier\Gothic\gothic1_playerkit108k\gothic1_playerkit-1.08k\gothic1_playerkit-1.08k.exe" -d "F:\Instalki do gier\Gothic\gothic1_playerkit108k\gothic1_playerkit-1.08k" Task: {5632745C-3716-4DBB-906B-EBBD1E1273D0} - System32\Tasks\{BF03AFC3-95E7-4133-87D0-7EEFF4C6A1D3} => pcalua.exe -a "F:\Instalki do gier\Mount&Blade Fire and Sword +MULTIPLAYER by iMortaluz\DirectX - install if the game doesn't work.exe" -d "F:\Instalki do gier\Mount&Blade Fire and Sword +MULTIPLAYER by iMortaluz" Task: {5F1D028C-2B6A-4656-B777-5B78939C1108} - System32\Tasks\{A1BB2123-6A4F-488E-9384-ABD5C6C0739B} => pcalua.exe -a "F:\Programy instalacyjne\Huawei sterowniki\64280_slate-driver-s1082-win7-wwan3.5g-2.0.6.718\slate-driver-s1082-win7-wwan(3.5g)-2.0.6.718\DriverSetup.exe" -d "F:\Programy instalacyjne\Huawei sterowniki\64280_slate-driver-s1082-win7-wwan3.5g-2.0.6.718\slate-driver-s1082-win7-wwan(3.5g)-2.0.6.718" Task: {9C164DEE-2A4B-42CC-B60D-D7139F347519} - System32\Tasks\{56F32D16-EAA8-4BFA-9EA2-0766728E5FDD} => pcalua.exe -a "F:\Wonder pliki\Setup.exe" -d "F:\Wonder pliki" Task: {B1334EE1-7936-495D-84E5-E9FA60826902} - System32\Tasks\{23003EB3-106F-4E9C-8DB4-40B56E653C87} => pcalua.exe -a "F:\Programy instalacyjne\Sterowniki\sp65178 Sterownik oprogramowania Ralink Bluetooth.exe" -d "F:\Programy instalacyjne\Sterowniki" Task: {F1F19554-0B64-4214-8C62-0A0882539896} - System32\Tasks\{30B5BC00-99C7-4790-ABF2-61515936C33A} => pcalua.exe -a "F:\Programy instalacyjne\wmp11-windowsxp-x86-PL-PL.exe" -d "F:\Programy instalacyjne" Task: {F66A11B6-628D-4A73-994E-A086E39F802F} - System32\Tasks\{2D6DDA36-CDCC-4EDF-8099-0A75282CC5A3} => pcalua.exe -a C:\Users\Karol\Desktop\wmp11-windowsxp-x86-PL-PL.exe -d C:\Users\Karol\Desktop MSCONFIG\startupreg: Akamai NetSession Interface => "C:\Users\Karol\AppData\Local\Akamai\netsession_win.exe" S3 BtAudioBusSrv; System32\Drivers\BtAudioBus.sys [X] S3 BthL2caScoIfSrv; System32\Drivers\BtL2caScoIf.sys [X] S3 btUrbFilterDrv; System32\Drivers\IvtUrbBtFlt.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" DisableService: PLAY ONLINE. RunOuc CMD: del /q "C:\Users\Karol\Desktop\Manuel z pendrive.txt" Reg: reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 0x1 /f Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowe logi: FRST z opcji Skanuj (Scan) z zaznaczonym polem Shortcut oraz USBFix z opcji Listing przy podpiętym pendrive (o ile nie zostanie sformatowany ponownie). Dołącz też plik fixlog.txt. Odnośnik do komentarza
Powstaniec Opublikowano 1 Października 2016 Autor Zgłoś Udostępnij Opublikowano 1 Października 2016 Zrobiłem co trzeba, skrypt wykonałem nawet 2 razy, bo przed 1 razem nie usunąłem starej Javy i Adobe. Manuel.doc nadal jest widoczny na pendrivie. Logów z USBFix nie zrobiłem, po odpaleniu program przekierowuje mnie tylko na stronę pełną reklam i ofert przez Internet Explorer Addition.txt Fixlog 1 raz.txt Fixlog 2 raz.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Powstaniec Opublikowano 1 Października 2016 Autor Zgłoś Udostępnij Opublikowano 1 Października 2016 Aha i zrobiłem też logi na PC stacjonarnym z staruszkiem Windowsem XP Nie wiem czy infekcja się tam przeniosła FRST XP.txt Addition XP.txt Shortcut XP.txt Logów Gmer nie mogę tutaj dodać, więc wklejam na wklejkę: Log gmer z Windows XP Log gmer z laptopa Windows 7 SpyHunterCleaner też nie pobrałem, ponieważ antywirusy (Avast na laptopie i Kaspersky na PC) krzyczą że na proponowanej stronie jest jakiś trojan Odnośnik do komentarza
