soszmen Opublikowano 28 Czerwca 2017 Zgłoś Udostępnij Opublikowano 28 Czerwca 2017 Witam, temat dosyć znany na tym forum i nie tylko. Mam wirusa, który tworzy mi skróty na pendrive zamiast normalnych plików. Wiem nawet który to plik bo mi w ccleanerze pokazuje, że jakieś gówno się przy starcie systemu uruchamia, ale ciężko to usunąć. Załączam logi. Addition.txt FRST.txt Shortcut.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 30 Czerwca 2017 Zgłoś Udostępnij Opublikowano 30 Czerwca 2017 Problemem jest robak skryptowy uruchamiany z dwóch miejsc startowych. Przy okazji zostaną usunięte szczątki po oddinstalowanych programach. Działania do przeprowadzenia: 1. Odinstaluj Adobe Flash Player 26 NPAPI. To wersja pod Firefox i pochodne, a Ty używasz tylko Chrome. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1669294235-3204265449-2381065717-1001\...\Run: [smycWTeXSeDFCWU] => wscript.exe //B "C:\Users\Jakub\AppData\Local\Temp\smycWTeXSeDFCWU.wSf" Startup: C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\smycWTeXSeDFCWU.wSf [2016-03-29] () GroupPolicy: Ograniczenia R3 cpuz140; C:\Users\Jakub\AppData\Local\Temp\cpuz140\cpuz140_x64.sys [45888 2017-06-28] (CPUID) R1 ZAM; C:\Windows\System32\drivers\zam64.sys [203680 2017-05-09] (Zemana Ltd.) R1 ZAM_Guard; C:\Windows\System32\drivers\zamguard64.sys [203680 2017-05-09] (Zemana Ltd.) S2 MBAMChameleon; \SystemRoot\system32\drivers\MBAMChameleon.sys [X] S4 NVHDA; \SystemRoot\system32\drivers\nvhda64v.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service" DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Mozilla Maintenance Service C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mr DJ C:\Users\Jakub\AppData\Local\Mozilla C:\Users\Jakub\AppData\LocalLow\Mozilla C:\Users\Jakub\AppData\Roaming\Mozilla C:\Windows\System32\drivers\zam64.sys C:\Windows\System32\drivers\zamguard64.sys cmd: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut, oraz USBFix z opcji Listing przy podpiętym pendrive. Dołącz też plik fixlog.txt. Odnośnik do komentarza
soszmen Opublikowano 2 Lipca 2017 Autor Zgłoś Udostępnij Opublikowano 2 Lipca 2017 zrobione, załączam logi. UsbFix Listing 1 JASZCZUR.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2017 Zgłoś Udostępnij Opublikowano 3 Lipca 2017 FRST pomyślnie skasował robaka ze startu. Natomiast pendrive jest obecnie pusty (tylko ukryty System Volume Information od Przywracania systemu wykryty), więc nie ma na nim co sprzątać. Ale potwierdź, że skróty się już nie tworzą. 1. Odinstaluj USBFix. Następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. To wszystko. Odnośnik do komentarza
soszmen Opublikowano 3 Lipca 2017 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2017 Zrobiłem to co napisałeś. Wszystko działa, pendrive sformatowałem i wrzuciłem tam jakieś pliki, nie robią się już skróty. Dziękuje ślicznie, temat do zamknięcia. Odnośnik do komentarza
Rekomendowane odpowiedzi