sebszo1 Opublikowano 20 Lutego 2017 Zgłoś Udostępnij Opublikowano 20 Lutego 2017 Witam, Proszę o pomoc. Przy każdym uruchomieniu systemu wyskakuje komunikat "Nie można znaleźć pliku skryptu "C:\Users\...\AppData\Roaming\MICROSOFT\home.vbe"." Czy to coś groźnego? Poniżej załączm pliki z programu FRST. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 20 Lutego 2017 Zgłoś Udostępnij Opublikowano 20 Lutego 2017 W systemie aktywna infekcja uruchamiana poprzez Harmonogram zadań wpisem WindowsUpda2ta. 1. Przez panel sterownia odinstaluj: Zbędnik: McAfee Security Scan Plus 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {C7A58438-B920-428A-9BA6-AEAFA2DEDC92} - System32\Tasks\WindowsUpda2ta => C:\Users\sebas_000.SEBASTIAN\AppData\Roaming\MICROSOFT\home.vbe Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v hshhsaaaws /f HKLM\...\Policies\Explorer: [ForceActiveDesktopOn] 0 [0 2017-02-01] () HKLM\...\Policies\Explorer: [NoRun] 0 [0 2017-02-01] () HKLM\...\Policies\Explorer: [NoFolderOptions] 0 [0 2017-02-01] () HKLM\...\Policies\Explorer: [NoControlPanel] 0 [0 2017-02-01] () HKU\S-1-5-21-3692300953-1166139625-1592831316-1006\...\Policies\Explorer: [] Startup: C:\Users\sebas_000.SEBASTIAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe [2016-08-01] () Startup: C:\Users\sebas_000.SEBASTIAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe [2016-08-01] () C:\Users\sebas_000.SEBASTIAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 dbx; system32\DRIVERS\dbx.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą narzędzia Malwarebytes AntiMalware. Jeśli cośwykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
sebszo1 Opublikowano 20 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2017 Wstawiam nowe logi z FRST i raport z Malwarebytes. Fixlog.txt FRST.txt raport skanowania Malwarebytes.txt Shortcut.txt Addition.txt Odnośnik do komentarza
Miszel03 Opublikowano 21 Lutego 2017 Zgłoś Udostępnij Opublikowano 21 Lutego 2017 Poprawki, odpuszczam kasowanie pustych CLSID - jest ich tak dużo, że nawet nie wiem czy limit znaków, by mi to przepuścił. Wyniki z MBAM to drobnostki - usuwam je w FRST. 1. Ze zbędników możesz odinstalować jeszcze Akamai NetSession Interface. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKU\S-1-5-21-3692300953-1166139625-1592831316-1006\SOFTWARE\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKU\S-1-5-21-3692300953-1166139625-1592831316-1004\SOFTWARE\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I HKU\S-1-5-21-3692300953-1166139625-1592831316-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202017180459806\...\Policies\Explorer: [] HKU\S-1-5-21-3692300953-1166139625-1592831316-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202017181613580\...\Policies\Explorer: [] HKU\S-1-5-21-3692300953-1166139625-1592831316-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202017180501719\...\Policies\Explorer: [] HKU\S-1-5-21-3692300953-1166139625-1592831316-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202017181617612\...\Policies\Explorer: [] SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {35A0A2BE-82B9-4C4E-AC2B-120F1E6ACC6D} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-3692300953-1166139625-1592831316-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202017180459806 -> {35A0A2BE-82B9-4C4E-AC2B-120F1E6ACC6D} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-3692300953-1166139625-1592831316-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202017181613580 -> {35A0A2BE-82B9-4C4E-AC2B-120F1E6ACC6D} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-3692300953-1166139625-1592831316-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202017180501719 -> {35A0A2BE-82B9-4C4E-AC2B-120F1E6ACC6D} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-3692300953-1166139625-1592831316-1004-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202017181617612 -> {35A0A2BE-82B9-4C4E-AC2B-120F1E6ACC6D} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-3692300953-1166139625-1592831316-1006 -> {35A0A2BE-82B9-4C4E-AC2B-120F1E6ACC6D} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-3692300953-1166139625-1592831316-1006-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202017180503873 -> {35A0A2BE-82B9-4C4E-AC2B-120F1E6ACC6D} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-3692300953-1166139625-1592831316-1006-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-02202017181621441 -> {35A0A2BE-82B9-4C4E-AC2B-120F1E6ACC6D} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Dostarcz raport wynikowy (plik Fixlog.txt). Podsumuj obecny stan systemu. Odnośnik do komentarza
sebszo1 Opublikowano 21 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2017 Przy uruchomieniu systemu nie wyskakuje już komunikat "Nie można znaleźć pliku skryptu "C:\Users\...\AppData\Roaming\MICROSOFT\home.vbe".". Dołączam plik fixlig.txt. Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 21 Lutego 2017 Zgłoś Udostępnij Opublikowano 21 Lutego 2017 Kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne - KLIK. Malwarebytes AntiMalware również możesz odinstalować. Odnośnik do komentarza
sebszo1 Opublikowano 21 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2017 Ok, dzięki wielkie. Dodaje log z DelFix. DelFix.txt Odnośnik do komentarza
Miszel03 Opublikowano 21 Lutego 2017 Zgłoś Udostępnij Opublikowano 21 Lutego 2017 Raport zweryfikowany. To tyle. Odnośnik do komentarza
sebszo1 Opublikowano 21 Lutego 2017 Autor Zgłoś Udostępnij Opublikowano 21 Lutego 2017 Dziękuję za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się