picasso Opublikowano 2 Października 2016 Zgłoś Udostępnij Opublikowano 2 Października 2016 System pomyślnie oczyszczony, infekcja nie jest już aktywna. Został pendrive: Cytat Manuel.doc nadal jest widoczny na pendrivie. Oczywiście. Tu była usuwana tylko infekcja z systemu i kopia tego pliku stworzona przez Ciebie ręcznie. FRST nie skanuje dysków zewnętrznych. Stąd prosiłam o log z USBFix... Cytat Logów z USBFix nie zrobiłem, po odpaleniu program przekierowuje mnie tylko na stronę pełną reklam i ofert przez Internet Explorer Jak to? Nie widzisz opcji które są w opisie? Pokaż mi zrzut ekranu co uruchamiasz i co się pokazuje w IE. Cytat Zrobiłem co trzeba, skrypt wykonałem nawet 2 razy, bo przed 1 razem nie usunąłem starej Javy i Adobe. Skrypt jest jednorazowego użytku i nie powtórzy tych samych operacji. W drugim podejściu masz od góry do dołu "nie znaleziono". Cytat SpyHunterCleaner też nie pobrałem, ponieważ antywirusy (Avast na laptopie i Kaspersky na PC) krzyczą że na proponowanej stronie jest jakiś trojan Fałszywy alarm. Należy wyłączyć antywirusa na czas pobierania i pracy z programem. Cytat Aha i zrobiłem też logi na PC stacjonarnym z staruszkiem Windowsem XP W XP nie ma czynnych oznak tej infekcji. Do zrobienia byłyby drobne poboczne sprawy (jakieś odpadkowe wpisy), ale tym zajmę się potem. Odnośnik do komentarza
Powstaniec Opublikowano 2 Października 2016 Autor Zgłoś Udostępnij Opublikowano 2 Października 2016 Pobrałem i użyłem SpyHunterCleaner. Po odpaleniu USBFix komunikuje że jest dostępna nowa wersja. Wciśnięcie 1 i 3 przysisku oraz X powoduje przekierowanie do strony widocznej na screnie. Wciśnięcie 2 przycisku przekierowuje do strony z ofertą kupna wersji premium. Wszystkie przyciski "pobierz" na otwartej stronie przekierowują do pobrania jakiś innych programów. Próbowałem pobrać ten program z Instalki.pl, ale jest tam ta sama wersja. Uruchamiałem też jako administrator- to samo. Może użyję jakiegoś zamiennika? Odnośnik do komentarza
picasso Opublikowano 2 Października 2016 Zgłoś Udostępnij Opublikowano 2 Października 2016 Nie próbuj pobierać tego programu z innych serwisów. Strona domowa programu to właśnie ta która się otwiera, fakt, jest mocno obsmarowana reklamami. Tak swoją drogą, to oni nawet przestrzegają przed pobieraniem z Instalki.pl: KLIK. Do wglądu też mój temat: KLIK. Na obrazku który pokazałeś, należy przeskrolować trochę niżej i kliknąć w duży przycisk Telecharger (to jest francuskie "Pobierz"). Alternatywnie wkleić w pasku adresów przeglądarki ten link inicjujący pobieranie: https://www.usb-antivirus.com/downloadings/ Ale pobieranie się blokuje na "została jedna sekunda". Za to stąd działa: https://www.sosvirus.net/telechargement-securise/ Podmienię w przyklejonym link. Odnośnik do komentarza
Powstaniec Opublikowano 2 Października 2016 Autor Zgłoś Udostępnij Opublikowano 2 Października 2016 Udało się pobrać z nowego linku Jak jakiś program otwiera mi Internet Explorera to myślę jak najszybciej go wyłączyć, zanim dostanę drgawek i konwulsji A co dopiero o szukaniu przycisku pobierz w nieznanym mi języku Od kilku lat wszystko co się da pobieram z instalek, więc już to nawyk Wcisnąłem oba pendrivy do USB i oto wynik: UsbFix_Report.txt Odnośnik do komentarza
picasso Opublikowano 7 Października 2016 Zgłoś Udostępnij Opublikowano 7 Października 2016 Podałeś mi log USBFix z opcji Research, a ja prosiłam o log z opcji Listing. Odnośnik do komentarza
Powstaniec Opublikowano 8 Października 2016 Autor Zgłoś Udostępnij Opublikowano 8 Października 2016 Teraz użyłem funkcji listing Podpięte oba pendrivy (dyski 'L' i 'J' ). UsbFix_Report.txt UsbFix Listing 2 HPCOMPAQ.txt Odnośnik do komentarza
