Danieljamal Opublikowano 8 Października 2017 Zgłoś Udostępnij Opublikowano 8 Października 2017 (edytowane) Po zrzucaniu plików na dysk zewnętrzny pokazuje na nim pliko o rozmiarze 40 KB jako wygaszacz ekranu dodatkowo widać na nim dodatkowe foldery Autorun, System volume information czy recycling bin nie ma pojęcia jak to usunąć. Addition.txt FRST.txt Shortcut.txt Edytowane 9 Października 2017 przez Miszel03 Poprawiam cały post, przyłóż się do pisowni - to objaw szacunku w stosunku do nas. //Miszel03 Odnośnik do komentarza
picasso Opublikowano 8 Października 2017 Zgłoś Udostępnij Opublikowano 8 Października 2017 Komunikat "Surabaya" wynika ze szkodliwej modyfikacji wartości LegalNotice. Natomiast foldery System Volume Information (Przywracanie systemu) i $Recycle.Bin (rzeczywisty folder Kosza, na Pulpicie to tylko wirtualny skrót) to poprawne foldery Windows które były od momentu instalacji, a nagle się pokazały, gdyż została przestawiona opcja Ukryj chronione pliki systemu operacyjnego. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: Adobe Flash Player 22 NPAPI (niepotrzebny, w systemie brak Firefox) oraz Java 8 Update 91 (stara wersja). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\...\Winlogon: [LegalNoticeCaption] 81u3f4nt45y - 24.01.2007 - Surabaya HKLM\...\Winlogon: [LegalNoticeText] Surabaya in my birthday Don't kill me, i'm just send message from your computer Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah lamunan dalam sesal Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0 HKU\S-1-5-21-1671606494-1044672718-3766306234-1000\...\Run: [World of Tanks] => "C:\Games\World_of_Tanks\WargamingGameUpdater.exe" HKU\S-1-5-21-1671606494-1044672718-3766306234-1000\...\Run: [blueStacks Agent] => C:\Program Files\Bluestacks\HD-Agent.exe HKU\S-1-5-21-1671606494-1044672718-3766306234-1000\...\Run: [ALLUpdate] => "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-1671606494-1044672718-3766306234-1000\...\Run: [Napisy24Update] => "C:\Program Files\Napisy24\Napisy24Update.exe" "sleep" Startup: C:\Users\KAZI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Online.com [2013-02-14] () Startup: C:\Users\KAZI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe update.com [2013-02-14] () HKLM\...\scrfile\shell\open\command: %1 HKU\S-1-5-21-1671606494-1044672718-3766306234-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190 CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=190 CHR StartupUrls: Default -> "hxxp://www.gazeta.pl/0,0.html?p=190" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku Task: {2E30A5E3-105F-4019-AA46-5D6DE366E773} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2017-09-10] (AVAST Software) Task: {D4C0B434-28E0-4BAF-8A58-EEA266A1E299} - System32\Tasks\{E27543BE-AD41-4D4A-9BBB-749028E94C6E} => C:\Users\KAZI\Desktop\Let's Play\GAME OF THE YEAR 420 BLAZE IT.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Program Files\Common Files\AV\avast! Antivirus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Goat Simulator C:\Users\KAZI\AppData\Local\Mozilla C:\Users\KAZI\AppData\Roaming\Mozilla C:\Users\KAZI\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam C:\Users\KAZI\AppData\Roaming\04d977f7136142501f27f91796e178a32 C:\Windows\System32\Tasks\AVAST Software cmd: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Danieljamal Opublikowano 8 Października 2017 Autor Zgłoś Udostępnij Opublikowano 8 Października 2017 (edytowane) Nie mam pojęcia jak zrobić fixlog. FRST.txt Addition.txt Edytowane 9 Października 2017 przez Miszel03 Poprawiam pisownie. //Miszel03 Odnośnik do komentarza
picasso Opublikowano 8 Października 2017 Zgłoś Udostępnij Opublikowano 8 Października 2017 Jak napisałam: W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Czyli ten plik jest w folderze Pobrane. Odnośnik do komentarza
Danieljamal Opublikowano 8 Października 2017 Autor Zgłoś Udostępnij Opublikowano 8 Października 2017 (edytowane) Po ponownym przeskanowaniu FRST zostają utworzone tylko te 2 pliki. Edytowane 9 Października 2017 przez Miszel03 Poprawiam pisownie. //Miszel03 Odnośnik do komentarza
picasso Opublikowano 8 Października 2017 Zgłoś Udostępnij Opublikowano 8 Października 2017 Plik Fixlog automatycznie jest tworzony podczas wykonywania opcji Napraw. Tę opcję już użyłeś (nie próbuj jej używać ponownie!), więc plik powinien być w folderze Pobrane, bo stamtąd był uruchamiany FRST. Dostarcz go. A jeśli chodzi o logi z opcji Skanuj, to mówiłam że tym razem bez Shortcut, czyli dwa logi miały powstać (FRST.txt + Addition.txt) i te są załączone OK. Odnośnik do komentarza
Danieljamal Opublikowano 8 Października 2017 Autor Zgłoś Udostępnij Opublikowano 8 Października 2017 (edytowane) Nie wiem co zrobiłem nie tak. Czy jest możliwość powtórzenia tego procesu? Edytowane 9 Października 2017 przez Miszel03 Poprawiam pisownie. //Miszel03 Odnośnik do komentarza
picasso Opublikowano 8 Października 2017 Zgłoś Udostępnij Opublikowano 8 Października 2017 Nie, nie należy ponawiać opcji Napraw, to jednorazowe zadanie i nie wykona ponownie tego samego. Logi z FRST wykazują, że naprawa się wykonała, ale chcę potwierdzić to na 100% i obejrzeć szczegóły przeprowadzonej naprawy, a dane są w pliku Fixlog.txt. Ten plik musi być u Ciebie na dysku. FRST uruchamiałeś z folderu Pobrane (C:\Users\KAZI\Downloads), więc plik powinien być właśnie tam. Wejdź do tego folderu i poszukaj pliku Fixlog.txt. Odnośnik do komentarza
Danieljamal Opublikowano 8 Października 2017 Autor Zgłoś Udostępnij Opublikowano 8 Października 2017 (edytowane) Myślę, że mogłem go przez przypadek usunąć. A jeżeli chodzi o dysk wewnętrzny to jest scan USBFix. UsbFix.txt Edytowane 9 Października 2017 przez Miszel03 Poprawiam pisownie. //Miszel03 Odnośnik do komentarza
picasso Opublikowano 8 Października 2017 Zgłoś Udostępnij Opublikowano 8 Października 2017 Zakładam że urządzenie nadal jest widoczne pod literą F:, w przeciwnym wypadku skrypt naprawy nie zadziała. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: C:\*.scr C:\Autorun.inf C:\Thumbs.com F:\*.scr F:\Autorun.inf F:\Thumbs* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem naprawa powinna wykonać się szybko i bez restartu. Powstanie kolejny plik fixlog.txt w folderze z którego uruchamiasz FRST - pokaż go. Odnośnik do komentarza
Danieljamal Opublikowano 8 Października 2017 Autor Zgłoś Udostępnij Opublikowano 8 Października 2017 (edytowane) OK. Podłączyłem także telefon do komputera czy jest możliwość zainfekowania karty SD? Fixlog.txt Edytowane 9 Października 2017 przez Miszel03 Poprawiam pisownie. //Miszel03 Odnośnik do komentarza
picasso Opublikowano 8 Października 2017 Zgłoś Udostępnij Opublikowano 8 Października 2017 Naprawa pomyślnie wykonana, infekcja wygląda na usuniętą z dysków C i F. Owszem, infekcji mogła ulec także karta. Podłącz urządzenie do komputera i zrób nowy log USBFix z opcji Listing. Odnośnik do komentarza
Danieljamal Opublikowano 8 Października 2017 Autor Zgłoś Udostępnij Opublikowano 8 Października 2017 (edytowane) Tu jest scan z małego USB który także został w przeszłości podłączony do komputera. Telefon z kartą pamięci USBFix nie widzi. EDIT: Czy jest jakaś opcja, aby USBFix przeskanował urządzenia przenośne? UsbFix.txt Edytowane 9 Października 2017 przez Miszel03 Poprawiam pisownie. //Miszel03 Odnośnik do komentarza
picasso Opublikowano 12 Października 2017 Zgłoś Udostępnij Opublikowano 12 Października 2017 Telefon z kartą pamięci USBFix nie widzi. Wg skanu USBFix jest wykryte nowe urządzenie (o czym świadczy inna zawartość z muzyką). Ta sama litera F:, gdyż odpiąłeś poprzedni dysk i została ona zwolniona do ponownego mapowania. Urządzenie wg spodziewań również wykazuje ślady infekcji (2 ukryte foldery oraz szkodliwe pliki). Kolejna porcja działań: Oczywiście urządzenie musi być podpięte i widoczne pod literą F:. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: StartBatch: attrib /d /s -r -s -h F:\* del /q F:\*.scr del /q F:\Autorun.inf del /q F:\Thumbs* reg load HKLM\Temp C:\FRST\Hives\SOFTWARE reg export "HKLM\Temp\Microsoft\Windows NT\CurrentVersion\Winlogon" C:\Users\KAZI\Desktop\eksport.reg reg unload HKLM\Temp EndBatch: DeleteQuarantine: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Naprawa powinna wykonać się szybko i bez restartu. Powstanie kolejny plik fixlog.txt w folderze z którego uruchamiasz FRST - pokaż go. Dodatkowo, na Pulpicie powstanie plik eksport.reg. Shostuj ten plik na jakimś serwisie zewnętrznym i podaj link do pliku. Odnośnik do komentarza
Danieljamal Opublikowano 14 Października 2017 Autor Zgłoś Udostępnij Opublikowano 14 Października 2017 (edytowane) Proszę: https://megawrzuta.pl/download/39488f2ea8ad953894b80cf677e41a4f.html Fixlog.txt Edytowane 14 Października 2017 przez Miszel03 Poprawiam post. //Miszel03 Odnośnik do komentarza
picasso Opublikowano 14 Października 2017 Zgłoś Udostępnij Opublikowano 14 Października 2017 Fiks pomyślnie wykonany. Czy są jeszcze jakieś problemy w systemie lub na urządzeniach? Odnośnik do komentarza
Danieljamal Opublikowano 14 Października 2017 Autor Zgłoś Udostępnij Opublikowano 14 Października 2017 (edytowane) Zostały jeszcze 2 karty SD, które były podłączane do tego PC. Wrzucę skan FRST, tylko muszę kupić czytnik kart SD. Edytowane 14 Października 2017 przez Miszel03 Poprawiam pisownie. //Miszel03 Odnośnik do komentarza
Danieljamal Opublikowano 14 Października 2017 Autor Zgłoś Udostępnij Opublikowano 14 Października 2017 (edytowane) Proszę, tu jest scan z pierwszej karty. UsbFix.txt Edytowane 19 Października 2017 przez Miszel03 Poprawiam pisownie. //Miszel03 Odnośnik do komentarza
picasso Opublikowano 19 Października 2017 Zgłoś Udostępnij Opublikowano 19 Października 2017 Ta karta nie wykazuje śladów infekcji. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się