picasso Opublikowano 8 Października 2016 Zgłoś Udostępnij Opublikowano 8 Października 2016 Infekcja jest tylko na pendrive zmapowanym pod literą J:. Zakładam, że nadal występuje pod tą literą. Otwórz Notatnik i wklej w nim: StartBatch: attrib -s -h J:\5e8uqvp0.exe attrib -s -h J:\FRST64.exe attrib -r -s -h J:\Manuel.doc del /q J:\5e8uqvp0.exe del /q J:\FRST64.exe del /q J:\Manuel.doc EndBatch: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Qoobox RemoveDirectory: C:\ComboFix RemoveDirectory: G:\Kaspersky Rescue Disk 10.0 Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
Powstaniec Opublikowano 8 Października 2016 Autor Zgłoś Udostępnij Opublikowano 8 Października 2016 Wynikowy fixlog.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 8 Października 2016 Zgłoś Udostępnij Opublikowano 8 Października 2016 Pendrive pomyślnie wyczyszczony. Działania tyczące komputerów: KOMPUTER Z WINDOWS 7: Działania końcowe: 1. Jeśli nie zastosowałeś SpyHunterCleaner, to nadal aktualne, gdyż poprzednie logi wykazywały, że po deinstalacji pozostały szczątki programu. 2. Przez SHIFT+DEL (omija Kosz) skasuj pobrane skanery i ich logi z folderu F:\Programy instalacyjne\Antywirusy. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. KOMPUTER Z XP: Jak mówiłam, tu brak oznak czynnej infekcji (ona jest wyłączona via msconfig), są odpadki adware oraz sterownik po odinstalowanym Avast filtrujący klawiaturę. Do przeprowadzenia następujące operacje: 1. Odinstaluj stare niebezpieczne wersje (zagrożenie infekcjami, w tym szyfrującymi dane!) i zbędne aplikacje: Apple Software Update, Bing Bar, Browser Configuration Utility, HP Deskjet 3510 series — badanie mające na celu poprawę produktów, Hydra Browser, Java 7 Update 67, Java 8 Update 25, Java DB 10.5.3.0, Java SE Development Kit 8 Update 25, Java SE Development Kit 6 Update 18, OpenOffice.org 3.0, Opera 10.51, Safari. Zaś Adobe Reader należy zaktualizować ręcznie z wersji 11.0.08 do 11.0.17. Najnowsze wersje w przyklejonym: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: MSCONFIG\startupreg: SysinfY2X => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f R1 aswKbd; C:\WINDOWS\system32\Drivers\aswKbd.sys [18544 2012-07-03] (AVAST Software) C:\WINDOWS\system32\Drivers\aswKbd.sys S1 AmdPPM; system32\DRIVERS\AmdPPM.sys [X] S3 catchme; \??\C:\DOCUME~1\Karol\USTAWI~1\Temp\catchme.sys [X] S3 GMSIPCI; \??\G:\INSTALL\GMSIPCI.SYS [X] S4 IntelIde; Brak ImagePath U4 klkbdflt2; system32\DRIVERS\klkbdflt2.sys [X] S2 NeroRegInCDSrv; C:\Program Files\Nero\Nero 7\InCD\NBHRegInCDSrv.exe [X] U3 TlntSvr; Brak ImagePath HKLM\...\Run: [GEST] => m‘ HKLM\...\Run: [NeroFilterCheck] => \ü BootExecute: autocheck autochk * bootdelete CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA CHR HKU\S-1-5-21-1844237615-152049171-839522115-1004\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-1844237615-152049171-839522115-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://websearch.just-browse.info/ HKU\S-1-5-21-1844237615-152049171-839522115-1004\Software\Microsoft\Internet Explorer\Main,Start Page = HKU\S-1-5-21-1844237615-152049171-839522115-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-1844237615-152049171-839522115-1004 -> DefaultScope {FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD} URL = hxxp://www.google.com/custom?q={searchTerms}&sa.x=0&sa.y=0&safe=active&client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&hl=en&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1 SearchScopes: HKU\S-1-5-21-1844237615-152049171-839522115-1004 -> {2C0D27C1-E5A2-6E1A-956A-221BDCEFDFED} URL = SearchScopes: HKU\S-1-5-21-1844237615-152049171-839522115-1004 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-1844237615-152049171-839522115-1004 -> {FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD} URL = hxxp://www.google.com/custom?q={searchTerms}&sa.x=0&sa.y=0&safe=active&client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&hl=en&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1 Toolbar: HKLM - Brak nazwy - !{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - Brak pliku FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}] - C:\Program Files\Web Assistant\Firefox => nie znaleziono DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Google\Chrome DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E6E7A668-C143-00DE-E235-89613D04849E} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D730E661-B91D-1A27-F8CC-F13F0CD3C497} DeleteKey: HKLM\SOFTWARE\Mozilla\Thunderbird DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\MozillaPlugins DisableService: PLAY ONLINE. RunOuc RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\Documents and Settings\Karol\Dane aplikacji\IClaro RemoveDirectory: C:\Documents and Settings\Karol\Dane aplikacji\Media Finder RemoveDirectory: C:\Documents and Settings\Karol\Dane aplikacji\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} RemoveDirectory: C:\Documents and Settings\Karol\Menu Start\Programy\DownTango RemoveDirectory: C:\Program Files\Mozilla Firefox\extensions RemoveDirectory: C:\Qoobox RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Menu Start\Programy\Nero 7 Essentials\Narzędzia\Nero DriveSpeed.lnk C:\Documents and Settings\Karol\Pulpit\Programy\Adobe Reader X.lnk C:\Documents and Settings\Karol\Pulpit\Programy\CPUID CPU-Z.lnk C:\Documents and Settings\Karol\Pulpit\Programy\Go for Files.lnk C:\Documents and Settings\Karol\Pulpit\Programy\Hydra Browser.lnk C:\Documents and Settings\Karol\Pulpit\Programy\Opera.lnk C:\Documents and Settings\Karol\Pulpit\Programy\Safari.lnk CMD: net user ASPNET /delete CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Powstaniec Opublikowano 8 Października 2016 Autor Zgłoś Udostępnij Opublikowano 8 Października 2016 Użyłem jeszcze raz dla pewności SpyHunterCleaner i pousuwałem logi. Zwolniło się ~14 GB miejsca na dysku, nie zdawałem sobie sprawy że punkty przywracania tyle zajmują Raport z czyszczenia DelFix.txt .................................................... Jeśli chodzi o Windows XP, wykonałem wszystko co napisałaś. Tak w ogóle to ten komputer uruchomiłem jakieś 2-3 miesiące temu, po jakiś 1 - 1,5 roku zastoju (spalony zasilacz) i nie wszystko wtedy uaktualniłem, ale teraz to nadrobiłem Może to ważne, po wykonaniu wszystkich czynności, podczas restartu komputer się zaciął ( podczas zapisywania ustawień), po około 30-40 min czekania wcisnąłem ręczny restart. FRST.txt Addition.txt Fixlog.txt Widzę że masz naprawdę ogromną wiedzę, więc zapytam; jest jeszcze taki mały mankament, zawsze po starcie w tym komputerze otwierane jest okno folderu C:\Program Files\NVIDIA Nie wiem czy jest to uwzględnione w msconfig (szukałem, ale aż tak się nie orientuję), ale może wiesz jak to zrobić żeby to wyłączyć? Wszystko wskazuje że infekcję złapałem na pendrive w punkcje ksero/drukuj niedaleko WNG Uniwersytetu Łódzkiego (na szczęście ten punkt nie jest zbyt popularny), mam nadzieję że ta infekcja nie rozprzestrzeni się zbytnio wśród studentów Odnośnik do komentarza
picasso Opublikowano 10 Października 2016 Zgłoś Udostępnij Opublikowano 10 Października 2016 Wszystko zrobione. 1. Na Windows 7 skasuj z dysku plik C:\delfix.txt. To wszystko. 2. Na XP drobne poprawki na puste wpisy. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [Nvtmru] => "C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" Startup: C:\Documents and Settings\You For Ever\Menu Start\Programy\Autostart\OpenOffice.org 3.0.lnk [2012-07-21] RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\TEMP RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programy\OpenOffice.org 3.0 RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\OpenOffice.org 3 RemoveDirectory: C:\Program Files\Opera Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Cytat jest jeszcze taki mały mankament, zawsze po starcie w tym komputerze otwierane jest okno folderu C:\Program Files\NVIDIA Nie wiem czy jest to uwzględnione w msconfig (szukałem, ale aż tak się nie orientuję), ale może wiesz jak to zrobić żeby to wyłączyć? W starcie są cztery wpisy nVidia spełniające warunki ścieżki kierującej na ten folder: HKLM\...\Run: [Nvtmru] => "C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKLM\...\Run: [nwiz] => C:\Program Files\NVIDIA Corporation\nview\nwiz.exe [2593056 2014-07-02] () HKLM\...\Run: [NvBackend] => C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe [2403104 2014-07-25] (NVIDIA Corporation) R2 NvNetworkService; C:\Program Files\NVIDIA Corporation\NetService\NvNetworkService.exe [1720608 2014-07-25] (NVIDIA Corporation) Przy czym pierwszy wpis pusty i załączyłam go do usunięcia w powyższym skrypcie. Jeśli po jego usunięciu nadal będzie problem, sprawdź via msconfig czy pomoże wyłączenie pozostałych wpisów, ale wyłączaj po jednym na raz + restart systemu, by sprawdzić rezultaty. Wpisy nwiz i NvBackend są w karcie Uruchamianie, natomiast NvNetworkService w karcie Usługi. Odnośnik do komentarza
Powstaniec Opublikowano 13 Października 2016 Autor Zgłoś Udostępnij Opublikowano 13 Października 2016 To okienko otwiera jakiś inny wpis, jeszcze wszystkich nie sprawdziłem. Log z czyszczenia: Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 14 Października 2016 Zgłoś Udostępnij Opublikowano 14 Października 2016 1. Jeśli chodzi o czyszczenie systemu ze śmieci, to skończyliśmy. Przez SHIFT+DEL (omija Kosz) skasuj skanery i ich logi z folderu E:\Programy instalacyjne\Antywirusy. Następnie DelFix i czyszczenie folderów Przywracania systemu: KLIK. 2. W kwestii wpisów nVidia: gdyby sprawdzenie wskazanych nie przyniosło rezultatów, szukaj w msconfig w karcie Usługi innych usług nVidia kierujących na ścieżkę C:\Program Files\NVIDIA Corporation. FRST ma bardzo silne filtrowanie i niektóre usługi nVidia nie są widoczne na domyślnych ustawieniach skanu. Odnośnik do komentarza
Powstaniec Opublikowano 14 Października 2016 Autor Zgłoś Udostępnij Opublikowano 14 Października 2016 Wszystko zrobione, zwolniło się ~8 GB DelFix.txt ......... Z uruchomiania wyłączyłem wpis C:\Program Files\NVIDIA Corporation\nview\nwiz.exe, za pierwszym razem okienko się nie pokazało, zamiast niego pojawiło się okienko informacyjne z komunikatem: "MarkFun_Load_NT_Driver". Wyłączyłem jeszcze dodatkowo wpis: C:\Program Files\NVIDIA Corporation\Update Core\NvBackend.exe, pojawił się ten sam komunikat, włączyłem wpis ponownie i już komunikatu ani okienka nie było Panel sterowania nvidi działa i Desktop Manager też, więc wszystko jest ok. Odnośnik do komentarza
picasso Opublikowano 22 Października 2016 Zgłoś Udostępnij Opublikowano 22 Października 2016 Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi